一 引言

隨著(zhù)工業(yè)化與信息化深度融合，以工業(yè)互聯(lián)網(wǎng)、信息物理系統、制造業(yè)創(chuàng )新網(wǎng)絡(luò )等為特征的智能工業(yè)將引領(lǐng)我國工業(yè)邁入轉型發(fā)展的新時(shí)代，工業(yè)控制系統（ICS）已成為國家關(guān)鍵基礎設施的神經(jīng)中樞，其安全防護至關(guān)重要。

工業(yè)控制系統包括數據采集與監視控制系統（SCADA）、集散控制系統（DCS）和其它控制系統，如在工業(yè)部門(mén)和關(guān)鍵基礎設施中經(jīng)常使用的可編程邏輯控制器（PLC）。工業(yè)控制系統通常用于諸如電力、水和污水處理、石油和天然氣、化工、交通運輸、制藥、紙漿和造紙、食品和飲料以及離散制造（如汽車(chē)、航空航天和耐用品）等行業(yè)。

工業(yè)控制系統的安全包括信息安全（Security）和功能安全（Safety）。信息安全是指保證工業(yè)控制系統的信息可用性、完整性、保密性，防范非授權的竊取、破壞。功能安全是指保證工業(yè)控制系統或控制設備執行正確的功能，當失效或故障發(fā)生時(shí)，控制設備和工業(yè)控制系統仍需保持安全條件或者進(jìn)入到安全狀態(tài)。

因此，工業(yè)控制系統的信息安全是用于構建工業(yè)控制系統多區域多邊界的防護結構，形成工業(yè)控制系統的信息安全防護屏障；工業(yè)控制系統的功能安全是工業(yè)控制系統的最終防護屏障，當工業(yè)控制系統外圍防護被突破后，為避免安全事故發(fā)生而采取降低傷害的概率和嚴重程度的安全手段。

《中華人民共和國網(wǎng)絡(luò )安全法》，在第二十一條規定“國家實(shí)行網(wǎng)絡(luò )安全等級保護制度”。因此，需要綜合采納信息安全和功能安全的保護思想，對工業(yè)控制系統進(jìn)行網(wǎng)絡(luò )安全等級保護，即通過(guò)采取必要措施，防范對工業(yè)控制系統網(wǎng)絡(luò )的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使工業(yè)控制系統網(wǎng)絡(luò )處于穩定可靠運行的狀態(tài)，以及保障工業(yè)控制系統網(wǎng)絡(luò )數據的完整性、保密性、可用性的能力。

二

2.1 工業(yè)控制系統的典型層次模型

工業(yè)控制系統主要由過(guò)程級、操作級以及各級之間和內部的通信網(wǎng)絡(luò )構成，對于大規模的控制系統，也包括管理級。過(guò)程級包括被控對象、現場(chǎng)控制設備和測量?jì)x表等，操作級包括工程師和操作員站、人機界面和組態(tài)軟件、控制服務(wù)器等，管理級包括生產(chǎn)管理系統和企業(yè)資源系統等，通信網(wǎng)絡(luò )包括商用以太網(wǎng)、工業(yè)以太網(wǎng)、現場(chǎng)總線(xiàn)等。

依據國際標準IEC 62443-1-1，本文給出工業(yè)控制系統參考模型，如圖1所示。工業(yè)控制系統參考模型根據工業(yè)控制系統的特點(diǎn)及工業(yè)典型層次模型架構，給出了工業(yè)控制系統所涵蓋的層級范圍。

企業(yè)資源層，主要包括ERP系統功能單元，用于為企業(yè)決策層員工提供決策運行手段。

生產(chǎn)管理層，包括管理生產(chǎn)所需的工作流程所涉及的主要功能和系統，例如調度生產(chǎn)、生產(chǎn)計劃、可靠性保障和現場(chǎng)控制業(yè)務(wù)優(yōu)化等功能系統。主要包括MES生產(chǎn)管理系統、EMS能源管理系統、生產(chǎn)調度系統等系統，主要用于將決策層生產(chǎn)計劃等信息轉化成車(chē)間的生產(chǎn)調度計劃，并將計劃細化到作業(yè)工位。依據底層控制系統提供的設備、人員、物料等實(shí)時(shí)數據，進(jìn)行分析、計算與處理。

過(guò)程監控層，包括監視和控制過(guò)程所涉及的功能和系統，過(guò)程監控層系統為提供操作員人機界面功能、提供報警和過(guò)程歷史記錄收集等功能的系統。主要用于對生產(chǎn)過(guò)程中不同方面數據進(jìn)行采集與集中監控，實(shí)現對工業(yè)生產(chǎn)的監視、控制、分析、報警等功能。

現場(chǎng)控制層，包括直接用于工業(yè)控制過(guò)程的安全保護系統和基本控制系統，如用以完成連續控制、順序控制、批量控制和離散控制的工業(yè)自動(dòng)化控制系統。直接用于工業(yè)控制過(guò)程的基本控制系統包括但不限于DCS、PLC、RTU等，安全保護系統如SIS安全儀表系統等。

現場(chǎng)設備層，包括實(shí)際參與工業(yè)生產(chǎn)和業(yè)務(wù)的工業(yè)控制物理過(guò)程，該層涉及的生產(chǎn)設施為直接連接到工藝和工業(yè)設備且受現場(chǎng)控制層控制系統控制的傳感器和執行器等。

2.2 工業(yè)控制系統各層次涵蓋的典型對象

結合國際標準IEC 62443-1-1和工業(yè)控制系統各層次的典型對象類(lèi)型，本文給出了GB/T 22239-2019《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》（以下簡(jiǎn)稱(chēng)為“GB/T 22239-2019”）中工業(yè)控制系統各層級所覆蓋的典型生產(chǎn)控制系統和裝置，供工業(yè)控制系統安全建設時(shí)參考使用。

工業(yè)控制系統各層級所覆蓋的典型生產(chǎn)控制系統和裝置如表1所示。

構建工業(yè)控制系統的綜合安全防護體系時(shí)，可以依據工業(yè)控制系統的層級和安全保護級別采取合適的安全保護措施。

三 工業(yè)控制系統的等級保護對象

工業(yè)控制系統是非常復雜的系統，需要根據工業(yè)控制系統的規模、功能以及業(yè)務(wù)主體來(lái)劃分工業(yè)控制系統的等級保護對象和明確網(wǎng)絡(luò )安全責任主體。

一般來(lái)說(shuō)，工業(yè)控制系統主要包括現場(chǎng)采集/執行、現場(chǎng)控制、過(guò)程控制和生產(chǎn)管理等特征要素。其中，現場(chǎng)采集/執行、現場(chǎng)控制和過(guò)程控制等要素需作為一個(gè)整體對象定級，各要素不單獨定級；生產(chǎn)管理要素宜單獨定級。

對于大型工業(yè)控制系統，可以根據系統功能、責任主體、控制對象和生產(chǎn)廠(chǎng)商等因素劃分為多個(gè)定級對象。

3.1 工業(yè)控制系統等級保護對象的縱向劃分方法

在確定工業(yè)控制系統等級保護對象的時(shí)候，企業(yè)資源層、生產(chǎn)管理層的構成要素可以分別作為單獨的等級保護對象，而過(guò)程監控層、現場(chǎng)控制層和現場(chǎng)設備層的構成要素應作為一個(gè)整體對象，各要素不單獨定級。這是從縱向（功能層次）劃分工業(yè)控制系統的等級保護對象，如圖2所示。

3.2 工業(yè)控制系統等級保護對象的橫向劃分方法

如果工業(yè)控制系統規模很大，并且橫向上的業(yè)務(wù)責任主體和系統功能也不同，可以在橫向上根據工業(yè)控制系統業(yè)務(wù)的責任主體和工業(yè)控制系統的不同功能、控制對象的不同范圍等因素將現場(chǎng)設備層、現場(chǎng)控制層和過(guò)程監控層進(jìn)一步劃分成多個(gè)等級保護對象。這是從橫向（業(yè)務(wù)責任主體+功能層次）劃分工業(yè)控制系統的等級保護對象，如圖3所示。

4.1 網(wǎng)絡(luò )安全等級保護的整體安全保護能力要求

工業(yè)控制系統的網(wǎng)絡(luò )安全等級保護所遵循的標準體系包括以下國家標準：

（1）計算機信息系統安全保護等級劃分準則（GB 17859-1999）

網(wǎng)絡(luò )安全等級保護系列標準首次明確將工業(yè)控制系統納入了等級保護范圍內，并且構成了“安全通信網(wǎng)絡(luò )”、“安全區域邊界”、“安全計算環(huán)境”和“安全管理中心”支持下的“一個(gè)中心、三重防護”體系架構。

在網(wǎng)絡(luò )安全等級保護系列標準里，GB/T 22239-2019《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》是核心標準，可以依據該標準從技術(shù)類(lèi)和管理類(lèi)來(lái)構建不同安全保護等級的工業(yè)控制系統綜合防護體系。技術(shù)類(lèi)包括：安全物理環(huán)境、安全通信網(wǎng)絡(luò )、安全區域邊界、安全計算環(huán)境、安全管理中心；管理類(lèi)包括：安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理。

依據不同的安全保護等級，工業(yè)控制系統需要具有相適應的安全保護能力，需要考慮以下總體性要求，保證工業(yè)控制系統的整體安全保護能力。在GB/T 22239-2019中給出了關(guān)于等級保護對象整體安全保護能力的要求，工業(yè)控制系統可以參考等級保護對象整體安全保護能力構建工業(yè)控制系統的整體安全保護能力。

GB/T 22239-2019對等級保護對象的整體安全保護能力要求如下：

（1）構建縱深的防御體系：從技術(shù)和管理兩個(gè)方面采取相應的安全要求，在采取由點(diǎn)到面的各種安全措施時(shí)，在整體上還應保證各種安全措施的組合從外到內構成一個(gè)縱深的安全防御體系，保證等級保護對象整體的安全保護能力。應從通信網(wǎng)絡(luò )、網(wǎng)絡(luò )邊界、局域網(wǎng)絡(luò )內部、各種業(yè)務(wù)應用平臺等各個(gè)層次落實(shí)GB/T 22239-2019提到的各種安全措施，形成縱深防御體系。

（2）采取互補的安全措施：GB/T 22239-2019以安全控制的形式提出安全要求，在將各種安全控制落實(shí)到特定等級保護對象中時(shí)，應考慮各個(gè)安全控制之間的互補性，關(guān)注各個(gè)安全控制在層面內、層面間和功能間產(chǎn)生的連接、交互、依賴(lài)、協(xié)調、協(xié)同等相互關(guān)聯(lián)關(guān)系，保證各個(gè)安全控制共同綜合作用于等級保護對象上，使得等級保護對象的整體安全保護能力得以保證。

（3）保證一致的安全強度：GB/T 22239-2019將安全功能要求，如身份鑒別、訪(fǎng)問(wèn)控制、安全審計、入侵防范等內容，分解到等級保護對象的各個(gè)層面，在實(shí)現各個(gè)層面安全功能時(shí)，應保證各個(gè)層面安全功能實(shí)現強度的一致性。應防止某個(gè)層面安全功能的減弱導致整體安全保護能力在這個(gè)安全功能上消弱。例如，要實(shí)現雙因子身份鑒別，則應在各個(gè)層面的身份鑒別上均實(shí)現雙因子身份鑒別；要實(shí)現基于標記的訪(fǎng)問(wèn)控制，則應保證在各個(gè)層面均實(shí)現基于標記的訪(fǎng)問(wèn)控制，并保證標記數據在整個(gè)等級保護對象內部流動(dòng)時(shí)標記的唯一性等。

（4）建立統一的支撐平臺：GB/T 22239-2019針對較高級別的等級保護對象，提到了使用密碼技術(shù)、可信技術(shù)等，多數安全功能（如身份鑒別、訪(fǎng)問(wèn)控制、數據完整性、數據保密性等）為了獲得更高的強度，均要基于密碼技術(shù)或可信技術(shù)，為了保證等級保護對象的整體安全防護能力，應建立基于密碼技術(shù)的統一支撐平臺，支持高強度身份鑒別、訪(fǎng)問(wèn)控制、數據完整性、數據保密性等安全功能的實(shí)現。

（5）進(jìn)行集中的安全管理：GB/T 22239-2019針對較高級別的等級保護對象，提到了實(shí)現集中的安全管理、安全監控和安全審計等要求，為了保證分散于各個(gè)層面的安全功能在統一策略的指導下實(shí)現，各個(gè)安全控制在可控情況下發(fā)揮各自的作用，應建立集中的管理中心，集中管理等級保護對象中的各個(gè)安全控制組件，支持統一安全管理。

4.2 根據工業(yè)控制系統的應用場(chǎng)景選取合適的安全保護措施

在GB/T 22239-2019中，明確提出了因為業(yè)務(wù)目標的不同、使用技術(shù)的不同、應用場(chǎng)景的不同等因素，不同的等級保護對象會(huì )以不同的形態(tài)出現，形態(tài)不同的等級保護對象面臨的威脅有所不同，安全保護需求也會(huì )有所差異。為了便于實(shí)現對不同級別的和不同形態(tài)的等級保護對象的共性化和個(gè)性化保護，等級保護要求分為安全通用要求和安全擴展要求。

安全通用要求針對共性化保護需求提出，等級保護對象無(wú)論以何種形式出現，必須根據安全保護等級實(shí)現相應級別的安全通用要求；安全擴展要求針對個(gè)性化保護需求提出，需要根據安全保護等級和使用的特定技術(shù)或特定的應用場(chǎng)景選擇性實(shí)現安全擴展要求。安全通用要求和安全擴展要求共同構成了對等級保護對象的安全要求。

由于工業(yè)控制系統通常是對可用性要求較高的等級保護對象，工業(yè)控制系統中的一些裝置如果實(shí)現特定類(lèi)型的安全措施可能會(huì )終止其連續運行，原則上安全措施不應對高可用性的工業(yè)控制系統基本功能產(chǎn)生不利影響。例如用于基本功能的賬戶(hù)不應被鎖定，甚至短暫的也不行；安全措施的部署不應顯著(zhù)增加延遲而影響系統響應時(shí)間；對于高可用性的控制系統，安全措施失效不應中斷基本功能等。

經(jīng)評估對可用性有較大影響而無(wú)法實(shí)施和落實(shí)安全等級保護要求的相關(guān)條款時(shí)，應進(jìn)行安全聲明，分析和說(shuō)明此條款實(shí)施可能產(chǎn)生的影響和后果，以及使用的補償措施。

五 總結

GB/T 22239-2019《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》是網(wǎng)絡(luò )安全等級保護的核心標準，在該標準中對工業(yè)控制系統的安全要求為：安全通用要求和工業(yè)控制系統安全擴展要求。

工業(yè)控制系統的安全擴展要求包括5個(gè)層面和9個(gè)控制點(diǎn)，這5個(gè)層面和9個(gè)控制點(diǎn)內容分別為：

（1）安全物理環(huán)境：室外控制設備物理防護。

（2）安全通信網(wǎng)絡(luò )：網(wǎng)絡(luò )架構、通信傳輸。

（3）安全區域邊界：訪(fǎng)問(wèn)控制、撥號使用控制、無(wú)線(xiàn)使用控制。

（4）安全計算環(huán)境：控制設備安全。

（5）安全建設管理：產(chǎn)品采購和使用、外包軟件開(kāi)發(fā)。

工業(yè)控制系統構成的復雜性，組網(wǎng)的多樣性，以及等級保護對象劃分的靈活性，給網(wǎng)絡(luò )安全等級保護基本要求的使用帶來(lái)了選擇的需求。在GB/T 22239-2019中給出了工業(yè)控制系統功能層次模型和標準相關(guān)內容的映射關(guān)系。

工業(yè)控制系統通常是對可用性要求較高的等級保護對象，原則上安全措施不應對高可用性的工業(yè)控制系統基本功能產(chǎn)生不利影響，即統籌考慮業(yè)務(wù)安全和網(wǎng)絡(luò )安全。工業(yè)控制系統的具體安全措施需要結合具體的應用場(chǎng)景和實(shí)時(shí)性要求進(jìn)行具體分析，在保障業(yè)務(wù)安全的前提下，通過(guò)采取必要安全措施，防范對工業(yè)控制系統網(wǎng)絡(luò )的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使工業(yè)控制系統網(wǎng)絡(luò )處于穩定可靠運行的狀態(tài)，以及保障工業(yè)控制系統網(wǎng)絡(luò )數據的完整性、保密性、可用性的能力。

[1]GB17859-1999 計算機信息系統安全保護等級劃分準則. 北京：中國標準化出版社，1999.

[2]GB/T 22240-2020 信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護定級指南. 北京：中國標準化出版社，2020.

[3]GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護基本要求. 北京：中國標準化出版社，2019.

[4]GB/T 28448-2019信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護測評要求 . 北京：中國標準化出版社，2019.

[5]GB/T 28449-2018信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護測評過(guò)程指南. 北京：中國標準化出版社，2018.

[6]GB/T 25070-2019 信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護安全設計技術(shù)要求. 北京：中國標準化出版社，2019.

作者簡(jiǎn)介：

陶源：博士，公安部第三研究所副研究員、高級測評師，全國網(wǎng)絡(luò )安全等級測評師授課專(zhuān)家（負責講解物聯(lián)網(wǎng)、工控系統和大數據安全等課程）。

來(lái)源：工業(yè)菜園