工业控制系统（ICS）是指对工业生产过程安全（Safety）、信息安全（Security）和可靠运行产生作用和影响的人员、硬件、策略和软件的集合，包括集散控制系统（DCS）、监督控制和数据采集（SCADA）系统、可编程序逻辑控制器（PLC）、远程测控单元RTU、相关的信息系统如人机界面等。随着信息化和工业化的发展工业控制系统广泛应用于国防军工、轨道交通、电力电网、石油化工、水利水库等关系国计民生的重点工控行业，由于其复杂多样性，工业控制系统也面临来自各方面的威胁。近年来，随着工业控制新技术的发展，原有标准部分条款无法满足工业控制高可靠性、实时性下的安全设计技术要求，因此亟需根据工业控制系统的特点增加新的内容。此次修订规范了网络安全等级保护安全设计技术要求对工业控制系统的扩展设计要求，包括第一级至第四级工业控制系统安全保护环境的安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面的设计技术要求。适用于指导网络安全等级保护工业控制系统安全技术方案设计与实施，也可作为信息安全智能部门对工业控制系统进行监督、检查和指导的依据。

工业控制系统和其他信息系统按照功能层次分为从下到上的五层架构：

a）第0层，现场设备层；

b）第1层，现场控制层；

c）第2层，过程监控层；

d）第3层，生产管理层；

e）第4层，企业资源层，即其他的信息系统（本标准不对第4层做等级保护设计要求）。

根据工业控制系统安全单位的唯一确定性、业务对象、业务特点和业务范围等因素，综合确定工业控制系统等级保护对象。在确定定级对象的安全等级时，应综合考虑资产价值、生产对象及后果等因素。确定工业控制系统定级对象具体参照GB/T 22240、GB/T 22239等相关等保标准。

根据对工业控制系统架构及安全的分析，总结出工业控制系统中第0～3层防护对象包含的用户、软硬件和数据三类，如图1所示。

此次修订工作结合工业控制系统形态众多、性能各异、实时性及可靠性要求高、现场设备计算资源有限等特点，充分分析工业控制系统面临的各种威胁，发现其脆弱性，从而提出了三重防护多级互联、安全分区纵深防御设计技术思路。

（一）三重防护多级互联技术框架

工业控制系统的等级保护防护方案设计参照以往构建在安全管理中心支持下的计算环境、区域边界、通信网络三重防御体系，采用分区的架构，结合工业控制系统总线协议复杂多样、实时性强、节点计算资源有限、设备可靠性要求高、故障恢复时间短、安全机制不能影响实时性等特点进行设计，以实现可信、可控、可管的系统安全互联、区域边界安全防护和计算环境安全，如图2所示。

分区的主要根据有业务系统或其功能模块的实时性、使用者、主要功能、设备使用场所、各业务系统间的相互关系、广域网通信方式以及对工业控制系统的影响程度等。对于额外的安全性和可靠性要求，在主要的安全区还可以根据操作功能进一步划分成子区。将设备划分成不同的区域可以帮助企业有效地建立“纵深防御”策略。将具备相同功能和安全要求的各系统的控制功能划分成不同的安全区域，并按照方便管理的原则，为各安全功能区域分配网段地址。

等级保护分为四级，防护方案设计逐级增强，但防护方案设计中的防护类别相同，只是安全保护设计的强度不同，防护类别包括：安全计算环境、安全区域边界、安全通信网络、安全管理中心。各级工业控制系统信息安全保护环境的设计通过对各级的安全计算环境、安全区域边界、安全通信网络以及安全管理中心的设计加以实现。

（一）设计目标和策略

工业控制系统等级保护的设计目标逐级增强。第一级工业控制系统信息安全保护环境的设计目标是对第一级工业控制系统的信息安全保护系统实现定级系统的自主访问控制，使系统用户对其所属客体具有自我保护的能力。第二级工业控制系统信息安全保护环境的设计目标是在第一级的基础上，增加系统安全审计等安全功能，并实施基于角色的访问控制，使系统具有更强的安全保护能力。第三级工业控制系统信息安全保护环境的设计目标是在第二级的基础上，增强身份鉴别、审计等功能，同时增加区域边界之间的安全通信措施。第四级工业控制系统信息安全保护环境的设计目标是在第三级的基础上，对关键的控制回路的相关信息安全保护设计要求做了阐述，要求设计者在有安全风险的场合提供适合工控应用特点的保护方法和安全策略，通过实现基于角色的访问控制以及增强系统的审计机制等一系列措施，使系统具有在统一安全策略管控下，提供高强度的保护敏感资源的能力。

工业控制系统等级保护的设计策略逐级增强。第一级系统安全保护环境的设计策略是以身份鉴别为基础，按照工业控制系统对象进行访问控制，监控层、控制层提供按照用户和（或）用户组对操作员站和工程师站的文件及数据库表的自主访问控制，以实现用户与数据的隔离，设备层按照用户和（或）用户组对安全和保护系统、基本控制系统的组态数据、配置文件等的自主访问控制，使用户具备自主安全保护的能力；以包过滤和状态检测的手段提供区域边界保护；以数据校验和恶意代码防范等手段提供数据和系统的完整性保护。第二级工业控制系统信息安全保护环境的设计策略是以身份鉴别为基础，提供单个用户和（或）用户组对共享文件、数据库表、组态数据等的自主访问控制；以包过滤手段、状态检测提供区域边界保护；以数据校验和恶意代码防范等手段，同时通过增加系统安全审计等功能，使用户对自己的行为负责，提供用户数据保密性和完整性保护，以增强系统的安全保护能力。第三级工业控制系统信息安全保护环境的设计策略是在第二级的基础上，相应增强身份鉴别、审计等功能；增加边界之间的安全通信防护，保障边界安全性。第四级工业控制系统信息安全保护环境的设计策略是在第三级的基础上，构造基于角色的访问控制模型，表明主、客体的级别分类和非级别分类的组合，以此为基础，按照基于角色的访问控制规则实现对主体及其客体的访问控制。

（二）关键设计技术要求

1. 安全计算环境设计技术要求

安全计算环境，包括工业控制系统0～3层中的信息存储、处理及实施安全策略的相关部件。安全计算环境按照保护能力划分为第一级安全计算环境、第二级安全计算环境、第三级安全计算环境和第四级安全计算环境，安全计算环境设计技术要求逐级增强，各等级要求如表1。

5. 针对工业控制系统特点具体分析安全设计技术要求

① 针对控制系统业务流程特点实施安全保护

对工业控制系统的计算环境，比较特殊的是处于第0层、第1层、也包括第2层的计算环境。其中处于第1层的控制器（或是PLC，SCADA中的RTU），通过现场总线与传感器、执行器相连接，形成了一个控制回路，这是工业控制系统中基础和关键的部分，也是重要的保护目标。其中控制器运行系统的控制逻辑，也是连接第0层和地2层的一个关键环节，对控制器的访问和操作，必须先经过身份鉴别。这包括工程师站的组态下装，操作员站发出的命令，都应经过身份鉴别通过后授权执行。过去，一些控制器对组态下装到控制器操作的身份鉴别是在工程师站上由组态软件系统执行，在控制器上对工程师站的组态下装，操作员站发出的命令之前进行身份鉴别，对假冒攻击进行了防护。

② 对控制过程的完整性保护

是防止干扰和破坏控制回路的数据传输和处理，防止数据延误、丢失和篡改，保护控制系统的同步机制、校时机制，控制器从所处的计算环境来说，极易受到来自网络、现场总线、I/O端口的干扰，如以下但不限于所列行为：

a）在一个控制周期内，超过正常数量的中断请求；

b）超过合理包速率范围的icmp协议请求；

c）超过合理包速率范围的广播报文；

d）破坏现场总线的请求—应答机制；

e）破坏冗余工作机制；

f）干扰表决器等安全保护系统的正常工作；

g）恶意触发冗余系统切换、安全保护系统的停机的行为；

h）其他干扰。

这些干扰会破坏控制任务的执行，甚至足以引起控制器复位，而这些恶意攻击可以以合法的身份出现。因此，要求在设计控制应用系统时，能识别、监控和防护这类攻击行为，可在计算环境上，如控制器通过阻止关闭受到攻击的端口，在边界上识别过滤这类攻击，在通信上采用防假冒防篡改防干扰等保护措施，形成多层次的纵深防御。

③ 对现场总线的安全保护

现场总线和现场设备层的安全问题，在受到物理保护或有人值守的情况下，可避免邻近攻击。在现场总线和现场设备，要防止留有可供插入、改接的物理接口，如有的设备还配置有HART接口，在缺乏物理保护和监控的环境下，有可能为非法接入、修改参数提供了机会，在控制器的现场总线接口处，应有实时监控，对于丢帧、数据异常、超过一定范围的抖动及时报警处理。对于重要的现场总线和设备，应根据应用的保护需求，用适合于实时性好、小位数处理的密码技术进行完整性或保密性保护。

④ 以操作员站向控制器发送指令为例说明

以操作员站向控制器发送指令为例说明这条信息处理路径所要应用的安全保护措施。操作员站启动前先用可信计算处理器件对操作系统装载程序和操作系统进行度量，和存放的报文摘要值对比，没有被篡改后系统启动，经安全管理中心确认属于白名单的应用程序和服务启动，操作员登录进入操作员站，操作员使用用于身份鉴别的介质U-KEY插入操作员站的USB接口，此时操作员站是禁用所有外设介质端口的，这一插入USB接口事件报道安全管理中心，经过判别是做身份鉴别后，确认操作员身份并授权，此后操作员再次操作不需再做身份鉴别，以保证能实时做出响应。操作员要离开操作员站时要做明确的退出操作，拿走U-KEY，从安全考虑，当操作员站在一定时间没有操作动作时，应提示操作员继续操作，如果没有响应，应及时锁屏，终止这个会话，防止操作员离开，有人趁机假冒。解锁时需输入密码。以上过程都被审计，可由安全管理中心审计追踪。在对控制器的通信时，需先通过身份鉴别，只有身份鉴别通过后方可建立通信连接，其中重要指令的下达，重要数据的传送，应根据应用特点，用密码技术保证完整性或保密性，防止伪造指令和数据欺骗。对于操作员站和控制器的通信会话也要提供保护，在操作员交接班时应保持会话的有效性，要考虑到出现紧急事件时能够实时处置，审计措施应能明确操作员的行为和责任。

在GB/T 25070中增加的工业控制系统安全设计要求的内容，是在国家标准GB/T25070-2010基础上为适应工业控制新技术、新应用情况下而进行的修订，制定统一的工业控制系统等级保护标准，建立整体安全防护体系及框架，给出了详细、可实施的安全设计要求，可用于指导工业控制系统运营使用单位、信息安全服务机构开展等级保护安全技术方案设计，能够有效应对针对工业控制系统环境的信息安全威胁，保护国家工业控制系统不被非法攻击，保障重要工业控制系统的正常运行，从而确保国家工业基础设施免遭破坏。