摘要：本文通過(guò)介紹《GBT22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（簡(jiǎn)稱等保2.0）中工業(yè)控制系統(tǒng)安全的要求，提出了基于等保2.0要求的工業(yè)控制系統(tǒng)安全防護(hù)方案。

關(guān)鍵詞：工業(yè)控制系統(tǒng)；工業(yè)控制系統(tǒng)安全；等級(jí)保護(hù)

Abstract: In this paper, by introducing the "GBT22239-2019 Information Security Technology — Baseline for classified protection of cybersecurity" (classified protection of cybersecurity 2.0) industrial control system security requirements, the industrial control system security protection scheme based on classified protection of cybersecurity 2.0 requirements is proposed.

Key words: Industrial control system; Security of industrial control system;Classified protection of cybersecurity

1　引言

在“兩化”融合的行業(yè)發(fā)展需求下，現(xiàn)代工業(yè)控制系統(tǒng)的技術(shù)進(jìn)步主要表現(xiàn)在兩大方面：信息化與工業(yè)化的深度融合，為了提高生產(chǎn)高效運(yùn)行、生產(chǎn)管理效率，國(guó)內(nèi)眾多行業(yè)大力推進(jìn)工業(yè)控制系統(tǒng)自身的集成化，集中化管理。系統(tǒng)的互聯(lián)互通性逐步加強(qiáng)，工控網(wǎng)絡(luò)與辦公網(wǎng)、互聯(lián)網(wǎng)也存在千絲萬(wàn)縷的聯(lián)系。

德國(guó)的工業(yè)4.0標(biāo)準(zhǔn)、美國(guó)的“工業(yè)互聯(lián)網(wǎng)”以及“先進(jìn)制造業(yè)國(guó)家戰(zhàn)略計(jì)劃”、日本的“科技工業(yè)聯(lián)盟”、英國(guó)的“工業(yè)2050戰(zhàn)略”、中國(guó)“互聯(lián)網(wǎng)+”     “中國(guó)制造2025”等相繼出臺(tái)，對(duì)工業(yè)控制系統(tǒng)的通用性與開(kāi)放性提出了更高的要求。未來(lái)工業(yè)控制系統(tǒng)將會(huì)有一個(gè)長(zhǎng)足發(fā)展，工業(yè)趨向于自動(dòng)化、智能化，系統(tǒng)之間的互聯(lián)互通也更加緊密，面臨的安全威脅也會(huì)越來(lái)越多。

據(jù)權(quán)威工業(yè)安全事件信息庫(kù)RISI統(tǒng)計(jì)，截止到2018年10月，全球已發(fā)生800余起針對(duì)工業(yè)控制系統(tǒng)的攻擊事件。分析工業(yè)控制系統(tǒng)正在面臨前所未有的信息安全威脅，具體包括：

（1）由于病毒、惡意軟件等導(dǎo)致的工廠停產(chǎn)；

（2）工業(yè)制造的核心數(shù)據(jù)、配方被竊取；

（3）制造工廠及其關(guān)鍵工控生產(chǎn)流程被破壞；

（4）惡意操縱工控?cái)?shù)據(jù)或應(yīng)用軟件；

（5）對(duì)工控系統(tǒng)功能未經(jīng)授權(quán)的訪問(wèn)等。

由于長(zhǎng)期缺乏安全需求的推動(dòng)，對(duì)（采用 TCP/IP等通用技術(shù)的）網(wǎng)絡(luò)環(huán)境下廣泛存在的安全威脅缺乏充分認(rèn)識(shí)，現(xiàn)有的工業(yè)自動(dòng)化控制系統(tǒng)在設(shè)計(jì)、研發(fā)中沒(méi)有充分考慮安全問(wèn)題，在部署、運(yùn)維中又缺乏安全意識(shí)、管理、流程、策略與相關(guān)專業(yè)技術(shù)的支撐，導(dǎo)致許多工業(yè)自動(dòng)化控制系統(tǒng)中存在著諸多安全問(wèn)題，一旦被無(wú)意或惡意利用就會(huì)造成各種信息安全事件。整體上看來(lái)工業(yè)控制系統(tǒng)安全趨勢(shì)不容樂(lè)觀，各行業(yè)工控安全建設(shè)迫在眉睫。

2　工業(yè)控制系統(tǒng)等級(jí)保護(hù)要求

工業(yè)控制系統(tǒng)（ICS）是幾種類型控制系統(tǒng)的總稱，包括數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）、集散控制系統(tǒng)（DCS）和其它控制系統(tǒng)，如在工業(yè)部門和關(guān)鍵基礎(chǔ)設(shè)施中經(jīng)常使用的可編程邏輯控制器（PLC）。工業(yè)控制系統(tǒng)通常用于諸如電力、水和污水處理、石油和天然氣、化工、交通運(yùn)輸、制藥、紙漿和造紙、食品和飲料以及離散制造（如汽車、航空航天和耐用品）等行業(yè)。工業(yè)控制系統(tǒng)主要由過(guò)程級(jí)、操作級(jí)以及各級(jí)之間和內(nèi)部的通信網(wǎng)絡(luò)構(gòu)成，對(duì)于大規(guī)模的控制系統(tǒng)，也包括管理級(jí)。過(guò)程級(jí)包括被控對(duì)象、現(xiàn)場(chǎng)控制設(shè)備和測(cè)量?jī)x表等，操作級(jí)包括工程師和操作員站、人機(jī)界面和組態(tài)軟件、控制服務(wù)器等，管理級(jí)包括生產(chǎn)管理系統(tǒng)和企業(yè)資源系統(tǒng)等，通信網(wǎng)絡(luò)包括商用以太網(wǎng)、工業(yè)以太網(wǎng)、現(xiàn)場(chǎng)總線等。

根據(jù)IEC  62264-1對(duì)工業(yè)控制系統(tǒng)的層次模型從上到下共分為5個(gè)層級(jí)（如圖1所示），依次為企業(yè)資源層、生產(chǎn)管理層、過(guò)程監(jiān)控層、現(xiàn)場(chǎng)控制層和現(xiàn)場(chǎng)設(shè)備層，不同層級(jí)的實(shí)時(shí)性要求不同。企業(yè)資源層主要包括ERP系統(tǒng)功能單元，用于為企業(yè)決策層員工提供決策運(yùn)行手段；生產(chǎn)管理層主要包括MES系統(tǒng)功能單元，用于對(duì)生產(chǎn)過(guò)程進(jìn)行管理，如制造數(shù)據(jù)管理、生產(chǎn)調(diào)度管理等；過(guò)程監(jiān)控層主要包括監(jiān)控服務(wù)器與HMI系統(tǒng)功能單元，用于對(duì)生產(chǎn)過(guò)程數(shù)據(jù)進(jìn)行采集與監(jiān)控，并利用HMI系統(tǒng)實(shí)現(xiàn)人機(jī)交互；現(xiàn)場(chǎng)控制層主要包括各類控制器單元，如PLC、DCS控制單元等，用于對(duì)各執(zhí)行設(shè)備進(jìn)行控制；現(xiàn)場(chǎng)設(shè)備層主要包括各類過(guò)程傳感設(shè)備與執(zhí)行設(shè)備單元，用于對(duì)生產(chǎn)過(guò)程進(jìn)行感知與操作。

工業(yè)控制系統(tǒng)構(gòu)成的復(fù)雜性，組網(wǎng)的多樣性，以及等級(jí)保護(hù)對(duì)象劃分的靈活性，給網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求的使用帶來(lái)了選擇的需求。為了便于實(shí)現(xiàn)對(duì)不同級(jí)別的和不同形態(tài)的等級(jí)保護(hù)對(duì)象的共性化和個(gè)性化保護(hù)，等級(jí)保護(hù)要求分為安全通用要求和安全擴(kuò)展要求（如圖1所示）。

圖1  工業(yè)控制系統(tǒng)各層次及等級(jí)保護(hù)要求

3 工業(yè)控制系統(tǒng)等級(jí)保護(hù)安全防護(hù)

3.1　安全建設(shè)基本原則

對(duì)于工控安全建設(shè)，應(yīng)當(dāng)以適度安全為核心，以重點(diǎn)保護(hù)為原則，從業(yè)務(wù)的角度出發(fā)，重點(diǎn)保護(hù)重要的業(yè)務(wù)系統(tǒng)，在方案設(shè)計(jì)中應(yīng)當(dāng)遵循以下的原則：

（1）適度安全

任何系統(tǒng)都不能做到絕對(duì)的安全，在進(jìn)行工控安全等級(jí)保護(hù)規(guī)劃中，要在安全需求、安全風(fēng)險(xiǎn)和安全成本之間進(jìn)行平衡和折中，過(guò)多的安全要求必將造成安全成本的迅速增加和運(yùn)行的復(fù)雜性。適度安全也是等級(jí)保護(hù)建設(shè)的初衷，因此在進(jìn)行等級(jí)保護(hù)設(shè)計(jì)的過(guò)程中，一方面要嚴(yán)格遵循基本要求，從物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)等層面加強(qiáng)防護(hù)措施，保障信息系統(tǒng)的機(jī)密性、完整性和可用性，另外也要從綜合成本的角度，針對(duì)系統(tǒng)的實(shí)際風(fēng)險(xiǎn)，提出對(duì)應(yīng)的保護(hù)強(qiáng)度，并按照保護(hù)強(qiáng)度進(jìn)行安全防護(hù)系統(tǒng)的設(shè)計(jì)和建設(shè)，從而有效控制成本。

（2）技術(shù)管理并重

工控安全問(wèn)題從來(lái)就不是單純的技術(shù)問(wèn)題，把防范黑客入侵和病毒感染理解為工控安全問(wèn)題的全部是片面的，僅僅通過(guò)部署安全產(chǎn)品很難完全覆蓋所有的工控安全問(wèn)題，因此必須要把技術(shù)措施和管理措施結(jié)合起來(lái)，更有效地保障信息系統(tǒng)的整體安全性，形成技術(shù)和管理兩個(gè)部分的建設(shè)方案。

（3）分區(qū)分域建設(shè)

對(duì)工控系統(tǒng)進(jìn)行安全保護(hù)的有效方法就是分區(qū)分域，由于工控系統(tǒng)中各個(gè)資產(chǎn)的重要性是不同的，并且訪問(wèn)特點(diǎn)也不盡相同，因此需要把具有相似特點(diǎn)的資產(chǎn)集合起來(lái)，進(jìn)行總體防護(hù)，從而可更好地保障安全策略的有效性和一致性；另外分區(qū)分域還有助于對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行集中管理，一旦其中某些安全區(qū)域內(nèi)發(fā)生安全事件，可通過(guò)嚴(yán)格的邊界安全防護(hù)限制事件在整網(wǎng)蔓延。

（4）合規(guī)性

安全保護(hù)體系應(yīng)當(dāng)同時(shí)考慮與其他標(biāo)準(zhǔn)的符合性，在方案中的技術(shù)部分將參考《GBT25070-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》進(jìn)行設(shè)計(jì)，在管理方面同時(shí)參考《GB/T 22239-2019工控安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》以及27001安全管理指南，使建成后的等級(jí)保護(hù)體系更具有廣泛的實(shí)用性。

（5）動(dòng)態(tài)調(diào)整

工控安全問(wèn)題不是靜態(tài)的，它總是隨著管理相關(guān)的組織策略、組織架構(gòu)、信息系統(tǒng)和操作流程的改變而改變，因此必須要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護(hù)措施。

3.2　安全防護(hù)方案

本方案按照工業(yè)控制系統(tǒng)的層次關(guān)系，依據(jù)《GBT22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》及系列標(biāo)準(zhǔn)要求，在整體方案設(shè)計(jì)上，重點(diǎn)協(xié)助客戶建立感知預(yù)警、主動(dòng)防護(hù)、全面監(jiān)測(cè)、應(yīng)急處置的動(dòng)態(tài)保障體系，打造“一個(gè)中心（安全管理中心）、三重防御（安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通訊網(wǎng)絡(luò)）”的安全防護(hù)體系，總體的部署方案如圖2所示。

圖2  工業(yè)控制系統(tǒng)各層次安全防護(hù)方案

3.2.1　安全通訊網(wǎng)絡(luò)實(shí)現(xiàn)

工業(yè)控制系統(tǒng)安全通訊網(wǎng)絡(luò)主要從現(xiàn)場(chǎng)總線網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)、現(xiàn)場(chǎng)總線網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)、無(wú)線網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)、無(wú)線網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)、工控網(wǎng)絡(luò)實(shí)時(shí)響應(yīng)要求、通訊網(wǎng)絡(luò)異常監(jiān)測(cè)、無(wú)線網(wǎng)絡(luò)攻擊防護(hù)等方面進(jìn)行考慮設(shè)計(jì)，阻止惡意或入侵行為。

產(chǎn)品部署如下：

（1）在生產(chǎn)管理層（Level3）與企業(yè)資源層（Level4）之間部署采用單向傳輸策略的工業(yè)防火墻，禁止辦公網(wǎng)對(duì)生產(chǎn)網(wǎng)的非法訪問(wèn)，同時(shí)在過(guò)程監(jiān)控層（Level2）的各個(gè)安全域間部署采用白名單策略工業(yè)防火墻，禁止非授權(quán)的訪問(wèn)，防止惡意代碼在安全域間擴(kuò)散。

（2）在互聯(lián)網(wǎng)和辦公網(wǎng)的邊界處部署下一代防火墻，禁止互聯(lián)網(wǎng)對(duì)辦公網(wǎng)的非法訪問(wèn)，保障網(wǎng)絡(luò)架構(gòu)安全。

3.2.2　安全區(qū)域邊界實(shí)現(xiàn)工業(yè)控制系統(tǒng)安全區(qū)域邊界主要從工控通訊協(xié)議過(guò)濾、工控通訊協(xié)議信息泄露防護(hù)、工控區(qū)域邊界審計(jì)等方面進(jìn)行考慮設(shè)計(jì)，能夠發(fā)現(xiàn)違規(guī)行為、阻止非法入侵。

產(chǎn)品部署如下：

（1）在過(guò)程監(jiān)控層（Level2）與生產(chǎn)管理層（Level3）邊界以及生產(chǎn)管理層（Level3）與企業(yè)資源層（Level4）邊界部署基于白名單策略的工業(yè)防火墻，禁止任何穿越區(qū)域邊界的E-mail、Web、Telnet、Rlogin、FTP等通用網(wǎng)絡(luò)服務(wù)。

（2）在互聯(lián)網(wǎng)和辦公網(wǎng)的邊界處部署下一代防火墻，配置基于應(yīng)用的訪問(wèn)策略，禁止互聯(lián)網(wǎng)對(duì)辦公網(wǎng)的非法訪問(wèn)。

（3）在過(guò)程監(jiān)控層（Level2）與生產(chǎn)管理層（Level3）的核心交換機(jī)上旁路部署工控安全監(jiān)測(cè)審計(jì)平臺(tái)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為，并對(duì)超出基線異常行為報(bào)警。

（4）在企業(yè)資源層（Level4）核心交換機(jī)上旁路部署帶有沙箱功能的APT攻擊（網(wǎng)絡(luò)戰(zhàn)）預(yù)警平臺(tái)，對(duì)新型網(wǎng)絡(luò)攻擊行為以及未知惡意文件、0day進(jìn)行分析、記錄、報(bào)警，及時(shí)發(fā)現(xiàn)辦公網(wǎng)絡(luò)對(duì)工控生產(chǎn)網(wǎng)絡(luò)的攻擊行為。

3.2.3　安全計(jì)算環(huán)境實(shí)現(xiàn)

工業(yè)控制系統(tǒng)安全計(jì)算環(huán)境主要從工業(yè)控制身份鑒別、現(xiàn)場(chǎng)設(shè)備訪問(wèn)控制、現(xiàn)場(chǎng)設(shè)備安全審計(jì)、現(xiàn)場(chǎng)設(shè)備數(shù)據(jù)完整性保護(hù)、現(xiàn)場(chǎng)設(shè)備數(shù)據(jù)保密性保護(hù)、控制過(guò)程完整性等方面進(jìn)行考慮設(shè)計(jì)，防止未經(jīng)授權(quán)的設(shè)備、人員進(jìn)入到工控系統(tǒng)中造成工控系統(tǒng)的破壞。

產(chǎn)品部署如下：

（1）在關(guān)鍵主機(jī)和服務(wù)站上部署工控主機(jī)衛(wèi)士，阻止一切不在白名單庫(kù)中的軟件、程序的安裝和執(zhí)行。對(duì)主機(jī)基線、主機(jī)資源的訪問(wèn)權(quán)限、用戶的身份鑒別等進(jìn)行嚴(yán)格的管控，對(duì)外設(shè)（如U盤）進(jìn)行嚴(yán)格的監(jiān)控管理。

（2）在安全運(yùn)維域或工控DMZ域部署工控漏洞掃描平臺(tái)，對(duì)控制設(shè)備的漏洞進(jìn)行檢測(cè)評(píng)估，及時(shí)指導(dǎo)控制設(shè)備進(jìn)行補(bǔ)丁更新、固件更新。

（3）在過(guò)程監(jiān)控層（Level2）與生產(chǎn)管理層（Level3）的核心交換機(jī)上旁路部署工控安全監(jiān)測(cè)審計(jì)平臺(tái)，記錄各類安全事件和信息，特別是不符合工業(yè)現(xiàn)場(chǎng)正常生產(chǎn)行為的事件或行為進(jìn)行檢測(cè)，為事件追蹤溯源提供依據(jù)。

3.2.4　安全管理中心實(shí)現(xiàn)

在等保建設(shè)的第一階段，先重點(diǎn)實(shí)現(xiàn)集中的安全管理，劃分統(tǒng)一的安全運(yùn)維區(qū)，將已建的工業(yè)防火墻、工控安全監(jiān)測(cè)審計(jì)、工控主機(jī)衛(wèi)士等系統(tǒng)進(jìn)行統(tǒng)一管理。

在等保建設(shè)的第二階段，通過(guò)建立統(tǒng)一的大數(shù)據(jù)架構(gòu)的安全管理中心，實(shí)現(xiàn)企業(yè)級(jí)安全態(tài)勢(shì)感知，新建并整合已有的安全能力，最終實(shí)現(xiàn)“建立統(tǒng)一的支撐平臺(tái)進(jìn)行集中的安全管理”要求和目標(biāo)。

產(chǎn)品部署如下：

（1）在安全運(yùn)維域或工控DMZ域部署運(yùn)維審計(jì)和風(fēng)險(xiǎn)控制系統(tǒng)對(duì)系統(tǒng)運(yùn)維進(jìn)行全面的審核身份鑒別，對(duì)運(yùn)維行為進(jìn)行審計(jì)、記錄、存儲(chǔ)和查詢。

（2）在安全運(yùn)維域或工控DMZ域部署綜合日志審計(jì)平臺(tái)對(duì)分散在各個(gè)設(shè)備上的數(shù)據(jù)進(jìn)行收集匯總和集中分析。明御數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)對(duì)數(shù)據(jù)庫(kù)的操作行為審計(jì)、記錄、存儲(chǔ)。

（3）在安全運(yùn)維域或工控DMZ域部署工業(yè)安全管控平臺(tái)實(shí)現(xiàn)對(duì)安全設(shè)備或安全組件的安全策略、惡意代碼、補(bǔ)丁升級(jí)等統(tǒng)一集中管理。

（4）在安全運(yùn)維域或工控DMZ域部署工業(yè)安全態(tài)勢(shì)感知平臺(tái)對(duì)安全設(shè)備、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)鏈路、主機(jī)和服務(wù)器進(jìn)行集中監(jiān)控，對(duì)各類安全事件進(jìn)行識(shí)別、報(bào)警和分析，對(duì)攻擊行為追蹤溯源等。

4　結(jié)語(yǔ)

工業(yè)控制系統(tǒng)是工業(yè)企業(yè)的大腦，應(yīng)用在各行各業(yè)，特別是國(guó)家的關(guān)鍵基礎(chǔ)設(shè)施上，工業(yè)控制系統(tǒng)一旦受到破壞，其影響和損失不僅僅限于直觀的經(jīng)濟(jì)損失，重則會(huì)直接影響普通民眾的日常生活甚至造成人員傷亡，更為嚴(yán)重的是會(huì)影響到國(guó)家的安全和社會(huì)的穩(wěn)定。工業(yè)控制系統(tǒng)關(guān)乎國(guó)家安全，加強(qiáng)工控網(wǎng)絡(luò)安全是中國(guó)工業(yè)化與時(shí)俱進(jìn)發(fā)展的必然要求。

作者簡(jiǎn)介

安成飛（1981-），男，遼寧人，工程師，現(xiàn)就職于杭州安恒信息技術(shù)股份有限公司，主要從事工業(yè)控制系統(tǒng)及信息安全研究工作。

摘自《工業(yè)控制系統(tǒng)信息安全專刊（第六輯）》