1 引言

新发布的等级保护基本要求（等级保护2.0）在原有基础上进行了细化、分类和加强，将重要基础设施、重要系统及“云、移、物、工控、大”纳入等级保护管理；名称由原来的《信息安全技术信息系统安全等级保护基本要求》变更为《信息安全技术网络安全等级保护基本要求》。等级保护上升到了网络空间安全的层面，意味着等级保护的对象全面升级：不再是传统意义上的计算机信息系统，而是包含网络安全基础设施、云计算、移动互联网、物联网、工业控制系统、大数据安全等对象的网络空间安全。在等级保护2.0时代，如何建立健全有效的工控安全体系是每一个工业企业、工控制造商、工控安全企业都应该思考的问题。

2 等级保护发展历程

上世纪，西方发达国家制定了一系列强化网络信息安全建设的政策和标准，其核心就是将不同重要程度的信息系统划分为不同的安全等级，以便于对不同领域的信息安全工作进行指导。鉴于此，相关部门和专家结合我国实际情况进行多年的研究，逐步形成了我们国家的信息系统安全等级保护制度。

1994年，国务院颁布《中华人民共和国计算机信息系统安全保护条例》；2003年，中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意见》，明确提出“实行信息安全等级保护”。

2004年至2006年期间，公安部联合四部委开展信息系统等级保护基础调查和等级保护试点工作。

2007年6月，《信息安全等级保护管理办法》出台；同年7月四部门联合发布了《关于开展全国重要信息系统安全等级保护定级工作的通知》，并于7月20日召开了全国重要信息系统安全等级保护定级工作部署专题电视电话会议，标志着我国信息安全等级保护制度正式开始实施。

2010年4月，公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》，提出等级保护工作的阶段性目标；12月，公安部和国务院国有资产监督管理委员会联合出台《关于进一步推进中央企业信息安全等级保护工作的通知》，标志着我国信息安全等级保护工作全面展开。

3 等级保护2.0分析

3.1 等级保护2.0与1.0对比

随着云计算、移动互联、物联网、大数据等新技术的不断发展和应用，等级保护2.0针对新技术以及国家关键基础设施安全（工业控制系统）等提出了全面、深入、细化的准则。

在内容上，等级保护2.0调整分类为物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理；调整各个级别的安全要求为通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求；取消了原来安全控制点的S、A、G标注，增加一个附录A描述等级保护对象的定级结果和安全要求之间的关系，说明如何根据定级结果选择安全要求；调整了原来附录A和附录B的顺序，增加了附录C描述网络安全等级保护总体框架，并提出关键技术使用要求。

除去对内容的整合修改外，也对标准名称进行了修改，由《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》，使之与《中华人民共和国网络安全法》中的相关法律条文保持一致。

3.2 等级保护2.0工控安全扩展要求

工控安全是网络空间领域的另一种安全，不同于传统计算机与互联网等虚拟空间防信息窃取的安全。工控安全是物理世界安全，是保护重要基础设施所使用的工业控制系统（简称工控系统）免遭恶意操控，从而保障物理设施的正常运行，并防止发生生产停顿、经济停摆、环境污染乃至社会动荡、国家瘫痪等重大灾难事故的安全。

等级保护2.0专门提出了工控安全扩展要求，如表1所示。

表1工业控制系统安全扩展要求

4 等级保护2.0工控安全思考

由表1可以发现，等级保护2.0在工控安全方面突出强调了控制设备安全，需要采用技术和管理两个手段确保工控系统安全稳定运行。

4.1 什么是工控系统

工业控制系统是指由计算机与工业过程控制部件组成的自动控制系统，它是指在没有人直接参与的情况下，利用外加的设备或装置，使机器、设备或者生产装备等基础设施按照预定的规律运行，以保证生产出合格的产品，同时还不会引发灾难事故。按应用行业和特点分，主要包括数据采集与监控系统（SCADA，Supervisory Control And DataAcquisition）、分布式控制系统（DCS，DistrbutedControlSystem）、可编程逻辑控制器（PLC，Programmable LogicController）、远程终端（RTU，Remote TerminalUnit）等。这些工控系统在系统组成和网络层次上是一样的，都是由运行在工程师站、操作员站的SCADA软件、控制器、现场仪表，以及上层监控网络和现场低速总线网络构成。只是由于它们的应用场合和应用侧重点不同，如表2所示，导致在不同的行业会有不同的叫法。

表2 SCADA、DCS、PLC、RTU的区别

4.2 工控系统安全防护的本质要求

2010年，伊朗发生了震惊世人的“震网”（Stuxnet）事件，针对特定控制系统进行攻击，破坏了大量铀浓缩离心机和布什尔核电站发电机组，导致伊朗核计划至少被延迟2年。“震网”虽然利用了RPC远程执行漏洞（MS08-067）、快捷方式文件解析漏洞（MS10-046）、打印机后台程序服务漏洞（MS10-061）、内核模式驱动程序漏洞（MS10-073）、任务计划程序漏洞（MS10-092）等操作系统的漏洞，但这些漏洞只是被用于“震网”恶意代码的传播；而“震网”的核心代码，它利用了控制系统自身的特征，结合伊朗铀浓缩离心机和核电站的生产工艺、特征参数，通过向核心组件——PLC发起攻击，使PLC一方面向离心机、核电设备发送恶意操控指令使之超负荷运行，直至损坏；另一方面向操作站发送“正常”的生产工况数据，使操作人员误以为生产正常。

需要指出的是，“震网”所发出的恶意操控指令、虚假的“正常”生产工况数据，都是利用控制系统本身的“合法”协议、“合法”指令（如控制离心机的转速减少或增加指令）、“合法”数据，并没有利用其核心控制器的任何漏洞。之所以这些“合法”指令能够导致伊朗核设施损毁，就在于这些“合法”指令与正常的生产工艺、操作流程不符合。由此可见，针对工控系统核心部件的攻击才是真正的工控系统安全威胁，它能够导致基础设施灾难性的物理损毁。

鉴于此，对工控系统网络的安全防护和保护需要着眼以下几个方面：

（1）需要覆盖工控系统软件、硬件和网络等所有部件

要针对攻击者可能利用的途径、可能利用的手段以及可能引发的后果等多个方面，对工控系统所有的主机、主机应用软件、进程，甚至是关键软件代码进行有效保护和防护；对工控网络所有的协议、服务以及传输的数据、操作指令进行保护和防护；对DCS控制器、PLC控制模块、RTU控制模块等嵌入式代码进行保护和防护。

（2）需要结合生产工艺与操作流程而开展

“震网”恶意代码之所以能够引发伊朗铀浓缩离心机和核电站机组的物理损毁，关键在于通过操控工控系统，使铀浓缩离心机和核电站机组的运行状态偏离其设计的正常工况，使之超负荷、非正常工况运转，直至最后物理损毁。因此，针对工控系统的网络安全防护，必须对基础设施、生产装置运行的关键工艺参数、关键工况、关键控制方案等进行保护和防护。

（3）需要贯穿基础设施及其工控系统的全生命周期

对工控系统的网络安全防护和保护，仅仅靠安装一些安全产品远远不够，还必须覆盖工控系统的设计、生产、调试、工程实施、维修、运行维护等全生命周期的所有环节，既要从技术上进行防护和保护，也需要从管理措施上阻断恶意代码的带入。

4.3 工控系统安全防护建议

（1）重要关键基础设施的工控系统逐渐实现自主可控

等级保护2.0工业控制系统安全扩展要求部分要求的控制设备安全在逐渐实现自主可控的情况下可实现工控系统核心部件——控制设备安全。这就要求：控制设备内置安全设计，实现通信与控制隔离，确保在遭到外部攻击时不影响控制回路的正常运行；控制网络通信采用加密和完整性保护手段；控制设备内核自主可控（硬件、嵌入式系统、控制算法、协议栈等）；控制设备具备对组态和用户数据等关键数据进行完整性和正确性检测功能，故障时进行报警和记录等。

（2）重要关键基础设施必须部署工控网络安全防护系统

重要关键基础设施部署的工控网络安全防护系统应具备以下特点：①针对内置预埋代码，切断危害，进行应急处置；在安全区域、系统出口，加强预警防范；②以不影响生产和生产安全为前提，注意数据保护和操作保护；③对系统重要性识别、系统资产识别、系统脆弱性识别、系统威胁识别及系统风险识别等维度进行安全防护；④采用软件防护、边界维护、PLC嵌入式代码防护、控制异常监测与阻断等措施进行立体防护；⑤对工控系统进行无扰动实时在线修复，并启动安全应急系统，实现数字化、网络化、智能化环境中工业企业的工控信息安全。

（3）针对行业建设工控系统网络安全测试床

国家、企业（包括工业企业、工控安全企业、相关测评单位）应加快建设其所在领域行业的工控系统网络测试床，应能实现以下目的：在上线部署前，测试控制设备其自身的安全性；对上线部署的工控网络安全产品其功能、可用性、安全性、可靠性及对工控系统是否有影响等进行测试；结合实际应用场景的控制方案、业务逻辑等进行未知威胁的生成，建设未知威胁库，增强工控系统及其安全产品的主动防御能力；对上线部署的工控网络安全产品进行训练，提升其自主学习能力等。

（4）建设工控网络安全人才队伍，完善或制定工控网络安全产品标准体系

工控系统网络安全攻防技术研究攻防兼顾，以攻促防。人才队伍不仅要懂工业控制系统的网络技术、体系架构、嵌入式软件、私有协议等，还要懂使用工业控制系统的具体对象的工艺、设备技术，只有这样才能做到定点攻击或精确防护。构建一支工控网络安全专业研究团队，将有助于增强针对国家重要关键基础设施的工业控制系统安全防护能力。

另外，不同于普通安全产品，工控系统安全需紧密联系工控现场环境，性能稳定，满足实时性与准确性等需求；可用性大于机密性、完整性。针对相关安全产品标准，需要完善或制定工控网络安全产品标准体系。

5 结束语

在等级保护2.0时代，工控系统的网络安全防护和保护回归到了控制系统的本质。在传统互联网安全、计算机安全领域有效的手段和产品对工控系统不一定有效。对工控系统的网络安全防护和保护，需同时从工控系统的软件、硬件、网络以及生产工艺、生产流程、生产装置等角度进行，才能够防护得住有组织的专业团队的攻击，也才能保护我们国家重要基础设施的安全。

作者简介：

还约辉（1986-），男，江苏盐城人，工程师，学士，现任浙江国利网安科技有限公司副总经理，研究方向是工控网络安全。

王　迎（1981-），男，浙江杭州人，工程师，学士，工控网络安全，现任浙江国利网安科技有限公司总经理，研究方向是工控网络安全。

薛金良（1987-），男，浙江绍兴人，高级工程师，学士，现任浙江国利网安科技有限公司安全研究中心主任，研究方向是工控网络安全。

摘自《自动化博览》2019年10月刊