等級保護2.0深度解讀——工業控制系統安全

2008年發布的《GB/T22239-2008信息安全技術信息系統安全等級保護基本要求》及其配套政策文件和標準統稱為等保1.0。等保1.0在經歷了多年的試點、推廣、行業標準制定、落實工作後，由於新技術、新應用、新業務形態的大量出現，尤其是人工智慧、大數據、物聯網、雲計算、全數位化儀控系統等的快速發展，安全趨勢和形勢的急速變化，原來發布的標準已經不再適用於當前安全要求，從2015年開始，等級保護的安全要求逐步開始制定2.0標準，包括5個部分：安全通用要求、雲計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求、工業控制安全擴展要求，豐富了防護內容和要求，通用要求中精簡了多餘或者不適用的內容，增加了無線網絡、網絡集中監控等的要求。2017年8月，公安部評估中心根據網信辦和安標委的意見將等級保護在編的5個基本要求分冊標準進行了合併形成《網絡安全等級保護基本要求》一個標準。本文主要參考《信息安全技術網絡安全等級保護基本要求》（送審稿）（以下簡稱「該標準」）分析等保2.0的主要變化以及針對工業控制系統的安全擴展內容和要求。

一、等保2.0的主要變化

1.為適應《中華人民共和國網絡安全法》，配合落實「網絡安全等級保護制度」，該標準的名稱由「信息安全技術信息系統安全等級保護基本要求」變更為「信息安全技術網絡安全等級保護基本要求」。

2.該標準主要從技術和管理兩個方面提出要求，技術要求由原來的物理安全、網絡安全、主機安全、應用安全和數據安全及備份恢復調整分類為物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全；管理要求由原來的安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理調整分類為安全策略和管理制度、安全管理機構和人員、安全建設管理、安全運維管理。

圖一：網絡安全等級保護基本要求結構

3.為了適應新技術、新業務、新應用，該標準對雲計算、移動互聯、物聯網和工業控制系統分別提出相應的要求，內容結構調整各個級別的安全要求為安全通用要求、雲計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求和工業控制系統安全擴展要求；

4.控制項的變化：

5.該標準取消了原來安全控制點的S、A、G標註，增加一個附錄A描述等級保護對象的定級結果和安全要求之間的關係，說明如何根據定級的S、A結果選擇安全要求。

二、工業控制系統安全擴展要求

物理和環境安全：增加了對室外控制設備的安全防護要求，如放置控制設備的箱體或裝置以及控制設備周圍的環境；

網絡和通信安全：增加了適配於工業控制系統網絡環境的網絡架構安全防護要求、通信傳輸要求以及訪問控制要求，增加了撥號使用控制和無線使用控制的要求；

設備和計算安全：增加了對控制設備的安全要求，控制設備主要是應用到工業控制系統當中執行控制邏輯和數據採集功能的實時控制器設備，如PLC、DCS控制器等；

安全建設管理：增加了產品採購和使用和軟體外包方面的要求，主要針對工控設備和工控專用信息安全產品的要求，以及工業控制系統軟體外包時有關保密和專業性的要求；

安全運維管理：調整了漏洞和風險管理、惡意代碼防範管理和安全事件處置方面的需求，更加適配工業場景應用和工業控制系統。

三、工業控制系統應用場景

1.工業控制系統的概念和定義

工業控制系統（ICS）是幾種類型控制系統的總稱，包括數據採集與監視控制系統（SCADA）系統、集散控制系統（DCS）和其它控制系統，如在工業部門和關鍵基礎設施中經常使用的可編程邏輯控制器（PLC）。工業控制系統通常用於諸如電力、水和汙水處理、石油和天然氣、化工、交通運輸、製藥、紙漿和造紙、食品和飲料以及離散製造（如汽車、航空航天和耐用品）等行業。工業控制系統主要由過程級、操作級以及各級之間和內部的通信網絡構成，對於大規模的控制系統，也包括管理級。過程級包括被控對象、現場控制設備和測量儀表等，操作級包括工程師和操作員站、人機界面和組態軟體、控制伺服器等，管理級包括生產管理系統和企業資源系統等，通信網絡包括商用乙太網、工業乙太網、現場總線等。

2.工業控制系統分層模型

該標準參考IEC62264-1的層次結構模型劃分，同時將SCADA系統、DCS系統和PLC系統等模型的共性進行抽象，形成了如圖二的分層架構模型，從上到下共分為5個層級，依次為企業資源層、生產管理層、過程監控層、現場控制層和現場設備層，不同層級的實時性要求不同。企業資源層主要包括ERP系統功能單元，用於為企業決策層員工提供決策運行手段；生產管理層主要包括MES系統功能單元，用於對生產過程進行管理，如製造數據管理、生產調度管理等；過程監控層主要包括監控伺服器與HMI系統功能單元，用於對生產過程數據進行採集與監控，並利用HMI系統實現人機互動；現場控制層主要包括各類控制器單元，如PLC、DCS控制單元等，用於對各執行設備進行控制；現場設備層主要包括各類過程傳感設備與執行設備單元，用於對生產過程進行感知與操作。

根據工業控制系統的架構模型不同層次的業務應用、實時性要求以及不同層次之間的通信協議不同，需要部署的工控安全產品或解決方案有所差異，尤其是涉及工控協議通信的邊界需要部署工控安全產品進行防護，不僅支持對工控協議細粒度的訪問控制，同時滿足各層次對實時性的要求。

圖二：工業控制系統典型分層架構模型

同時，該標準專門標註了隨著工業4.0、信息物理系統的發展，上述分層架構已不能完全適用，因此對於不同的行業企業實際發展情況，允許部分層級合併，可以根據用戶的實際場景進行判斷。

考慮到工業控制系統構成的複雜性，組網的多樣性，以及等級保護對象劃分的靈活性，給安全等級保護基本要求的使用帶來了選擇的需求。該標準給出了各個層次使用本標準相關內容的映射關係，可以在實際應用中參考：

3.約束條件

工業控制系統通常對可靠性、可用性要求非常高，所以在對工業控制系統依照等級保護進行防護的時候要滿足以下約束條件:

原則上安全措施不應對高可用性的工業控制系統基本功能產生不利影響。例如用於基本功能的帳戶不應被鎖定，甚至短暫的也不行；

安全措施的部署不應顯著增加延遲而影響系統響應時間；

對於高可用性的控制系統，安全措施失效不應中斷基本功能等。

經評估對可用性有較大影響而無法實施和落實安全等級保護要求的相關條款時，應進行安全聲明，分析和說明此條款實施可能產生的影響和後果，以及使用的補償措施。

四、工業控制系統等級保護檢查

隨著網絡安全等級保護2.0的即將發布和實施，公安部門會著手開展針對工業控制系統的等級保護檢查工作，我公司已經入圍公安部工業控制系統等級保護檢查工具合格研發單位，等待公安部組織的統一測試後進行列裝主要面向公安客戶進行工控系統等級保護執法檢查工作，屆時會發布列裝通告。

同時，針對非公安客戶，我公司已經在2018年7月26日上市發布了工業網絡安全合規評估工具（ISCAT），用於上級檢查和關鍵基礎設施運營企業安全自查。綠盟工業網絡安全合規評估工具（NSFOCUS Industrial Network Security Compliance Assessment Toolkit,簡稱：NSFOCUS ISCAT）配置一體化可攜式、高性能專用硬體裝備，集信息收集（對象、資產、流量）、合規評估、資產信息管理、資產統計分析、資產安全評估、網絡異常行為審計、無線WiFi評估、通信流量診斷（流量統計、工控協議合規性分析、數據包分布統計、診斷數據統計、IP流量統計）、視頻監控設備評估、主機惡意代碼評估於一體的綜合評估工具集，為用戶提供標準、專業的檢查指導，並支持對評估結果數據的關聯分析、統計對比，可幫助用戶快速分析展示合規現狀，定位工業網絡安全風險。