基于PDCA循環的工業控制系統網絡安全管理研究與實踐

賴金志

（廣東輕工職業技術學院，廣東 廣州 510300）

1 引言

工業控制系統是實現工業生產自動化的系統總稱，廣泛應用于能源、電力、石油、石化、交通和航空等關鍵基礎設施領域，是工業生產運行的核心大腦，也是智能制造的基石與生命線。據統計，80%以上的國家關鍵信息基礎設施及智慧城市業務系統依賴工業控制系統進行控制[1]。隨著工業控制系統與物聯網、互聯網日益深度融合，在大幅提升智能化、信息化程度的同時，也帶來了層出不窮的各類新型攻擊技術和手段。工業控制系統一旦被成功攻擊，輕則造成停工停產、業務中斷，重則將危害人員生命健康，不僅直接帶來巨大的經濟損失，還將威脅產業發展的安全基礎，對國家安全、經濟發展和社會穩定等產生嚴重影響。因此工業控制系統網絡安全是實施制造強國和網絡強國戰略的重要保障[2]。

2 工業控制系統網絡安全風險分析

2.1 安全漏洞風險

安全漏洞是工業控制系統面臨的首要安全問題。工業控制系統一般基于計算機操作系統開發，因此與傳統信息系統一樣，也存在各種安全漏洞，且漏洞數量連年成高發態勢，其中半數以上為高危漏洞，涉及能源、制造、商業設施、水務、市政等重點領域。根據我國國家信息安全漏洞共享平臺（CNVD）統計數據，如圖1所示，2020年共收錄工業控制系統行業漏洞706個，較上一年增長159%，和2016年相比更是增長了4倍有余[3]。然而與傳統信息系統不同，工業控制系統追求的是高可靠性、可用性和實時性，由于升級維護成本高、周期長，可能影響企業生產安全和生產穩定性，部分系統設備自投入運行后直至下線都沒有進行一次更新升級，導致很多工業控制系統都是帶著安全漏洞運行，存在巨大的安全風險。

圖1 2016-2020年CNVD工業控制系統行業漏洞收錄情況

2.2 安全防護能力不足

傳統的工業控制系統基于IT（Information Technology信息技術）和OT（Operation Technology操作技術）技術相對隔離的基礎上進行設計，更側重于功能安全，對網絡安全考慮不足，普遍缺乏有效的網絡安全防護和數據通信保密措施，存在身份鑒別和訪問控制不嚴格、配置維護不足、病毒庫防御功能滯后、加密算法過時等諸多安全隱患；并且由于工業控制系統一般處于相對孤立工作的模式下，在設計之初并未考慮在復雜網絡環境中的安全性，在基于工業互聯網的工業控制系統開始朝向更深層次網絡化、集成化方向發展的今天，設備聯網機制缺乏安全保障。

2.3 安全管理風險

工業控制系統網絡安全管理普遍存在以下問題：對于網絡安全的重視程度有待加強，工控企業沒有建立合理有效的網絡安全組織體系和制度保障，缺乏完整有效的安全策略與管理流程，在研發、設計、施工和運維中，缺少對安全的控制和執行基本的安全管理規定，例如在缺少運維審計機制的情況下，運維人員在調試過程中可能出現設備隨意接入、人員誤操作、非法外聯、病毒傳播等情況，帶來較大安全風險，2010年震網病毒入侵伊朗納坦茲核工廠就是通過U盤傳播進去的；網絡安全教育培訓不足，導致人員網絡安全意識和技術水平較為薄弱，如社會工程學相關的定向釣魚攻擊可能使重要崗位人員淪為外部威脅入侵的跳板。

3 工業控制系統網絡安全管理研究

長期以來，業內對保障網絡安全的手段更偏重于依靠技術。廠商在安全技術和產品的研發上不遺余力，新技術和新產品不斷涌現；消費者也更加相信安全產品，把主要的預算也都投入到安全產品的采購上。然而，僅僅依靠技術和產品保障網絡安全的愿望卻往往難盡人意，許多復雜、多變的安全威脅和隱患靠安全產品是無法消除的。調查顯示，在所有的網絡安全事件中，有70%以上是由于管理方面的原因造成的，其中人是最重要的因素[4]，而這些安全問題中的絕大部分是可以通過完善的網絡安全管理來避免。在做好技術防護的基礎上，工業控制系統網絡安全保障歸根到底還是要依托管理的完善，并最終落實到人員的執行效果上。

3.1 基于PDCA模型的網絡安全管理

網絡安全管理總體而言包含建章立制、規范操作、落實責任、強化培訓、整改隱患等主要環節，長效化、常態化開展日常工作，使各個環節、時時處處的網絡安全工作安排專人負責執行，按照管理辦法落實并符合要求，從而實現網絡安全。網絡安全管理不是一次性的靜態過程，而是人員、制度、執行三者緊密結合的系統工程，是不斷演進、循環發展的動態過程，遵循管理的一般模式——PDCA模型，如圖1所示，即計劃（Plan）、實施（Do）、檢查（Check）和措施（Act），是一種持續改進的管理模式[5]。

圖2 PDCA循環圖

計劃（Plan）——根據等級保護要求、風險評估結果、自身業務需求來制定安全目標和管理措施；

實施（Do）——實施所規劃的安全管理措施；

檢查（Check）——根據策略、制度和標準，對安全管理措施的實施情況進行符合性檢查；

措施（Action）——根據檢查結果采取應對措施，改進安全管理現狀。

以上四個過程不是運行一次就結束，而是周而復始地進行，一個循環執行結束解決一些問題，而未解決的問題進入下一個循環，不斷循環，持續改進。

3.2 制度的落實執行是網絡安全管理的關鍵

在網絡安全管理工作中，健全的管理制度體系以及良好的執行效果是一個組織網絡安全得以保障及維系的關鍵因素。《網絡安全法》規定，網絡運營者應當按照網絡安全等級保護制度的要求，制定內部安全管理制度和操作規程。工業控制系統的運營者基本建立了較為完備的管理制度體系以滿足等級保護的要求，但在具體落實執行上則普遍存在以下問題：部分制度的條款是為了滿足等級保護要求而制定，空喊口號提要求，實際可操作性不強；部分條款由于人力和管理成本等客觀原因所限，在當前情況下無法按照要求來執行，無法完全落地；由于對管理制度的落實執行情況沒有周期性的考核，存在部分運維人員存在對制度不學習、不知道、不執行、不遵守的現象。

因此筆者在開展A公司工業控制系統網絡安全管理實踐項目中，以管理制度為抓手，以落實執行為核心，基于上述PDCA模型覆蓋網絡安全管理周期。

4 A公司工業控制系統網絡安全管理實踐

4.1 工作總體思路

首先對A公司發布的網絡安全相關管理制度進行全面梳理，構建管理制度體系框架，對應PDCA模型中的計劃階段（Plan）。建立完整的管理制度庫，對制度進行統一管理；對現有制度條款進行修訂和完善；分析制度條款的可操作性，對于重要環節制定標準化的表格、文檔等執行記錄，作為制度執行情況審查的依據；對應實施階段（Do）。定期開展網絡安全管理自查，根據對管理制度的執行情況進行檢查的結果，對管理制度體系的合理性和適用性進行審定，再進行相應的修訂和完善，對應檢查（Check）和措施（Action）階段。如此完成一次PDCA循環過程。通過不斷循環，不斷改進，最終實現持續的網絡安全。

圖3 基于PDCA模型的網絡安全管理工作思路

4.2 構建管理制度體系框架

參考等級保護安全管理方面的要求，結合A公司日常工作實際情況，形成一個相對完整的管理制度體系框架，覆蓋物理、網絡、主機系統、數據、應用、人員、應急、建設和運維等方面應建設的管理制度。全面梳理A公司歷年來發布的與網絡安全相關的管理制度，完成分析歸類，將現有制度全部納入到制度體系框架中，建立完整的管理制度庫。

長期以來A公司管理制度的發布、修訂和廢止主要通過內部辦公系統發文，形式較為分散，網絡安全相關的制度沒有匯總，查詢和管理較為不便，有時需要查詢某一事項相關的制度，要在辦公系統通過關鍵詞進行搜索，不但很容易遺漏，也不利于對制度的學習和落實。此外，存在有些制度發布之后，除了參與制定的人員之外沒有人知道它的內容，更不用說按照條款規定來執行。為此在構建管理制度體系框架的基礎上，在A公司辦公系統建立網絡安全管理制度庫，將網絡安全所有相關管理制度進行匯總展示，按照體系框架的各個方面進行分類，建立包含制度名稱、內容、發布時間、文號、發布范圍、責任部門、關鍵詞等內容的索引，便于查詢和管理，作為今后對制度進行新增、評審和修訂的支撐。同時設立專職網絡安全管理員對制度庫進行管理，規范流程，嚴格版本管理，涉及制度的發布、修訂和廢止必須同步在管理制度庫進行更新。

4.3 對現有制度進行評審和修訂

在對A公司現有制度的梳理過程中發現，網絡安全相關制度數量多、時間跨度長。由于之前沒有進行統一的版本管理，部分年代久遠的制度已不適應當前的工作現狀，部分制度有新版本發布卻又沒有明確被廢止，部分制度可以進行整合，部分制度中所述部門名稱因為公司機構調整的原因已發生變化，部分制度與等級保護要求對照存在內容遺漏、不規范和可操作性不強的問題。因此通過組織相關部門人員開展制度的評審和修訂工作，對已不適用和已有新版本發布的制度發文明確進行廢止，對同類型同事項的制度進行整合，對制度條款中與當前實際情況不符合的內容進行修訂，對與等級保護要求存在差距的內容進行制度的補充和完善。通過完成上述工作，使得各項制度更貼近實際，更具可操作性。

4.4 抓好制度的落實執行

管理制度的關鍵在于執行。再完善的制度條款，如果沒有可操作性，不能得到良好的執行和落實，則只會是停留在一紙空文，達不到預期管理規范的目的。在A公司的實踐過程中引入PPT分析法（圖4）來對制度條款的可操作性進行分析和評估。當制度條款內容能確認由誰來執行、執行的流程和需要什么技術手段這三個要素的，則為“實”，具備可操作性，否則為“虛”，需要進行修訂。有了完善的制度，更要有良好的執行。除了通過教育培訓等方式增強業務人員執行制度要求的自覺性，更需要通過管理手段來進行監督和審查。對于網絡安全工作中數據備份和恢復、場地環境監測等關鍵環節，根據制度條款規定內容制定標準化的表格、文檔等執行記錄，由相關人員按照要求填寫，作為制度落實情況的審查依據。

圖4 PPT分析法

4.5 定期開展網絡安全管理自查

在A公司建立網絡安全管理定期自查機制，重點以上文中所述關鍵環節的執行記錄作為主要依據，對管理制度的執行情況進行檢查，對執行不到位的地方進行整改，對因實際條件所限確系不能執行的制度要求，對相應內容進行刪減，杜絕有制度無落實的情況。通過對管理制度的執行情況進行檢查，從而對管理制度體系的合理性和適用性進行評審，建立行之有效的良性循環。

5 結語

工業控制系統的網絡安全問題是當前面臨的重大挑戰。本文研究了基于PDCA管理模型，通過構建網絡安全管理制度體系框架，建立完整的管理制度庫進行統一管理，對現有制度條款進行修訂和完善，對于關鍵環節制定制度執行情況審查的依據，定期對管理制度的執行情況進行檢查，從而對管理制度體系的合理性和適用性進行評審。這樣持續改進的管理模式在A公司工業控制系統日常網絡安全工作實踐中收到了良好成效，建立和完善了科學有效的網絡安全制度管理體系，促進了管理制度制定、發布、執行、檢查、修訂和廢止工作的程序化、規范化，制度條款要求得到了良好的執行和落實，各項工作有據可依，有據可查，實現了持續的網絡安全。