鄒春明  公安部第三研究所工控安全測評實驗室主任

　　本文主要介紹一下工業(yè)控制系統(tǒng)信息安全與等保2.0，主要是三個方面，一個是工控信息安全的背景要求，第二個等保2.0要求，第三個工控系統(tǒng)安全防護的個人建議。

　　講到工控安全包括兩個部分，一個是功能安全一個是信息安全，功能安全是非常成熟的，包括它的標(biāo)準(zhǔn)以及測評評論體系都非常完善。信息安全還基本上是起步的階段，所以工控安全是交叉學(xué)科。工業(yè)控制系統(tǒng)它的信息安全技術(shù)非常薄弱，像工控設(shè)備POC控制PCS，還有工會協(xié)議它最初基本上不缺少信息安全方面的一些考慮，它都是不帶加密不帶認(rèn)證的，這個在IT里面沒有辦法想象的事情。另外在工控系統(tǒng)建設(shè)的時候主要也是考慮穩(wěn)定性可靠性，比如說工控系統(tǒng)都會采用雙環(huán)方式，主要是可靠不要中斷，對它信息的安全也比較好一些。

　　其實我們之前工控系統(tǒng)相對比較隔離，雖然存在各種各樣的問題，但是不會暴露到互聯(lián)網(wǎng)上面來，但是隨著工業(yè)4.0推進(jìn)現(xiàn)在互聯(lián)網(wǎng)也在推進(jìn)，原來的系統(tǒng)不得不暴露在互聯(lián)網(wǎng)上。這個是國家對工控安全漏洞統(tǒng)計的數(shù)據(jù)，出現(xiàn)了非常高危的漏洞。這個圖也是暴露了不少的工控安全事件，最典型的就是針對伊朗核設(shè)施的攻擊，這也認(rèn)為全球工業(yè)信息安全的元年，基本上在2010年之后在全球才有對工控信息安全的重視，在國內(nèi)最開始關(guān)注更晚一點基本上在2012年國家發(fā)改委辦信息安全專項，扶持一些工業(yè)控制信息安全產(chǎn)品，我也是在那個時候開始接觸工控安全。另外這幾年比較典型的像烏克蘭電力系統(tǒng)被攻擊的事情，就是非常典型的工控安全事件。

　　工控安全I(xiàn)T有很多的成熟解決方案都比較成熟，因為公共系統(tǒng)畢竟跟IT系統(tǒng)存在比較大的差別，所以IT系統(tǒng)的一些解決方案沒有辦法直接用到OT系統(tǒng)，總體還是相對封閉的。另外在持續(xù)可靠性方面，可能在IT系統(tǒng)升級相對需要一些時間，對于工控系統(tǒng)要求非常高。另外在設(shè)備方面，一般的設(shè)備在5年左右就該換了，工控系統(tǒng)一般十幾二十年的設(shè)備非常多，我們現(xiàn)在XP的系統(tǒng)用的很少，但是工控系統(tǒng)非常常見，另外應(yīng)用協(xié)議這一塊也是。所以在工控系統(tǒng)信息安全訴求也和IT系統(tǒng)類似，工控系統(tǒng)首先是要保證完整性，把保密性這一塊放到最低，所以我們在工控系統(tǒng)安全建設(shè)的時候首先要保證它的可用性，安全的工控設(shè)備和計算設(shè)備，這是整個工控安全的基礎(chǔ)。設(shè)備防護還是偏I(xiàn)T，因為這一塊還是偏I(xiàn)T的，技術(shù)還是相對比較成熟，但是對于工控設(shè)備這一塊，工控設(shè)備設(shè)計上就沒考慮信息安全，如果完全替換的話成本負(fù)擔(dān)高，現(xiàn)在一些新的會考慮信息安全的需求。

　　另外需要結(jié)合一些可靠的公共信息安全產(chǎn)品，像別的產(chǎn)品沒有辦法應(yīng)用到工控系統(tǒng)它對實時性可靠性要求非常高，對于安全的產(chǎn)品最主要的一點是解析應(yīng)急，因為工控系統(tǒng)應(yīng)用協(xié)議是五花八門的，傳統(tǒng)的產(chǎn)品解析不了。

　　另外需要結(jié)合全生命周期的安全管理，由此保證了公共系統(tǒng)的安全。所有的這些活動都需要一些政策法規(guī)以及標(biāo)準(zhǔn)的支撐，政策法規(guī)要求企業(yè)能做什么事不能做什么事，標(biāo)準(zhǔn)指導(dǎo)企業(yè)具體怎么做，比如說網(wǎng)絡(luò)安全法要求企業(yè)需要按等級保護來做，像等級保護系列標(biāo)準(zhǔn)指導(dǎo)企業(yè)具體該怎么樣做。在網(wǎng)絡(luò)安全法里面要明確使用等級保護制度，另外網(wǎng)絡(luò)設(shè)備和安全產(chǎn)品要有許可，另外工業(yè)控制系統(tǒng)它是關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，像電力、軌道交通，其他的還有很多國家層面的法規(guī)。

　　只要是跟網(wǎng)絡(luò)安全的法規(guī)，里面肯定會涉及到工控安全，如果工控工業(yè)制造方面都會涉及到安全部分。另外有兩個比較重要的，一個是國家基礎(chǔ)設(shè)施安全保護條例，還有網(wǎng)絡(luò)安全等級保護條例目前征求意見稿，這兩個條例應(yīng)該都是以國務(wù)院的名義發(fā)布的。具體的法規(guī)工控系統(tǒng)安全防護工信部在國家層面政策文件細(xì)化提出一些具體的要求，另外在標(biāo)準(zhǔn)方面最有名的國際上工控安全標(biāo)準(zhǔn)IEC62443有12個標(biāo)準(zhǔn)，目前有一些標(biāo)準(zhǔn)已經(jīng)發(fā)布了，有一些還在制訂的過程當(dāng)中。另外像SP800-82《工業(yè)控制系統(tǒng)安全指南》也有一些借鑒價值另外國內(nèi)還有不少的標(biāo)準(zhǔn)都在制訂，最重要的標(biāo)準(zhǔn)就是信息技術(shù)等級安全保護的要求，這里面也有擴展要求。這個是TC260WG5安全評估組，里面有一些子體系，它主要呈幾個方面基礎(chǔ)產(chǎn)品包括工控設(shè)備以及工控安全產(chǎn)品以及網(wǎng)絡(luò)安全服務(wù)。

　　下面介紹一下等保2.0，其實等保1.0的標(biāo)準(zhǔn)是2008年發(fā)布的，到現(xiàn)在十多年變化非常多，2008年云計算剛起步工控安全沒有完全關(guān)注，另外像國內(nèi)外的網(wǎng)絡(luò)信息安全要求。2019年大的鋪開2006年就開始有起步的工作，這些年有一些不足需要進(jìn)一步完善。等保2.0它不只是一個標(biāo)準(zhǔn)的更新它是一個體系的更新，原來等保1.0主要依據(jù)是國務(wù)院14716四部委聯(lián)合起草等級保護管理條例，現(xiàn)在因為是網(wǎng)絡(luò)安全法律要求，現(xiàn)在已經(jīng)看到不少因為沒有開展等級保護工作還存在一些安全漏洞。第二個整個標(biāo)準(zhǔn)體系的更新包括定期指南基本要求設(shè)計要求測定要求，這個標(biāo)準(zhǔn)體系都在全面的修訂，像上個月有三個基本的要求，測評要求非常重要的標(biāo)準(zhǔn)已經(jīng)發(fā)布了，另外還有還有一些指南。

　　另外測評體系這一塊可能前期對公安主管部門來說，更重要的是把整個全國的測評體系建立起來，現(xiàn)在加強測評體系的監(jiān)管考核完善測評的一些質(zhì)量，在去年就聽了一些測評機構(gòu)的指數(shù)，另外像整個等保技術(shù)體系和標(biāo)準(zhǔn)體系都在進(jìn)一步完善，這是等保標(biāo)準(zhǔn)體系，因為在1.0時代主要是針對信息系統(tǒng)安全先改進(jìn)網(wǎng)絡(luò)安全，網(wǎng)絡(luò)安全更能體現(xiàn)它的內(nèi)涵，作為等保體系最核心的兩個標(biāo)準(zhǔn)，一個是應(yīng)急指南，因為應(yīng)急是等保工作開展的一個基礎(chǔ)。第二個就是等級保護的基本要求像這些要求都是基于基本要求來編的標(biāo)準(zhǔn)，這兩個是國標(biāo)國標(biāo)很難寫各個系統(tǒng)之間差別非常大，國標(biāo)要寫成通用，這是一些行業(yè)細(xì)則像電力系統(tǒng)銀行系統(tǒng)，它制訂了一些行業(yè)標(biāo)準(zhǔn)可以非常的有針對性，比如說人民銀行出了銀行業(yè)的指南，什么樣的級別應(yīng)該定什么樣的級別，可以給出非常細(xì)的要求。另外等級保護基本要求也是，其實工控安全涉及到的行業(yè)也非常廣泛，公共行業(yè)不同的行業(yè)之間差別也是非常大的，它的運營期間實行要求非常高的，有一些系統(tǒng)其實也不是按照那個要求，比如說智能電表它的它采集的數(shù)據(jù)時間要求完全不高，可以一天之內(nèi)才出來，所以行業(yè)的細(xì)則還是非常重要的。

　　另外在1.0時代它主要針對的是信息系統(tǒng)，在2.0時代保護對象的拓展，拓展包括工業(yè)控制互聯(lián)網(wǎng)還有云計算，所以直接叫等級保護對象，在定級也更強調(diào)一些新要求，其實在原來已經(jīng)有相應(yīng)的要求，專家評審主管部門審批，可能在2.0時代具體操作上也執(zhí)行的更嚴(yán)格。另外對于定級的方法，定級首先確定安全責(zé)任主體公安比較關(guān)注這個，另外需要承載相應(yīng)獨立的業(yè)務(wù)，它要包含相應(yīng)的多個資源不要把單排控制器定性為一個系統(tǒng)，這個可能涉及到上面和下面的Io網(wǎng)絡(luò)設(shè)備整體做一個系統(tǒng)。

　　這個是工控層級，定級主要是兩個緯度，一個縱向主要是把現(xiàn)場的一些設(shè)備，包括控制器以及上傳的軟件作為一個系統(tǒng)來定性，因為這一套整體完成一塊相對比較獨立的業(yè)務(wù)，另外從橫向的角度來，可以跟責(zé)任主體功能還有控制器的廠商都會有，這個電力系統(tǒng)比較典型。在基本的要求里面，最初的時候是想作為一個新的標(biāo)準(zhǔn)，后來這個過程還是比較復(fù)雜的，后來把它合成一本按照架構(gòu)來編制。

　　通用要求適用于一般的IT系統(tǒng)，目前還是按兩大方面技術(shù)要求和管理要求，其實對于一個系統(tǒng)來說能夠產(chǎn)生并作。管理這一塊沒有大的調(diào)整，安全物理環(huán)境這一塊還有一定的降低。主要調(diào)整的就是技術(shù)這一塊，強調(diào)的一個中心三層防護，安全通信網(wǎng)絡(luò)、安全區(qū)域遠(yuǎn)景、安全制造環(huán)境。原來都是分主機安全網(wǎng)絡(luò)安全和應(yīng)用安全，現(xiàn)在這三部分的安全要求全部合在了安全環(huán)境里面。在安全通訊網(wǎng)絡(luò)主要強調(diào)了網(wǎng)絡(luò)架構(gòu)的要求，通訊傳輸。另外增加了可行驗證說一句實在話，可能對于操作系統(tǒng)層面還有相應(yīng)的解決方案，在網(wǎng)絡(luò)層面目前還沒有一些好的解決方案，這也是在要求里面作為一個可行要求沒有做強制要求，這也是專家的想法，如果不寫到里面沒有人去做，如果寫到標(biāo)準(zhǔn)里面就會有相應(yīng)的解決方案出來。

　　在安全區(qū)域邊界這一塊，主要強調(diào)的安全防護、防護控制、多行防范。另外增加了二級防范和安全審計和可行驗證，二級防范如果在控制器里面使用電子，另外安全質(zhì)量環(huán)境這一塊主要是增加了可行性驗證和功能信息保護，主要是增加了安全管理中心這一塊其實在老的標(biāo)準(zhǔn)里面是放在里面作為管理要求，在新的標(biāo)準(zhǔn)里面作為一個技術(shù)要求它包括了系統(tǒng)管理審計管理和安全管理的集中管控，其實對于工控系統(tǒng)來說，工控系統(tǒng)不像IT系統(tǒng)那么復(fù)雜龐大，一般來說還是比較簡單，所以工控系統(tǒng)建議功能上大而全性能上要求不是很高的安全管理平臺能夠盡量多的覆蓋集中管控的要求，這樣也可以在成本上用戶也是比較好接受。

　　對工控系統(tǒng)的安全主要是強調(diào)五層模型，對工控的安全擴展要求主要強調(diào)的對現(xiàn)場設(shè)備審核和現(xiàn)場控制的要求，其實這個是根據(jù)國際標(biāo)準(zhǔn)，現(xiàn)在特別強調(diào)工業(yè)互聯(lián)網(wǎng)這一塊，其實在部分層級去合并的，這也是非常的清晰。對各個層次的安全需求也不一樣，基本上在以上就是偏I(xiàn)T的，它對延時方面區(qū)別非常大。這是擴展要求所增加的幾個方面，這個相當(dāng)于包括物聯(lián)環(huán)境，因為工控系統(tǒng)涉及到戶外的一些設(shè)備，另外安全通訊網(wǎng)絡(luò)這一塊有一些系統(tǒng)都涉及到的面非常廣，另外區(qū)域邊界防護我覺得是工控系統(tǒng)的重中之重，它的基礎(chǔ)非常薄弱所以把邊界一定要看好，另外像安全智能環(huán)境，安全智能環(huán)境在擴展要求里面有一點那個意思可以降低一些要求，因為在控制機這種根據(jù)沒有辦法支持，它就在要求里面也說如果控制器無法支持，在上位集散就實現(xiàn)相應(yīng)的安全功能，另外在管理要求里面建設(shè)也有相應(yīng)的要求。

　　這是拓展要求的應(yīng)用要根據(jù)系統(tǒng)設(shè)計的層級有通用要求加拓展要求，這個是增量的方式，首先應(yīng)該滿足一些通用要求，另外如果是對應(yīng)的層級和對應(yīng)設(shè)備或者是一些網(wǎng)絡(luò)，還需要滿足拓展的要求。最后介紹一下工控系統(tǒng)防護的個人建議，其實工控系統(tǒng)整體上是技術(shù)防護與安全管理并重，像安全管理在工控系統(tǒng)里面顯得更突出，因為有一些控制器它就沒有解決方案。有一些老式的或者全部更新掉了，這個程度是非常高的，所以在解決方案有限的情況下，安全管理這一塊就顯得尤為重要。

　　第二個平衡安全效益突出重點適度安全，工控系統(tǒng)做一些不是像安全產(chǎn)品布置的越多感覺越安全，它首先還是保證可用性。三同步原則，安全技術(shù)措施同步規(guī)劃同步建設(shè)同步使用，這個對于安全系統(tǒng)也有要求，但是工控系統(tǒng)就更明顯，對IT系統(tǒng)如果有點問題整改起來相對比較容易，加一個設(shè)備。但是對于工控系統(tǒng)很多都是24小時運營的你去改造成本非常高，目前一些新的系統(tǒng)建設(shè)基本上大家還會注意像上飛還有一些汽車制造，它新建廠都會考慮安全同步建設(shè)。

　　另外信息安全措施不應(yīng)該對高可用的工業(yè)控制系統(tǒng)產(chǎn)生不利的影響，特別是設(shè)備，主要是來源于防火墻，特別是現(xiàn)象級的防火墻這一塊目前用戶也比較難于接受。其實現(xiàn)象防火墻主要解決的問題是控制器這種，它沒有沒有認(rèn)證沒有加密，主要是在它的前面加一個現(xiàn)象級的防火墻對它進(jìn)行防護，目前這個方面用戶還是比較難以接受。在管理制度方面，我覺得可以以等級保護的基本要求安全管理要求為基礎(chǔ)來完善整個安全信息安全的管理體系，因為等保里面對于整個安全管理制度這一塊是要求比較成體系的，但是像前面工信部對制造業(yè)也有相當(dāng)多的要求，所以在制度體系這一塊完善還需要兼顧其他的一些監(jiān)管要求，像關(guān)于信息基礎(chǔ)設(shè)施保護，另外還有業(yè)務(wù)主管部門像能源局它對能源系統(tǒng)也會有它的要求。另外安全制度需要有可操作性方便落地實施，這些安全制度不要好高騖遠(yuǎn)我寫的非常安全怎么樣，寫的看起來很好，但是沒有辦法落地實施，這樣可能會影響制度的權(quán)威性，另外也是沒有實際的效果。第三個需要加強監(jiān)督自查留下相關(guān)證據(jù)確保制度貫徹實施。在技術(shù)防護方法，首先是分布實施，首先解決控制器上層的安全，在控制器下層現(xiàn)在基本上還沒有更多的解決方案，解決方案主要是三個重點，一個是邊界防護，把邊界一定要看好，一個是縱向的層級之間的防護，一般控制系統(tǒng)和IT系統(tǒng)會有單向隔離的設(shè)備，因為它比防火墻要高的，就算外面被破掉還是進(jìn)不去。另外對下層可以用工業(yè)級的防火墻進(jìn)行部署，一個縱向還有一個橫向的，橫向也要采取隔離措施比如一些工廠，如果出了問題把問題控制在最小的范圍內(nèi)，比如一個故障不要蔓延到其他的故障，這個是邊界防護非常的重要。還有無線接收這一塊也非常重要，另外把系統(tǒng)內(nèi)部的監(jiān)控做好，一般出現(xiàn)一些安全事件前面都會有一些征兆，如果把它做好在出現(xiàn)的時候會采取對應(yīng)的處理措施，最大限度的降低安全問題。

　　第三個主機防護，其實工控系統(tǒng)安全事件，其實最主要的通過上層計算機作為入口導(dǎo)致的，所以把計算機設(shè)備管好非常的重要，基本上一個防病毒，一個是殺毒軟件個人覺得還是殺毒軟件比較好，因為工控系統(tǒng)相對比較封閉，殺毒軟件首先是滯后的新的出來是防不了的。第二個就是你需要定期去升級，這個在管理上從測評來說很難集中收集，這個是技術(shù)防護的幾個重點。