网络安全等级保护在工业控制系统中的应用

【编者按】随着信息技术在各个行业越来越深入，我国工控领域的安全可靠性问题日益突出，工控系统的复杂化、信息化加剧了系统的安全隐患。网络安全等级保护是我国网络安全保障的基本制度，本文基于网络安全等级保护理论对工控系统的安全研究分析，从多个层面进行安全防护，降低安全风险，提高工控系统的综合防护能力。

本文转自“工业安全产业联盟”，作者张伟，原标题为《一文读懂网络安全等级保护在工业控制系统中的应用！》。经亿欧编辑，仅供业内人士参考。

引言

工业控制系统安全问题层出不穷，2010年，“震网”病毒入侵伊朗核电站、破坏伊朗核计划，导致伊朗核电站计划失败，至今仍然未能恢复。2016年12月，黑客利用Industroyer恶意软件攻击乌克兰一所变电站，导致基辅等地区电力供应短暂中断，这款恶意软件不需要手动操作，可自动扰乱工业控制系统的正常运行，对电网等基础设施的安全运行构成严重威胁。2017年5月12日20时左右，全球爆发大规模勒索软件感染事件，波及一百多个国家或地区，我国石油、交通等涉及国计民生的部分工控系统“中招”，造成严重后果。6月27日晚11时许，勒索病毒“Wanna Cry”变种为“Petrwrap”病毒，在乌克兰和俄罗斯爆发，逐渐蔓延到欧洲多国。包括切尔诺贝利核电站在内的乌克兰大量设施受到影响，乌克兰Ukrenego电力供应商系统也遭中断。通过这次安全事件，工控系统的安全再次成为关注的重点。

工业控制系统（Industrial Control Systems,ICS），是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。其组件包括数据采集与监控系统（SCADA）、分布式控制系统（DCS）、可编程逻辑控制器（PLC）、远程终端（RTU）、智能电子设备(IED)，以及确保各组件通信的接口技术。工业控制系统的操作系统、杀毒软件安装及升级更新、设备维修时笔记本电脑的随便接入、操作行为、控制终端、管理终端、服务器、网络设备故障等都存在许多潜在的风险。

工业控制系统被广泛应用于石油、石化、冶金、电力、燃气、煤矿、烟草以及市政等领域，用于控制关键生产设备的运行。这些领域中的工业控制系统一旦遭到破坏，不仅会影响产业经济的持续发展，更会对国家安全造成巨大的损害。网络安全等级保护是网络安全工作的基本制度、基本国策；是开展网络安全工作的基本方法；是信息化健康发展、维护国家网络安全的根本保障，是国家意志的体现，也是目前严峻的安全形势下，亟待完成的基础安全防护，本文主要讲述在工业控制系统中如何实现网络安全等级保护的相关要求。

网络安全等级保护流程

开展网络安全等级保护工作，可以实现网络安全领域“明确重点、突出重点、保护重点”的目标，将有限的财力、物力、人力投入到重要信息系统安全保护中，有效保护基础信息网络和关系到国家安全、经济建设、社会稳定的重要信息系统的安全。

等级保护的规定流程为“定级、备案、安全建设整改、等级测评、监督检查”，如图1所示。

图1 等级保护的规定流程

根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的危害程度，将系统的安全保护等级分成5级（从第1级到第5级逐级增高）。定级后2级以上系统须在公安机关备案，公安机关审核合格后颁发备案证明；各单位各部门根据系统等级按照国家标准进行安全建设整改，聘请测评机构进行等级测评；公安机关定期开展监督、检查、指导。

网络安全等级保护标准的发展

近年来，云计算、物联网、移动互联和工业控制等新技术、新应用在国家关键信息基础设施领域的应用日益广泛，这4个领域面临的安全威胁日益严重，原有网络安全等级保护标准体系已经很难适应新技术、新应用的发展，因此对现有的标准体系（GB/T 22239《网络安全技术网络安全等级保护基本要求》）进行了修订和补充，形成了以下系列标准：

（１）《网络安全技术网络安全等级保护基本要求第1部分　安全通用要求》；

（２）《网络安全技术网络安全等级保护基本要求第2部分　云计算安全扩展要求》；

（３）《网络安全技术网络安全等级保护基本要求第3部分　移动互联安全扩展要求》；

（４）《网络安全技术网络安全等级保护基本要求第4部分　物联网安全扩展要求》；

（５）《网络安全技术网络安全等级保护基本要求第5部分　工业控制系统安全扩展要求》；

（６）《网络安全技术网络安全等级保护基本要求第6部分　大数据安全扩展要求》。

企业用户应结合自身行业特点和企业特点，将第1部分和第5部分结合使用，实现各级技术要求和管理要求。

工业控制系统的层次结构

ICS是由计算机设备与工业过程控制部件组成的自动控制系统，从上到下共分为5个层级，依次为企业资源层、生产管理层、过程监控层、现场控制层和现场设备层，不同层级的实时性要求不同[2]。该层次结构的简要划分模型如图2所示。

图2 工业控制系统架构

各个层次功能与作用的详细介绍如表1所示。

表1 工业控制系统各个层次功能列表

工业控制系统中保护的对象

在工业控制系统中，各个层次由不同的设备或系统组成，这些设备或系统就是网络安全等级保护中需要保护的对象，如表2所示。

表2 工业控制系统各个层次中的保护对象

工业控制系统的层次结构

对工业控制系统的软件、硬件、网络协议等的安全性，规定了需要保护的数据、指令、协议等要素，其具体实现方式、防护手段应根据具体的工业控制系统品牌、配置、工程实际等具体确定。但应保证这些防护措施对系统的正常运行不产生危害或灾难性的生产停顿，经过工业现场的工程实践验证，并获得用户认可。

工业控制系统等级保护定义有总体原则、技术要求和管理要求共三类说明。其中，总体原则是针对工业控制系统整体提出的安全域保护原则；技术要求和管理要求是针对不同安全保护等级对工业控制系统应该具有的基本安全保护能力提出的安全要求。

6.1　安全域保护原则

根据工业控制系统安全域模型的划分原则，将工业控制系统划分为若干安全域，再根据系统实际情况，对不同的安全域采取不同的安全保护措施。

（1）安全域划分

在一个工业大系统或复杂系统中，对所有组件采取相同等级的安全措施是不实际或不必要的。在不同的实际情况下，资产的安全等级不同，因此提出使用安全域（或受保护的区域）的概念。

划分安全域时，应综合考虑资产重要性、资产价值、资产地理位置、系统功能、控制对象、生产厂商及资产被破坏时所造成的损失、社会影响程度等因素，将控制系统进行安全域划分。

（2）安全域边界防护

在不影响各安全域工作的前提下，在各安全域边界处设置不同的安全隔离设备，确保各个安全域之间有清楚明晰的边界设定。

（3）安全域保护措施

依据定级对象安全等级，结合各安全域实际情况，按照等级保护标准中第1级至第4级基本要求，采取不同安全保护措施。

6.2　技术要求和管理要求

技术要求和管理要求是保证工业控制系统安全不可分割的2个部分。技术要求主要通过在工业控制系统中部署软、硬件并正确配置其安全功能来实现。管理要求主要通过控制各种角色的活动，从政策、制度、标准、流程以及记录等方面做出规定来实现。

技术要求分为物理安全、边界防护、生产管理层安全、过程监控层安全、现场控制层安全、现场设备层安全，其中各层级安全要求又分为网络和通信安全、设备和计算安全、应用和数据安全。

管理要求主要来自于通用安全要求，分为安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理四大类。

技术要求和管理要求从各个层面或方面提出了工业控制系统的每个组件应该满足的安全要求，工业控制系统具有的整体安全保护能力通过不同组件实现基本安全要求来保证。除了保证系统的每个组件满足安全要求外，还要考虑组件之间的相互关系，来保证系统的整体安全保护能力。

以下重点介绍技术类3级安全要求。

（1）物理环境安全

物理环境安全是保护工业控制系统中物理设备不受直接破坏，保护的对象主要有机房、办公场所、重要和关键工业控制设备所在的区域。

对上述区域的位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面提出要求。为了防止非授权人员进入重要物理区域，例如机房，出入口应配置电子门禁系统，控制、鉴别和记录进入的人员。为了防止感应雷，通过采取机柜、设施和设备等接地系统安全接地来实现防雷击，还应部署防雷保安器或过压保护装置。

在工业控制系统中，对于室外控制设备也应该采取必要的措施进行安全防护，因此，工业控制系统扩展安全要求中明确规定了室外控制设备的安装位置、安装方式：①室外控制设备应放置于采用铁板或其他防火绝缘材料制作的箱体或装置中；②控制设备应安装在金属或其他绝缘板上（非木质板），并紧固于箱体或装置中；③室外控制设备应采取措施避免极端天气环境；④室外控制设备应放置于远离强电磁干扰和热源的地方。

（2）网络和通信安全

在工业控制系统中的网络边界安全尤为重要，为了防止从外部网络和内部非重要网络对重要网络区域的入侵，要求限制和监测非授权设备私自联到内部网络的行为、内部用户非授权联到外部网络的行为；对于无线网络使用进行严格控制，对所有参与无线通信的用户（人员和软件进程）提供唯一性标识和身份鉴别，确保无线网络通过受控的边界防护设备接入内部网络。监视和控制区域边界通信，默认拒绝所有非必要的网络数据流，仅允许例外网络数据流；边界防护机制失效时，能阻止所有边界通信（也称故障关闭）并及时进行报警，但故障关闭功能的设计不应干扰安全相关功能的运行。

在审计安全中，鉴于工业控制系统设备的多样性和复杂性，要求应能集中管理审计事件并从系统多个组件收集审计记录。按照工业标准格式输出审计记录，用于商业日志分析工具进行分析。

在访问控制中，要求网络边界或区域之间根据访问控制策略设置访问控制规则，对进出网络的信息内容进行过滤，实现对内容的访问控制。

（3）设备和计算安全

测评对象为工业控制系统中的设备，包括网络设备、安全设备、服务器、终端、数据库管理系统、控制器、控制单元、记录装置、传感器、执行机构、保护装置等。

要求对上述设备的远程管理、组态文件下装等重要操作进行身份鉴别；禁止使用默认账户和密码登录，密码应有复杂度要求；具有鉴别失败处理功能；同时，应防止身份鉴别信息在传输过程中被窃听。

对于防止恶意代码，应在重要和关键设备、关键网络节点、所有入口和出口处对恶意代码进行检测和清除，并对恶意代码库进行统一升级和更新；在重要和关键设备、关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升级和更新。应做到对可能造成损害的移动代码技术执行使用进行限制；采取措施防止、检测、报告和减轻恶意代码或未经授权软件的影响。对重要和关键设备中重要程序或文件完整性检测，并在检测到破坏后进行恢复。

对工业控制系统中重要设备的用户登录、操作、行为、资源使用情况等信息应保留审计记录，以便于发生安全事件时进行分析、跟踪、追责。审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息，并对审计记录进行保护，按照规定留存相关的网络日志不少于六个月。另外，审计记录产生时的时间应由系统范围内唯一确定的时钟产生，以确保审计分析的正确性。

（4）应用系统安全

测评对象为与企业资源相关的财务管理、资产管理、人力管理等系统的软件和数据资产，与生产制造相关的仓储管理、先进控制、工艺管理等系统的软件和数据资产，监控软件，控制程序等。

登录上述应用系统时，应对登录的用户进行身份标识和鉴别，鉴别信息具有复杂度要求并定期更换；启用登录失败处理功能；强制用户首次登录时修改初始口令；用户身份鉴别信息丢失或失效时，应采用鉴别信息重置或其他技术措施保证系统安全；应对同一用户采用2种或2种以上组合的鉴别技术实现用户身份鉴别。

上述应用系统应提供访问控制功能，对登录的用户分配账号和权限；重命名系统默认账号或修改这些账号的默认口令；及时删除或停用多余的、过期的账号，避免共享账号的存在；应授予不同账号为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。

应用系统提供安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；审计信息至少包括事件的日期和时间、主体、客体、类型、结果等信息。

应用系统还应该具备软件容错能力，提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求；在故障发生时，应能够继续提供一部分功能，确保能够实施必要的措施；应提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复。

（5）数据安全

工业控制系统应采用校验码技术或加解密技术保证重要数据在传输过程或存储过程的完整性，采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据传输或存储的保密性。

对于重要数据应提供重要数据的本地数据备份与恢复功能，提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地，提供重要数据处理系统的热冗余，保证系统的高可用性。

综上所述，工业控制系统要达到等级保护的要求，必须从物理环境安全、网络和通信安全、设备和计算安全、应用系统安全、数据安全、安全管理等多个层面去落实相关规定，定期开展应急演练、漏洞扫描修复、系统安全管理等防护工作，三级工控系统每年进行一次等级测评，对发现的安全问题及隐患，依据网络安全等级保护理论进行安全整改加固，消除潜在的安全风险，提高工控系统的综合安全防护能力。

推荐阅读

应对工业4.0时代的新挑战，如何提升工业控制系统安全终端认知？

奇安信左英男：攻防并进，铸就工业网络安全线