等保2.0之工业控制安全

摘要：随着信息技术的迅猛发展，工业控制安全问题日益凸显。等保2.0针对工业控制的特点，提出了一系列安全要求和测评指标。本文仅解读等保2.0中工业控制安全的扩展指标（安全通用指标参照一般系统进行测评），分析其重要性、具体内容、测评解读，旨在为提升工业控制安全水平提供理论支持和实践指导。

一、引言

在信息化和自动化高度发展的今天，工业控制系统（Industrial Control Systems, ICS）已经成为各行各业中核心的基础设施。无论是电力、交通、化工、钢铁、还是石油等行业，还是能源、交通、制造业，还是水利、城市基础设施等领域，工业控制系统都在发挥着至关重要的作用。然而，随着工业自动化和信息化程度的不断提升，工业控制系统的安全问题逐渐显现，尤其是在面对日益复杂的网络攻击和安全威胁时，工控系统的安全性显得尤为重要。

中国的网络安全等级保护制度（等保）自2007年实施以来，一直是我国信息安全的重要法律框架。2019年，国家发布了《网络安全等级保护2.0》标准，进一步对信息系统的安全要求进行升级和完善。工控系统作为信息系统的重要组成部分，也在等级保护2.0标准中得到了专项关注和规范。本文将探讨在等保2.0框架下，工控系统安全的相关要求与实施策略，分析工控系统面临的安全威胁，并提出相应的防护措施。

二、等保2.0中工业控制安全的重要性

工控系统（ICS）主要指用于工业生产过程中，对各种生产设备进行监控、控制、调度和优化的系统，广泛应用于电力、石油、化工、冶金、交通等行业。与传统的IT系统相比，工控系统有以下几个明显的特点：

实时性要求高：工控系统需要在极短的时间内响应并处理大量的输入输出信号，以确保生产过程的稳定性和安全性。任何延迟或错误都可能导致生产事故或设备损坏。

长期稳定运行：工控系统大多数由专用硬件设备组成，其寿命通常比普通计算机系统长，需要确保长期稳定运行。

专用性强：工控系统通常是针对某一特定行业或生产环节开发的，具有较强的专业性和定制性。

物理层安全：工控系统涉及物理设备的操作，如传感器、执行器等，因此其安全不仅仅涉及到信息安全，还涉及到设备层的物理安全。

网络和设备互联性较低：与企业IT系统相比，传统的工控系统通常是封闭的、独立的，网络互联性较弱，但随着智能制造和工业互联网的发展，工控系统逐渐与企业IT系统和外部网络进行连接，从而面临更多的安全威胁。

因此，工控系统在安全上的需求与传统IT系统存在显著差异。除了防止信息泄露、数据篡改等常见的信息安全问题外，工控系统还面临着设备被破坏、生产过程被干扰、生产安全事故等方面的威胁。

为了加强对工控系统的安全防护，等保2.0提出了工控系统的安全防护要求，要求加强对系统物理隔离、数据加密、访问控制等方面的管理，确保设备、软件和网络的安全性。此外，工控系统还需具备应急响应、漏洞管理、监控审计等功能，及时发现和应对潜在的安全风险。通过对工控系统安全进行等级保护，有效提高了工业控制系统的整体安全防护能力，确保关键基础设施的稳定性和安全性。

三、等保2.0中工业控制系统安全扩展指标（三级）测评解读

（1）安全物理环境

1. 室外控制设备应放置于采用铁板或其他防火材料制作的箱体或装置中并紧固;箱体或装置具有透风、散热、防盗、防雨和防火能力等。

测评解读：

对室外控制设备，需保证其物理环境安全。

应将室外控制设备放置在采用铁板或其他防火材料制作的箱体或装置中，并紧固于箱体或装置中。箱体或装置应具有透风、散热、防盗、防雨和防火能力等，确保控制系统的可用性，使控制设备在其正常工作温度范围内工作，保护控制设备免受外部环境影响，避免控制设备因宕机、线路短路、火灾等引发其他生产事故,从而影响整体生产运行。

2. 室外控制设备放置应远离强电磁干扰、强热源等环境，如无法避免应及时做好应急处置及检修，保证设备正常运行。

测评解读：

高电压、高场强等强电磁于扰，可能使控制设备工作信号失真、性能发生有限度的降级，甚至可能使系统或设备失灵，严重时会使系统或设备发生故障或事故。高温等强热源会导致环境温度偏高，若超过控制设备的最高工作温度，则会导致其无法正常工作并加速老化。因此，室外控制设备应远离雷电、沙暴、尘爆、太阳噪声、大功率启停设备、高压输电线等强电磁干扰环境及加热炉、反应釜、蒸汽等强热源环境，确保环境电磁于扰水平和环境温度在控制设备的正常工作范围内，从而保证控制系统的正常运行。

（2）安全通信网络

1. 工业控制系统与企业其他系统之间应划分为两个区域，区域间应采用单向的技术隔离手段。

测评解读：

在工业控制系统中，现场设备层、现场控制层、过程监控层、生产管理层与生产过程是强相关的，而企业资源管理层等企业其他系统与生产过程是弱相关的，同时，企业其他系统可能与互联网相连。因此，应将工业控制系统与企业其他系统划分为两个区域，区域间应采用单向的技术隔离手段，保证数据流只能从工业控制系统单向流向企业其他系统(即只读，不允许进行写操作)。

2. 工业控制系统内部应根据业务特点划分为不同的安全域，安全域之间应采用技术隔离手段。

测评解读：

应根据工业控制系统内部承载业务和网络架构的不同，合理地进行区域划分。通常将具有相同业务特点的工业控制系统划分为独立区域，将具有不同业务特点的工业控制系统划分为不同的安全域，在不同的安全域之间采用工业防火墙、虚拟局域网等技术手段进行隔离。

3. 涉及实时控制和数据传输的工业控制系统，应使用独立的网络设备组网，在物理层面上实现与其他数据网及外部公共信息网的安全隔离。

测评解读：

涉及实时控制和数据传输的工业控制系统，应使用独立的网络设备进行组网，禁止与其他数据网共用网络设备，在物理层面上实现与其他数据网及外部公共信息网的安全隔离，禁止生产网与其他网络直接通信。

4. 在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份认证、访间控制和数据加密传输。

测评解读：

SCADA、RTU 等工业控制系统可能会使用广域网进行控制指令或相关数据交换。在控制指令或相关数据交换过程中，应采用加密认证手段实现身份认证、访问控制和数据加密传输，只有目标身份认证通过后才能进行数据交互。在数据交互过程中，需要进行访问控制，即对通信的五元组甚至控制指令进行管控，并在广域网传输过程中进行数据加密防止非授权用户和恶意用户进人工业控制系统及控制指令或相关数据被窃取。

（3）安全区域边界

1.应在工业控制系统与企业其他系统之间部署访问控制设备，配置访问控制策略，禁止任何穿越区域边界的 E-Mail、Web、Telmet、Rlogin、FTP 等通用网络服务。

测评解读：

工业控制系统通常使用工业专有协议和专有应用系统，而E-Mail、Web、Telnet.Rlogin、FTP等通用应用和协议是网络攻击的常用载体，因此，应在工业控制系统区域边界、工业控制系统与企业其他系统之间部署访问控制设备，在保证业务正常通信的情况下采用最小化原则，即只允许工业控制系统使用的专有协议通过，拒绝E-Mail、WebTelnet、Rlogin、FTP等通用网络服务穿越区域边界进人工业控制系统网络

2. 应在工业控制系统内安全域和安全域之间的边界防护机制失效时，及时进行报警。

测评解读：

当工业控制系统内安全域和安全域之间发生边界防护安全管控故障，或者边界防护机制失效时，应通过相应的检测机制及时进行报警，以便安全管理员及时处理，避免边界防护机制失效，防止出现大范围防护盲区。

3. 工业控制系统确需使用拨号访问服务的，应限制具有拨号访问权限的用户数量，并采取用户身份鉴别和访问控制等措施。

测评解读：

对使用拨号方式进行网络访问的工业控制系统，在网络访问过程中应对用户数量、用户的连接数量及会话数量进行限制，同时对网络访问者进行身份鉴别验证(通过后才能建立连接)，并对使用拨号方式的用户进行访问控制，限制用户的访问权限。

4. 拨号服务器和客户端均应使用经安全加固的操作系统，并采取数字证书认证、传输加密和访问控制等措施。

测评解读：

拨号服务器和客户端使用的操作系统可能存在安全漏洞。例如，安装、配置不符合安全需求，参数配置错误，使用、维护不符合安全需求，没有及时修补安全漏洞，滥用应用服务和应用程序，开放非必要的端口和服务等。一旦这些安全漏洞被有意或无意利用，就会给系统运行造成不利影响。因此，需要对拨号服务器和客户端使用的操作系统进行安全加固，包括拨号服务器和客户端所使用的操作系统的账户管理和认证授权、日志、安全置、文件权限、服务安全、安全选项等方面。同时，在拨号服务器与客户端进行通信时应采取数字证书认证方式对通信内容进行加密(以保证通信内容的保密性)，并对客户端进行访间控制。

5. 应对所有参与无线通信的用户(人员、软件进程或者设备)提供唯一性标识和鉴别。

测评解读：

无线通信网络是一个开放的网络，它使无线通信用户不像有线通信用户那样受通信电缆的限制(可以在移动中通信)。无线通信网络在赋予用户通信自由的同时，给无线通信网络带来了一些不安全因素，例如通信内容容易被窃听、通信内容可以被更改、通信双方可能被假冒。因此，需要对无线通信用户进行身份鉴别:在借助运营商(无线)网络的组网中，需要为通信端(通信应用设备或通信网络设备)建立基于用户的标识(用户名、证书等)，标识应具有唯一性且支持对该属性进行鉴别;在工业现场自建无线(Wi-Fi、WireIeSSHART、ISA100.11a、WIA-PA)网络的组网中，通信网络设备应具备唯一标识且支持对设备属性进行鉴别。

6. 应对所有参与无线通信的用户(人员、软件进程或者设备)进行授权以及执行使用进行限制。

测评解读：

无线通信应用设备或网络设备需支持对无线通信策略进行授权，非授权设备或非授权应用不能接人无线网络。非授权功能不能在无线通信网络中执行响应动作。应对权用户执行使用权限的行为进行策略控制。

7. 应对无线通信采取传输加密的安全措施，实现传输报文的机密性保护。

测评解读：

由于无线通信内容容易被窃听，所以，在无线通信过程中，应对传输报文进行加密处理(加密方式包括对称加密/非对称加密、脱敏加密、私有加密等)，以保证无线通信过程的机密性。

8.对采用无线通信技术进行控制的工业控制系统，应能识别其物理环境中发射的未经授权的无线设备，报告未经授权试图接入或于扰控制系统的行为。

测评解读：

使用无线通信技术的工业生产环境应具备识别、检测环境中未经授权的无线设备发出的射频信号的能力，并能对未经授权的无线接人行为和应用进行审计、报警及联动管控从而避免无线信号千扰生产、非授权用户通过无线接人控制系统对生产环境造成破坏。

（4）安全计算环境

1.控制设备自身应实现相应级别安全通用要求提出的身份鉴别、访间控制和安全审计等安全要求，如受条件限制控制设备无法实现上述要求，应由其上位控制或管理设备实现同等功能或通过管理手段控制。

测评解读：

控制设备自身应实现对应级别安全通用要求提出的身份鉴别、访问控制和安全审计等安全要求。考虑到控制系统历史原因、更新速度慢、自主可控范围小等方面，在其自身不满足上述条件时，需通过上位控制或管理设备实现同等功能或通过管理手段进行控制。

2.应在经过充分测试评估后，在不影响系统安全稳定运行的情况下对控制设备进行补丁更新、固件更新等工作。

测评解读：由于工业控制系统中专用软件较多，所以相关应用软件和补丁可能存在兼容性问题考虑到工业控制系统需长期稳定运行，在对控制设备进行补丁更新、固件更新时，需要对控制系统进行充分的测试验证、兼容性测试及严格的安全评估，在停产维修阶段对离线系统进行更新和升级，以保证控制系统的可用性。

3. 应关闭或拆除控制设备的软盘驱动、光盘驱动、USB 接口、串行口或多余网口等，确需保留的应通过相关的技术措施实施严格的监控管理。

测评解读：

软盘驱动、光盘驱动、USB 接口、串行口、多余网口等控制设备/外设，为病毒、木马、蠕虫等恶意代码人侵提供了途径。关闭或拆除控制设备上不需要的外设接口，可以降低控制设备被病毒、木马、蠕虫等感染的风险，避免不需要的外设接口对工业控制系统造成破坏。如果不具备拆除条件或确需保留，可采用主机外设统一管理设备、隔离存放有外设接口的工业主机/控制设备等安全管理技术手段进行严格管控。

4. 应使用专用设备和专用软件对控制设备进行更新。

测评解读：

对控制设备，应使用专用设备和专用软件进行更新，以确保专用设备和专用软件的独立性，防止交叉感染。

5. 应保证控制设备在上线前经过安全性检测，避免控制设备固件中存在恶意代码程序。

测评解读：

控制设备上线前需要进行脆弱性检测及恶意代码检测，以确保控制设备固件中不存在恶意代码程序。

（5）安全建设管理

1.工业控制系统重要设备应通过专业机构的安全性检测后方可采购使用

测评解读：

工业企业在采购重要及关键控制系统或网络安全专用产品时，应了解产品是否符合国家相关认证标准及是否已通过相关专业机构的安全性检测;在采购重要设备时，可参考国家互联网信息办公室会同工业和信息化部、公安部、国家认证认可的监督管理委员会等部门制订的《网络关键设备和网络安全专用产品目录》       

2. 应在外包开发合同中规定针对开发单位、供应商的约束条款，包括设备及系统在生命周期内有关保密、禁止关键技术扩散和设备行业专用等方面的内容。

测评解读：工业企业在实施项目外包时，应与外包公司及控制设备提供商签署保密协议或合同使其不会将本项目重要建设过程和内容进行宣传及案例复用，从而保障工业企业的敏感信息、重要信息等不被泄露。

测评人员在进行工控系统的等保测评时，不仅需全面评估工控系统的网络安全、访问控制、数据保护、漏洞管理、应急响应等多个方面内容，同时要充分的了解扩展指标项，根据实际情况与工控拓展指标相结合来判断是否达到相应的安全防护需求。同时由于工控网络的私密性，为了防止恶意软件或病毒通过测试设备进入工控网络，测评人员在接入工控网络需严格检查测试机是否进行了恶意代码以及病毒查杀，并保存相关的检查报告。

四、结论

工控系统的安全不仅仅是信息系统的安全问题，它还涉及设备、网络、数据和物理层面的多重防护。因此，工控系统的安全防护应从全局出发，综合考虑各类安全威胁，采取多层次的防护措施。等保2.0在这一过程中发挥了关键作用，通过要求工控系统实施严格的网络隔离、设备安全管理、数据保护、应急响应等措施，最大限度地减少系统遭受攻击。