1 引言

新發(fā)布的等級保護基本要求（等級保護2.0）在原有基礎上進(jìn)行了細化、分類(lèi)和加強，將重要基礎設施、重要系統及“云、移、物、工控、大”納入等級保護管理；名稱(chēng)由原來(lái)的《信息安全技術(shù)信息系統安全等級保護基本要求》變更為《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》。等級保護上升到了網(wǎng)絡(luò )空間安全的層面，意味著(zhù)等級保護的對象全面升級：不再是傳統意義上的計算機信息系統，而是包含網(wǎng)絡(luò )安全基礎設施、云計算、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)控制系統、大數據安全等對象的網(wǎng)絡(luò )空間安全。在等級保護2.0時(shí)代，如何建立健全有效的工控安全體系是每一個(gè)工業(yè)企業(yè)、工控制造商、工控安全企業(yè)都應該思考的問(wèn)題。

2 等級保護發(fā)展歷程

上世紀，西方發(fā)達國家制定了一系列強化網(wǎng)絡(luò )信息安全建設的政策和標準，其核心就是將不同重要程度的信息系統劃分為不同的安全等級，以便于對不同領(lǐng)域的信息安全工作進(jìn)行指導。鑒于此，相關(guān)部門(mén)和專(zhuān)家結合我國實(shí)際情況進(jìn)行多年的研究，逐步形成了我們國家的信息系統安全等級保護制度。

1994年，國務(wù)院頒布《中華人民共和國計算機信息系統安全保護條例》；2003年，中央辦公廳、國務(wù)院辦公廳頒發(fā)《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見(jiàn)》，明確提出“實(shí)行信息安全等級保護”。

2004年至2006年期間，公安部聯(lián)合四部委開(kāi)展信息系統等級保護基礎調查和等級保護試點(diǎn)工作。

2007年6月，《信息安全等級保護管理辦法》出臺；同年7月四部門(mén)聯(lián)合發(fā)布了《關(guān)于開(kāi)展全國重要信息系統安全等級保護定級工作的通知》，并于7月20日召開(kāi)了全國重要信息系統安全等級保護定級工作部署專(zhuān)題電視電話(huà)會(huì )議，標志著(zhù)我國信息安全等級保護制度正式開(kāi)始實(shí)施。

2010年4月，公安部出臺《關(guān)于推動(dòng)信息安全等級保護測評體系建設和開(kāi)展等級測評工作的通知》，提出等級保護工作的階段性目標；12月，公安部和國務(wù)院國有資產(chǎn)監督管理委員會(huì )聯(lián)合出臺《關(guān)于進(jìn)一步推進(jìn)中央企業(yè)信息安全等級保護工作的通知》，標志著(zhù)我國信息安全等級保護工作全面展開(kāi)。

3 等級保護2.0分析

3.1 等級保護2.0與1.0對比

隨著(zhù)云計算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、大數據等新技術(shù)的不斷發(fā)展和應用，等級保護2.0針對新技術(shù)以及國家關(guān)鍵基礎設施安全（工業(yè)控制系統）等提出了全面、深入、細化的準則。

在內容上，等級保護2.0調整分類(lèi)為物理環(huán)境、安全通信網(wǎng)絡(luò )、安全區域邊界、安全計算環(huán)境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理；調整各個(gè)級別的安全要求為通用要求、云計算安全擴展要求、移動(dòng)互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求和工業(yè)控制系統安全擴展要求；取消了原來(lái)安全控制點(diǎn)的S、A、G標注，增加一個(gè)附錄A描述等級保護對象的定級結果和安全要求之間的關(guān)系，說(shuō)明如何根據定級結果選擇安全要求；調整了原來(lái)附錄A和附錄B的順序，增加了附錄C描述網(wǎng)絡(luò )安全等級保護總體框架，并提出關(guān)鍵技術(shù)使用要求。

除去對內容的整合修改外，也對標準名稱(chēng)進(jìn)行了修改，由《信息安全技術(shù)信息系統安全等級保護基本要求》改為《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》，使之與《中華人民共和國網(wǎng)絡(luò )安全法》中的相關(guān)法律條文保持一致。

3.2 等級保護2.0工控安全擴展要求

工控安全是網(wǎng)絡(luò )空間領(lǐng)域的另一種安全，不同于傳統計算機與互聯(lián)網(wǎng)等虛擬空間防信息竊取的安全。工控安全是物理世界安全，是保護重要基礎設施所使用的工業(yè)控制系統（簡(jiǎn)稱(chēng)工控系統）免遭惡意操控，從而保障物理設施的正常運行，并防止發(fā)生生產(chǎn)停頓、經(jīng)濟停擺、環(huán)境污染乃至社會(huì )動(dòng)蕩、國家癱瘓等重大災難事故的安全。

等級保護2.0專(zhuān)門(mén)提出了工控安全擴展要求，如表1所示。

表1工業(yè)控制系統安全擴展要求

4 等級保護2.0工控安全思考

由表1可以發(fā)現，等級保護2.0在工控安全方面突出強調了控制設備安全，需要采用技術(shù)和管理兩個(gè)手段確保工控系統安全穩定運行。

4.1 什么是工控系統

工業(yè)控制系統是指由計算機與工業(yè)過(guò)程控制部件組成的自動(dòng)控制系統，它是指在沒(méi)有人直接參與的情況下，利用外加的設備或裝置，使機器、設備或者生產(chǎn)裝備等基礎設施按照預定的規律運行，以保證生產(chǎn)出合格的產(chǎn)品，同時(shí)還不會(huì )引發(fā)災難事故。按應用行業(yè)和特點(diǎn)分，主要包括數據采集與監控系統（SCADA，Supervisory Control And DataAcquisition）、分布式控制系統（DCS，DistrbutedControlSystem）、可編程邏輯控制器（PLC，Programmable LogicController）、遠程終端（RTU，Remote TerminalUnit）等。這些工控系統在系統組成和網(wǎng)絡(luò )層次上是一樣的，都是由運行在工程師站、操作員站的SCADA軟件、控制器、現場(chǎng)儀表，以及上層監控網(wǎng)絡(luò )和現場(chǎng)低速總線(xiàn)網(wǎng)絡(luò )構成。只是由于它們的應用場(chǎng)合和應用側重點(diǎn)不同，如表2所示，導致在不同的行業(yè)會(huì )有不同的叫法。

表2 SCADA、DCS、PLC、RTU的區別

4.2 工控系統安全防護的本質(zhì)要求

2010年，伊朗發(fā)生了震驚世人的“震網(wǎng)”（Stuxnet）事件，針對特定控制系統進(jìn)行攻擊，破壞了大量鈾濃縮離心機和布什爾核電站發(fā)電機組，導致伊朗核計劃至少被延遲2年?！罢鹁W(wǎng)”雖然利用了RPC遠程執行漏洞（MS08-067）、快捷方式文件解析漏洞（MS10-046）、打印機后臺程序服務(wù)漏洞（MS10-061）、內核模式驅動(dòng)程序漏洞（MS10-073）、任務(wù)計劃程序漏洞（MS10-092）等操作系統的漏洞，但這些漏洞只是被用于“震網(wǎng)”惡意代碼的傳播；而“震網(wǎng)”的核心代碼，它利用了控制系統自身的特征，結合伊朗鈾濃縮離心機和核電站的生產(chǎn)工藝、特征參數，通過(guò)向核心組件——PLC發(fā)起攻擊，使PLC一方面向離心機、核電設備發(fā)送惡意操控指令使之超負荷運行，直至損壞；另一方面向操作站發(fā)送“正?！钡纳a(chǎn)工況數據，使操作人員誤以為生產(chǎn)正常。

需要指出的是，“震網(wǎng)”所發(fā)出的惡意操控指令、虛假的“正?！鄙a(chǎn)工況數據，都是利用控制系統本身的“合法”協(xié)議、“合法”指令（如控制離心機的轉速減少或增加指令）、“合法”數據，并沒(méi)有利用其核心控制器的任何漏洞。之所以這些“合法”指令能夠導致伊朗核設施損毀，就在于這些“合法”指令與正常的生產(chǎn)工藝、操作流程不符合。由此可見(jiàn)，針對工控系統核心部件的攻擊才是真正的工控系統安全威脅，它能夠導致基礎設施災難性的物理?yè)p毀。

鑒于此，對工控系統網(wǎng)絡(luò )的安全防護和保護需要著(zhù)眼以下幾個(gè)方面：

（1）需要覆蓋工控系統軟件、硬件和網(wǎng)絡(luò )等所有部件

要針對攻擊者可能利用的途徑、可能利用的手段以及可能引發(fā)的后果等多個(gè)方面，對工控系統所有的主機、主機應用軟件、進(jìn)程，甚至是關(guān)鍵軟件代碼進(jìn)行有效保護和防護；對工控網(wǎng)絡(luò )所有的協(xié)議、服務(wù)以及傳輸的數據、操作指令進(jìn)行保護和防護；對DCS控制器、PLC控制模塊、RTU控制模塊等嵌入式代碼進(jìn)行保護和防護。

（2）需要結合生產(chǎn)工藝與操作流程而開(kāi)展

“震網(wǎng)”惡意代碼之所以能夠引發(fā)伊朗鈾濃縮離心機和核電站機組的物理?yè)p毀，關(guān)鍵在于通過(guò)操控工控系統，使鈾濃縮離心機和核電站機組的運行狀態(tài)偏離其設計的正常工況，使之超負荷、非正常工況運轉，直至最后物理?yè)p毀。因此，針對工控系統的網(wǎng)絡(luò )安全防護，必須對基礎設施、生產(chǎn)裝置運行的關(guān)鍵工藝參數、關(guān)鍵工況、關(guān)鍵控制方案等進(jìn)行保護和防護。

（3）需要貫穿基礎設施及其工控系統的全生命周期

對工控系統的網(wǎng)絡(luò )安全防護和保護，僅僅靠安裝一些安全產(chǎn)品遠遠不夠，還必須覆蓋工控系統的設計、生產(chǎn)、調試、工程實(shí)施、維修、運行維護等全生命周期的所有環(huán)節，既要從技術(shù)上進(jìn)行防護和保護，也需要從管理措施上阻斷惡意代碼的帶入。

4.3 工控系統安全防護建議

（1）重要關(guān)鍵基礎設施的工控系統逐漸實(shí)現自主可控

等級保護2.0工業(yè)控制系統安全擴展要求部分要求的控制設備安全在逐漸實(shí)現自主可控的情況下可實(shí)現工控系統核心部件——控制設備安全。這就要求：控制設備內置安全設計，實(shí)現通信與控制隔離，確保在遭到外部攻擊時(shí)不影響控制回路的正常運行；控制網(wǎng)絡(luò )通信采用加密和完整性保護手段；控制設備內核自主可控（硬件、嵌入式系統、控制算法、協(xié)議棧等）；控制設備具備對組態(tài)和用戶(hù)數據等關(guān)鍵數據進(jìn)行完整性和正確性檢測功能，故障時(shí)進(jìn)行報警和記錄等。

（2）重要關(guān)鍵基礎設施必須部署工控網(wǎng)絡(luò )安全防護系統

重要關(guān)鍵基礎設施部署的工控網(wǎng)絡(luò )安全防護系統應具備以下特點(diǎn)：①針對內置預埋代碼，切斷危害，進(jìn)行應急處置；在安全區域、系統出口，加強預警防范；②以不影響生產(chǎn)和生產(chǎn)安全為前提，注意數據保護和操作保護；③對系統重要性識別、系統資產(chǎn)識別、系統脆弱性識別、系統威脅識別及系統風(fēng)險識別等維度進(jìn)行安全防護；④采用軟件防護、邊界維護、PLC嵌入式代碼防護、控制異常監測與阻斷等措施進(jìn)行立體防護；⑤對工控系統進(jìn)行無(wú)擾動(dòng)實(shí)時(shí)在線(xiàn)修復，并啟動(dòng)安全應急系統，實(shí)現數字化、網(wǎng)絡(luò )化、智能化環(huán)境中工業(yè)企業(yè)的工控信息安全。

（3）針對行業(yè)建設工控系統網(wǎng)絡(luò )安全測試床

國家、企業(yè)（包括工業(yè)企業(yè)、工控安全企業(yè)、相關(guān)測評單位）應加快建設其所在領(lǐng)域行業(yè)的工控系統網(wǎng)絡(luò )測試床，應能實(shí)現以下目的：在上線(xiàn)部署前，測試控制設備其自身的安全性；對上線(xiàn)部署的工控網(wǎng)絡(luò )安全產(chǎn)品其功能、可用性、安全性、可靠性及對工控系統是否有影響等進(jìn)行測試；結合實(shí)際應用場(chǎng)景的控制方案、業(yè)務(wù)邏輯等進(jìn)行未知威脅的生成，建設未知威脅庫，增強工控系統及其安全產(chǎn)品的主動(dòng)防御能力；對上線(xiàn)部署的工控網(wǎng)絡(luò )安全產(chǎn)品進(jìn)行訓練，提升其自主學(xué)習能力等。

（4）建設工控網(wǎng)絡(luò )安全人才隊伍，完善或制定工控網(wǎng)絡(luò )安全產(chǎn)品標準體系

工控系統網(wǎng)絡(luò )安全攻防技術(shù)研究攻防兼顧，以攻促防。人才隊伍不僅要懂工業(yè)控制系統的網(wǎng)絡(luò )技術(shù)、體系架構、嵌入式軟件、私有協(xié)議等，還要懂使用工業(yè)控制系統的具體對象的工藝、設備技術(shù)，只有這樣才能做到定點(diǎn)攻擊或精確防護。構建一支工控網(wǎng)絡(luò )安全專(zhuān)業(yè)研究團隊，將有助于增強針對國家重要關(guān)鍵基礎設施的工業(yè)控制系統安全防護能力。

另外，不同于普通安全產(chǎn)品，工控系統安全需緊密聯(lián)系工控現場(chǎng)環(huán)境，性能穩定，滿(mǎn)足實(shí)時(shí)性與準確性等需求；可用性大于機密性、完整性。針對相關(guān)安全產(chǎn)品標準，需要完善或制定工控網(wǎng)絡(luò )安全產(chǎn)品標準體系。

5 結束語(yǔ)

在等級保護2.0時(shí)代，工控系統的網(wǎng)絡(luò )安全防護和保護回歸到了控制系統的本質(zhì)。在傳統互聯(lián)網(wǎng)安全、計算機安全領(lǐng)域有效的手段和產(chǎn)品對工控系統不一定有效。對工控系統的網(wǎng)絡(luò )安全防護和保護，需同時(shí)從工控系統的軟件、硬件、網(wǎng)絡(luò )以及生產(chǎn)工藝、生產(chǎn)流程、生產(chǎn)裝置等角度進(jìn)行，才能夠防護得住有組織的專(zhuān)業(yè)團隊的攻擊，也才能保護我們國家重要基礎設施的安全。

作者簡(jiǎn)介：

還約輝（1986-），男，江蘇鹽城人，工程師，學(xué)士，現任浙江國利網(wǎng)安科技有限公司副總經(jīng)理，研究方向是工控網(wǎng)絡(luò )安全。

王　迎（1981-），男，浙江杭州人，工程師，學(xué)士，工控網(wǎng)絡(luò )安全，現任浙江國利網(wǎng)安科技有限公司總經(jīng)理，研究方向是工控網(wǎng)絡(luò )安全。

薛金良（1987-），男，浙江紹興人，高級工程師，學(xué)士，現任浙江國利網(wǎng)安科技有限公司安全研究中心主任，研究方向是工控網(wǎng)絡(luò )安全。

摘自《自動(dòng)化博覽》2019年10月刊