工控系统网络安全等级保护三级建设方案

项目编号:

工控系统网络安全等级保护2.0三级

建

设

方

案

XX工控系统网络安全等级保护三级建设方案

目录

1概述............................................................1

1-1建设背景..................................................1

1-2工控系统发展概述.........................................2

1-3工业控制系统层次模型.....................................3

1-4国家政策法规.............................................5

1-4-1中华人民共和国网络安全法...........................5

1-4-2等级保护2.0.............................................................................................6

1-4-3关键信息基础设施网络安全保护基本要求..............7

2项目建设需求....................................................7

2-1XX企业工控系统安全现状...................................7

2-2等保建设需求分析........................................11

3等级保护建设流程与基本要求....................................12

3-1等级保护建设流程........................................12

3-2等级保护技术体系设计框架................................14

3-3等级保护三级技术要求及建议..............................15

3-3-1安全物理环境......................................15

8.1.1安全物理环境...............................................15

3-3-2安全通信网络......................................18

3-3-3安全区域边界......................................19

3-3-4安全计算环境......................................23

3-3-5安全管理中心......................................28

XX工控系统网络安全等级保护三级建设方案

3-4等级保护三级管理要求及建议..............................30

3-4-1安全管理制度......................................30

3-4-2安全管理机构......................................31

3-4-3安全管理人员......................................32

3-4-4安全建设管理......................................34

3-4-5安全运维管理......................................38

4网络安全等级保护总体设计......................................45

4-1方案设计依据............................................45

4-2方案设计原则............................................46

4-3方案总体设计思路........................................47

4-4总体防护架构............................................48

5网络安全等级保护详细建设方案..................................48

5-1等保建设技术方案........................................48

5-1-1安全物理环境......................................48

5-1-2安全通信网络......................................49

5-1-3安全区域边界......................................52

5-1-4安全计算环境......................................63

5-1-5安全管理中心......................................68

5-2安全防护部署............................................84

5-3等保建设管理方案........................................86

5-3-1安全管理制度......................................86

5-3-2安全管理机构......................................89

II

XX工控系统网络安全等级保护三级建设方案

5-3-3安全管理人员......................................89

5-3-4安全建设管理......................................90

5-3-5安全运维管理......................................91

6安全服务方案...................................................95

6-1运维保障服务............................................95

6-1-1安全策略优化......................................95

6-1-2应急响应服务......................................95

6-1-3安全产品运维......................................96

6-2安全培训服务............................................96

6-2-1工控网络安全意识培训..............................96

6-2-2工控网络安全技术培训..............................97

6-2-3工控安全等级保护培训..............................98

6-2-4产品使用培训......................................99

6-2-5培训方式..........................................99

7配置清单......................................................102

8项目价值分析..................................................103

8-1项目示范性价值.........................................103

8-2项目推广性价值.........................................104

HI

XX工控系统网络安全等级保护三级建设方案

1概述

1-1建设背景

随着国际上工业互联网、工业4.0、国内“中国制造2025”战略的提出，积

极推动了生产制造模式的变革、产业的组织创新以及产业结构升级，使得传统行

业的基础设施能够进行远程的智能化控制和操作，高度融合IT技术的工业自动

化应用得到迅速而广泛的使用，而工业控制系统设计之初是为了完成各种实时控

制功能，并没有考虑到安全防护方面的问题，通过网络互联将他们暴露在外部网

络上，无疑将给他们所控制的关键基础设施、重要系统等都带来巨大的安全风险

和隐患。

工业控制系统已广泛应用于国内重大的基础设施中，在我国工控行业中，主

要，'业控制系统包括集散控制系统（DCS）、数据采集与监视控制系统（SCADA）

和可编程控制器（PLC）等，在工厂运行中发挥着巨大的作用。与传统的基于

TCP/IP协议的网络与信息系统的安全相比，我国工控系统的安全保护水平明显

偏低，长期以来没有得到关注。大多数工控系统在开发时，由于传统工控系统技

术的计算资源有限，在设计时只考虑到效率和实时等特性，并未将安全作为一个

主要的指标考虑。随着信息化的推动和工业化进程的加速，越来越多的计算机和

网络技术应用于工业控制系统，在为工业生产带来极大推动作用的同时，也带来

了工控系统的安全问题，如系统终端平台安全防护弱点、系统配置和软件安全漏

洞、工控协议安全问题、私有协议的安全问题、以及隐臧的后门和未知漏洞、

TCP/IP自身的安全问题、用户权限控制的接入、网络安全边界防护以及内部非

法人员、密钥管理等等各种网络安全的风险利漏洞。

一旦敌对政府、恐怖组织、商业间谍、内部不法人员、外部非法入侵者利用

系统上的漏洞或管理上的疏漏侵入工厂控制系统，都有可能造成系统停车、机密

信息泄露甚至系统的运行被恶意控制等问题。化学工业是关乎国计民生的特殊行

业，每一次安全事件，都使广大人民群众的生活、生产受到巨大影响，经济遭受

重大损失甚至倒退。吁以XX企业工控系统的网络安全问题，关系到国家经济命

脉、人民生活水平、以及社会繁荣发展。XX企业生产控制系统安全事关重大，

1

XX工控系统网络安全等级保护三级建设方案

一旦出现网络攻击，将会出现不可控的严重后果，在高度信息化为工厂生产管理

带来便利的同时，工厂控制网络也由原来的相对封闭变得更加开放，势必会面临

越来越多的网络威胁。

1-2工控系统发展概述

近年来，在“两化”融合的行业发展需求下，现代工业控制系统的技术进步

主要表现在两大方面：信息化与工业化的深度融合，为了提高生产高效运行、生

产管理效率，国内XX企业大力推进工业控制系统自身的集成化、集中化管理。

系统的互联互通性逐步加强，工控网络与办公网、互联网也存在千丝万缕的联

系。

德国的工业4.0标准、美国的“工业互联网”以及“先进制造业国家战略计

划”、日本的“科技工业联盟”、英国的“工业2050战略”、中国“互联网+”“中

国制造2025”等相继出台，对，业控制系统的通用性与开放性提出了更高的要

求。未来工业控制系统将会有一个长足发展，工业趋向于自动化、智能化，系统

之间的互联互通也更加紧密，面临的安全威胁也会越来越多。

2010年6月“震网”的蠕虫病毒入侵了伊朗布什尔核电站造成20%的离心

机报废，伊朗大约3万个网络终端感染。

2012年，两座美国电厂遭受USB病毒攻击。这些病毒可被攻击者利用以远

程控制系统或窃取数据。美国应急响应中心表示，在被插入包含恶意程序U盘

后，病毒感染了每个工厂的工控系统。

2015年12月，乌克兰电力系统遭受黑客攻击，将可远程访问并控制工控系

统的BlackEnergy（黑喑力量）恶意软件植入乌克兰电力部门，造成电网数据采

集和监控系统崩溃，导致伊万诺一弗兰科夫斯克地区大约一半家庭停电数小时。

2016年3月，Verizon公司发布的安全事件报告中称一家名为Kemuri的水

务公司自来水控制系统被黑客攻击，导致正常供水受到影响。

2016年10月，美国、德国、利比亚遭受大规模DDoS攻击，造成大面积网

络瘫痪。

2017年2月，一种儿乎无法被检测到的极为复杂的恶意程序感染了全球超

过140家机构的计算机系统，包括美国、南美、欧洲和非洲的银行、通信、市政

等多种关键信息基础设施系统。

2

XX工控系统网络安全等级保护三级建设方案

2017年5月，“蠕虫式”勒索软件“WannaCry”勒索病毒入侵了全球150

多个国家的信息系统，雷诺、日产等汽车制造厂商被迫停产，多国能源、通信等

重要行业损失惨重。这些攻击通常都是经过精心策划的，并且可对现实世界造成

严重后果。

2019年3月7日，委内瑞拉国内包括首都加拉加斯在内的大部分地区停电

超过24小时，在委内湍拉23个州中，一度有20个州全面停电，停电导致加拉

加斯地铁无法运行，造成大规模交通拥堵，学校、医院、工厂、机场等都受到严

重影响，手机和网络也无法正常使用。

2019年3月19日，世界最大的综合性铝业集团之一挪威海德鲁公司(Norsk

Hydro)在全球多家铝生产工厂遭受严重网络攻击，造成多个工厂关闭和部分工

厂切换为手动运营模式。

2019年II月，黑西哥石油巨头PPUIPX遭勒索500万美元被迫关停多个

IT系统。

1-3工业控制系统层次模型

工业控制系统层次模型从上到下共分为5个层级，依次为企业资源层、生产

管理层、过程监控层、现场控制层和现场设备层，不同层级的实时性要求不同。

企业资源层主要包括ERP系统功能单元，用于为企业决策层员工提供决策运行手

段；生产管理层主要MES系统功能单元，用于对生产过程进行管理，如制造数据

管理、生产调度管理等；过程监控层主要包括监控服务器与HMI系统功能单元，

用于对生产过程数据进行采集与监控，并利用HMI系统实现人机交互；现场控制

层主要包括各类控制器单元，如PLC、DCS控制单元等，用于对各执行设备进行

控制；现场设备层主要包括各类过程传感设备与执行设备单元，用于对生产过程

进行感知与操作。

3

XX工控系统网络安全等级保护三级建设方案

房级4：企业资源乂

建立基本匚厂生产调度、材料使用、运

企业资源层输、确定库存等级、操作管理等

实时性

月、周、日

层级3：生产管理发

工作流/处方控制来生产期望的终端产品。

维护记录和优化生产过程，倜度生产，

生产管理层细化生产调度过程，保证可第性等。

实时性

日、工作班时、小时、分钟、秒

层级2：过程监控层

监控，管理控制和自动控制生产过程

实时性

DCSPICSCADA小时、分钟、秒

系统系统系统

U级1：现场控制U

传感数据栗集和生产过程控制

实时性

批过程/连续过程/离散过程秒、亚秒

层级0：现场设备了

传感和操作生产过程

各个层次使用网络安全等级保护基本要求相关内容的映射关系如下:

功能层次技术要求

安全通用要求（安全物理环境）

安全通用要求（安全通信网络）

企业资源层安全通用要求（安全区域边界）

安全通用要求（安全计算环境）

安全通用要求（安全管理中心）

安全通用要求（安全物理环境）

安全通用要求（安全通信网络）+安全扩展要求（安全通信网络）

生产管理层安全通用要求（安全区域边界）+安全扩展要求（安全区域边界）

安全通用要求（安全计算环境）

安全通用要求（安全管理中心）

安全通用要求（安全物理环境）

过程监控层

安全通用要求（安全通信网络）+安全扩展要求（安全通信网络）

4

XX工控系统网络安全等级保护三级建设方案

安全通用要求（安全区域边界）+安全扩展要求（安全区域边界）

安全通用要求（安全计算环境）

安全通用要求（安全管理中心）

安全通用要求（安全物理环境）+安全扩展要求（安全物理环境）

安全通用要求（安全通信网络）+安全扩展要求（安全通信网络）

现场控制层

安全通用要求（安全区域功界）+安全扩展要求（安全区域功界）

安全通用要求（安全计算环境）+安全扩展要求（安全计算环境）

安全通用要求（安全物理环境）+安全扩展要求（安全物理环境）

安全通用要求（安全通信网络）+安全扩展要求（安全通信网络）

现场设备层

安全通用要求（安全区域边界）+安全扩展要求（安全区域边界）

安全通用要求（安全计算环境）+安全扩展要求（安全计算环境）

1-4国家政策法规

1・4・1中华人民共和国网络安全法

《网络安全法》明确制造企业的关键信息基础设施纳入国家法律层面的保护,

对于能源企业以及主管单位、安全服务提供商的责任划分和职责要求如下：

第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安

全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者

未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络

安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技

术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规

定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。

第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共

服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据

5

XX工控系统网络安全等级保护三级建设方案

泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网

络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和

安全保护办法由国务院制定。

第三十三条建设关键信息基础设施应当确保其具有支持业务稳定、持续运

行的性能，并保证安全技术措施同步规划、同步建设、同步使用。

第三十四条除本法第二十一条的规定外，关键信息基础设施的运营者还应

当履行下列安全保护义务：

（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位

的人员进行安全背景审查；

（二）定期对从业人员进行网络安全教育、技术培训和技能考核；

（三）对重要系统和数据库进行容灾备份；

（四）制定网络安全事件应急预案，并定期进行演练：

（五）法律、行政法规规定的其他义务。

第三十八条关键信息基础设施的运营者应当自行或者委托网络安全服务机

构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评

估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

第三十九条国家网信部门应当统筹协调有关部门对关键信息基础设施的安

全保护采取下列措施：

（一）对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要

时可以委托网络安全服务机构对网络存在的安全风险进行检测评估；

（二）定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应

对网络安全事件的水平和协同配合能力；

（三）促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络

安全服务机构等之间的网络安全信息共享；

（四）对网络安全事件的应急处置与网络功能的恢复等，提供技术支持和协

助。

1・4・2等级保护2.0

2019年5月13日，国家市场监督管理总局、国家标准化管理委员会召开新

6

XX工控系统网络安全等级保护三级建设方案

闻发布会，等保2.0相关的《信息安全技术网络安全等级保护基本要求》、《信

息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安

全设计技术要求》等国家标准正式发布，将于2019年12月1日开始实施。技术

部分将从基本要求和扩展要求两个方面进行展开，扩展部分明确将工业控制系统

作为安全防护的一个重要部分，从安全计算环境、网络安全边际、网络通信和集

中管控、物理安全等5个方面进行防护要求。

GB/T22239-2019信息安全技术网络安全等级保护基本要求

GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求

GB/T28448-2019信息安全技术网络安全等级保护测评要求

1・4・3关键信息基础设施网络安全保护基本要求

2017年6月1日《网络安全法》正式实施，具中第二章第二节规定了关键

信息基础设施的运行安全，包括关键信息基础设施的范围、保护的主要内容等。

国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等

重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危

害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制

度的基础上，实行重点保护。2019年12月3日，全国信息安全标准化技术委员

会秘书处在北京组织召开了国家标准《信息安全技术关键信息基础设施网络安

全保护基本要求》（报批稿）试点工作启动会。本次试点工作旨在验证《关保》

标准内容的合理性和可操作性，为标准推广实施积累经验，为关键信息基础设施

安全保护工作提供技术支撑。

2项目建设需求

2-1XX企业工控系统安全现状

煤XX又称煤炭高温干储。以煤为原料，在隔绝空气条件下，加热到950℃

左右，经高温干僧生产焦炭，同时获得煤气、煤焦油并回收其它化工产品的一种

煤转化工艺。焦炭的主要用途是炼铁，少量用作化工原料制造电石、电极等。

煤焦油是黑色粘稠性的油状液体，其中含有苯、酚、蔡、慈、菲等重要化工原料,

它们是医药、农药、炸药、染料等行业的原料，经适当处理可以一一加以分离。

7

XX工控系统网络安全等级保护三级建设方案

XX企业主要包含备煤、焦炉、干熄焦、煤气净化等生产作业区域。各作业区域

控制系统大部分选用国外品牌，部分控制系统选用国内和利时、浙大中控品牌。

生产主机及服务器操作系统大部分仍安装WindowsXP/7/2003等操作系统，并且

无法升级。

典型XX企'业工控系统架构图如下：

图1典型XX企业工控系统架构图

XX企业工控安全的脆弱性是指工控系统在防护措施中和在缺少防护措施时

系统所具有的弱点，而工控系统内部的脆弱性问题是导致系统易受攻击的主要因

素，脆弱性问题的根源可概括为以下几个方面：

1）通信协议漏洞

化工行业大量工控系统中使用的协议设计之初主要保证通信实时性和可靠

性，实现这些目标的同时牺牲了协议本身的安全性因素（例如认证、授权、加密）,

存在大量安全性缺陷。同时随着目前TCP/IP协议和0PC协议等通用协议越来越

广泛地应用在工业控制网络中，随之而来的通信协议漏洞问题也日益突出。

例如，OPCClassic协议（OPCDA,OPCHAD和OPCA&E）基于微软的DCOM协

议，DCOM协议是在网络安全问题被广泛认识之前设计的，极易受到攻击，并且

OPC通讯采用不固定的端口号，导致目前几乎无法使用传统的IT防火墙来确保

其安全性。因此确保使用OPC通讯协议的工业控制系统的安全性和可靠性给工程

师带来了极大的挑战。

8

XX工控系统网络安全等级保护三级建设方案

2）操作系统漏洞

目前大多数工业控制系统的上位机和服务器采用Windows系列、Unix系列

操作系统，为保证过程控制系统的相对独立性和系统稳定运行，通常在系统运行

后基本不会安装任何补丁和升级，存在大量已知可利用漏洞和未知漏洞，从而埋

下安全隐患。

3）应用软件漏洞

由于应用软件多种多样，很难形成统一的防护规范以应对安全问题；另外当

应用软件面向网络应用时，就必须开放其应用端口。因此常规的IT防火墙等安

全设备很难保障其安全性。互联网攻击者很有可能会利用一些大型工程自动化软

件的安全漏洞获取诸如轨道交通、污水处理厂、天然气管道以及其他大型设备的

控制权，一旦这些控制权被不良意图黑客所掌握，那么后果不堪设想。

4）丁控设备后门和漏洞

化工行业工控系统有其特有的运维方式，供应商对于出厂的设备除了采用现

场维护的手段外，还大量使用了远程运维的方式,因此，供应商、业主出于自身

便利与经济的考虑，往往默认将工控设备内置的调试后门打开，这同时也给了恶

意攻击者可乘之机。

工控设备与传统信息系统设备一样，同样存在各种安全漏洞，而工控系统补

丁常常难以及时更新，因此很多工控环境中都存在着高危漏洞。美国ICS-CERT

（工业控制系统应急响应小组）所出具的报告表明，工控设备的漏洞数量正在逐

年增加，其中数量最多的漏洞为明文传输的通信流量数据、缓存溢出、拒绝服务

等高危漏洞。更为可怕的是，更多的工控设备漏洞并未公开发布，黑市上的工控

系统漏洞价格都高达几十万欧元。

5）网络结构漏洞

实际应用中的许多控制网络都是“敞开的”，不同的子系统之间都没有有效

的隔离，尤其是基于OPC、MODBUS等通讯的工业控制网络，和大量第三方智能化

设备及上级调度管理网对接，工控系统与其他系统之间存在大量的接口，且没有

完善的数据隔离措施，从而导致如果有威胁通过某种方式进入本系统网络之内，

将会很快的在整个内外网络内扩散。

6）安全策略和管理流程漏洞

9

XX工控系统网络安全等级保护三级建设方案

追求可用性而牺牲安全性，是很多工业控制系统存在的普遍现象，缺乏完整

有效的安全策略与管理流程也给工业控制系统信息安全带来了一定的威胁。例如

工业控制系统中移动存储介质包括笔记本电脑、I盘等设备的使用和不严格的访

问控制策略。

7）外部风险来源

控制系统面临的外部威胁可以来自多种来源，包括敌对政府、恐怖组织、工

业间谍、心怀不满的员工、恶意入侵者等。他们的主要目标包括长期潜伏收集数

据和情报、破坏生产和基础设施、窃取核心研发技术、要挟获取利益等。

8）外部渗透手法

随着生产网和企业网的深度融合，越来越多的攻击者利用企业网作为跳板一

步一步进入生产网，最终实现入侵工业控制系统的目标。而通过近年来工控安全

事件的分析，主要的渗透方式包括：

•ATP攻击：APT（高级可持续性威胁）是攻击目标非常明确的攻击方式，

攻击时会利用最新的0-day漏洞，通过攻击技术精心组合与攻击者之间的

协同，同时为了达到目的可进行长期的持久性攻击。近年来以震网为代表

的针对工业控制系统的攻击事件都呈现了这些攻击技术特征。

•鱼叉式钓鱼：是指诱导特定目标连接黑客预先设定的陷阱。这种攻击方

法的成功率很高，也非常常见。点击链接、打开表格或者连接其他一些文

件都会感染病毒,一次简单的点击相当于为攻击者开启了一扇电子门，这

样他就可以接触到你的内部弱点了，2015年乌克兰电网停电事件黑客就是

采用该方式成功入侵；

•网络扫描/网络嗅探：随着工控系统集成的发展，工控系统通过互联网/

内联网/外联网进行Web访问等方式开始逐渐流行，工控系统直接暴露的风

险也不断增加。黑客可以利用网络扫描和嗅探工具发现暴露在外的工控系

统，发现漏洞进行攻击。比如利用Shodan搜索引擎，能搜索到儿乎所有与

网络相连的工业控制系统。

•混合攻击：采用前面几种方式的组合手法对目标进行攻击，黑客组织的

攻击目标从工业现场开始移动，瞄向工控行业的最上游一一工控设备制造

商，从行业最上游打开缺口。比如以Havex所代表的“水坑式”攻击通过

10

XX工控系统网络安全等级保护三级建设方案

感染工控设备制造商官方网站升级程序包，达到渗透工控系统的目标。

2-2等保建设需求分析

通过现场安全调研和信息汇总，针对现场的安全需求汇总归纳如下：

1）网络通信层面

•安全域架沟设计缺失

整体架构设计当初考虑更多的是1.层网络QES）与生产系统网络通信可用

性问题，在办公网与生产网之间没有进行安全隔离与控制，这极易导致生产系统

和生产数据未经授权的访问、病毒感染，生产业务拒绝式服务攻击等安全风险造

成生产核心数据的泄露、加工代码的恶意更改。生产网内部不同生产区域之间的

安全防御机制没有建立起来，容易造成某一生产系统遭受到攻击很快就会扩敦到

整个生产网内部当中。

•控制指令数据通信明文传输

目前控制系统没有针对数据传输的加密机制。管理网PC与生产数采服务器

之间通讯、上位机与PLC控制器的通讯之间都是明文数据传输，易被攻击者窃听、

解析和重放攻击。

•工业控制安全审计机制缺失

控制系统内部缺乏对系统日常流量数据的实时监控，同时对于日常运维人员

的操作指令下发、操作行为等没有进行安全审计管理，对于系统内部出现的异常

流量、异常操作甚至人为原因造成的生产业务异常事件无法溯源，也无法找到事

件发生根本原因，最终无法对事件进行定性分析二

2）主机设备系统层面

•现场设备（PLC、RTU）存在漏洞

目前XX企业工业控制系统使用的PLC品牌大多是SiemensS7.AB及三菱等

国外品牌，依据ICS-CERT统计的工业控制系统公开新增漏洞所涉及的工业控制

系统厂商占比中，Siemens设备占比28%（排名第一），同时这些新增漏洞按照可

能引起的攻击威胁分类的统计及占比分析结果中，可引起业务中断的拒绝服务类

漏洞占比33%（排名第一），利用他们可以窃取生产企业的生产计划、工艺流程

等敏感信息，甚至获得工控系统的控制权，干扰、破坏XX企业生产业务的正常

生产或运营活动。

11

XX工控系统网络安全等级保护三级建设方案

•工程师站、操作员站和业务服务器缺乏安全防范机制

在整个内部的工程师站、操作员站和业务服务器均为Windows系统，运行多

年由于系统机制和系统稳定性考虑并没有做补丁安装和升级工作，同时服务器上

安装的杀毒软件由于无法及时更新导致病毒查杀效果无法得到保证。对于这些主

机系统安全监控防护机制儿乎失效，缺乏进程监控、移动存储设备监控、远程维

护监控、恶意代码防范等措施。

•主机系统和应用系统身份认证机制不完善

对于生产系统的工程师站、操作员站、业务系统服务器的身份认证机制没有

充分的安全性评估和验证，在以往的经验中，大量中控室操作员站及监控终端都

采用公用账号（甚至是系统默认账号），且系统操作界面长期处于开放状态，导

致进出中控室的所有人员都可以对其进行操作，可能存在被无关人员访问操作员

站进行未授权操作的安全风险.

同时对于生产执行系统（MES）的登陆账户权限申请流程和生产车间数采服

务器登陆账号和权限划分都没有充分评估，可能存在登录账号和初始密码都是默

认账号，并且没有设置密码保护策略的隐患。攻击者可获得系统控制权限，可任

意破坏、篡改生产数据库。

综上，现有信息化建设为企业带来便利的同时也增加了企业生产与数据安全

风险主要集中在原始生产数据、工艺的泄露，原始生产数据的丢失，生产停车、

加工代码篡改等风险。

3等级保护建设流程与基本要求

3-1等级保护建设流程

等级保护是根据需要保护的信息系统确定不同的安全等级，根据安全等级确

定不同等级的安全目标，形成不同等级的安全措施进行保护。

整体的安全保障体系包括技术和管理两大部分，其中技术部分根据GB/T

22239-2019《信息技术网络安全等级保护基本要求》，分为安全物理环境、安

全通信网络、安全计算环境、安全区域边界、安全管理中心五个方面进行建设；

而管理部分根据GB/T22239—2019《信息技术网络安全等级保护基本要求》则

分为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管

12

XX工控系统网络安全等级保护三级建设方案

理五个方面。

在满足通用要求的基础上，需要根据工业控制系统业务特性和技术特性选择

“工业控制系统扩展要求”进行安全建设，从生产管理层、过程监控程、现场控

制层到现场设备层进行安全防护。

整个安全保障体系各部分既有机结合，又相互支撑。之间的关系可以理解为

“构建安全管理机构，制定完善的安全管理制度及安全策略，由相关人员，利用

技术手段及相关工具，进行系统建设和运行维护。”

部

・

lff

图2等级保护建设流程

根据等级化安全保障体系的设计思路，等级保护的设计与实施通过以下步骤

进行：

1）系统识别与定级：确定保护对象，通过分析系统所属类型、所属信息类别、

是否包含扩展的系统类型、服务范围以及业务对系统的依赖程度确定系统的等级。

通过此步骤充分了解系统状况，包括系统业务流程和功能模块，以及确定系统的

等级，为下一步定级报告、备案表编制提供依据。

2）总体规划：根据各等级的安全要求确定各等级的评估内容，根据《网络安全

等级保护基本要求》，对系统各层次安全域进行有针对性的等级保护差距性分析。

通过差距性分析，可以明确各层次安全域相应等级的安全差距，为下一步安全技

术解决方案设计和安全管理建设提供依据。

3）方案设计：根据安全域框架，设计系统各个层次的安全保障体系框架以及具

13

XX工控系统网络安全等级保护三级建设方案

体方案。包括：各层次的安全保障体系框架形成系统整体的安全保障体系框架；

详细安全技术设计、安全管理设计。

4）安全建设：根据方案设计内容逐步进行安全建设，满足方案设计并要符合的

安全需求，满足等级保护相应等级的基本要求，实现按需防御。

5）持续安全运营：通过态势预警、安全监测、安全加固、安全审计、应急响应

等，从事前、事中、事后三个方面进行安全运行维护，确保系统的持续安全，满

足持续性按需防御的安全需求。

通过如上步骤，系统可以形成整体的等级化的安全保障体系，同时根据安全

技术建设和安全管理建设，保障XX企业生产控制系统整体的安全。等级保护不

是一个项目，而是一个不断循环的过程，所以通过整个安全项目的实施，来保证

XX企业生产控制系统等级保护的建设能够持续的运行，能够使整个系统随着环

境的变化达到持续的安全.

3-2等级保护技术体系设计框架

对于工业控制系统根据被保护对象业务性质分区，针对功能层次技术特点实

施信息安全等级保护设计，根据“一个中心”管理下的“三重防护”体系框架，

构建在安全管理中心支持下的通信网络、区域边界、计算环境三重防御体系，采

用分层、分区的架构，结合工业控制系统总线协议复杂多样、实时性要求强、节

点计算资源有限、设备可靠性要求高、故障恢复时间短、安全机制不能影响实时

性等特点进行设计，以实现可信、可控、可管的系统安全互联、区域边界安全防

护和计算环境安全。

14

XX工控系统网络安全等级保护三级建设方案

海4层企业经营官怎

第3层和第4任之词通信刖3C安

全

第3国出*环僦京3区边界晓今

管

整

第2区和京3区之词・信网络□C

中

JC心

JC信息安全区域G

区域边界防沪区愫边界防护u

GS6!安全区国

工业控制系统

血后HWWKI第2区协理防护

等级保护36?底rtBUf-m语2匹JD7TIBF

TErrabacE

血区和就2居1r

,.[G

之同i*信网珞，U信息安全区发：n：

/之河通侑网络r1

区歧边界防抑区嫉边界防沪也

»>KiHJ环1ftmiE也郭时沪w

信息安全k

氤）后和争1信＜:l

:同・信网络.

第o法计H坏培moC也郭防沪gg

口

的

物

、

图3工业控制系统等级保护方案设计框架

3-3等级保护三级技术要求及建议

3・3・1安全物理环境

通用要求

层面控制点要求项安全建议

a）机房场地应选择在具有防按照要求进行物理位置选址。

震、防风和防雨等能力的建筑

8.1.1.1

内；

物理位置

b）机房场地应避免设在建筑按照要求进行楼层的选择，或者

选择

物的顶层或地下室，否则应加提供有效的防水和防潮措施。

强防水和防潮措施。

8.1.1

安全物8.1.1.2机房出入口应配置电子门禁系按照要求配备电子门禁，对进出

理环境

物埋访问统，控制、鉴别和记录进入的人员采用陪同或监控设备进行限

控制人员。制和监控。

a）应将设备或主要部件进行按照基本要求进行建设。

8.1.1.3

固定，并设置明显的不易除去制定防盗窃防破坏相关管理制

防盗窃和

的标识；度。

防破坏

b）应将通信线缆铺设在隐蔽进行光、电技术防盗报警系统的

15

XX工控系统网络安全等级保护三级建设方案

安全处；配备，或者专人值守的视频监控

c）应设置机房防盗报警系统系统。

或设置有专人值守的视频监控

系统。

a）应将各类机柜、设施和设备按照基本要求进行建设。

等通过接地系统安全接地：设置防雷保安器，过压保护装置。

8.1.1.4

b）应采取措施防止感应雷，例

防雷击

如设置防雷保安器或过压保护

装置等。

a）机房应设置火灾自动消防按照基本要求进行建设。

系统，能够自动检测火情、自进行消防、耐火、隔离等措施,

动报警，并自动灭火；

b）机房及相关的工作房间和

8.1.1.5

辅助房应采用具有耐火等级的

防火

建筑材料；

c）应对机房划分区域进行管

理，区域和区域之间设置隔离

防火措施。

a）应采取措施防止雨水通过按照基本要求进行建设。

机房窗户、屋顶和墙壁渗透；进行防水检测仪表的安装使用，

b）应采取措施防止机房内水

8.1.1.6

蒸气结露和地卜.枳水的转移与

防水和防

渗透；

潮

c）应安装对水敏感的检测仪

表或元件，对机房进行防水检

测和报警。

a）应采用防静电地板或地面按照基本要求进行建设。

8.1.1.7

并采用必要的接地防静电措进行静电消除器、防静电手环安

防静电

施；装使用。

16

XX工控系统网络安全等级保护三级建设方案

b）应采取措施防止静电的产

生，例如采用静电消除器、佩

戴防静电手环等。

8.1.1.8应设置温湿度自动调节设施，配备机房空调系统。

温湿度控使机房温湿度的变化在设备运

制行所允许的范围之内。

a）应在机房供电线路上配置配备稳压器和过电压防护设备，

稳压器和过电压防护设备：

b）应提供短期的备用电力供配备UPS系统。设置冗余或并行

8.1.1.9

应，至少满足设备在断电情况的电力电缆线路，建立备用供电

电力供应

下的正常运行要求；系统。

c）应设置冗余或并行的电力按照要求配备冗余电力电缆线

电缆线路为计算机系统供电。路。

a）电源线和通信线缆应隔离按照基本要求进行建设。

8.1.1.10铺设,避免互相干扰;

电磁防护b）应对关键设备实施电磁屏进行接地，采取必要的电磁屏蔽

蔽。措施。

工业控制系统扩展要求

a）室外控制设备应放置于采无需配置，防护对象在室内。

用铁板或其他防火材料制作的

箱体或装置中并紧固；箱体或

装置具有透风、散热、防盗、

8.5.1.1

8.5.1

室外控制防雨和防火能力等；

安全物

设备物理

理环境b）室外控制设备放置应远离无需配置，防护对象在室内。

防护

强电磁干扰、强热源等环境，

如无法避免应及时做好应急处

置及检修，保证设备正常运

行。

17

XX工控系统网络安全等级保护三级建设方案

3・3・2安全通信网络

通用要求

层面控制点要求项建设建议

a）应保证网络设备的业务处根据高峰业务流量，关键设备选

理能力满足业务高峰期需要；择高端设备，核心交换设备和接

b）应保证网络各个部分的带入设备带宽能够支撑业务高峰

宽满足业务高峰期需要；的数据量，

c）应划分不同的网络区域，并主要网络设备的处理能力以及

按照方便管理和控制的原则为各部分带宽均需满足业务高峰

8.1.2.1各网络区域分配地址；需要；

网络架构d）应避免将重要网络区域部将重要区域采用专用的技术隔

署在边界处，重要网络区域与离措施；