工业控制系统信息安全等级保护测评的研究

0 引 言

工业控制系统是工业生产过程中涉及的软硬件系统、控制平台和技术人员的集合。工控系统中控制部件采集、监测现场实时数据，实现工业设备自动化运行和业务流程管理。

随着工业互联网和智能制造的发展，工业控制系统的安全问题正遭受严峻的挑战，当今移动互联网无处不在，整个控制系统都可与远程终端互连，使得工业控制系统存在的漏洞和遭受的攻击日益增多。近年来我国发布了一系列工业控制系统网络安全的国家标准，如 GB/T 33007-2016 和 GB/T 33009.1-2016 等 [1-2]。

1 工业控制系统信息安全现状

1.1 工业控制系统结构概述

工业控制系统是用于采集、监测和控制生产过程的系统，通常由传感器、过程控制设备和通信设备构成 [3-4]。工业控制系统的结构通常分为五层，如图 1 所示，由外到内分别为管理调度层、网络通信层、集中监控层、现场控制层和采集执行层。

第一层是管理调度层，主要完成生产、人员和设备等管理工作，通过信息交互实现企业信息全集成管理。

第二层是网络通信层，主要包含防火墙、交换机、路由器等网络设备，实现公共网络之间的连接、网络连接防护措施、安全配置和审计、运维安全管理、业务连续性、容灾备份措施等功能。

第三层是集中监控层，包括监控计算机、监控服务器、工控机、操作站、监控中心等。

第四层是现场控制层，采用专有的工控通信协议和工控设备，还包括 DDC 控制器、PLC 控制器和生产相关的设备等。

第五层是采集执行层，主要包括现场仪表和其他控制设备，用于实时采集现场参数。

1.2 工业控制系统与传统信息系统的对比

从信息安全目标这一根本原则来看，传统的 CIA 原则（机密性、完整性和可用性）已不再适用于工业控制系统，工业控制系统的安全目标应遵循 AIC（可用性、完整性和机密性）等原则 [5,6]。基于以上原则和对工业控制系统的理解，本文认

为两者的区别如下：

（1）工业企业往往追求系统的可用性，因此传统的更新模式不再适用于工业控制系统，而且工控系统的更新需提前准备，更新升级必须要在离线环境下验证，但在一些连续生产运行系统中，停机升级系统的成本很高。对于国外的工控设备而言，系统更新还有可能会和工控系统发生冲突，对生产或设备带来不良影响。

（2）从系统目的来看，连续型工业控制系统对实时性要求较大，工控系统主要是对生产中遇到的问题能够实时做出判断和决策，特殊情况下必需确保及时处理，而传统信息系统在紧急处理能力上和工业控制系统不在一个级别，且传统信息系统通信过程中的安全手段通常采用 TCP/IP 协议和非对称加密算法等措施。考虑到工业控制系统中现场控制设备向上位机发送现场数据时的实时性要求，认为实时性不高的加密技术对工业控制系统而言还不太适用。

（3）从系统特征来看，工业控制系统与物理环境存在交互关系，会产生相对复杂的交互作用，而传统信息系统对环境没有特别的影响。且在风险管理上，传统信息系统往往注意的是数据保密，而工业控制系统最关注的是人和环境的安全，避免故障的发生，保障公众的生命和健康。

当然，与传统信息系统相比，工控系统还是有其独特的特点，如网络结构固定、拥有专用的通信协议、供应商单一、部件生命周期长等。

2 工业控制系统安全测评中的特殊性

信息系统安全等级保护以 GB/T 22239-2008 为依据，表现在技术和管理十个层面 [7,8]。在工控系统测评时，直接把等保的十个层面生搬硬套到工业控制系统存在一定的特殊性，主要表现如下：

（1）物理环境方面

传统模式的信息系统数据中心或者在本单位、托管在第三方机房，只要主机房物理环境满足一般要求即可。但工业控制系统中，各个车间对物理环境的要求非常高，尤其是化工、医药行业，例如现场控制设备、PLC 设备、仪器仪表等都安装在车间里，但环境监测设备在车间的使用率还不是很普遍，且部分车间的环境相当恶劣，对设备的防护要求较高，尤其是室外控制设备等。

（2）网络安全方面

传统信息系统通常采用的典型的 IT 网络结构，网络边界是网络信息安全的第一道防线，因此网络边界的安全防护措施显得尤为重要。而工业控制系统的网络结构往往需进行安全域划分。从图 1 我们可以发现工业控制系统是一种纵向分层的网络结构，各层间采用有效的物理隔离或技术隔离，禁止任何 HTTP，Telnet，FTP 等网络协议通过区域边界。且工业控制系统中多采用 Modbus，CANBus 和 PROFIBUS 等通信协议，这些协议大多都能找到对应的协议内容，且有些已被黑客逆向攻破。由此可见，各层间的区域划分、通信协议的安全性是工业控制系统面临的挑战之一。

（3）主机安全方面

由于工业企业往往注重系统的可用性，因此在操作系统中为避免系统冲突，在工业控制系统的工程师站、服务器等设备通常不安装安全补丁、防恶意代码软件、入侵防御等具有病毒查杀和阻止入侵行为的软件，通常采用白名单软件的方式。而且 DDC 控制器、PLC 控制器等在主机安全层面还无法适用，因此现场工控设备、白名单的安全策略、离线环境下系统升级等是工控系统安全测评需要重点关注的内容。

（4）应用安全和数据安全方面

应用系统是工业数据的主要载体，其安全性直接关系到工业控制系统的数据安全 ；且多数工业控制系统具有运行监测，功能通过大屏幕 24 小时实时监测工控系统的运行，因此应用安全中有关资源控制的测评项并不适用于工业控制系统。而且工业控制系统会产生大量的工业数据，囊括了从客户需求到销售、订单、研发、设计、制造等产品全生命周期的各类数据，这些数据价值巨大，如何确保数据远程传输安全、数据集中存储安全是工控系统迫切需要解决的问题。

3 工业控制系统等级保护测评

总体原则、技术要求和管理要求是工业控制系统等级保护的三类说明，其中工业控制系统整体提出的安全域保护原则是总体原则 ；技术要求针对工业控制系统的软件、硬件、网络协议等安全性、通信协议等要素；管理要求针对工业控制系统的人员管理、运维管理、制度管理等要素，但工业控制系统的防护措施也需保证对系统的正常运行不产生危害，并得到现场实践验证。参照等级保护测评的要求，结合上述分析，实施工业控制系统等级保护测评时，还应重点关注以下要求 ：

  (1）物理和环境安全 ：室外工作的控制设备的安装环境是否具有防火、绝缘等防护能力，并可避免电磁干扰影响。

（2）网络结构安全 ：工业控制系统与企业其他系统、工业控制系统内部是否进行区域划分，区域之间是否采取技术或物理手段隔离。

（3）各安全域访问控制 ：在工业控制系统各安全域之间是否部署访问控制设备，设置有效的访问控制规则，控制策略失效时及时报警。

（4）通信传输安全 ：在工业控制系统内使用指令交换数据时，是否采用加密认证手段实现数据加密传输 ；对需要无线通信传输的设备，是否对未经授权的无线设备进行拦截并报警。

（5）接口安全：是否关闭或拆除控制设备上的 USB 接口、串行口、光驱等，是否采取有效措施保证对外接口的安全。

（6）系统补丁和风险安全 ：更新系统补丁、恶意代码库、白名单库前，是否在测试环境中通过测试，并保证系统的可用性，应有安全人员负责并保存更新记录。

（7）安全事件处置：工业控制系统大多应用于化工、石油、医药等领域，应考虑是否建立工业控制系统联合防护及应急机制，是否定期对应急机制进行演练，是否对安全事件进行总结、教育和培训等。

4 结 语

随着工业互联网的发展，工业控制系统得到了各国的广范关注，但因其行业的特殊性，在信息安全方面存在较多的安全风险。本文首先总结了工业控制系统和传统信息系统的区别，其次结合工业控制系统自身特点，分析了工业控制系统在现行等级保护测评标准下的一些特殊性，最后，考虑总体原则，提出了开展工业控制系统等级保护测评需要重点关注的要求，为工业企业和测评机构开展此类工作提供一定的借鉴。