工業(yè)控制系統(tǒng)信息安全等級保護測評的研究

0 引 言

工業(yè)控制系統(tǒng)是工業(yè)生產(chǎn)過程中涉及的軟硬件系統(tǒng)、控制平臺和技術(shù)人員的集合。工控系統(tǒng)中控制部件采集、監(jiān)測現(xiàn)場實時數(shù)據(jù)，實現(xiàn)工業(yè)設(shè)備自動化運行和業(yè)務(wù)流程管理。

隨著工業(yè)互聯(lián)網(wǎng)和智能制造的發(fā)展，工業(yè)控制系統(tǒng)的安全問題正遭受嚴峻的挑戰(zhàn)，當(dāng)今移動互聯(lián)網(wǎng)無處不在，整個控制系統(tǒng)都可與遠程終端互連，使得工業(yè)控制系統(tǒng)存在的漏洞和遭受的攻擊日益增多。近年來我國發(fā)布了一系列工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的國家標準，如 GB/T 33007-2016 和 GB/T 33009.1-2016 等 [1-2]。

1 工業(yè)控制系統(tǒng)信息安全現(xiàn)狀

1.1 工業(yè)控制系統(tǒng)結(jié)構(gòu)概述

工業(yè)控制系統(tǒng)是用于采集、監(jiān)測和控制生產(chǎn)過程的系統(tǒng)，通常由傳感器、過程控制設(shè)備和通信設(shè)備構(gòu)成 [3-4]。工業(yè)控制系統(tǒng)的結(jié)構(gòu)通常分為五層，如圖 1 所示，由外到內(nèi)分別為管理調(diào)度層、網(wǎng)絡(luò)通信層、集中監(jiān)控層、現(xiàn)場控制層和采集執(zhí)行層。

第一層是管理調(diào)度層，主要完成生產(chǎn)、人員和設(shè)備等管理工作，通過信息交互實現(xiàn)企業(yè)信息全集成管理。

第二層是網(wǎng)絡(luò)通信層，主要包含防火墻、交換機、路由器等網(wǎng)絡(luò)設(shè)備，實現(xiàn)公共網(wǎng)絡(luò)之間的連接、網(wǎng)絡(luò)連接防護措施、安全配置和審計、運維安全管理、業(yè)務(wù)連續(xù)性、容災(zāi)備份措施等功能。

第三層是集中監(jiān)控層，包括監(jiān)控計算機、監(jiān)控服務(wù)器、工控機、操作站、監(jiān)控中心等。

第四層是現(xiàn)場控制層，采用專有的工控通信協(xié)議和工控設(shè)備，還包括 DDC 控制器、PLC 控制器和生產(chǎn)相關(guān)的設(shè)備等。

第五層是采集執(zhí)行層，主要包括現(xiàn)場儀表和其他控制設(shè)備，用于實時采集現(xiàn)場參數(shù)。

1.2 工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)的對比

從信息安全目標這一根本原則來看，傳統(tǒng)的 CIA 原則（機密性、完整性和可用性）已不再適用于工業(yè)控制系統(tǒng)，工業(yè)控制系統(tǒng)的安全目標應(yīng)遵循 AIC（可用性、完整性和機密性）等原則 [5,6]。基于以上原則和對工業(yè)控制系統(tǒng)的理解，本文認

為兩者的區(qū)別如下：

（1）工業(yè)企業(yè)往往追求系統(tǒng)的可用性，因此傳統(tǒng)的更新模式不再適用于工業(yè)控制系統(tǒng)，而且工控系統(tǒng)的更新需提前準備，更新升級必須要在離線環(huán)境下驗證，但在一些連續(xù)生產(chǎn)運行系統(tǒng)中，停機升級系統(tǒng)的成本很高。對于國外的工控設(shè)備而言，系統(tǒng)更新還有可能會和工控系統(tǒng)發(fā)生沖突，對生產(chǎn)或設(shè)備帶來不良影響。

（2）從系統(tǒng)目的來看，連續(xù)型工業(yè)控制系統(tǒng)對實時性要求較大，工控系統(tǒng)主要是對生產(chǎn)中遇到的問題能夠?qū)崟r做出判斷和決策，特殊情況下必需確保及時處理，而傳統(tǒng)信息系統(tǒng)在緊急處理能力上和工業(yè)控制系統(tǒng)不在一個級別，且傳統(tǒng)信息系統(tǒng)通信過程中的安全手段通常采用 TCP/IP 協(xié)議和非對稱加密算法等措施?？紤]到工業(yè)控制系統(tǒng)中現(xiàn)場控制設(shè)備向上位機發(fā)送現(xiàn)場數(shù)據(jù)時的實時性要求，認為實時性不高的加密技術(shù)對工業(yè)控制系統(tǒng)而言還不太適用。

（3）從系統(tǒng)特征來看，工業(yè)控制系統(tǒng)與物理環(huán)境存在交互關(guān)系，會產(chǎn)生相對復(fù)雜的交互作用，而傳統(tǒng)信息系統(tǒng)對環(huán)境沒有特別的影響。且在風(fēng)險管理上，傳統(tǒng)信息系統(tǒng)往往注意的是數(shù)據(jù)保密，而工業(yè)控制系統(tǒng)最關(guān)注的是人和環(huán)境的安全，避免故障的發(fā)生，保障公眾的生命和健康。

當(dāng)然，與傳統(tǒng)信息系統(tǒng)相比，工控系統(tǒng)還是有其獨特的特點，如網(wǎng)絡(luò)結(jié)構(gòu)固定、擁有專用的通信協(xié)議、供應(yīng)商單一、部件生命周期長等。

2 工業(yè)控制系統(tǒng)安全測評中的特殊性

信息系統(tǒng)安全等級保護以 GB/T 22239-2008 為依據(jù)，表現(xiàn)在技術(shù)和管理十個層面 [7,8]。在工控系統(tǒng)測評時，直接把等保的十個層面生搬硬套到工業(yè)控制系統(tǒng)存在一定的特殊性，主要表現(xiàn)如下：

（1）物理環(huán)境方面

傳統(tǒng)模式的信息系統(tǒng)數(shù)據(jù)中心或者在本單位、托管在第三方機房，只要主機房物理環(huán)境滿足一般要求即可。但工業(yè)控制系統(tǒng)中，各個車間對物理環(huán)境的要求非常高，尤其是化工、醫(yī)藥行業(yè)，例如現(xiàn)場控制設(shè)備、PLC 設(shè)備、儀器儀表等都安裝在車間里，但環(huán)境監(jiān)測設(shè)備在車間的使用率還不是很普遍，且部分車間的環(huán)境相當(dāng)惡劣，對設(shè)備的防護要求較高，尤其是室外控制設(shè)備等。

（2）網(wǎng)絡(luò)安全方面

傳統(tǒng)信息系統(tǒng)通常采用的典型的 IT 網(wǎng)絡(luò)結(jié)構(gòu)，網(wǎng)絡(luò)邊界是網(wǎng)絡(luò)信息安全的第一道防線，因此網(wǎng)絡(luò)邊界的安全防護措施顯得尤為重要。而工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)往往需進行安全域劃分。從圖 1 我們可以發(fā)現(xiàn)工業(yè)控制系統(tǒng)是一種縱向分層的網(wǎng)絡(luò)結(jié)構(gòu)，各層間采用有效的物理隔離或技術(shù)隔離，禁止任何 HTTP，Telnet，F(xiàn)TP 等網(wǎng)絡(luò)協(xié)議通過區(qū)域邊界。且工業(yè)控制系統(tǒng)中多采用 Modbus，CANBus 和 PROFIBUS 等通信協(xié)議，這些協(xié)議大多都能找到對應(yīng)的協(xié)議內(nèi)容，且有些已被黑客逆向攻破。由此可見，各層間的區(qū)域劃分、通信協(xié)議的安全性是工業(yè)控制系統(tǒng)面臨的挑戰(zhàn)之一。

（3）主機安全方面

由于工業(yè)企業(yè)往往注重系統(tǒng)的可用性，因此在操作系統(tǒng)中為避免系統(tǒng)沖突，在工業(yè)控制系統(tǒng)的工程師站、服務(wù)器等設(shè)備通常不安裝安全補丁、防惡意代碼軟件、入侵防御等具有病毒查殺和阻止入侵行為的軟件，通常采用白名單軟件的方式。而且 DDC 控制器、PLC 控制器等在主機安全層面還無法適用，因此現(xiàn)場工控設(shè)備、白名單的安全策略、離線環(huán)境下系統(tǒng)升級等是工控系統(tǒng)安全測評需要重點關(guān)注的內(nèi)容。

（4）應(yīng)用安全和數(shù)據(jù)安全方面

應(yīng)用系統(tǒng)是工業(yè)數(shù)據(jù)的主要載體，其安全性直接關(guān)系到工業(yè)控制系統(tǒng)的數(shù)據(jù)安全 ；且多數(shù)工業(yè)控制系統(tǒng)具有運行監(jiān)測，功能通過大屏幕 24 小時實時監(jiān)測工控系統(tǒng)的運行，因此應(yīng)用安全中有關(guān)資源控制的測評項并不適用于工業(yè)控制系統(tǒng)。而且工業(yè)控制系統(tǒng)會產(chǎn)生大量的工業(yè)數(shù)據(jù)，囊括了從客戶需求到銷售、訂單、研發(fā)、設(shè)計、制造等產(chǎn)品全生命周期的各類數(shù)據(jù)，這些數(shù)據(jù)價值巨大，如何確保數(shù)據(jù)遠程傳輸安全、數(shù)據(jù)集中存儲安全是工控系統(tǒng)迫切需要解決的問題。

3 工業(yè)控制系統(tǒng)等級保護測評

總體原則、技術(shù)要求和管理要求是工業(yè)控制系統(tǒng)等級保護的三類說明，其中工業(yè)控制系統(tǒng)整體提出的安全域保護原則是總體原則 ；技術(shù)要求針對工業(yè)控制系統(tǒng)的軟件、硬件、網(wǎng)絡(luò)協(xié)議等安全性、通信協(xié)議等要素；管理要求針對工業(yè)控制系統(tǒng)的人員管理、運維管理、制度管理等要素，但工業(yè)控制系統(tǒng)的防護措施也需保證對系統(tǒng)的正常運行不產(chǎn)生危害，并得到現(xiàn)場實踐驗證。參照等級保護測評的要求，結(jié)合上述分析，實施工業(yè)控制系統(tǒng)等級保護測評時，還應(yīng)重點關(guān)注以下要求 ：

  (1）物理和環(huán)境安全 ：室外工作的控制設(shè)備的安裝環(huán)境是否具有防火、絕緣等防護能力，并可避免電磁干擾影響。

（2）網(wǎng)絡(luò)結(jié)構(gòu)安全 ：工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)、工業(yè)控制系統(tǒng)內(nèi)部是否進行區(qū)域劃分，區(qū)域之間是否采取技術(shù)或物理手段隔離。

（3）各安全域訪問控制 ：在工業(yè)控制系統(tǒng)各安全域之間是否部署訪問控制設(shè)備，設(shè)置有效的訪問控制規(guī)則，控制策略失效時及時報警。

（4）通信傳輸安全 ：在工業(yè)控制系統(tǒng)內(nèi)使用指令交換數(shù)據(jù)時，是否采用加密認證手段實現(xiàn)數(shù)據(jù)加密傳輸 ；對需要無線通信傳輸?shù)脑O(shè)備，是否對未經(jīng)授權(quán)的無線設(shè)備進行攔截并報警。

（5）接口安全：是否關(guān)閉或拆除控制設(shè)備上的 USB 接口、串行口、光驅(qū)等，是否采取有效措施保證對外接口的安全。

（6）系統(tǒng)補丁和風(fēng)險安全 ：更新系統(tǒng)補丁、惡意代碼庫、白名單庫前，是否在測試環(huán)境中通過測試，并保證系統(tǒng)的可用性，應(yīng)有安全人員負責(zé)并保存更新記錄。

（7）安全事件處置：工業(yè)控制系統(tǒng)大多應(yīng)用于化工、石油、醫(yī)藥等領(lǐng)域，應(yīng)考慮是否建立工業(yè)控制系統(tǒng)聯(lián)合防護及應(yīng)急機制，是否定期對應(yīng)急機制進行演練，是否對安全事件進行總結(jié)、教育和培訓(xùn)等。

4 結(jié) 語

隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，工業(yè)控制系統(tǒng)得到了各國的廣范關(guān)注，但因其行業(yè)的特殊性，在信息安全方面存在較多的安全風(fēng)險。本文首先總結(jié)了工業(yè)控制系統(tǒng)和傳統(tǒng)信息系統(tǒng)的區(qū)別，其次結(jié)合工業(yè)控制系統(tǒng)自身特點，分析了工業(yè)控制系統(tǒng)在現(xiàn)行等級保護測評標準下的一些特殊性，最后，考慮總體原則，提出了開展工業(yè)控制系統(tǒng)等級保護測評需要重點關(guān)注的要求，為工業(yè)企業(yè)和測評機構(gòu)開展此類工作提供一定的借鑒。