摘要：本文通过介绍《GBT22239-2019信息安全技术网络安全等级保护基本要求》（简称等保2.0）中工业控制系统安全的要求，提出了基于等保2.0要求的工业控制系统安全防护方案。

关键词：工业控制系统；工业控制系统安全；等级保护

Abstract: In this paper, by introducing the "GBT22239-2019 Information Security Technology — Baseline for classified protection of cybersecurity" (classified protection of cybersecurity 2.0) industrial control system security requirements, the industrial control system security protection scheme based on classified protection of cybersecurity 2.0 requirements is proposed.

Key words: Industrial control system; Security of industrial control system;Classified protection of cybersecurity

1　引言

在“两化”融合的行业发展需求下，现代工业控制系统的技术进步主要表现在两大方面：信息化与工业化的深度融合，为了提高生产高效运行、生产管理效率，国内众多行业大力推进工业控制系统自身的集成化，集中化管理。系统的互联互通性逐步加强，工控网络与办公网、互联网也存在千丝万缕的联系。

德国的工业4.0标准、美国的“工业互联网”以及“先进制造业国家战略计划”、日本的“科技工业联盟”、英国的“工业2050战略”、中国“互联网+”     “中国制造2025”等相继出台，对工业控制系统的通用性与开放性提出了更高的要求。未来工业控制系统将会有一个长足发展，工业趋向于自动化、智能化，系统之间的互联互通也更加紧密，面临的安全威胁也会越来越多。

据权威工业安全事件信息库RISI统计，截止到2018年10月，全球已发生800余起针对工业控制系统的攻击事件。分析工业控制系统正在面临前所未有的信息安全威胁，具体包括：

（1）由于病毒、恶意软件等导致的工厂停产；

（2）工业制造的核心数据、配方被窃取；

（3）制造工厂及其关键工控生产流程被破坏；

（4）恶意操纵工控数据或应用软件；

（5）对工控系统功能未经授权的访问等。

由于长期缺乏安全需求的推动，对（采用 TCP/IP等通用技术的）网络环境下广泛存在的安全威胁缺乏充分认识，现有的工业自动化控制系统在设计、研发中没有充分考虑安全问题，在部署、运维中又缺乏安全意识、管理、流程、策略与相关专业技术的支撑，导致许多工业自动化控制系统中存在着诸多安全问题，一旦被无意或恶意利用就会造成各种信息安全事件。整体上看来工业控制系统安全趋势不容乐观，各行业工控安全建设迫在眉睫。

2　工业控制系统等级保护要求

工业控制系统（ICS）是几种类型控制系统的总称，包括数据采集与监视控制系统（SCADA）、集散控制系统（DCS）和其它控制系统，如在工业部门和关键基础设施中经常使用的可编程逻辑控制器（PLC）。工业控制系统通常用于诸如电力、水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和饮料以及离散制造（如汽车、航空航天和耐用品）等行业。工业控制系统主要由过程级、操作级以及各级之间和内部的通信网络构成，对于大规模的控制系统，也包括管理级。过程级包括被控对象、现场控制设备和测量仪表等，操作级包括工程师和操作员站、人机界面和组态软件、控制服务器等，管理级包括生产管理系统和企业资源系统等，通信网络包括商用以太网、工业以太网、现场总线等。

根据IEC  62264-1对工业控制系统的层次模型从上到下共分为5个层级（如图1所示），依次为企业资源层、生产管理层、过程监控层、现场控制层和现场设备层，不同层级的实时性要求不同。企业资源层主要包括ERP系统功能单元，用于为企业决策层员工提供决策运行手段；生产管理层主要包括MES系统功能单元，用于对生产过程进行管理，如制造数据管理、生产调度管理等；过程监控层主要包括监控服务器与HMI系统功能单元，用于对生产过程数据进行采集与监控，并利用HMI系统实现人机交互；现场控制层主要包括各类控制器单元，如PLC、DCS控制单元等，用于对各执行设备进行控制；现场设备层主要包括各类过程传感设备与执行设备单元，用于对生产过程进行感知与操作。

工业控制系统构成的复杂性，组网的多样性，以及等级保护对象划分的灵活性，给网络安全等级保护基本要求的使用带来了选择的需求。为了便于实现对不同级别的和不同形态的等级保护对象的共性化和个性化保护，等级保护要求分为安全通用要求和安全扩展要求（如图1所示）。

图1  工业控制系统各层次及等级保护要求

3 工业控制系统等级保护安全防护

3.1　安全建设基本原则

对于工控安全建设，应当以适度安全为核心，以重点保护为原则，从业务的角度出发，重点保护重要的业务系统，在方案设计中应当遵循以下的原则：

（1）适度安全

任何系统都不能做到绝对的安全，在进行工控安全等级保护规划中，要在安全需求、安全风险和安全成本之间进行平衡和折中，过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。适度安全也是等级保护建设的初衷，因此在进行等级保护设计的过程中，一方面要严格遵循基本要求，从物理、网络、主机、应用、数据等层面加强防护措施，保障信息系统的机密性、完整性和可用性，另外也要从综合成本的角度，针对系统的实际风险，提出对应的保护强度，并按照保护强度进行安全防护系统的设计和建设，从而有效控制成本。

（2）技术管理并重

工控安全问题从来就不是单纯的技术问题，把防范黑客入侵和病毒感染理解为工控安全问题的全部是片面的，仅仅通过部署安全产品很难完全覆盖所有的工控安全问题，因此必须要把技术措施和管理措施结合起来，更有效地保障信息系统的整体安全性，形成技术和管理两个部分的建设方案。

（3）分区分域建设

对工控系统进行安全保护的有效方法就是分区分域，由于工控系统中各个资产的重要性是不同的，并且访问特点也不尽相同，因此需要把具有相似特点的资产集合起来，进行总体防护，从而可更好地保障安全策略的有效性和一致性；另外分区分域还有助于对网络系统进行集中管理，一旦其中某些安全区域内发生安全事件，可通过严格的边界安全防护限制事件在整网蔓延。

（4）合规性

安全保护体系应当同时考虑与其他标准的符合性，在方案中的技术部分将参考《GBT25070-2019信息安全技术网络安全等级保护安全设计技术要求》进行设计，在管理方面同时参考《GB/T 22239-2019工控安全技术信息系统安全等级保护基本要求》以及27001安全管理指南，使建成后的等级保护体系更具有广泛的实用性。

（5）动态调整

工控安全问题不是静态的，它总是随着管理相关的组织策略、组织架构、信息系统和操作流程的改变而改变，因此必须要跟踪信息系统的变化情况，调整安全保护措施。

3.2　安全防护方案

本方案按照工业控制系统的层次关系，依据《GBT22239-2019信息安全技术网络安全等级保护基本要求》及系列标准要求，在整体方案设计上，重点协助客户建立感知预警、主动防护、全面监测、应急处置的动态保障体系，打造“一个中心（安全管理中心）、三重防御（安全计算环境、安全区域边界、安全通讯网络）”的安全防护体系，总体的部署方案如图2所示。

图2  工业控制系统各层次安全防护方案

3.2.1　安全通讯网络实现

工业控制系统安全通讯网络主要从现场总线网络数据传输完整性保护、现场总线网络数据传输保密性保护、无线网络数据传输完整性保护、无线网络数据传输保密性保护、工控网络实时响应要求、通讯网络异常监测、无线网络攻击防护等方面进行考虑设计，阻止恶意或入侵行为。

产品部署如下：

（1）在生产管理层（Level3）与企业资源层（Level4）之间部署采用单向传输策略的工业防火墙，禁止办公网对生产网的非法访问，同时在过程监控层（Level2）的各个安全域间部署采用白名单策略工业防火墙，禁止非授权的访问，防止恶意代码在安全域间扩散。

（2）在互联网和办公网的边界处部署下一代防火墙，禁止互联网对办公网的非法访问，保障网络架构安全。

3.2.2　安全区域边界实现工业控制系统安全区域边界主要从工控通讯协议过滤、工控通讯协议信息泄露防护、工控区域边界审计等方面进行考虑设计，能够发现违规行为、阻止非法入侵。

产品部署如下：

（1）在过程监控层（Level2）与生产管理层（Level3）边界以及生产管理层（Level3）与企业资源层（Level4）边界部署基于白名单策略的工业防火墙，禁止任何穿越区域边界的E-mail、Web、Telnet、Rlogin、FTP等通用网络服务。

（2）在互联网和办公网的边界处部署下一代防火墙，配置基于应用的访问策略，禁止互联网对办公网的非法访问。

（3）在过程监控层（Level2）与生产管理层（Level3）的核心交换机上旁路部署工控安全监测审计平台，及时发现网络入侵行为，并对超出基线异常行为报警。

（4）在企业资源层（Level4）核心交换机上旁路部署带有沙箱功能的APT攻击（网络战）预警平台，对新型网络攻击行为以及未知恶意文件、0day进行分析、记录、报警，及时发现办公网络对工控生产网络的攻击行为。

3.2.3　安全计算环境实现

工业控制系统安全计算环境主要从工业控制身份鉴别、现场设备访问控制、现场设备安全审计、现场设备数据完整性保护、现场设备数据保密性保护、控制过程完整性等方面进行考虑设计，防止未经授权的设备、人员进入到工控系统中造成工控系统的破坏。

产品部署如下：

（1）在关键主机和服务站上部署工控主机卫士，阻止一切不在白名单库中的软件、程序的安装和执行。对主机基线、主机资源的访问权限、用户的身份鉴别等进行严格的管控，对外设（如U盘）进行严格的监控管理。

（2）在安全运维域或工控DMZ域部署工控漏洞扫描平台，对控制设备的漏洞进行检测评估，及时指导控制设备进行补丁更新、固件更新。

（3）在过程监控层（Level2）与生产管理层（Level3）的核心交换机上旁路部署工控安全监测审计平台，记录各类安全事件和信息，特别是不符合工业现场正常生产行为的事件或行为进行检测，为事件追踪溯源提供依据。

3.2.4　安全管理中心实现

在等保建设的第一阶段，先重点实现集中的安全管理，划分统一的安全运维区，将已建的工业防火墙、工控安全监测审计、工控主机卫士等系统进行统一管理。

在等保建设的第二阶段，通过建立统一的大数据架构的安全管理中心，实现企业级安全态势感知，新建并整合已有的安全能力，最终实现“建立统一的支撑平台进行集中的安全管理”要求和目标。

产品部署如下：

（1）在安全运维域或工控DMZ域部署运维审计和风险控制系统对系统运维进行全面的审核身份鉴别，对运维行为进行审计、记录、存储和查询。

（2）在安全运维域或工控DMZ域部署综合日志审计平台对分散在各个设备上的数据进行收集汇总和集中分析。明御数据库审计与风险控制系统对数据库的操作行为审计、记录、存储。

（3）在安全运维域或工控DMZ域部署工业安全管控平台实现对安全设备或安全组件的安全策略、恶意代码、补丁升级等统一集中管理。

（4）在安全运维域或工控DMZ域部署工业安全态势感知平台对安全设备、网络设备、网络链路、主机和服务器进行集中监控，对各类安全事件进行识别、报警和分析，对攻击行为追踪溯源等。

4　结语

工业控制系统是工业企业的大脑，应用在各行各业，特别是国家的关键基础设施上，工业控制系统一旦受到破坏，其影响和损失不仅仅限于直观的经济损失，重则会直接影响普通民众的日常生活甚至造成人员伤亡，更为严重的是会影响到国家的安全和社会的稳定。工业控制系统关乎国家安全，加强工控网络安全是中国工业化与时俱进发展的必然要求。

作者简介

安成飞（1981-），男，辽宁人，工程师，现就职于杭州安恒信息技术股份有限公司，主要从事工业控制系统及信息安全研究工作。

摘自《工业控制系统信息安全专刊（第六辑）》