鄒春明  公安部第三研究所工控安全測(cè)評(píng)實(shí)驗(yàn)室主任

　　本文主要介紹一下工業(yè)控制系統(tǒng)信息安全與等保2.0，主要是三個(gè)方面，一個(gè)是工控信息安全的背景要求，第二個(gè)等保2.0要求，第三個(gè)工控系統(tǒng)安全防護(hù)的個(gè)人建議。

　　講到工控安全包括兩個(gè)部分，一個(gè)是功能安全一個(gè)是信息安全，功能安全是非常成熟的，包括它的標(biāo)準(zhǔn)以及測(cè)評(píng)評(píng)論體系都非常完善。信息安全還基本上是起步的階段，所以工控安全是交叉學(xué)科。工業(yè)控制系統(tǒng)它的信息安全技術(shù)非常薄弱，像工控設(shè)備POC控制PCS，還有工會(huì)協(xié)議它最初基本上不缺少信息安全方面的一些考慮，它都是不帶加密不帶認(rèn)證的，這個(gè)在IT里面沒有辦法想象的事情。另外在工控系統(tǒng)建設(shè)的時(shí)候主要也是考慮穩(wěn)定性可靠性，比如說工控系統(tǒng)都會(huì)采用雙環(huán)方式，主要是可靠不要中斷，對(duì)它信息的安全也比較好一些。

　　其實(shí)我們之前工控系統(tǒng)相對(duì)比較隔離，雖然存在各種各樣的問題，但是不會(huì)暴露到互聯(lián)網(wǎng)上面來，但是隨著工業(yè)4.0推進(jìn)現(xiàn)在互聯(lián)網(wǎng)也在推進(jìn)，原來的系統(tǒng)不得不暴露在互聯(lián)網(wǎng)上。這個(gè)是國家對(duì)工控安全漏洞統(tǒng)計(jì)的數(shù)據(jù)，出現(xiàn)了非常高危的漏洞。這個(gè)圖也是暴露了不少的工控安全事件，最典型的就是針對(duì)伊朗核設(shè)施的攻擊，這也認(rèn)為全球工業(yè)信息安全的元年，基本上在2010年之后在全球才有對(duì)工控信息安全的重視，在國內(nèi)最開始關(guān)注更晚一點(diǎn)基本上在2012年國家發(fā)改委辦信息安全專項(xiàng)，扶持一些工業(yè)控制信息安全產(chǎn)品，我也是在那個(gè)時(shí)候開始接觸工控安全。另外這幾年比較典型的像烏克蘭電力系統(tǒng)被攻擊的事情，就是非常典型的工控安全事件。

　　工控安全I(xiàn)T有很多的成熟解決方案都比較成熟，因?yàn)楣蚕到y(tǒng)畢竟跟IT系統(tǒng)存在比較大的差別，所以IT系統(tǒng)的一些解決方案沒有辦法直接用到OT系統(tǒng)，總體還是相對(duì)封閉的。另外在持續(xù)可靠性方面，可能在IT系統(tǒng)升級(jí)相對(duì)需要一些時(shí)間，對(duì)于工控系統(tǒng)要求非常高。另外在設(shè)備方面，一般的設(shè)備在5年左右就該換了，工控系統(tǒng)一般十幾二十年的設(shè)備非常多，我們現(xiàn)在XP的系統(tǒng)用的很少，但是工控系統(tǒng)非常常見，另外應(yīng)用協(xié)議這一塊也是。所以在工控系統(tǒng)信息安全訴求也和IT系統(tǒng)類似，工控系統(tǒng)首先是要保證完整性，把保密性這一塊放到最低，所以我們?cè)诠た叵到y(tǒng)安全建設(shè)的時(shí)候首先要保證它的可用性，安全的工控設(shè)備和計(jì)算設(shè)備，這是整個(gè)工控安全的基礎(chǔ)。設(shè)備防護(hù)還是偏I(xiàn)T，因?yàn)檫@一塊還是偏I(xiàn)T的，技術(shù)還是相對(duì)比較成熟，但是對(duì)于工控設(shè)備這一塊，工控設(shè)備設(shè)計(jì)上就沒考慮信息安全，如果完全替換的話成本負(fù)擔(dān)高，現(xiàn)在一些新的會(huì)考慮信息安全的需求。

　　另外需要結(jié)合一些可靠的公共信息安全產(chǎn)品，像別的產(chǎn)品沒有辦法應(yīng)用到工控系統(tǒng)它對(duì)實(shí)時(shí)性可靠性要求非常高，對(duì)于安全的產(chǎn)品最主要的一點(diǎn)是解析應(yīng)急，因?yàn)楣た叵到y(tǒng)應(yīng)用協(xié)議是五花八門的，傳統(tǒng)的產(chǎn)品解析不了。

　　另外需要結(jié)合全生命周期的安全管理，由此保證了公共系統(tǒng)的安全。所有的這些活動(dòng)都需要一些政策法規(guī)以及標(biāo)準(zhǔn)的支撐，政策法規(guī)要求企業(yè)能做什么事不能做什么事，標(biāo)準(zhǔn)指導(dǎo)企業(yè)具體怎么做，比如說網(wǎng)絡(luò)安全法要求企業(yè)需要按等級(jí)保護(hù)來做，像等級(jí)保護(hù)系列標(biāo)準(zhǔn)指導(dǎo)企業(yè)具體該怎么樣做。在網(wǎng)絡(luò)安全法里面要明確使用等級(jí)保護(hù)制度，另外網(wǎng)絡(luò)設(shè)備和安全產(chǎn)品要有許可，另外工業(yè)控制系統(tǒng)它是關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，像電力、軌道交通，其他的還有很多國家層面的法規(guī)。

　　只要是跟網(wǎng)絡(luò)安全的法規(guī)，里面肯定會(huì)涉及到工控安全，如果工控工業(yè)制造方面都會(huì)涉及到安全部分。另外有兩個(gè)比較重要的，一個(gè)是國家基礎(chǔ)設(shè)施安全保護(hù)條例，還有網(wǎng)絡(luò)安全等級(jí)保護(hù)條例目前征求意見稿，這兩個(gè)條例應(yīng)該都是以國務(wù)院的名義發(fā)布的。具體的法規(guī)工控系統(tǒng)安全防護(hù)工信部在國家層面政策文件細(xì)化提出一些具體的要求，另外在標(biāo)準(zhǔn)方面最有名的國際上工控安全標(biāo)準(zhǔn)IEC62443有12個(gè)標(biāo)準(zhǔn)，目前有一些標(biāo)準(zhǔn)已經(jīng)發(fā)布了，有一些還在制訂的過程當(dāng)中。另外像SP800-82《工業(yè)控制系統(tǒng)安全指南》也有一些借鑒價(jià)值另外國內(nèi)還有不少的標(biāo)準(zhǔn)都在制訂，最重要的標(biāo)準(zhǔn)就是信息技術(shù)等級(jí)安全保護(hù)的要求，這里面也有擴(kuò)展要求。這個(gè)是TC260WG5安全評(píng)估組，里面有一些子體系，它主要呈幾個(gè)方面基礎(chǔ)產(chǎn)品包括工控設(shè)備以及工控安全產(chǎn)品以及網(wǎng)絡(luò)安全服務(wù)。

　　下面介紹一下等保2.0，其實(shí)等保1.0的標(biāo)準(zhǔn)是2008年發(fā)布的，到現(xiàn)在十多年變化非常多，2008年云計(jì)算剛起步工控安全沒有完全關(guān)注，另外像國內(nèi)外的網(wǎng)絡(luò)信息安全要求。2019年大的鋪開2006年就開始有起步的工作，這些年有一些不足需要進(jìn)一步完善。等保2.0它不只是一個(gè)標(biāo)準(zhǔn)的更新它是一個(gè)體系的更新，原來等保1.0主要依據(jù)是國務(wù)院14716四部委聯(lián)合起草等級(jí)保護(hù)管理?xiàng)l例，現(xiàn)在因?yàn)槭蔷W(wǎng)絡(luò)安全法律要求，現(xiàn)在已經(jīng)看到不少因?yàn)闆]有開展等級(jí)保護(hù)工作還存在一些安全漏洞。第二個(gè)整個(gè)標(biāo)準(zhǔn)體系的更新包括定期指南基本要求設(shè)計(jì)要求測(cè)定要求，這個(gè)標(biāo)準(zhǔn)體系都在全面的修訂，像上個(gè)月有三個(gè)基本的要求，測(cè)評(píng)要求非常重要的標(biāo)準(zhǔn)已經(jīng)發(fā)布了，另外還有還有一些指南。

　　另外測(cè)評(píng)體系這一塊可能前期對(duì)公安主管部門來說，更重要的是把整個(gè)全國的測(cè)評(píng)體系建立起來，現(xiàn)在加強(qiáng)測(cè)評(píng)體系的監(jiān)管考核完善測(cè)評(píng)的一些質(zhì)量，在去年就聽了一些測(cè)評(píng)機(jī)構(gòu)的指數(shù)，另外像整個(gè)等保技術(shù)體系和標(biāo)準(zhǔn)體系都在進(jìn)一步完善，這是等保標(biāo)準(zhǔn)體系，因?yàn)樵?.0時(shí)代主要是針對(duì)信息系統(tǒng)安全先改進(jìn)網(wǎng)絡(luò)安全，網(wǎng)絡(luò)安全更能體現(xiàn)它的內(nèi)涵，作為等保體系最核心的兩個(gè)標(biāo)準(zhǔn)，一個(gè)是應(yīng)急指南，因?yàn)閼?yīng)急是等保工作開展的一個(gè)基礎(chǔ)。第二個(gè)就是等級(jí)保護(hù)的基本要求像這些要求都是基于基本要求來編的標(biāo)準(zhǔn)，這兩個(gè)是國標(biāo)國標(biāo)很難寫各個(gè)系統(tǒng)之間差別非常大，國標(biāo)要寫成通用，這是一些行業(yè)細(xì)則像電力系統(tǒng)銀行系統(tǒng)，它制訂了一些行業(yè)標(biāo)準(zhǔn)可以非常的有針對(duì)性，比如說人民銀行出了銀行業(yè)的指南，什么樣的級(jí)別應(yīng)該定什么樣的級(jí)別，可以給出非常細(xì)的要求。另外等級(jí)保護(hù)基本要求也是，其實(shí)工控安全涉及到的行業(yè)也非常廣泛，公共行業(yè)不同的行業(yè)之間差別也是非常大的，它的運(yùn)營期間實(shí)行要求非常高的，有一些系統(tǒng)其實(shí)也不是按照那個(gè)要求，比如說智能電表它的它采集的數(shù)據(jù)時(shí)間要求完全不高，可以一天之內(nèi)才出來，所以行業(yè)的細(xì)則還是非常重要的。

　　另外在1.0時(shí)代它主要針對(duì)的是信息系統(tǒng)，在2.0時(shí)代保護(hù)對(duì)象的拓展，拓展包括工業(yè)控制互聯(lián)網(wǎng)還有云計(jì)算，所以直接叫等級(jí)保護(hù)對(duì)象，在定級(jí)也更強(qiáng)調(diào)一些新要求，其實(shí)在原來已經(jīng)有相應(yīng)的要求，專家評(píng)審主管部門審批，可能在2.0時(shí)代具體操作上也執(zhí)行的更嚴(yán)格。另外對(duì)于定級(jí)的方法，定級(jí)首先確定安全責(zé)任主體公安比較關(guān)注這個(gè)，另外需要承載相應(yīng)獨(dú)立的業(yè)務(wù)，它要包含相應(yīng)的多個(gè)資源不要把單排控制器定性為一個(gè)系統(tǒng)，這個(gè)可能涉及到上面和下面的Io網(wǎng)絡(luò)設(shè)備整體做一個(gè)系統(tǒng)。

　　這個(gè)是工控層級(jí)，定級(jí)主要是兩個(gè)緯度，一個(gè)縱向主要是把現(xiàn)場(chǎng)的一些設(shè)備，包括控制器以及上傳的軟件作為一個(gè)系統(tǒng)來定性，因?yàn)檫@一套整體完成一塊相對(duì)比較獨(dú)立的業(yè)務(wù)，另外從橫向的角度來，可以跟責(zé)任主體功能還有控制器的廠商都會(huì)有，這個(gè)電力系統(tǒng)比較典型。在基本的要求里面，最初的時(shí)候是想作為一個(gè)新的標(biāo)準(zhǔn)，后來這個(gè)過程還是比較復(fù)雜的，后來把它合成一本按照架構(gòu)來編制。

　　通用要求適用于一般的IT系統(tǒng)，目前還是按兩大方面技術(shù)要求和管理要求，其實(shí)對(duì)于一個(gè)系統(tǒng)來說能夠產(chǎn)生并作。管理這一塊沒有大的調(diào)整，安全物理環(huán)境這一塊還有一定的降低。主要調(diào)整的就是技術(shù)這一塊，強(qiáng)調(diào)的一個(gè)中心三層防護(hù)，安全通信網(wǎng)絡(luò)、安全區(qū)域遠(yuǎn)景、安全制造環(huán)境。原來都是分主機(jī)安全網(wǎng)絡(luò)安全和應(yīng)用安全，現(xiàn)在這三部分的安全要求全部合在了安全環(huán)境里面。在安全通訊網(wǎng)絡(luò)主要強(qiáng)調(diào)了網(wǎng)絡(luò)架構(gòu)的要求，通訊傳輸。另外增加了可行驗(yàn)證說一句實(shí)在話，可能對(duì)于操作系統(tǒng)層面還有相應(yīng)的解決方案，在網(wǎng)絡(luò)層面目前還沒有一些好的解決方案，這也是在要求里面作為一個(gè)可行要求沒有做強(qiáng)制要求，這也是專家的想法，如果不寫到里面沒有人去做，如果寫到標(biāo)準(zhǔn)里面就會(huì)有相應(yīng)的解決方案出來。

　　在安全區(qū)域邊界這一塊，主要強(qiáng)調(diào)的安全防護(hù)、防護(hù)控制、多行防范。另外增加了二級(jí)防范和安全審計(jì)和可行驗(yàn)證，二級(jí)防范如果在控制器里面使用電子，另外安全質(zhì)量環(huán)境這一塊主要是增加了可行性驗(yàn)證和功能信息保護(hù)，主要是增加了安全管理中心這一塊其實(shí)在老的標(biāo)準(zhǔn)里面是放在里面作為管理要求，在新的標(biāo)準(zhǔn)里面作為一個(gè)技術(shù)要求它包括了系統(tǒng)管理審計(jì)管理和安全管理的集中管控，其實(shí)對(duì)于工控系統(tǒng)來說，工控系統(tǒng)不像IT系統(tǒng)那么復(fù)雜龐大，一般來說還是比較簡單，所以工控系統(tǒng)建議功能上大而全性能上要求不是很高的安全管理平臺(tái)能夠盡量多的覆蓋集中管控的要求，這樣也可以在成本上用戶也是比較好接受。

　　對(duì)工控系統(tǒng)的安全主要是強(qiáng)調(diào)五層模型，對(duì)工控的安全擴(kuò)展要求主要強(qiáng)調(diào)的對(duì)現(xiàn)場(chǎng)設(shè)備審核和現(xiàn)場(chǎng)控制的要求，其實(shí)這個(gè)是根據(jù)國際標(biāo)準(zhǔn)，現(xiàn)在特別強(qiáng)調(diào)工業(yè)互聯(lián)網(wǎng)這一塊，其實(shí)在部分層級(jí)去合并的，這也是非常的清晰。對(duì)各個(gè)層次的安全需求也不一樣，基本上在以上就是偏I(xiàn)T的，它對(duì)延時(shí)方面區(qū)別非常大。這是擴(kuò)展要求所增加的幾個(gè)方面，這個(gè)相當(dāng)于包括物聯(lián)環(huán)境，因?yàn)楣た叵到y(tǒng)涉及到戶外的一些設(shè)備，另外安全通訊網(wǎng)絡(luò)這一塊有一些系統(tǒng)都涉及到的面非常廣，另外區(qū)域邊界防護(hù)我覺得是工控系統(tǒng)的重中之重，它的基礎(chǔ)非常薄弱所以把邊界一定要看好，另外像安全智能環(huán)境，安全智能環(huán)境在擴(kuò)展要求里面有一點(diǎn)那個(gè)意思可以降低一些要求，因?yàn)樵诳刂茩C(jī)這種根據(jù)沒有辦法支持，它就在要求里面也說如果控制器無法支持，在上位集散就實(shí)現(xiàn)相應(yīng)的安全功能，另外在管理要求里面建設(shè)也有相應(yīng)的要求。

　　這是拓展要求的應(yīng)用要根據(jù)系統(tǒng)設(shè)計(jì)的層級(jí)有通用要求加拓展要求，這個(gè)是增量的方式，首先應(yīng)該滿足一些通用要求，另外如果是對(duì)應(yīng)的層級(jí)和對(duì)應(yīng)設(shè)備或者是一些網(wǎng)絡(luò)，還需要滿足拓展的要求。最后介紹一下工控系統(tǒng)防護(hù)的個(gè)人建議，其實(shí)工控系統(tǒng)整體上是技術(shù)防護(hù)與安全管理并重，像安全管理在工控系統(tǒng)里面顯得更突出，因?yàn)橛幸恍┛刂破魉蜎]有解決方案。有一些老式的或者全部更新掉了，這個(gè)程度是非常高的，所以在解決方案有限的情況下，安全管理這一塊就顯得尤為重要。

　　第二個(gè)平衡安全效益突出重點(diǎn)適度安全，工控系統(tǒng)做一些不是像安全產(chǎn)品布置的越多感覺越安全，它首先還是保證可用性。三同步原則，安全技術(shù)措施同步規(guī)劃同步建設(shè)同步使用，這個(gè)對(duì)于安全系統(tǒng)也有要求，但是工控系統(tǒng)就更明顯，對(duì)IT系統(tǒng)如果有點(diǎn)問題整改起來相對(duì)比較容易，加一個(gè)設(shè)備。但是對(duì)于工控系統(tǒng)很多都是24小時(shí)運(yùn)營的你去改造成本非常高，目前一些新的系統(tǒng)建設(shè)基本上大家還會(huì)注意像上飛還有一些汽車制造，它新建廠都會(huì)考慮安全同步建設(shè)。

　　另外信息安全措施不應(yīng)該對(duì)高可用的工業(yè)控制系統(tǒng)產(chǎn)生不利的影響，特別是設(shè)備，主要是來源于防火墻，特別是現(xiàn)象級(jí)的防火墻這一塊目前用戶也比較難于接受。其實(shí)現(xiàn)象防火墻主要解決的問題是控制器這種，它沒有沒有認(rèn)證沒有加密，主要是在它的前面加一個(gè)現(xiàn)象級(jí)的防火墻對(duì)它進(jìn)行防護(hù)，目前這個(gè)方面用戶還是比較難以接受。在管理制度方面，我覺得可以以等級(jí)保護(hù)的基本要求安全管理要求為基礎(chǔ)來完善整個(gè)安全信息安全的管理體系，因?yàn)榈缺＠锩鎸?duì)于整個(gè)安全管理制度這一塊是要求比較成體系的，但是像前面工信部對(duì)制造業(yè)也有相當(dāng)多的要求，所以在制度體系這一塊完善還需要兼顧其他的一些監(jiān)管要求，像關(guān)于信息基礎(chǔ)設(shè)施保護(hù)，另外還有業(yè)務(wù)主管部門像能源局它對(duì)能源系統(tǒng)也會(huì)有它的要求。另外安全制度需要有可操作性方便落地實(shí)施，這些安全制度不要好高騖遠(yuǎn)我寫的非常安全怎么樣，寫的看起來很好，但是沒有辦法落地實(shí)施，這樣可能會(huì)影響制度的權(quán)威性，另外也是沒有實(shí)際的效果。第三個(gè)需要加強(qiáng)監(jiān)督自查留下相關(guān)證據(jù)確保制度貫徹實(shí)施。在技術(shù)防護(hù)方法，首先是分布實(shí)施，首先解決控制器上層的安全，在控制器下層現(xiàn)在基本上還沒有更多的解決方案，解決方案主要是三個(gè)重點(diǎn)，一個(gè)是邊界防護(hù)，把邊界一定要看好，一個(gè)是縱向的層級(jí)之間的防護(hù)，一般控制系統(tǒng)和IT系統(tǒng)會(huì)有單向隔離的設(shè)備，因?yàn)樗确阑饓σ叩?，就算外面被破掉還是進(jìn)不去。另外對(duì)下層可以用工業(yè)級(jí)的防火墻進(jìn)行部署，一個(gè)縱向還有一個(gè)橫向的，橫向也要采取隔離措施比如一些工廠，如果出了問題把問題控制在最小的范圍內(nèi)，比如一個(gè)故障不要蔓延到其他的故障，這個(gè)是邊界防護(hù)非常的重要。還有無線接收這一塊也非常重要，另外把系統(tǒng)內(nèi)部的監(jiān)控做好，一般出現(xiàn)一些安全事件前面都會(huì)有一些征兆，如果把它做好在出現(xiàn)的時(shí)候會(huì)采取對(duì)應(yīng)的處理措施，最大限度的降低安全問題。

　　第三個(gè)主機(jī)防護(hù)，其實(shí)工控系統(tǒng)安全事件，其實(shí)最主要的通過上層計(jì)算機(jī)作為入口導(dǎo)致的，所以把計(jì)算機(jī)設(shè)備管好非常的重要，基本上一個(gè)防病毒，一個(gè)是殺毒軟件個(gè)人覺得還是殺毒軟件比較好，因?yàn)楣た叵到y(tǒng)相對(duì)比較封閉，殺毒軟件首先是滯后的新的出來是防不了的。第二個(gè)就是你需要定期去升級(jí)，這個(gè)在管理上從測(cè)評(píng)來說很難集中收集，這個(gè)是技術(shù)防護(hù)的幾個(gè)重點(diǎn)。