邹春明  公安部第三研究所工控安全测评实验室主任

摘要：工业控制信息安全的现状及存在的主要问题，工控信息安全相关的主要政策文件、国内外标准情况。本文介绍了等级保护2.0的概况、等级保护基本要求等主要标准及工业控制安全扩展要求的基本情况，工控系统等保测评的要点。给出了工控系统网络安全防护建设的要点及建议。

 本文主要介绍一下工业控制系统信息安全与等保2.0，主要是三个方面，一个是工控信息安全的背景要求，第二个等保2.0要求，第三个工控系统安全防护的个人建议。

讲到工控安全包括两个部分，一个是功能安全一个是信息安全，功能安全是非常成熟的，包括它的标准以及测评评论体系都非常完善。信息安全还基本上是起步的阶段，所以工控安全是交叉学科。工业控制系统它的信息安全技术非常薄弱，像工控设备POC控制PCS，还有工会协议它最初基本上不缺少信息安全方面的一些考虑，它都是不带加密不带认证的，这个在IT里面没有办法想象的事情。另外在工控系统建设的时候主要也是考虑稳定性可靠性，比如说工控系统都会采用双环方式，主要是可靠不要中断，对它信息的安全也比较好一些。

其实我们之前工控系统相对比较隔离，虽然存在各种各样的问题，但是不会暴露到互联网上面来，但是随着工业4.0推进现在互联网也在推进，原来的系统不得不暴露在互联网上。这个是国家对工控安全漏洞统计的数据，出现了非常高危的漏洞。这个图也是暴露了不少的工控安全事件，最典型的就是针对伊朗核设施的攻击，这也认为全球工业信息安全的元年，基本上在2010年之后在全球才有对工控信息安全的重视，在国内最开始关注更晚一点基本上在2012年国家发改委办信息安全专项，扶持一些工业控制信息安全产品，我也是在那个时候开始接触工控安全。另外这几年比较典型的像乌克兰电力系统被攻击的事情，就是非常典型的工控安全事件。

工控安全IT有很多的成熟解决方案都比较成熟，因为公共系统毕竟跟IT系统存在比较大的差别，所以IT系统的一些解决方案没有办法直接用到OT系统，总体还是相对封闭的。另外在持续可靠性方面，可能在IT系统升级相对需要一些时间，对于工控系统要求非常高。另外在设备方面，一般的设备在5年左右就该换了，工控系统一般十几二十年的设备非常多，我们现在XP的系统用的很少，但是工控系统非常常见，另外应用协议这一块也是。所以在工控系统信息安全诉求也和IT系统类似，工控系统首先是要保证完整性，把保密性这一块放到最低，所以我们在工控系统安全建设的时候首先要保证它的可用性，安全的工控设备和计算设备，这是整个工控安全的基础。设备防护还是偏IT，因为这一块还是偏IT的，技术还是相对比较成熟，但是对于工控设备这一块，工控设备设计上就没考虑信息安全，如果完全替换的话成本负担高，现在一些新的会考虑信息安全的需求。

另外需要结合一些可靠的公共信息安全产品，像别的产品没有办法应用到工控系统它对实时性可靠性要求非常高，对于安全的产品最主要的一点是解析应急，因为工控系统应用协议是五花八门的，传统的产品解析不了。

另外需要结合全生命周期的安全管理，由此保证了公共系统的安全。所有的这些活动都需要一些政策法规以及标准的支撑，政策法规要求企业能做什么事不能做什么事，标准指导企业具体怎么做，比如说网络安全法要求企业需要按等级保护来做，像等级保护系列标准指导企业具体该怎么样做。在网络安全法里面要明确使用等级保护制度，另外网络设备和安全产品要有许可，另外工业控制系统它是关键基础设施的重要组成部分，像电力、轨道交通，其他的还有很多国家层面的法规。

只要是跟网络安全的法规，里面肯定会涉及到工控安全，如果工控工业制造方面都会涉及到安全部分。另外有两个比较重要的，一个是国家基础设施安全保护条例，还有网络安全等级保护条例目前征求意见稿，这两个条例应该都是以国务院的名义发布的。具体的法规工控系统安全防护工信部在国家层面政策文件细化提出一些具体的要求，另外在标准方面最有名的国际上工控安全标准IEC62443有12个标准，目前有一些标准已经发布了，有一些还在制订的过程当中。另外像SP800-82《工业控制系统安全指南》也有一些借鉴价值另外国内还有不少的标准都在制订，最重要的标准就是信息技术等级安全保护的要求，这里面也有扩展要求。这个是TC260WG5安全评估组，里面有一些子体系，它主要呈几个方面基础产品包括工控设备以及工控安全产品以及网络安全服务。

下面介绍一下等保2.0，其实等保1.0的标准是2008年发布的，到现在十多年变化非常多，2008年云计算刚起步工控安全没有完全关注，另外像国内外的网络信息安全要求。2019年大的铺开2006年就开始有起步的工作，这些年有一些不足需要进一步完善。等保2.0它不只是一个标准的更新它是一个体系的更新，原来等保1.0主要依据是国务院14716四部委联合起草等级保护管理条例，现在因为是网络安全法律要求，现在已经看到不少因为没有开展等级保护工作还存在一些安全漏洞。第二个整个标准体系的更新包括定期指南基本要求设计要求测定要求，这个标准体系都在全面的修订，像上个月有三个基本的要求，测评要求非常重要的标准已经发布了，另外还有还有一些指南。

另外测评体系这一块可能前期对公安主管部门来说，更重要的是把整个全国的测评体系建立起来，现在加强测评体系的监管考核完善测评的一些质量，在去年就听了一些测评机构的指数，另外像整个等保技术体系和标准体系都在进一步完善，这是等保标准体系，因为在1.0时代主要是针对信息系统安全先改进网络安全，网络安全更能体现它的内涵，作为等保体系最核心的两个标准，一个是应急指南，因为应急是等保工作开展的一个基础。第二个就是等级保护的基本要求像这些要求都是基于基本要求来编的标准，这两个是国标国标很难写各个系统之间差别非常大，国标要写成通用，这是一些行业细则像电力系统银行系统，它制订了一些行业标准可以非常的有针对性，比如说人民银行出了银行业的指南，什么样的级别应该定什么样的级别，可以给出非常细的要求。另外等级保护基本要求也是，其实工控安全涉及到的行业也非常广泛，公共行业不同的行业之间差别也是非常大的，它的运营期间实行要求非常高的，有一些系统其实也不是按照那个要求，比如说智能电表它的它采集的数据时间要求完全不高，可以一天之内才出来，所以行业的细则还是非常重要的。

另外在1.0时代它主要针对的是信息系统，在2.0时代保护对象的拓展，拓展包括工业控制互联网还有云计算，所以直接叫等级保护对象，在定级也更强调一些新要求，其实在原来已经有相应的要求，专家评审主管部门审批，可能在2.0时代具体操作上也执行的更严格。另外对于定级的方法，定级首先确定安全责任主体公安比较关注这个，另外需要承载相应独立的业务，它要包含相应的多个资源不要把单排控制器定性为一个系统，这个可能涉及到上面和下面的Io网络设备整体做一个系统。

这个是工控层级，定级主要是两个纬度，一个纵向主要是把现场的一些设备，包括控制器以及上传的软件作为一个系统来定性，因为这一套整体完成一块相对比较独立的业务，另外从横向的角度来，可以跟责任主体功能还有控制器的厂商都会有，这个电力系统比较典型。在基本的要求里面，最初的时候是想作为一个新的标准，后来这个过程还是比较复杂的，后来把它合成一本按照架构来编制。

通用要求适用于一般的IT系统，目前还是按两大方面技术要求和管理要求，其实对于一个系统来说能够产生并作。管理这一块没有大的调整，安全物理环境这一块还有一定的降低。主要调整的就是技术这一块，强调的一个中心三层防护，安全通信网络、安全区域远景、安全制造环境。原来都是分主机安全网络安全和应用安全，现在这三部分的安全要求全部合在了安全环境里面。在安全通讯网络主要强调了网络架构的要求，通讯传输。另外增加了可行验证说一句实在话，可能对于操作系统层面还有相应的解决方案，在网络层面目前还没有一些好的解决方案，这也是在要求里面作为一个可行要求没有做强制要求，这也是专家的想法，如果不写到里面没有人去做，如果写到标准里面就会有相应的解决方案出来。

在安全区域边界这一块，主要强调的安全防护、防护控制、多行防范。另外增加了二级防范和安全审计和可行验证，二级防范如果在控制器里面使用电子，另外安全质量环境这一块主要是增加了可行性验证和功能信息保护，主要是增加了安全管理中心这一块其实在老的标准里面是放在里面作为管理要求，在新的标准里面作为一个技术要求它包括了系统管理审计管理和安全管理的集中管控，其实对于工控系统来说，工控系统不像IT系统那么复杂庞大，一般来说还是比较简单，所以工控系统建议功能上大而全性能上要求不是很高的安全管理平台能够尽量多的覆盖集中管控的要求，这样也可以在成本上用户也是比较好接受。

对工控系统的安全主要是强调五层模型，对工控的安全扩展要求主要强调的对现场设备审核和现场控制的要求，其实这个是根据国际标准，现在特别强调工业互联网这一块，其实在部分层级去合并的，这也是非常的清晰。对各个层次的安全需求也不一样，基本上在以上就是偏IT的，它对延时方面区别非常大。这是扩展要求所增加的几个方面，这个相当于包括物联环境，因为工控系统涉及到户外的一些设备，另外安全通讯网络这一块有一些系统都涉及到的面非常广，另外区域边界防护我觉得是工控系统的重中之重，它的基础非常薄弱所以把边界一定要看好，另外像安全智能环境，安全智能环境在扩展要求里面有一点那个意思可以降低一些要求，因为在控制机这种根据没有办法支持，它就在要求里面也说如果控制器无法支持，在上位集散就实现相应的安全功能，另外在管理要求里面建设也有相应的要求。

这是拓展要求的应用要根据系统设计的层级有通用要求加拓展要求，这个是增量的方式，首先应该满足一些通用要求，另外如果是对应的层级和对应设备或者是一些网络，还需要满足拓展的要求。最后介绍一下工控系统防护的个人建议，其实工控系统整体上是技术防护与安全管理并重，像安全管理在工控系统里面显得更突出，因为有一些控制器它就没有解决方案。有一些老式的或者全部更新掉了，这个程度是非常高的，所以在解决方案有限的情况下，安全管理这一块就显得尤为重要。

第二个平衡安全效益突出重点适度安全，工控系统做一些不是像安全产品布置的越多感觉越安全，它首先还是保证可用性。三同步原则，安全技术措施同步规划同步建设同步使用，这个对于安全系统也有要求，但是工控系统就更明显，对IT系统如果有点问题整改起来相对比较容易，加一个设备。但是对于工控系统很多都是24小时运营的你去改造成本非常高，目前一些新的系统建设基本上大家还会注意像上飞还有一些汽车制造，它新建厂都会考虑安全同步建设。

另外信息安全措施不应该对高可用的工业控制系统产生不利的影响，特别是设备，主要是来源于防火墙，特别是现象级的防火墙这一块目前用户也比较难于接受。其实现象防火墙主要解决的问题是控制器这种，它没有没有认证没有加密，主要是在它的前面加一个现象级的防火墙对它进行防护，目前这个方面用户还是比较难以接受。在管理制度方面，我觉得可以以等级保护的基本要求安全管理要求为基础来完善整个安全信息安全的管理体系，因为等保里面对于整个安全管理制度这一块是要求比较成体系的，但是像前面工信部对制造业也有相当多的要求，所以在制度体系这一块完善还需要兼顾其他的一些监管要求，像关于信息基础设施保护，另外还有业务主管部门像能源局它对能源系统也会有它的要求。另外安全制度需要有可操作性方便落地实施，这些安全制度不要好高骛远我写的非常安全怎么样，写的看起来很好，但是没有办法落地实施，这样可能会影响制度的权威性，另外也是没有实际的效果。第三个需要加强监督自查留下相关证据确保制度贯彻实施。在技术防护方法，首先是分布实施，首先解决控制器上层的安全，在控制器下层现在基本上还没有更多的解决方案，解决方案主要是三个重点，一个是边界防护，把边界一定要看好，一个是纵向的层级之间的防护，一般控制系统和IT系统会有单向隔离的设备，因为它比防火墙要高的，就算外面被破掉还是进不去。另外对下层可以用工业级的防火墙进行部署，一个纵向还有一个横向的，横向也要采取隔离措施比如一些工厂，如果出了问题把问题控制在最小的范围内，比如一个故障不要蔓延到其他的故障，这个是边界防护非常的重要。还有无线接收这一块也非常重要，另外把系统内部的监控做好，一般出现一些安全事件前面都会有一些征兆，如果把它做好在出现的时候会采取对应的处理措施，最大限度的降低安全问题。

第三个主机防护，其实工控系统安全事件，其实最主要的通过上层计算机作为入口导致的，所以把计算机设备管好非常的重要，基本上一个防病毒，一个是杀毒软件个人觉得还是杀毒软件比较好，因为工控系统相对比较封闭，杀毒软件首先是滞后的新的出来是防不了的。第二个就是你需要定期去升级，这个在管理上从测评来说很难集中收集，这个是技术防护的几个重点。