摘要：本文通過(guò)介紹《GBT22239-2019信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》（簡(jiǎn)稱(chēng)等保2.0）中工業(yè)控制系統安全的要求，提出了基于等保2.0要求的工業(yè)控制系統安全防護方案。

關(guān)鍵詞：工業(yè)控制系統；工業(yè)控制系統安全；等級保護

Abstract: In this paper, by introducing the "GBT22239-2019 Information Security Technology — Baseline for classified protection of cybersecurity" (classified protection of cybersecurity 2.0) industrial control system security requirements, the industrial control system security protection scheme based on classified protection of cybersecurity 2.0 requirements is proposed.

Key words: Industrial control system; Security of industrial control system;Classified protection of cybersecurity

1　引言

在“兩化”融合的行業(yè)發(fā)展需求下，現代工業(yè)控制系統的技術(shù)進(jìn)步主要表現在兩大方面：信息化與工業(yè)化的深度融合，為了提高生產(chǎn)高效運行、生產(chǎn)管理效率，國內眾多行業(yè)大力推進(jìn)工業(yè)控制系統自身的集成化，集中化管理。系統的互聯(lián)互通性逐步加強，工控網(wǎng)絡(luò )與辦公網(wǎng)、互聯(lián)網(wǎng)也存在千絲萬(wàn)縷的聯(lián)系。

德國的工業(yè)4.0標準、美國的“工業(yè)互聯(lián)網(wǎng)”以及“先進(jìn)制造業(yè)國家戰略計劃”、日本的“科技工業(yè)聯(lián)盟”、英國的“工業(yè)2050戰略”、中國“互聯(lián)網(wǎng)+”     “中國制造2025”等相繼出臺，對工業(yè)控制系統的通用性與開(kāi)放性提出了更高的要求。未來(lái)工業(yè)控制系統將會(huì )有一個(gè)長(cháng)足發(fā)展，工業(yè)趨向于自動(dòng)化、智能化，系統之間的互聯(lián)互通也更加緊密，面臨的安全威脅也會(huì )越來(lái)越多。

據權威工業(yè)安全事件信息庫RISI統計，截止到2018年10月，全球已發(fā)生800余起針對工業(yè)控制系統的攻擊事件。分析工業(yè)控制系統正在面臨前所未有的信息安全威脅，具體包括：

（1）由于病毒、惡意軟件等導致的工廠(chǎng)停產(chǎn)；

（2）工業(yè)制造的核心數據、配方被竊??；

（3）制造工廠(chǎng)及其關(guān)鍵工控生產(chǎn)流程被破壞；

（4）惡意操縱工控數據或應用軟件；

（5）對工控系統功能未經(jīng)授權的訪(fǎng)問(wèn)等。

由于長(cháng)期缺乏安全需求的推動(dòng)，對（采用 TCP/IP等通用技術(shù)的）網(wǎng)絡(luò )環(huán)境下廣泛存在的安全威脅缺乏充分認識，現有的工業(yè)自動(dòng)化控制系統在設計、研發(fā)中沒(méi)有充分考慮安全問(wèn)題，在部署、運維中又缺乏安全意識、管理、流程、策略與相關(guān)專(zhuān)業(yè)技術(shù)的支撐，導致許多工業(yè)自動(dòng)化控制系統中存在著(zhù)諸多安全問(wèn)題，一旦被無(wú)意或惡意利用就會(huì )造成各種信息安全事件。整體上看來(lái)工業(yè)控制系統安全趨勢不容樂(lè )觀(guān)，各行業(yè)工控安全建設迫在眉睫。

2　工業(yè)控制系統等級保護要求

工業(yè)控制系統（ICS）是幾種類(lèi)型控制系統的總稱(chēng)，包括數據采集與監視控制系統（SCADA）、集散控制系統（DCS）和其它控制系統，如在工業(yè)部門(mén)和關(guān)鍵基礎設施中經(jīng)常使用的可編程邏輯控制器（PLC）。工業(yè)控制系統通常用于諸如電力、水和污水處理、石油和天然氣、化工、交通運輸、制藥、紙漿和造紙、食品和飲料以及離散制造（如汽車(chē)、航空航天和耐用品）等行業(yè)。工業(yè)控制系統主要由過(guò)程級、操作級以及各級之間和內部的通信網(wǎng)絡(luò )構成，對于大規模的控制系統，也包括管理級。過(guò)程級包括被控對象、現場(chǎng)控制設備和測量?jì)x表等，操作級包括工程師和操作員站、人機界面和組態(tài)軟件、控制服務(wù)器等，管理級包括生產(chǎn)管理系統和企業(yè)資源系統等，通信網(wǎng)絡(luò )包括商用以太網(wǎng)、工業(yè)以太網(wǎng)、現場(chǎng)總線(xiàn)等。

根據IEC  62264-1對工業(yè)控制系統的層次模型從上到下共分為5個(gè)層級（如圖1所示），依次為企業(yè)資源層、生產(chǎn)管理層、過(guò)程監控層、現場(chǎng)控制層和現場(chǎng)設備層，不同層級的實(shí)時(shí)性要求不同。企業(yè)資源層主要包括ERP系統功能單元，用于為企業(yè)決策層員工提供決策運行手段；生產(chǎn)管理層主要包括MES系統功能單元，用于對生產(chǎn)過(guò)程進(jìn)行管理，如制造數據管理、生產(chǎn)調度管理等；過(guò)程監控層主要包括監控服務(wù)器與HMI系統功能單元，用于對生產(chǎn)過(guò)程數據進(jìn)行采集與監控，并利用HMI系統實(shí)現人機交互；現場(chǎng)控制層主要包括各類(lèi)控制器單元，如PLC、DCS控制單元等，用于對各執行設備進(jìn)行控制；現場(chǎng)設備層主要包括各類(lèi)過(guò)程傳感設備與執行設備單元，用于對生產(chǎn)過(guò)程進(jìn)行感知與操作。

工業(yè)控制系統構成的復雜性，組網(wǎng)的多樣性，以及等級保護對象劃分的靈活性，給網(wǎng)絡(luò )安全等級保護基本要求的使用帶來(lái)了選擇的需求。為了便于實(shí)現對不同級別的和不同形態(tài)的等級保護對象的共性化和個(gè)性化保護，等級保護要求分為安全通用要求和安全擴展要求（如圖1所示）。

圖1  工業(yè)控制系統各層次及等級保護要求

3 工業(yè)控制系統等級保護安全防護

3.1　安全建設基本原則

對于工控安全建設，應當以適度安全為核心，以重點(diǎn)保護為原則，從業(yè)務(wù)的角度出發(fā)，重點(diǎn)保護重要的業(yè)務(wù)系統，在方案設計中應當遵循以下的原則：

（1）適度安全

任何系統都不能做到絕對的安全，在進(jìn)行工控安全等級保護規劃中，要在安全需求、安全風(fēng)險和安全成本之間進(jìn)行平衡和折中，過(guò)多的安全要求必將造成安全成本的迅速增加和運行的復雜性。適度安全也是等級保護建設的初衷，因此在進(jìn)行等級保護設計的過(guò)程中，一方面要嚴格遵循基本要求，從物理、網(wǎng)絡(luò )、主機、應用、數據等層面加強防護措施，保障信息系統的機密性、完整性和可用性，另外也要從綜合成本的角度，針對系統的實(shí)際風(fēng)險，提出對應的保護強度，并按照保護強度進(jìn)行安全防護系統的設計和建設，從而有效控制成本。

（2）技術(shù)管理并重

工控安全問(wèn)題從來(lái)就不是單純的技術(shù)問(wèn)題，把防范黑客入侵和病毒感染理解為工控安全問(wèn)題的全部是片面的，僅僅通過(guò)部署安全產(chǎn)品很難完全覆蓋所有的工控安全問(wèn)題，因此必須要把技術(shù)措施和管理措施結合起來(lái)，更有效地保障信息系統的整體安全性，形成技術(shù)和管理兩個(gè)部分的建設方案。

（3）分區分域建設

對工控系統進(jìn)行安全保護的有效方法就是分區分域，由于工控系統中各個(gè)資產(chǎn)的重要性是不同的，并且訪(fǎng)問(wèn)特點(diǎn)也不盡相同，因此需要把具有相似特點(diǎn)的資產(chǎn)集合起來(lái)，進(jìn)行總體防護，從而可更好地保障安全策略的有效性和一致性；另外分區分域還有助于對網(wǎng)絡(luò )系統進(jìn)行集中管理，一旦其中某些安全區域內發(fā)生安全事件，可通過(guò)嚴格的邊界安全防護限制事件在整網(wǎng)蔓延。

（4）合規性

安全保護體系應當同時(shí)考慮與其他標準的符合性，在方案中的技術(shù)部分將參考《GBT25070-2019信息安全技術(shù)網(wǎng)絡(luò )安全等級保護安全設計技術(shù)要求》進(jìn)行設計，在管理方面同時(shí)參考《GB/T 22239-2019工控安全技術(shù)信息系統安全等級保護基本要求》以及27001安全管理指南，使建成后的等級保護體系更具有廣泛的實(shí)用性。

（5）動(dòng)態(tài)調整

工控安全問(wèn)題不是靜態(tài)的，它總是隨著(zhù)管理相關(guān)的組織策略、組織架構、信息系統和操作流程的改變而改變，因此必須要跟蹤信息系統的變化情況，調整安全保護措施。

3.2　安全防護方案

本方案按照工業(yè)控制系統的層次關(guān)系，依據《GBT22239-2019信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》及系列標準要求，在整體方案設計上，重點(diǎn)協(xié)助客戶(hù)建立感知預警、主動(dòng)防護、全面監測、應急處置的動(dòng)態(tài)保障體系，打造“一個(gè)中心（安全管理中心）、三重防御（安全計算環(huán)境、安全區域邊界、安全通訊網(wǎng)絡(luò )）”的安全防護體系，總體的部署方案如圖2所示。

圖2  工業(yè)控制系統各層次安全防護方案

3.2.1　安全通訊網(wǎng)絡(luò )實(shí)現

工業(yè)控制系統安全通訊網(wǎng)絡(luò )主要從現場(chǎng)總線(xiàn)網(wǎng)絡(luò )數據傳輸完整性保護、現場(chǎng)總線(xiàn)網(wǎng)絡(luò )數據傳輸保密性保護、無(wú)線(xiàn)網(wǎng)絡(luò )數據傳輸完整性保護、無(wú)線(xiàn)網(wǎng)絡(luò )數據傳輸保密性保護、工控網(wǎng)絡(luò )實(shí)時(shí)響應要求、通訊網(wǎng)絡(luò )異常監測、無(wú)線(xiàn)網(wǎng)絡(luò )攻擊防護等方面進(jìn)行考慮設計，阻止惡意或入侵行為。

產(chǎn)品部署如下：

（1）在生產(chǎn)管理層（Level3）與企業(yè)資源層（Level4）之間部署采用單向傳輸策略的工業(yè)防火墻，禁止辦公網(wǎng)對生產(chǎn)網(wǎng)的非法訪(fǎng)問(wèn)，同時(shí)在過(guò)程監控層（Level2）的各個(gè)安全域間部署采用白名單策略工業(yè)防火墻，禁止非授權的訪(fǎng)問(wèn)，防止惡意代碼在安全域間擴散。

（2）在互聯(lián)網(wǎng)和辦公網(wǎng)的邊界處部署下一代防火墻，禁止互聯(lián)網(wǎng)對辦公網(wǎng)的非法訪(fǎng)問(wèn)，保障網(wǎng)絡(luò )架構安全。

3.2.2　安全區域邊界實(shí)現工業(yè)控制系統安全區域邊界主要從工控通訊協(xié)議過(guò)濾、工控通訊協(xié)議信息泄露防護、工控區域邊界審計等方面進(jìn)行考慮設計，能夠發(fā)現違規行為、阻止非法入侵。

產(chǎn)品部署如下：

（1）在過(guò)程監控層（Level2）與生產(chǎn)管理層（Level3）邊界以及生產(chǎn)管理層（Level3）與企業(yè)資源層（Level4）邊界部署基于白名單策略的工業(yè)防火墻，禁止任何穿越區域邊界的E-mail、Web、Telnet、Rlogin、FTP等通用網(wǎng)絡(luò )服務(wù)。

（2）在互聯(lián)網(wǎng)和辦公網(wǎng)的邊界處部署下一代防火墻，配置基于應用的訪(fǎng)問(wèn)策略，禁止互聯(lián)網(wǎng)對辦公網(wǎng)的非法訪(fǎng)問(wèn)。

（3）在過(guò)程監控層（Level2）與生產(chǎn)管理層（Level3）的核心交換機上旁路部署工控安全監測審計平臺，及時(shí)發(fā)現網(wǎng)絡(luò )入侵行為，并對超出基線(xiàn)異常行為報警。

（4）在企業(yè)資源層（Level4）核心交換機上旁路部署帶有沙箱功能的APT攻擊（網(wǎng)絡(luò )戰）預警平臺，對新型網(wǎng)絡(luò )攻擊行為以及未知惡意文件、0day進(jìn)行分析、記錄、報警，及時(shí)發(fā)現辦公網(wǎng)絡(luò )對工控生產(chǎn)網(wǎng)絡(luò )的攻擊行為。

3.2.3　安全計算環(huán)境實(shí)現

工業(yè)控制系統安全計算環(huán)境主要從工業(yè)控制身份鑒別、現場(chǎng)設備訪(fǎng)問(wèn)控制、現場(chǎng)設備安全審計、現場(chǎng)設備數據完整性保護、現場(chǎng)設備數據保密性保護、控制過(guò)程完整性等方面進(jìn)行考慮設計，防止未經(jīng)授權的設備、人員進(jìn)入到工控系統中造成工控系統的破壞。

產(chǎn)品部署如下：

（1）在關(guān)鍵主機和服務(wù)站上部署工控主機衛士，阻止一切不在白名單庫中的軟件、程序的安裝和執行。對主機基線(xiàn)、主機資源的訪(fǎng)問(wèn)權限、用戶(hù)的身份鑒別等進(jìn)行嚴格的管控，對外設（如U盤(pán)）進(jìn)行嚴格的監控管理。

（2）在安全運維域或工控DMZ域部署工控漏洞掃描平臺，對控制設備的漏洞進(jìn)行檢測評估，及時(shí)指導控制設備進(jìn)行補丁更新、固件更新。

（3）在過(guò)程監控層（Level2）與生產(chǎn)管理層（Level3）的核心交換機上旁路部署工控安全監測審計平臺，記錄各類(lèi)安全事件和信息，特別是不符合工業(yè)現場(chǎng)正常生產(chǎn)行為的事件或行為進(jìn)行檢測，為事件追蹤溯源提供依據。

3.2.4　安全管理中心實(shí)現

在等保建設的第一階段，先重點(diǎn)實(shí)現集中的安全管理，劃分統一的安全運維區，將已建的工業(yè)防火墻、工控安全監測審計、工控主機衛士等系統進(jìn)行統一管理。

在等保建設的第二階段，通過(guò)建立統一的大數據架構的安全管理中心，實(shí)現企業(yè)級安全態(tài)勢感知，新建并整合已有的安全能力，最終實(shí)現“建立統一的支撐平臺進(jìn)行集中的安全管理”要求和目標。

產(chǎn)品部署如下：

（1）在安全運維域或工控DMZ域部署運維審計和風(fēng)險控制系統對系統運維進(jìn)行全面的審核身份鑒別，對運維行為進(jìn)行審計、記錄、存儲和查詢(xún)。

（2）在安全運維域或工控DMZ域部署綜合日志審計平臺對分散在各個(gè)設備上的數據進(jìn)行收集匯總和集中分析。明御數據庫審計與風(fēng)險控制系統對數據庫的操作行為審計、記錄、存儲。

（3）在安全運維域或工控DMZ域部署工業(yè)安全管控平臺實(shí)現對安全設備或安全組件的安全策略、惡意代碼、補丁升級等統一集中管理。

（4）在安全運維域或工控DMZ域部署工業(yè)安全態(tài)勢感知平臺對安全設備、網(wǎng)絡(luò )設備、網(wǎng)絡(luò )鏈路、主機和服務(wù)器進(jìn)行集中監控，對各類(lèi)安全事件進(jìn)行識別、報警和分析，對攻擊行為追蹤溯源等。

4　結語(yǔ)

工業(yè)控制系統是工業(yè)企業(yè)的大腦，應用在各行各業(yè)，特別是國家的關(guān)鍵基礎設施上，工業(yè)控制系統一旦受到破壞，其影響和損失不僅僅限于直觀(guān)的經(jīng)濟損失，重則會(huì )直接影響普通民眾的日常生活甚至造成人員傷亡，更為嚴重的是會(huì )影響到國家的安全和社會(huì )的穩定。工業(yè)控制系統關(guān)乎國家安全，加強工控網(wǎng)絡(luò )安全是中國工業(yè)化與時(shí)俱進(jìn)發(fā)展的必然要求。

作者簡(jiǎn)介

安成飛（1981-），男，遼寧人，工程師，現就職于杭州安恒信息技術(shù)股份有限公司，主要從事工業(yè)控制系統及信息安全研究工作。

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第六輯）》