工業(yè)控制系統（ICS）是指對工業(yè)生產(chǎn)過(guò)程安全（Safety）、信息安全（Security）和可靠運行產(chǎn)生作用和影響的人員、硬件、策略和軟件的集合，包括集散控制系統（DCS）、監督控制和數據采集（SCADA）系統、可編程序邏輯控制器（PLC）、遠程測控單元RTU、相關(guān)的信息系統如人機界面等。隨著(zhù)信息化和工業(yè)化的發(fā)展工業(yè)控制系統廣泛應用于國防軍工、軌道交通、電力電網(wǎng)、石油化工、水利水庫等關(guān)系國計民生的重點(diǎn)工控行業(yè)，由于其復雜多樣性，工業(yè)控制系統也面臨來(lái)自各方面的威脅。近年來(lái)，隨著(zhù)工業(yè)控制新技術(shù)的發(fā)展，原有標準部分條款無(wú)法滿(mǎn)足工業(yè)控制高可靠性、實(shí)時(shí)性下的安全設計技術(shù)要求，因此亟需根據工業(yè)控制系統的特點(diǎn)增加新的內容。此次修訂規范了網(wǎng)絡(luò )安全等級保護安全設計技術(shù)要求對工業(yè)控制系統的擴展設計要求，包括第一級至第四級工業(yè)控制系統安全保護環(huán)境的安全計算環(huán)境、安全區域邊界、安全通信網(wǎng)絡(luò )和安全管理中心等方面的設計技術(shù)要求。適用于指導網(wǎng)絡(luò )安全等級保護工業(yè)控制系統安全技術(shù)方案設計與實(shí)施，也可作為信息安全智能部門(mén)對工業(yè)控制系統進(jìn)行監督、檢查和指導的依據。

工業(yè)控制系統和其他信息系統按照功能層次分為從下到上的五層架構：

a）第0層，現場(chǎng)設備層；

b）第1層，現場(chǎng)控制層；

c）第2層，過(guò)程監控層；

d）第3層，生產(chǎn)管理層；

e）第4層，企業(yè)資源層，即其他的信息系統（本標準不對第4層做等級保護設計要求）。

根據工業(yè)控制系統安全單位的唯一確定性、業(yè)務(wù)對象、業(yè)務(wù)特點(diǎn)和業(yè)務(wù)范圍等因素，綜合確定工業(yè)控制系統等級保護對象。在確定定級對象的安全等級時(shí)，應綜合考慮資產(chǎn)價(jià)值、生產(chǎn)對象及后果等因素。確定工業(yè)控制系統定級對象具體參照GB/T 22240、GB/T 22239等相關(guān)等保標準。

根據對工業(yè)控制系統架構及安全的分析，總結出工業(yè)控制系統中第0～3層防護對象包含的用戶(hù)、軟硬件和數據三類(lèi)，如圖1所示。

此次修訂工作結合工業(yè)控制系統形態(tài)眾多、性能各異、實(shí)時(shí)性及可靠性要求高、現場(chǎng)設備計算資源有限等特點(diǎn)，充分分析工業(yè)控制系統面臨的各種威脅，發(fā)現其脆弱性，從而提出了三重防護多級互聯(lián)、安全分區縱深防御設計技術(shù)思路。

（一）三重防護多級互聯(lián)技術(shù)框架

工業(yè)控制系統的等級保護防護方案設計參照以往構建在安全管理中心支持下的計算環(huán)境、區域邊界、通信網(wǎng)絡(luò )三重防御體系，采用分區的架構，結合工業(yè)控制系統總線(xiàn)協(xié)議復雜多樣、實(shí)時(shí)性強、節點(diǎn)計算資源有限、設備可靠性要求高、故障恢復時(shí)間短、安全機制不能影響實(shí)時(shí)性等特點(diǎn)進(jìn)行設計，以實(shí)現可信、可控、可管的系統安全互聯(lián)、區域邊界安全防護和計算環(huán)境安全，如圖2所示。

分區的主要根據有業(yè)務(wù)系統或其功能模塊的實(shí)時(shí)性、使用者、主要功能、設備使用場(chǎng)所、各業(yè)務(wù)系統間的相互關(guān)系、廣域網(wǎng)通信方式以及對工業(yè)控制系統的影響程度等。對于額外的安全性和可靠性要求，在主要的安全區還可以根據操作功能進(jìn)一步劃分成子區。將設備劃分成不同的區域可以幫助企業(yè)有效地建立“縱深防御”策略。將具備相同功能和安全要求的各系統的控制功能劃分成不同的安全區域，并按照方便管理的原則，為各安全功能區域分配網(wǎng)段地址。

等級保護分為四級，防護方案設計逐級增強，但防護方案設計中的防護類(lèi)別相同，只是安全保護設計的強度不同，防護類(lèi)別包括：安全計算環(huán)境、安全區域邊界、安全通信網(wǎng)絡(luò )、安全管理中心。各級工業(yè)控制系統信息安全保護環(huán)境的設計通過(guò)對各級的安全計算環(huán)境、安全區域邊界、安全通信網(wǎng)絡(luò )以及安全管理中心的設計加以實(shí)現。

（一）設計目標和策略

工業(yè)控制系統等級保護的設計目標逐級增強。第一級工業(yè)控制系統信息安全保護環(huán)境的設計目標是對第一級工業(yè)控制系統的信息安全保護系統實(shí)現定級系統的自主訪(fǎng)問(wèn)控制，使系統用戶(hù)對其所屬客體具有自我保護的能力。第二級工業(yè)控制系統信息安全保護環(huán)境的設計目標是在第一級的基礎上，增加系統安全審計等安全功能，并實(shí)施基于角色的訪(fǎng)問(wèn)控制，使系統具有更強的安全保護能力。第三級工業(yè)控制系統信息安全保護環(huán)境的設計目標是在第二級的基礎上，增強身份鑒別、審計等功能，同時(shí)增加區域邊界之間的安全通信措施。第四級工業(yè)控制系統信息安全保護環(huán)境的設計目標是在第三級的基礎上，對關(guān)鍵的控制回路的相關(guān)信息安全保護設計要求做了闡述，要求設計者在有安全風(fēng)險的場(chǎng)合提供適合工控應用特點(diǎn)的保護方法和安全策略，通過(guò)實(shí)現基于角色的訪(fǎng)問(wèn)控制以及增強系統的審計機制等一系列措施，使系統具有在統一安全策略管控下，提供高強度的保護敏感資源的能力。

工業(yè)控制系統等級保護的設計策略逐級增強。第一級系統安全保護環(huán)境的設計策略是以身份鑒別為基礎，按照工業(yè)控制系統對象進(jìn)行訪(fǎng)問(wèn)控制，監控層、控制層提供按照用戶(hù)和（或）用戶(hù)組對操作員站和工程師站的文件及數據庫表的自主訪(fǎng)問(wèn)控制，以實(shí)現用戶(hù)與數據的隔離，設備層按照用戶(hù)和（或）用戶(hù)組對安全和保護系統、基本控制系統的組態(tài)數據、配置文件等的自主訪(fǎng)問(wèn)控制，使用戶(hù)具備自主安全保護的能力；以包過(guò)濾和狀態(tài)檢測的手段提供區域邊界保護；以數據校驗和惡意代碼防范等手段提供數據和系統的完整性保護。第二級工業(yè)控制系統信息安全保護環(huán)境的設計策略是以身份鑒別為基礎，提供單個(gè)用戶(hù)和（或）用戶(hù)組對共享文件、數據庫表、組態(tài)數據等的自主訪(fǎng)問(wèn)控制；以包過(guò)濾手段、狀態(tài)檢測提供區域邊界保護；以數據校驗和惡意代碼防范等手段，同時(shí)通過(guò)增加系統安全審計等功能，使用戶(hù)對自己的行為負責，提供用戶(hù)數據保密性和完整性保護，以增強系統的安全保護能力。第三級工業(yè)控制系統信息安全保護環(huán)境的設計策略是在第二級的基礎上，相應增強身份鑒別、審計等功能；增加邊界之間的安全通信防護，保障邊界安全性。第四級工業(yè)控制系統信息安全保護環(huán)境的設計策略是在第三級的基礎上，構造基于角色的訪(fǎng)問(wèn)控制模型，表明主、客體的級別分類(lèi)和非級別分類(lèi)的組合，以此為基礎，按照基于角色的訪(fǎng)問(wèn)控制規則實(shí)現對主體及其客體的訪(fǎng)問(wèn)控制。

（二）關(guān)鍵設計技術(shù)要求

1. 安全計算環(huán)境設計技術(shù)要求

安全計算環(huán)境，包括工業(yè)控制系統0～3層中的信息存儲、處理及實(shí)施安全策略的相關(guān)部件。安全計算環(huán)境按照保護能力劃分為第一級安全計算環(huán)境、第二級安全計算環(huán)境、第三級安全計算環(huán)境和第四級安全計算環(huán)境，安全計算環(huán)境設計技術(shù)要求逐級增強，各等級要求如表1。

5. 針對工業(yè)控制系統特點(diǎn)具體分析安全設計技術(shù)要求

① 針對控制系統業(yè)務(wù)流程特點(diǎn)實(shí)施安全保護

對工業(yè)控制系統的計算環(huán)境，比較特殊的是處于第0層、第1層、也包括第2層的計算環(huán)境。其中處于第1層的控制器（或是PLC，SCADA中的RTU），通過(guò)現場(chǎng)總線(xiàn)與傳感器、執行器相連接，形成了一個(gè)控制回路，這是工業(yè)控制系統中基礎和關(guān)鍵的部分，也是重要的保護目標。其中控制器運行系統的控制邏輯，也是連接第0層和地2層的一個(gè)關(guān)鍵環(huán)節，對控制器的訪(fǎng)問(wèn)和操作，必須先經(jīng)過(guò)身份鑒別。這包括工程師站的組態(tài)下裝，操作員站發(fā)出的命令，都應經(jīng)過(guò)身份鑒別通過(guò)后授權執行。過(guò)去，一些控制器對組態(tài)下裝到控制器操作的身份鑒別是在工程師站上由組態(tài)軟件系統執行，在控制器上對工程師站的組態(tài)下裝，操作員站發(fā)出的命令之前進(jìn)行身份鑒別，對假冒攻擊進(jìn)行了防護。

② 對控制過(guò)程的完整性保護

是防止干擾和破壞控制回路的數據傳輸和處理，防止數據延誤、丟失和篡改，保護控制系統的同步機制、校時(shí)機制，控制器從所處的計算環(huán)境來(lái)說(shuō)，極易受到來(lái)自網(wǎng)絡(luò )、現場(chǎng)總線(xiàn)、I/O端口的干擾，如以下但不限于所列行為：

a）在一個(gè)控制周期內，超過(guò)正常數量的中斷請求；

b）超過(guò)合理包速率范圍的icmp協(xié)議請求；

c）超過(guò)合理包速率范圍的廣播報文；

d）破壞現場(chǎng)總線(xiàn)的請求—應答機制；

e）破壞冗余工作機制；

f）干擾表決器等安全保護系統的正常工作；

g）惡意觸發(fā)冗余系統切換、安全保護系統的停機的行為；

h）其他干擾。

這些干擾會(huì )破壞控制任務(wù)的執行，甚至足以引起控制器復位，而這些惡意攻擊可以以合法的身份出現。因此，要求在設計控制應用系統時(shí)，能識別、監控和防護這類(lèi)攻擊行為，可在計算環(huán)境上，如控制器通過(guò)阻止關(guān)閉受到攻擊的端口，在邊界上識別過(guò)濾這類(lèi)攻擊，在通信上采用防假冒防篡改防干擾等保護措施，形成多層次的縱深防御。

③ 對現場(chǎng)總線(xiàn)的安全保護

現場(chǎng)總線(xiàn)和現場(chǎng)設備層的安全問(wèn)題，在受到物理保護或有人值守的情況下，可避免鄰近攻擊。在現場(chǎng)總線(xiàn)和現場(chǎng)設備，要防止留有可供插入、改接的物理接口，如有的設備還配置有HART接口，在缺乏物理保護和監控的環(huán)境下，有可能為非法接入、修改參數提供了機會(huì )，在控制器的現場(chǎng)總線(xiàn)接口處，應有實(shí)時(shí)監控，對于丟幀、數據異常、超過(guò)一定范圍的抖動(dòng)及時(shí)報警處理。對于重要的現場(chǎng)總線(xiàn)和設備，應根據應用的保護需求，用適合于實(shí)時(shí)性好、小位數處理的密碼技術(shù)進(jìn)行完整性或保密性保護。

④ 以操作員站向控制器發(fā)送指令為例說(shuō)明

以操作員站向控制器發(fā)送指令為例說(shuō)明這條信息處理路徑所要應用的安全保護措施。操作員站啟動(dòng)前先用可信計算處理器件對操作系統裝載程序和操作系統進(jìn)行度量，和存放的報文摘要值對比，沒(méi)有被篡改后系統啟動(dòng)，經(jīng)安全管理中心確認屬于白名單的應用程序和服務(wù)啟動(dòng)，操作員登錄進(jìn)入操作員站，操作員使用用于身份鑒別的介質(zhì)U-KEY插入操作員站的USB接口，此時(shí)操作員站是禁用所有外設介質(zhì)端口的，這一插入USB接口事件報道安全管理中心，經(jīng)過(guò)判別是做身份鑒別后，確認操作員身份并授權，此后操作員再次操作不需再做身份鑒別，以保證能實(shí)時(shí)做出響應。操作員要離開(kāi)操作員站時(shí)要做明確的退出操作，拿走U-KEY，從安全考慮，當操作員站在一定時(shí)間沒(méi)有操作動(dòng)作時(shí)，應提示操作員繼續操作，如果沒(méi)有響應，應及時(shí)鎖屏，終止這個(gè)會(huì )話(huà)，防止操作員離開(kāi)，有人趁機假冒。解鎖時(shí)需輸入密碼。以上過(guò)程都被審計，可由安全管理中心審計追蹤。在對控制器的通信時(shí)，需先通過(guò)身份鑒別，只有身份鑒別通過(guò)后方可建立通信連接，其中重要指令的下達，重要數據的傳送，應根據應用特點(diǎn)，用密碼技術(shù)保證完整性或保密性，防止偽造指令和數據欺騙。對于操作員站和控制器的通信會(huì )話(huà)也要提供保護，在操作員交接班時(shí)應保持會(huì )話(huà)的有效性，要考慮到出現緊急事件時(shí)能夠實(shí)時(shí)處置，審計措施應能明確操作員的行為和責任。

在GB/T 25070中增加的工業(yè)控制系統安全設計要求的內容，是在國家標準GB/T25070-2010基礎上為適應工業(yè)控制新技術(shù)、新應用情況下而進(jìn)行的修訂，制定統一的工業(yè)控制系統等級保護標準，建立整體安全防護體系及框架，給出了詳細、可實(shí)施的安全設計要求，可用于指導工業(yè)控制系統運營(yíng)使用單位、信息安全服務(wù)機構開(kāi)展等級保護安全技術(shù)方案設計，能夠有效應對針對工業(yè)控制系統環(huán)境的信息安全威脅，保護國家工業(yè)控制系統不被非法攻擊，保障重要工業(yè)控制系統的正常運行，從而確保國家工業(yè)基礎設施免遭破壞。