等保20时代智能工控安全建设方案

1、 等保2.0时代智能工控安全建设方案目 录 TOC o 1-3 h z u HYPERLINK l _Toc13032761 1. 概述 PAGEREF _Toc13032761 h 3 HYPERLINK l _Toc13032762 2. 什么是工业控制系统 PAGEREF _Toc13032762 h 3 HYPERLINK l _Toc13032763 3. 等保2.0之工控安全要求解读 PAGEREF _Toc13032763 h 5 HYPERLINK l _Toc13032764 4. 小结 PAGEREF _Toc13032764 h 101. 概述网络安全等级保护（以下简称，

2、等保2.0）相较于等保1.0GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求，一个主要变化是将原来的基本安全要求升级为通用安全要求和安全扩展要求，其中，安全扩展要求针对个性化保护需求提出，需要根据安全保护等级和使用的特定技术或特定的应用场景选择性实现安全扩展要求，而工业控制系统扩展要求为五大扩展要求的重要组成部分。2. 什么是工业控制系统根据GB/T 32919-2016 信息安全技术 工业控制系统安全控制应用指南定义，工业控制系统（ICS）是一个通用术语，它包括多种工业生成中使用的控制系统，包括监控和数据采集系统（SCADA）、分布式控制系统（DCS）和其他较小的控

3、制系统，如可编程逻辑控制器（PLC），典型系统示意图见图1所示，现已广泛应用在电力、能源、化工、水利、制药、污水处理、石油天然气、交通运输以及航空航天等工业领域和关键基础设施中。注：上图摘自NIST SP 800-82r2 Guide to Industrial Control Systems (ICS) Security图1 工业控制系统示意图工业控制系统有着许多区别于传统IT系统的特点，本文通过图2及表1简要说明二者之间的差别。首先是图2所示的信息安全CIA三原则优先级的差异：图2CIA三原则优先级对比其次，在其他管理维度也存在着诸多差异：注：上图摘自NIST SP 800-82r2 Gu

4、ide to Industrial Control Systems (ICS) Security表1IT系统和ICS的差异梳理由于工业控制系统与IT系统之间的上述差异， IT系统的通用安全要求无法直接满足工业控制系统，因此，等保2.0针对工业控制系统的扩展要求即是结合工业控制系统的特定场景提出的有针对性的要求。3. 等保2.0之工控安全要求解读根据等保2.0附录G，工业控制系统主要分为5个层次：现场设备层、现场控制层、过程监控层、生产管理层以及企业资源层，如图3所示。注：上图摘自GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求图3工业控制系统功能层次模型工业控制系统安全扩

5、展要求则主要针对现场设备层和现场控制层提出网络安全要求，具体包括5个控制域和9个控制点，表2为 工业控制系统安全扩展要求概况。注：信息系统安全等级保护定级方法请参考GB 22240-2008 信息安全技术 信息系统安全等级保护定级指南表2 工业控制系统安全扩展要求概况本文摘选三级技术安全控制点进行简要的分析如下：01 室外控制设备物理防护a）室外控制设备应放置于采用铁板或其他防火材料制作的箱体或者装置中并紧固；箱体或装置具有透风、散热、防盗、防雨和防火能力等；b）室外控制设备放置应远离强电磁干扰、强热源等环境，如无法避免应及时做好应急处置及检修，保证设备正常运行。该项要求为物理安全要求，实践中

6、发现各企业基本能够做到物理安全。02 网络架构a）工业控制系统与企业其他系统之间应划分为两个区域，区域间应采用符合国家或行业规定的专用产品实现单向安全隔离；b）工业控制系统内部应根据业务特点划分为不同的安全域，安全域之间应采用技术 隔离手段；c）涉及实时控制和数据传输的工业控制系统，应使用独立的网络设备组网，在物理层面上实现与其他数据网及外部公共信息网的安全隔离。该项要求亦即网络隔离要求，实践中我们注意到各企业的隔离方式差别较大，存在较大的改进空间，建议遵照NIST SP 800-82 R2等推荐的网络架构进行设计、部署或者完善，如建立DMZ区、在工业控制系统内部进行合理的安全功能分区及对防火

7、墙等边界防护设备进行合理配置等，以确保隔离的有效性。03 通信传输在工业控制系统内使用广域网进行控制指令或相关数据交换时，应采用加密认证技术手段实现身份认证、访问控制和数据加密传输。该场景更多地应用于能源、电力等关键基础设施领域，可通过纵向加密认证装置为广域网提供认证与加密功能。04 访问控制a）应在工业控制系统与企业其他系统之间，部署访问控制设备，配置访问控制策略，禁止任何穿越区域边界的E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务；b）应在工业控制系统内安全域和安全域之间的边界防护机制失效时，及时进行报警。该要求对访问控制及监控、日志记录和审计提出了要求，实践中企业

8、通过部署防火墙等安全产品，实现了访问控制，而进一步的监控和审计措施则多有欠缺，可以通过部署日志审计平台，根据企业自身情况，对相关事件进行实时监控、预警并及时处理。05 拨号使用控制a）工业控制系统确需要使用拨号访问服务的，应限制具有拨号访问权限的用户数量，并采取用户身份鉴别和访问控制等措施；b）拨号服务器和客户端均应使用经安全加固的操作系统，并采取数字证书认证、传输加密和访问控制等措施。该要求为远程访问控制要求，实践中我们注意到各企业的远程访问控制措施差别较大，存在较大的改进空间，建议企业部署主机加固软件以及远程控制软件实现对远程访问的控制，针对拨号访问服务，可以考虑使用回调系统。更优的方式则

9、是通过堡垒机或者虚拟专用网络（VPN）等方式实现远程访问。06 无限使用控制a）应对所有参与无线通信的用户（人员、软件进程或设备）提供唯一性标识和鉴别；b）应对所有参与无线通信的用户（人员、软件进程或设备）进行授权以及执行使用进行限制；c）应对无线通信采取传输加密的安全措施，实现传输报文的机密性保护；d）对采用无线通信技术进行控制的工业控制系统，应能识别其物理环境中发射的未经授权的无线设备，报告未经授权试图接入或干扰控制系统的行为。该要求为等保2.0中新增要求，建议企业根据等保2.0要求进行配置，同时，在部署无线网络时应尽量减少无线网络的暴露，且无线接入点和服务器应部署在与工业控制网络隔离的网

10、络上。07 控制设备安全a）控制设备自身应实现相应级别安全通用要求提出的身份鉴别、访问控制和安全审计等安全要求，如受条件限制控制设备无法实现上述要求，应由其上位控制或管理设备实现同等功能或通过管理手段控制；b）应在经过充分测试评估后，在不影响系统安全稳定运行的情况下对控制设备进行补丁更新、固件更新等工作；c）应关闭或拆除控制设备的软盘驱动、光盘驱动、USB接口、串行口或多余网口等，确需保留的，应该通过相关的技术措施实施严格的监控管理；d）应使用专用设备和专用软件对控制设备进行更新；e）应保证控制设备在上线前经过安全性检测，避免控制设备固件中存在恶意代码程序。该要求对设备诸多方面提出了较全面要求

11、，但由于工控设备与传统IT设备不同的风险情况，如对人身健康和生命安全的重大风险等，因此企业针对已经部署的控制设备的改动非常谨慎，建议可以从改动风险较小且容易实现的措施入手，如应关闭或拆除控制设备的软盘驱动、光盘驱动、USB接口、串行口或多余网口，进行设备上线前的安全检测等，逐渐提升控制设备安全水平。08 产品采购和使用工业控制系统重要设备应通过专业机构的安全性检测后方可采购使用。实践中我们注意到较少有企业对设备特别是工控设备的采购提出网络安全要求，只能通过后期“打补丁”方式进行完善。因此，建议企业在设备采购前拟定针对采购设备的网络安全采购要求，且设备须通过专业机构安全检测后方可验收和使用。09 外包软件开发应在外包开发合同中规定针对开发单位、供应商的约束条款，包括设备及系统在生命周期内有关保密、禁止关键技术扩散和设备行业专用等方面的内容。实践中我们发现外包软件是一个较大的风险点，建议企业除了按照等保2.0要求执行外包合同的管理，还应对外包商的安全管理和运维状况进行评估，加强对外包开发人员的安全意识和技能培训，对外包开发的代码进行安全审计，并建立完善的软件安全测试机制。以上是针对等保2.0工业控制系统安全扩展要求的初步解读，由于工业控制系统通常是对可用性要求较高的等级保护对象，若对其实施特定