摘要：隨著(zhù)信息技術(shù)在各個(gè)行業(yè)越來(lái)越深入，我國工控領(lǐng)域的安全可靠性問(wèn)題日益突出，工控系統的復雜化、信息化加劇了系統的安全隱患。網(wǎng)絡(luò )安全等級保護是我國網(wǎng)絡(luò )安全保障的基本制度，本文基于網(wǎng)絡(luò )安全等級保護理論對工控系統的安全研究分析，從多個(gè)層面進(jìn)行安全防護，降低安全風(fēng)險，提高工控系統的綜合防護能力。

關(guān)鍵詞：工業(yè)控制系統；網(wǎng)絡(luò )安全；等級保護

Abstract: With the deepening of information technology in various industries, the safety and reliability of industrial control field in China has become increasingly prominent. The complexity and informatization of industrial control system have aggravated the hidden dangers of system security. Cyber security level protection is the basic system of cyber security in China. Based on the theory of cyber security level protection, this paper studies and analyses the security of industrial control system,carries out security protection from various levels, reduces security risks and improves the comprehensive protection capability of industrial control system.

Key words: Industrial control system；Cyber security；Classified protection

1　引言

工業(yè)控制系統安全問(wèn)題層出不窮，2010年，“震網(wǎng)”病毒入侵伊朗核電站、破壞伊朗核計劃，導致伊朗核電站計劃失敗，至今仍然未能恢復。2016年12月，黑客利用Industroyer惡意軟件攻擊烏克蘭一所變電站，導致基輔等地區電力供應短暫中斷，這款?lèi)阂廛浖恍枰謩?dòng)操作，可自動(dòng)擾亂工業(yè)控制系統的正常運行，對電網(wǎng)等基礎設施的安全運行構成嚴重威脅。2017年5月12日20時(shí)左右，全球爆發(fā)大規模勒索軟件感染事件，波及一百多個(gè)國家或地區，我國石油、交通等涉及國計民生的部分工控系統“中招”，造成嚴重后果。6月27日晚11時(shí)許，勒索病毒“Wanna Cry”變種為“Petrwrap”病毒，在烏克蘭和俄羅斯爆發(fā)，逐漸蔓延到歐洲多國。包括切爾諾貝利核電站在內的烏克蘭大量設施受到影響，烏克蘭Ukrenego電力供應商系統也遭中斷。通過(guò)這次安全事件，工控系統的安全再次成為關(guān)注的重點(diǎn)。

工業(yè)控制系統（Industrial Control Systems,ICS），是由各種自動(dòng)化控制組件和實(shí)時(shí)數據采集、監測的過(guò)程控制組件共同構成。其組件包括數據采集與監控系統（SCADA）、分布式控制系統（DCS）、可編程邏輯控制器（PLC）、遠程終端（RTU）、智能電子設備(IED)，以及確保各組件通信的接口技術(shù)。工業(yè)控制系統的操作系統、殺毒軟件安裝及升級更新、設備維修時(shí)筆記本電腦的隨便接入、操作行為、控制終端、管理終端、服務(wù)器、網(wǎng)絡(luò )設備故障等都存在許多潛在的風(fēng)險。

工業(yè)控制系統被廣泛應用于石油、石化、冶金、電力、燃氣、煤礦、煙草以及市政等領(lǐng)域，用于控制關(guān)鍵生產(chǎn)設備的運行。這些領(lǐng)域中的工業(yè)控制系統一旦遭到破壞，不僅會(huì )影響產(chǎn)業(yè)經(jīng)濟的持續發(fā)展，更會(huì )對國家安全造成巨大的損害。網(wǎng)絡(luò )安全等級保護是網(wǎng)絡(luò )安全工作的基本制度、基本國策；是開(kāi)展網(wǎng)絡(luò )安全工作的基本方法；是信息化健康發(fā)展、維護國家網(wǎng)絡(luò )安全的根本保障，是國家意志的體現，也是目前嚴峻的安全形勢下，亟待完成的基礎安全防護，本文主要講述在工業(yè)控制系統中如何實(shí)現網(wǎng)絡(luò )安全等級保護的相關(guān)要求。

2　網(wǎng)絡(luò )安全等級保護流程

開(kāi)展網(wǎng)絡(luò )安全等級保護工作，可以實(shí)現網(wǎng)絡(luò )安全領(lǐng)域“明確重點(diǎn)、突出重點(diǎn)、保護重點(diǎn)”的目標，將有限的財力、物力、人力投入到重要信息系統安全保護中，有效保護基礎信息網(wǎng)絡(luò )和關(guān)系到國家安全、經(jīng)濟建設、社會(huì )穩定的重要信息系統的安全。

等級保護的規定流程為“定級、備案、安全建設整改、等級測評、監督檢查”^[1]，如圖１所示。

圖1 等級保護的規定流程

根據信息系統在國家安全、經(jīng)濟建設、社會(huì )生活中的重要程度，信息系統遭到破壞后對國家安全、社會(huì )秩序、公共利益及公民、法人和其他組織的合法權益的危害程度，將系統的安全保護等級分成5級（從第1級到第5級逐級增高）。定級后2級以上系統須在公安機關(guān)備案，公安機關(guān)審核合格后頒發(fā)備案證明；各單位各部門(mén)根據系統等級按照國家標準進(jìn)行安全建設整改，聘請測評機構進(jìn)行等級測評；公安機關(guān)定期開(kāi)展監督、檢查、指導。

3　網(wǎng)絡(luò )安全等級保護標準的發(fā)展

近年來(lái)，云計算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)和工業(yè)控制等新技術(shù)、新應用在國家關(guān)鍵信息基礎設施領(lǐng)域的應用日益廣泛，這4個(gè)領(lǐng)域面臨的安全威脅日益嚴重，原有網(wǎng)絡(luò )安全等級保護標準體系已經(jīng)很難適應新技術(shù)、新應用的發(fā)展，因此對現有的標準體系（GB/T 22239《網(wǎng)絡(luò )安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》）進(jìn)行了修訂和補充，形成了以下系列標準：

（１）《網(wǎng)絡(luò )安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求第1部分　安全通用要求》；

（２）《網(wǎng)絡(luò )安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求第2部分　云計算安全擴展要求》；

（３）《網(wǎng)絡(luò )安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求第3部分　移動(dòng)互聯(lián)安全擴展要求》；

（４）《網(wǎng)絡(luò )安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求第4部分　物聯(lián)網(wǎng)安全擴展要求》；

（５）《網(wǎng)絡(luò )安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求第5部分　工業(yè)控制系統安全擴展要求》；

（６）《網(wǎng)絡(luò )安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求第6部分　大數據安全擴展要求》。

企業(yè)用戶(hù)應結合自身行業(yè)特點(diǎn)和企業(yè)特點(diǎn)，將第1部分和第5部分結合使用，實(shí)現各級技術(shù)要求和管理要求。

4　工業(yè)控制系統的層次結構

ICS是由計算機設備與工業(yè)過(guò)程控制部件組成的自動(dòng)控制系統，從上到下共分為5個(gè)層級，依次為企業(yè)資源層、生產(chǎn)管理層、過(guò)程監控層、現場(chǎng)控制層和現場(chǎng)設備層，不同層級的實(shí)時(shí)性要求不同^[2]。該層次結構的簡(jiǎn)要劃分模型如圖2所示。

圖2 工業(yè)控制系統架構

各個(gè)層次功能與作用的詳細介紹如表１所示。

表1 工業(yè)控制系統各個(gè)層次功能列表

5　工業(yè)控制系統中保護的對象

在工業(yè)控制系統中，各個(gè)層次由不同的設備或系統組成，這些設備或系統就是網(wǎng)絡(luò )安全等級保護中需要保護的對象，如表2所示。

表2 工業(yè)控制系統各個(gè)層次中的保護對象

6　工業(yè)控制系統等級保護總體原則和要求

對工業(yè)控制系統的軟件、硬件、網(wǎng)絡(luò )協(xié)議等的安全性，規定了需要保護的數據、指令、協(xié)議等要素，其具體實(shí)現方式、防護手段應根據具體的工業(yè)控制系統品牌、配置、工程實(shí)際等具體確定。但應保證這些防護措施對系統的正常運行不產(chǎn)生危害或災難性的生產(chǎn)停頓，經(jīng)過(guò)工業(yè)現場(chǎng)的工程實(shí)踐驗證，并獲得用戶(hù)認可^[3]。

工業(yè)控制系統等級保護定義有總體原則、技術(shù)要求和管理要求共三類(lèi)說(shuō)明。其中，總體原則是針對工業(yè)控制系統整體提出的安全域保護原則；技術(shù)要求和管理要求是針對不同安全保護等級對工業(yè)控制系統應該具有的基本安全保護能力提出的安全要求。

6.1　安全域保護原則

根據工業(yè)控制系統安全域模型的劃分原則，將工業(yè)控制系統劃分為若干安全域，再根據系統實(shí)際情況，對不同的安全域采取不同的安全保護措施^[4]。

（1）安全域劃分

在一個(gè)工業(yè)大系統或復雜系統中，對所有組件采取相同等級的安全措施是不實(shí)際或不必要的。在不同的實(shí)際情況下，資產(chǎn)的安全等級不同，因此提出使用安全域（或受保護的區域）的概念。

劃分安全域時(shí)，應綜合考慮資產(chǎn)重要性、資產(chǎn)價(jià)值、資產(chǎn)地理位置、系統功能、控制對象、生產(chǎn)廠(chǎng)商及資產(chǎn)被破壞時(shí)所造成的損失、社會(huì )影響程度等因素，將控制系統進(jìn)行安全域劃分。

（2）安全域邊界防護

在不影響各安全域工作的前提下，在各安全域邊界處設置不同的安全隔離設備，確保各個(gè)安全域之間有清楚明晰的邊界設定。

（3）安全域保護措施

依據定級對象安全等級，結合各安全域實(shí)際情況，按照等級保護標準中第1級至第4級基本要求，采取不同安全保護措施。

6.2　技術(shù)要求和管理要求

技術(shù)要求和管理要求是保證工業(yè)控制系統安全不可分割的2個(gè)部分。技術(shù)要求主要通過(guò)在工業(yè)控制系統中部署軟、硬件并正確配置其安全功能來(lái)實(shí)現。管理要求主要通過(guò)控制各種角色的活動(dòng)，從政策、制度、標準、流程以及記錄等方面做出規定來(lái)實(shí)現^[5]。

技術(shù)要求分為物理安全、邊界防護、生產(chǎn)管理層安全、過(guò)程監控層安全、現場(chǎng)控制層安全、現場(chǎng)設備層安全，其中各層級安全要求又分為網(wǎng)絡(luò )和通信安全、設備和計算安全、應用和數據安全。

管理要求主要來(lái)自于通用安全要求，分為安全策略和管理制度、安全管理機構和人員、安全建設管理、安全運維管理四大類(lèi)。

技術(shù)要求和管理要求從各個(gè)層面或方面提出了工業(yè)控制系統的每個(gè)組件應該滿(mǎn)足的安全要求，工業(yè)控制系統具有的整體安全保護能力通過(guò)不同組件實(shí)現基本安全要求來(lái)保證^[6]。除了保證系統的每個(gè)組件滿(mǎn)足安全要求外，還要考慮組件之間的相互關(guān)系，來(lái)保證系統的整體安全保護能力。

以下重點(diǎn)介紹技術(shù)類(lèi)3級安全要求。

（1）物理環(huán)境安全

物理環(huán)境安全是保護工業(yè)控制系統中物理設備不受直接破壞，保護的對象主要有機房、辦公場(chǎng)所、重要和關(guān)鍵工業(yè)控制設備所在的區域。

對上述區域的位置選擇、物理訪(fǎng)問(wèn)控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護等方面提出要求。為了防止非授權人員進(jìn)入重要物理區域，例如機房，出入口應配置電子門(mén)禁系統，控制、鑒別和記錄進(jìn)入的人員。為了防止感應雷，通過(guò)采取機柜、設施和設備等接地系統安全接地來(lái)實(shí)現防雷擊，還應部署防雷保安器或過(guò)壓保護裝置^[7]。

在工業(yè)控制系統中，對于室外控制設備也應該采取必要的措施進(jìn)行安全防護，因此，工業(yè)控制系統擴展安全要求中明確規定了室外控制設備的安裝位置、安裝方式：①室外控制設備應放置于采用鐵板或其他防火絕緣材料制作的箱體或裝置中；②控制設備應安裝在金屬或其他絕緣板上（非木質(zhì)板），并緊固于箱體或裝置中；③室外控制設備應采取措施避免極端天氣環(huán)境；④室外控制設備應放置于遠離強電磁干擾和熱源的地方。

（2）網(wǎng)絡(luò )和通信安全

在工業(yè)控制系統中的網(wǎng)絡(luò )邊界安全尤為重要，為了防止從外部網(wǎng)絡(luò )和內部非重要網(wǎng)絡(luò )對重要網(wǎng)絡(luò )區域的入侵，要求限制和監測非授權設備私自聯(lián)到內部網(wǎng)絡(luò )的行為、內部用戶(hù)非授權聯(lián)到外部網(wǎng)絡(luò )的行為；對于無(wú)線(xiàn)網(wǎng)絡(luò )使用進(jìn)行嚴格控制，對所有參與無(wú)線(xiàn)通信的用戶(hù)（人員和軟件進(jìn)程）提供唯一性標識和身份鑒別，確保無(wú)線(xiàn)網(wǎng)絡(luò )通過(guò)受控的邊界防護設備接入內部網(wǎng)絡(luò )。監視和控制區域邊界通信，默認拒絕所有非必要的網(wǎng)絡(luò )數據流，僅允許例外網(wǎng)絡(luò )數據流；邊界防護機制失效時(shí)，能阻止所有邊界通信（也稱(chēng)故障關(guān)閉）并及時(shí)進(jìn)行報警，但故障關(guān)閉功能的設計不應干擾安全相關(guān)功能的運行。

在審計安全中，鑒于工業(yè)控制系統設備的多樣性和復雜性，要求應能集中管理審計事件并從系統多個(gè)組件收集審計記錄。按照工業(yè)標準格式輸出審計記錄，用于商業(yè)日志分析工具進(jìn)行分析。

在訪(fǎng)問(wèn)控制中，要求網(wǎng)絡(luò )邊界或區域之間根據訪(fǎng)問(wèn)控制策略設置訪(fǎng)問(wèn)控制規則，對進(jìn)出網(wǎng)絡(luò )的信息內容進(jìn)行過(guò)濾，實(shí)現對內容的訪(fǎng)問(wèn)控制。

（3）設備和計算安全

測評對象為工業(yè)控制系統中的設備，包括網(wǎng)絡(luò )設備、安全設備、服務(wù)器、終端、數據庫管理系統、控制器、控制單元、記錄裝置、傳感器、執行機構、保護裝置等^[8]。

要求對上述設備的遠程管理、組態(tài)文件下裝等重要操作進(jìn)行身份鑒別；禁止使用默認賬戶(hù)和密碼登錄，密碼應有復雜度要求；具有鑒別失敗處理功能；同時(shí)，應防止身份鑒別信息在傳輸過(guò)程中被竊聽(tīng)。

對于防止惡意代碼，應在重要和關(guān)鍵設備、關(guān)鍵網(wǎng)絡(luò )節點(diǎn)、所有入口和出口處對惡意代碼進(jìn)行檢測和清除，并對惡意代碼庫進(jìn)行統一升級和更新；在重要和關(guān)鍵設備、關(guān)鍵網(wǎng)絡(luò )節點(diǎn)處對垃圾郵件進(jìn)行檢測和防護，并維護垃圾郵件防護機制的升級和更新。應做到對可能造成損害的移動(dòng)代碼技術(shù)執行使用進(jìn)行限制；采取措施防止、檢測、報告和減輕惡意代碼或未經(jīng)授權軟件的影響。對重要和關(guān)鍵設備中重要程序或文件完整性檢測，并在檢測到破壞后進(jìn)行恢復。

對工業(yè)控制系統中重要設備的用戶(hù)登錄、操作、行為、資源使用情況等信息應保留審計記錄，以便于發(fā)生安全事件時(shí)進(jìn)行分析、跟蹤、追責。審計記錄應包括事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功及其他與審計相關(guān)的信息，并對審計記錄進(jìn)行保護，按照規定留存相關(guān)的網(wǎng)絡(luò )日志不少于六個(gè)月。另外，審計記錄產(chǎn)生時(shí)的時(shí)間應由系統范圍內唯一確定的時(shí)鐘產(chǎn)生，以確保審計分析的正確性。

（4）應用系統安全

測評對象為與企業(yè)資源相關(guān)的財務(wù)管理、資產(chǎn)管理、人力管理等系統的軟件和數據資產(chǎn)，與生產(chǎn)制造相關(guān)的倉儲管理、先進(jìn)控制、工藝管理等系統的軟件和數據資產(chǎn)，監控軟件，控制程序等。

登錄上述應用系統時(shí)，應對登錄的用戶(hù)進(jìn)行身份標識和鑒別，鑒別信息具有復雜度要求并定期更換；啟用登錄失敗處理功能；強制用戶(hù)首次登錄時(shí)修改初始口令；用戶(hù)身份鑒別信息丟失或失效時(shí)，應采用鑒別信息重置或其他技術(shù)措施保證系統安全；應對同一用戶(hù)采用2種或2種以上組合的鑒別技術(shù)實(shí)現用戶(hù)身份鑒別。

上述應用系統應提供訪(fǎng)問(wèn)控制功能，對登錄的用戶(hù)分配賬號和權限；重命名系統默認賬號或修改這些賬號的默認口令；及時(shí)刪除或停用多余的、過(guò)期的賬號，避免共享賬號的存在；應授予不同賬號為完成各自承擔任務(wù)所需的最小權限，并在它們之間形成相互制約的關(guān)系。

應用系統提供安全審計功能，審計覆蓋到每個(gè)用戶(hù)，對重要的用戶(hù)行為和重要安全事件進(jìn)行審計；審計信息至少包括事件的日期和時(shí)間、主體、客體、類(lèi)型、結果等信息。

應用系統還應該具備軟件容錯能力，提供數據有效性檢驗功能，保證通過(guò)人機接口輸入或通過(guò)通信接口輸入的內容符合系統設定要求；在故障發(fā)生時(shí)，應能夠繼續提供一部分功能，確保能夠實(shí)施必要的措施；應提供自動(dòng)保護功能，當故障發(fā)生時(shí)自動(dòng)保護當前所有狀態(tài)，保證系統能夠進(jìn)行恢復。

（5）數據安全

工業(yè)控制系統應采用校驗碼技術(shù)或加解密技術(shù)保證重要數據在傳輸過(guò)程或存儲過(guò)程的完整性，采用加密或其他保護措施實(shí)現系統管理數據、鑒別信息和重要業(yè)務(wù)數據傳輸或存儲的保密性^[9]。

對于重要數據應提供重要數據的本地數據備份與恢復功能，提供異地實(shí)時(shí)備份功能，利用通信網(wǎng)絡(luò )將重要數據實(shí)時(shí)備份至備份場(chǎng)地，提供重要數據處理系統的熱冗余，保證系統的高可用性^[10]。

綜上所述，工業(yè)控制系統要達到等級保護的要求，必須從物理環(huán)境安全、網(wǎng)絡(luò )和通信安全、設備和計算安全、應用系統安全、數據安全、安全管理等多個(gè)層面去落實(shí)相關(guān)規定，定期開(kāi)展應急演練、漏洞掃描修復、系統安全管理等防護工作，三級工控系統每年進(jìn)行一次等級測評，對發(fā)現的安全問(wèn)題及隱患，依據網(wǎng)絡(luò )安全等級保護理論進(jìn)行安全整改加固，消除潛在的安全風(fēng)險，提高工控系統的綜合安全防護能力。

作者簡(jiǎn)介

張　偉（1976-），男，高級工程師，碩士，國家科技部、國資委、北京科委網(wǎng)絡(luò )安全專(zhuān)家，工控系統信息安全技術(shù)國家工程實(shí)驗室技術(shù)委員會(huì )委員，主要研究方向是網(wǎng)絡(luò )安全。

參考文獻：

[1] 羅常. 工業(yè)控制系統信息安全防護體系在電力系統中的應用研究[J]. 機電工程技術(shù), 2016, 45 ( 12 ) : 97 - 100.

[2] 王昱鑌, 陳思, 程楠. 工業(yè)控制系統信息安全防護研究[J]. 信息網(wǎng)絡(luò )安全, 2016, ( 9 ) : 35 - 39.

[3] 陳猛, 史家嶺. 電力系統信息安全研究綜述[J]. 工程技術(shù): 全文版, 2016, ( 4 ) : 00211 - 00211.

[4] 安寧鈺, 王志皓, 趙保華. 可信計算技術(shù)在電力系統中的研究與應用[J]. 網(wǎng)絡(luò )安全研究, 2017, 3 ( 4 ) : 353 - 358.

[5] 張五一, 李圣泉, 能源行業(yè)工控系統網(wǎng)絡(luò )安全分析與防護[J]. 網(wǎng)絡(luò )安全與通信保密,2015, ( 4 ) : 41 - 44.

[6] 樓鳳丹, 裴旭斌, 王志強, 紀德良. 基于云計算及大數據技術(shù)的電力搜索引擎技術(shù)研究[J]. 電網(wǎng)與清潔能源, 2016, 32( 12 ) : 86 - 92.

[7] 秦玉杰. 一種基于分布式蜜罐技術(shù)的勒索蠕蟲(chóng)病毒監測方法[J]. 信息技術(shù)與網(wǎng)絡(luò )安全, 2018, 37 ( 9 ) : 45 - 48.

[8] 徐洋, 朱丹, 張煥國, 等. 云環(huán)境下基于代數簽名持有性審計的大數據安全存儲方案[J]. 計算機科學(xué), 2016, 43 ( 10 ) : 172 - 176.

[9] 歐陽(yáng)丹. 基于云計算的電力信息系統數據安全技術(shù)探討[J]. 華東科技: 學(xué)術(shù)版, 2016, ( 5 ) : 234 - 234.

[10] 劉新, 馬雷, 于灝, 等. 云計算環(huán)境下的電力信息系統數據安全技術(shù)研究[J]. 信息與電腦: 理論版, 2016, ( 12 ) : 23 - 24.

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第六輯）》