陳雪鴻 國家能源局信息中心，電力行業(yè)信息安全等級保護測評中心

石油石化行業(yè)是我國的支柱產(chǎn)業(yè)，是基礎性產(chǎn)業(yè)，它為農業(yè)、能源、交通、機械、電子、紡織、輕工、建筑、建材等工農業(yè)和人民日常生活提供配套和服務(wù)，在我國國民經(jīng)濟的發(fā)展中起著(zhù)舉足輕重的作用。我國已進(jìn)入世界石油石化大國前列，通過(guò)科技創(chuàng )新，已擁有一批具有自主知識產(chǎn)權的核心技術(shù)和專(zhuān)有技術(shù)，具備依靠自有技術(shù)建設千萬(wàn)噸級煉油、百萬(wàn)噸級乙烯生產(chǎn)裝置的能力，裝置大型化、產(chǎn)業(yè)集中度不斷提高。隨著(zhù)信息化與工業(yè)化不斷深入融合，信息技術(shù)深刻影響和改變著(zhù)石油石化行業(yè)經(jīng)營(yíng)管理方式，信息技術(shù)在油田、煉油、化工、銷(xiāo)售全產(chǎn)業(yè)鏈上得到應用，信息系統已經(jīng)成為各企業(yè)經(jīng)營(yíng)管理、生產(chǎn)運營(yíng)、營(yíng)銷(xiāo)服務(wù)的中樞神經(jīng)，智能油氣田、智能煉化、銷(xiāo)售電商平臺、一體化客戶(hù)管理、全球供應鏈與物流等信息化工作取得初步進(jìn)展，正在促進(jìn)引領(lǐng)石油石化行業(yè)的發(fā)展。工業(yè)控制系統的定義是指由計算機與工業(yè)過(guò)程控制部件組成的自動(dòng)控制系統[1]。本文所指的工業(yè)控制系統是指用于監視和控制石油石化行業(yè)生產(chǎn)及供應過(guò)程的、基于計算機及網(wǎng)絡(luò )技術(shù)的業(yè)務(wù)系統及智能設備，以及作為基礎支撐的通信及數據網(wǎng)絡(luò )等；存量工業(yè)控制系統是指已正式投入生產(chǎn)運行、尚無(wú)退運計劃的工業(yè)控制系統。

1　存量工業(yè)控制系統等級保護實(shí)施的擴展基本原則

存量工業(yè)控制系統等級保護實(shí)施工作除要遵守信息系統等級保護實(shí)施的“自主保護、重點(diǎn)保護、同步建設、動(dòng)態(tài)調整”原則之外，還應按照國家和行業(yè)對信息安全等級保護的有關(guān)要求，堅持以下原則[2]：

1.1　結構優(yōu)先原則

結構安全是存量工業(yè)控制系統的安全基礎。存量工業(yè)控制系統大多投運時(shí)間較早，在最初投運時(shí)缺乏安全功能設計，難以進(jìn)行技術(shù)改造或改造成本巨大。通過(guò)優(yōu)化結構，強化邊界防護，減少對威脅的暴露面，降低脆弱性的可利用性，設置多道防線(xiàn)，重點(diǎn)防護實(shí)時(shí)控制系統。在確保結構安全的前提下，通過(guò)規范內部物理和環(huán)境、網(wǎng)絡(luò )和通信、設備和計算、應用和數據安全，加強安全策略和管理制度、安全管理機構和人員、安全建設管理、安全運維管理，提高系統整體安全防護能力，保證存量工業(yè)控制系統運行及重要數據的安全。

1.2　聯(lián)合防護原則

存量工業(yè)控制系統安全除依靠運行單位外，還需依靠系統供應商和安全服務(wù)機構。同時(shí)，大多數存量工業(yè)控制系統隨著(zhù)企業(yè)規模的壯大，數字化、集中化、自動(dòng)化程度會(huì )越來(lái)越高，不同廠(chǎng)商的工業(yè)控制系統集成互聯(lián)，集控或者遠控功能不斷增強。存量工業(yè)控制系統還可能隸屬于不同責任主體?；ヂ?lián)的存量工業(yè)控制系統除需根據自身特點(diǎn)和安全保護等級要求，采取技術(shù)與管理措施提高自身防護能力之外，還應實(shí)行聯(lián)合防護，提高互聯(lián)對端的存量工業(yè)控制系統的安全。上位工控系統企業(yè)還可利用其資源和技術(shù)優(yōu)勢，加強對下位工控系統的技術(shù)監督和指導。在應急工作中，也需要采用聯(lián)合應急方式。

1.3　安全可控原則

存量工業(yè)控制系統在進(jìn)行系統設計、開(kāi)發(fā)，關(guān)鍵設備選型時(shí)應滿(mǎn)足安全可控的原則。優(yōu)先選擇經(jīng)過(guò)國家網(wǎng)絡(luò )安全審查或者我國自主研發(fā)，具有自主知識產(chǎn)權的系統及設備，嚴格禁止選用經(jīng)國家相關(guān)管理部門(mén)檢測認定并經(jīng)有關(guān)部門(mén)通報存在漏洞和風(fēng)險的系統及設備。

存量工業(yè)控制系統所使用的服務(wù)器、網(wǎng)絡(luò )設備、安全設備、安全服務(wù)等均應通過(guò)逐步淘汰選用符合國家及行業(yè)標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求。服務(wù)器、網(wǎng)絡(luò )設備、安全設備、安全服務(wù)的提供者不得設置惡意程序。發(fā)現服務(wù)器、網(wǎng)絡(luò )設備、安全設備、安全服務(wù)存在安全缺陷、漏洞等風(fēng)險時(shí)，應當立即采取補救措施，按照規定及時(shí)告知用戶(hù)并向有關(guān)主管部門(mén)報告。

網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品應當按照相關(guān)國家標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求后，方可銷(xiāo)售或者提供。

1.4　立體防御原則

存量工業(yè)控制系統安全防護工作應形成立體防御格局，在空間上，形成橫向（與本單位管理類(lèi)信息系統的邊界）及縱向（不同責任主體或同一責任主體在不同地域的廣域網(wǎng)邊界）邊界防護的基礎上，將防護措施逐步深入到承載業(yè)務(wù)系統運行的主機、數據庫、網(wǎng)絡(luò )設備、安全設備等，加強安全基線(xiàn)和策略的配置，合理優(yōu)化設備和系統的功能參數，提升系統本體安全防護能力，逐步形成柵格狀的縱深防御體系。在管理上，形成技術(shù)與管理互補格局，技術(shù)不足管理補，管理不足技術(shù)補，完善管理制度、落實(shí)各項措施，加強對人員和行為的管控。在時(shí)間上，形成全生命周期的立體防御，在系統設計、開(kāi)發(fā)、建設、運行、退運等階段開(kāi)展相應的安全技術(shù)及管理工作，在各個(gè)階段使系統的安全防護能力匹配于其所面臨的安全風(fēng)險。

2　角色和職責

存量工業(yè)控制系統等級保護實(shí)施過(guò)程中涉及的主要角色有：國家管理部門(mén)（公安機關(guān)、國家保密部門(mén)、密碼管理部門(mén)、行業(yè)主管部門(mén)等），工控系統所屬單位或具有垂直管理關(guān)系上級單位的主管信息安全管理工作的部門(mén)，運行單位，信息安全服務(wù)機構、測評機構，信息安全產(chǎn)品供應商，上位工控系統運行單位或調度機構，設計單位和系統供應商。

2.1　信息安全產(chǎn)品供應商

信息安全產(chǎn)品供應商負責按照國家及行業(yè)網(wǎng)絡(luò )安全等級保護的管理規范和技術(shù)標準，開(kāi)發(fā)符合等級保護相關(guān)要求的信息安全產(chǎn)品，接受安全測評；按照等級保護相關(guān)要求銷(xiāo)售信息安全產(chǎn)品并提供相關(guān)服務(wù)。

存量工業(yè)控制系統專(zhuān)用產(chǎn)品供應商除應做好上述工作外，還應當以合同條款或者保密協(xié)議的方式保證其所提供的設備及系統符合有關(guān)規定，在設備及系統的全生命周期內對其負責，并按照國家有關(guān)要求做好保密工作，禁止關(guān)鍵技術(shù)和設備的擴散。

2.2　存量工業(yè)控制系統供應商

存量工業(yè)控制系統供應商應按照存量工業(yè)控制系統安全等級保護的管理規范和技術(shù)標準，配合運行單位存量工業(yè)控制系統進(jìn)行整改和重新部署，不得設置惡意程序。一旦發(fā)現其產(chǎn)品和服務(wù)存在安全缺陷、漏洞等風(fēng)險時(shí)，應當立即采取補救措施按照規定及時(shí)告知用戶(hù)并向有關(guān)主管部門(mén)報告。

存量工業(yè)控制系統供應商應當為其產(chǎn)品、服務(wù)持續提供安全維護；在規定的期限內，不得終止提供安全維護。

存量工業(yè)控制系統供應商提供的產(chǎn)品、服務(wù)具有數據采集功能的，應將所采集的數據類(lèi)型和需求向運行單位說(shuō)明，并取得同意后方可實(shí)施。

此外在設備選型及配置時(shí)，應當禁止選用經(jīng)國家相關(guān)管理部門(mén)檢測認定并經(jīng)國家能源局通報存在漏洞和風(fēng)險的系統及設備；對于已投入運行的系統及設備，應按照國家能源局及其派出機構的要求及時(shí)配合運行單位進(jìn)行整改。

2.3　存量工業(yè)控制系統設計單位

工業(yè)控制系統設計單位和供應商可能為不同單位。存量工業(yè)控制系統技改時(shí)，運行單位需協(xié)調系統原設計單位對技改部分進(jìn)行安全確認，確保所實(shí)施的技改細節與原系統設計細節無(wú)沖突。存量工業(yè)控制系統設計單位規劃設計信息系統時(shí)，應明確系統的安全保護需求，設計合理的安全總體方案，制定安全實(shí)施計劃，負責信息系統安全建設工程的實(shí)施。在設計過(guò)程中，應充分考慮系統整體結構方面與存量工業(yè)控制系統安全防護原則的一致性，以及主機、網(wǎng)絡(luò )、應用、數據等方面與存量工業(yè)控制系統信息安全等級保護要求的一致性。

2.4　上位工控系統運行單位或調度機構

當本級工業(yè)控制系統與上位工控系統運行單位為不同單位時(shí)，上位工控系統運行單位或調度機構需對下位工控系統運行單位的等級保護工作實(shí)施技術(shù)監督。

本級工控系統安全防護實(shí)施方案需經(jīng)本企業(yè)的上級專(zhuān)業(yè)管理部門(mén)和信息安全管理部門(mén)以及相應上位工控系統運行單位或調度機構的審核，方案實(shí)施完成后應當報請上述機構參與驗收工作。

接入上位工控系統網(wǎng)絡(luò )的設備和應用系統，其接入技術(shù)方案和安全防護措施必須經(jīng)直接負責的上位工控系統或調度機構同意。

建立健全聯(lián)合防護和應急機制，制定專(zhuān)項應急預案。上位工控系統運行單位或調度機構負責統一指揮其接入或調度范圍內的工業(yè)控制系統安全應急處理。其它角色和職能參見(jiàn)國標《信息系統安全等級保護實(shí)施指南》（GB/T 25058-2010）。

圖1 劃為等級保護對象的工業(yè)控制系統定級階段工作流程

3 存量工業(yè)控制系統定級與備案

定級階段的目標是運行單位按照國家和行業(yè)有關(guān)標準和管理規范，確定劃入等級保護對象范圍內的工業(yè)控制系統的安全保護等級，經(jīng)相關(guān)信息安全管理部門(mén)審核、批準后，報公安機關(guān)備案，獲取《信息系統安全等級保護備案證明》，行業(yè)主管部門(mén)有要求的，定級備案結果抄送行業(yè)主管部門(mén)備案[3]。

工業(yè)控制系統和等級保護對象均是個(gè)統稱(chēng)。需對工業(yè)控制系統進(jìn)行分析，劃分其需納入等級保護對象的范圍，在劃分了等級保護對象后，逐一對各工業(yè)控制系統進(jìn)行分析，確定作為同一定級對象的工業(yè)控制系統的基本特征。應根據其承載業(yè)務(wù)和管理方式的變化動(dòng)態(tài)、合理確定工業(yè)控制系統的定級對象。定級對象的基本特征為[3]：

（1）具有唯一確定的安全責任單位

作為定級對象的工業(yè)控制系統應能夠唯一地確定其安全責任單位。如果運行單位（如調度中心或工廠(chǎng)運行班組）負責系統安全建設、運行維護等過(guò)程的全部安全責任，則運行單位可以成為此系統的安全責任單位；如果一個(gè)單位中的不同下級單位分別承擔系統不同方面的安全責任，則該系統的安全責任單位應是這些下級單位共同所屬的單位，如班組1運行dcs1,班組2運行dcs2，dcs1和dcs2為同一供應商同一型號的產(chǎn)品，單位（如廠(chǎng)級層面）有意將dcs1和dcs2統一定級為一個(gè)系統，則其責任單位可由班組1和班組2的上級單位如安生部承擔。

（2）具有信息系統的基本要素

作為定級對象的信息系統應該是由相關(guān)的和配套的設備、設施按照一定的應用目標和規則組合而成的有形實(shí)體。應避免將某個(gè)單一的系統組件，如服務(wù)器、終端、網(wǎng)絡(luò )設備等作為定級對象。在具體的工業(yè)控制系統中，PLC、RTU等所處理的業(yè)務(wù)是業(yè)務(wù)系統的一部分，其不具備信息系統的基本要素。

（3）承載單一或相對獨立的業(yè)務(wù)應用

定級對象承載“單一”的業(yè)務(wù)應用是指該業(yè)務(wù)應用的業(yè)務(wù)流程獨立，與其他業(yè)務(wù)應用沒(méi)有數據交換，且獨享所有信息處理設備。定級對象承載“相對獨立”的業(yè)務(wù)應用是指其業(yè)務(wù)應用的主要業(yè)務(wù)流程獨立，同時(shí)與其他業(yè)務(wù)應用有少量的數據交換，定級對象可能會(huì )與其他業(yè)務(wù)應用共享一些設備，尤其是網(wǎng)絡(luò )傳輸設備。

應避免單個(gè)裝置或設備（如PLC、RTU等）作為單個(gè)定級對象進(jìn)行備案。同一安全區域同一安全責任單位同一等級的工業(yè)控制系統可以整合成一個(gè)系統進(jìn)行備案。定級備案結果需相對合理，沒(méi)有絕對正確和絕對統一的定級備案結果。

4　存量工業(yè)控制系統等級測評與安全防護評估

等級測評是測評機構依據國家信息安全等級保護制度規定，按照有關(guān)管理規范和技術(shù)標準，對非涉及國家秘密信息系統安全等級保護狀況進(jìn)行檢測評估的活動(dòng)。工業(yè)控制系統安全防護評估[5]是評估機構依據國家標準或行業(yè)評估規范等，對工業(yè)控制系統的安全防護狀況進(jìn)行評估的活動(dòng)。等級測評和安全防護評估各有側重與優(yōu)勢，宜同步開(kāi)展測評與評估，有助于全面測評和評估單個(gè)已定級的工業(yè)控制系統自身的等級保護狀況和與之互聯(lián)或關(guān)聯(lián)的其它工業(yè)控制系統的整體安全防護狀況。等級測評與安全防護評估階段的目標是按照系統安全總體方案的要求，結合系統安全建設項目計劃，分期分步落實(shí)安全措施。

測評與評估階段的工作流程如圖2和圖3所示。

圖2 等級保護測評階段工作流程

圖3 安全防護評估階段工作流程

5　存量工業(yè)控制系統整改與實(shí)施

存量工業(yè)控制系統安全整改是等級保護工作的重要環(huán)節。本活動(dòng)發(fā)生在存量工業(yè)控制系統等級測評、安全評估、安全自查、監督檢查等工作之后，主要是針對測評、評估、自查、檢查工作中發(fā)現的安全問(wèn)題進(jìn)行有計劃的建設整改或技術(shù)改造。

安全建設整改工作包括整改方案制定、安全整改實(shí)施、整改結果驗證等主要過(guò)程。安全建設整改階段的工作流程如圖4所示。

圖4 存量工業(yè)控制系統整改流程

存量工業(yè)控制系統的整改技術(shù)措施，應先在測試環(huán)境中測試和驗證通過(guò)后，再部署到實(shí)際生產(chǎn)環(huán)境中，并盡量選擇大小修期間、停機狀態(tài)進(jìn)行，避免對生產(chǎn)過(guò)程造成影響。整改實(shí)施前應制定應急措施，并做好備份工作，確保即使出現問(wèn)題系統也能夠回退并恢復到整改前的狀態(tài)。

短期內可進(jìn)行整改的技術(shù)類(lèi)問(wèn)題需要運行單位、開(kāi)發(fā)單位、設計單位共同參與；需添加設備，與其他單位聯(lián)合進(jìn)行整改的安全問(wèn)題，其整改周期較長(cháng)，應列入技術(shù)改造計劃，聯(lián)合設計單位、開(kāi)發(fā)單位、供應商以及其他運行單位共同進(jìn)行。從開(kāi)發(fā)單位、設備供應商獲得技術(shù)支持有難度的，應上報上級單位或行業(yè)主管部門(mén)統一規劃部署，依法依規協(xié)調督促系統和設備原廠(chǎng)提供商支持、配合系統單位的安全加固整改工作，有效落實(shí)網(wǎng)絡(luò )安全整改措施。

對于行業(yè)普遍存在的、整改難度較大的安全問(wèn)題，可上報行業(yè)主管部門(mén)，在行業(yè)主管部門(mén)的指導下，聯(lián)合行業(yè)內其他單位共同選出典型單位，進(jìn)行試點(diǎn)實(shí)施，形成經(jīng)典案例，確認無(wú)誤后再在其他同類(lèi)單位推廣應用。

整改過(guò)程中需采購新系統或新設備的，應當選擇使用經(jīng)過(guò)國家檢測認證的系統及設備，禁止選用經(jīng)國家相關(guān)管理部門(mén)檢測認定并經(jīng)通報存在漏洞和風(fēng)險的系統及設備。管理類(lèi)安全問(wèn)題的整改可與技術(shù)類(lèi)安全問(wèn)題的整改同步進(jìn)行，確保盡快完善管理制度體系，并保證技術(shù)措施和管理措施相互促進(jìn)、相互彌補。

作者簡(jiǎn)介

陳雪鴻（1976-），女，高級工程師，碩士，現就職于國家能源局信息中心，主要研究方向為為電力信息化及其信息安全。

參考文獻：

[1] 國家發(fā)展和改革委員會(huì )令第14號. 電力監控系統安全防護規定 [Z]. 2014.

[2] 公通字[2007]43號. 信息安全等級保護管理辦法 [Z].

[3] GB/T 25058-2010, 信息系統安全等級保護實(shí)施指南 [S].

[4] GB/T 20984-2007, 信息安全風(fēng)險評估規范 [S].

摘自《工業(yè)控制系統信息安全》專(zhuān)刊第四輯