等保2.0時代下工控安全技術革新

謝云龍，吳得清，姜紅勇

(北京中電瑞鎧科技有限公司，北京 100016)

0 引言

新發布的等保2.0在原有標準基礎上進行了細化、分類和加強，使之更加契合如今的工控環境與技術。如何應對等保2.0時代，把控工控技術的發展方向，如何將現場環境與政策完美結合，形成更加完善、健全、有效的工控安全體系，以應對未知威脅，是每一個工控行業企業都應思考的問題。

1 等保概念由來

20世紀60年代，美軍文件保密制度提出了等級保護概念，1985年發布的《可信計算機系統評估準則》(TCSEC)是第一個相對成熟且影響深遠的準則。

1991年，《信息技術安全評估準則》(ITSEC)出臺并應用于歐共體。1993年加拿大公布《可信計算機產品評估準則》(CTCPEC)3.0版本。CTCPEC將安全分為功能性要求和保證性要求兩部分。功能性要求分為機密性、完整性、可用性、可控性等四個大類。

1996年美國、歐盟、加拿大聯合起來將各自評估準則合為一體，形成通用評估準則(Common Criteria)。CC2.1版本于1999年出臺，在CC中定義了評估信息技術產品和系統安全性所需要的基礎準則，是度量信息技術安全性的基準。

我國的等級保護工作其發展主要經歷了四個階段。

國務院于1994年頒布《中華人民共和國計算機信息系統安全保護條例》。2003年，中央辦公廳、國務院辦公廳頒發《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)明確指出“實行信息安全等級保護”，標志著等級保護從計算機信息系統安全保護的一項制度提升到國家信息安全保障一項基本制度[1]。

2004年至2006年期間，公安部聯合四部委開展了涉及65 117家單位，共115 319個信息系統的等級保護基礎調查和等級保護試點工作。

2007年6月，四部門聯合出臺了《信息安全等級保護管理辦法》。7月四部門聯合頒布了《關于開展全國重要信息系統安全等級保護定級工作的通知》，并于7月20日召開了全國重要信息系統安全等級保護定級工作部署專題電視電話會議，標志著我國信息安全等級保護制度正式開始實施。

2010年4月，公安部出臺了《關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》，提出等級保護工作的階段性目標。2010年12月，公安部和國務院國有資產監督管理委員會聯合出臺了《關于進一步推進中央企業信息安全等級保護工作的通知》，要求中央企業貫徹執行等級保護工作。至此我國信息安全等級保護工作全面展開，等保工作進入規?；七M階段。

2 等保2.0分析

在等保2.0中，對各個級別系統應達到的安全水平給出了更加精細化的標準，如何達到、貫徹這個標準，是每一個企業應該思考的問題，而通過使用網絡安全產品及工控專用安全產品則是目前最低成本也是最高效的途徑。

安全產品可以通過技術手段節約大量的人力以及時間成本，同時具備人力所不能達到的精細化顆粒級別等優勢，工控安全產品的進步、專精，加上與管理的并重，組成了全新的等保2.0時代。

在等保2.0中，除去對內容的整合修改外，也對標準名稱進行了修改，由《信息安全技術信息系統安全等級保護基本要求》改為《信息安全技術網絡安全等級保護基本要求》，這樣的修改是為了與《中華人民共和國網絡安全法》中的相關法律條文保持一致，與法律相呼應。

2.1 等保2.0與1.0對比

等保2.0相比于1.0，更加契合了如今安全形勢，針對全新技術(如云計算、大數據)，以及國家重點領域安全(如工業控制系統)等提出了更全面，深入，細化的要求準則。

本文以大部分工控系統所在的第三級為例，列舉等保2.0與1.0差異，如表1所示。

2.2 等保2.0工控要求

區別于等保1.0的是，等保2.0中專門提出了包括工控安全擴展要求在內的四大擴展要求，其中包括：

室外控制設備放置應遠離強電磁干擾、熱源和應遠離極端天氣環境等，如無法避免，在遇到極端天氣時應及時做好應急處置及檢修確保設備正常運行。

工業控制系統與企業其他系統之間應劃分為兩個區域，區域間應采用單向的技術隔離手段。

工業控制系統內部應根據業務特點劃分為不同的安全域，安全域之間應采用技術隔離手段。

表1 對照表

涉及實時控制和數據傳輸的工業控制系統，應使用獨立的網絡設備組網，在物理層面上實現與其它數據網及外部公共信息網的安全隔離。

在工業控制系統內使用廣域網進行控制指令或相關數據交換的應采用加密認證技術手段實現身份認證、訪問控制和數據加密傳輸。

工業控制系統與企業其他系統之間部署訪問控制設備，配置訪問控制策略，禁止任何穿越區域邊界的E-Mail、Web、Telnet、Rlogin、FTP等通用網絡服務。

應在工業控制系統內安全域和安全域之間的邊界防護機制失效時，及時進行報警。

工業控制系統確需使用撥號訪問服務的，應限制具有撥號訪問權限的用戶數量；并采取用戶身份鑒別和訪問控制等措施。

撥號服務器和客戶端均應使用經安全加固的操作系統，并采取數字證書認證、傳輸加密和訪問控制等措施。

對采用無線通信技術進行控制的工業控制系統，應能識別其物理環境中發射的未經授權的無線設備，報告未經授權試圖接入或干擾控制系統行為。

控制設備自身應實現相應級別安全通用要求提出的身份鑒別、訪問控制和安全審計等設備和計算方面的安全要求，如受條件限制控制設備無法實現上述要求，應由其上位控制或管理設備實現同等功能或通過管理手段控制。

應在經過充分測試評估后，在不影響系統安全穩定運行的情況下對控制設備進行補丁更新、固件更新等工作。

應關閉或拆除控制設備的軟盤驅動、光盤驅動、USB接口、串行口等，確需保留的必須通過相關的技術措施實施嚴格的監控管理。

應保證控制設備在上線前經過安全性檢測，確保控制設備固件中不存在惡意代碼程序[2]。

2.3 等保2.0工控擴展重點

面對日益猖獗的安全威脅，以及更加具有針對性的攻擊手段，傳統信息安全產品已經力有不逮，工控系統不同于其他組織系統，遭遇破壞的后果更加嚴重且具有典型工控特色，在此基礎上，等保2.0文件中提出了工業控制系統安全擴展要求，其中包括要求室外控制設備物理防護，組網時要求在物理層面實現其他數據網與外部公共信息網的安全隔離，對上機人員進行更加嚴格的訪問控制以及操作系統加固，數字證書認證。

其中一個重點在于控制設備安全，等保2.0工控擴展要求中明確提出，控制設備自身實現相應級別要求所提出的身份鑒別、訪問控制以及安全審計，若受條件限制無法實現，應由其上位控制或管理設備實現同等功能或通過管理手段控制，且關閉，拆除控制設備的軟盤驅動，光盤驅動，USB接口，串行口等，確需保留則必須通過相關技術措施實施嚴格的監控管理。

從等保2.0中可以發現，相比于等保1.0，它更加注重了監控，以及明確提出了工業控制設備的層層細化標準，這符合信息安全中的P2DR模型(如圖1所示)，也就是Pt(防護時間)與檢測時間(Dt)、響應時間(Rt)的關系[3]，即：

Pt>Dt+Rt

(1)

該模型給出了定義，及時的檢測和響應就是安全。這在工業控制系統中更為適用，因為工業控制系統安全對實時性要求極高，稍有延誤便有可能造成嚴重后果，同時要求重點提高防護時間，這需要更加具有針對性，且更加高效的技術革新。

圖1 P2DR模型

2.4 等保2.0下工控安全技術趨勢

經過分析，可以發現等保2.0已經給出了一個未來安全技術發展的趨勢，即針對工控系統特性，可用性大于機密性、完整性；且要求工控安全產品區別于普通安全產品，需貼切工控現場環境，如滿足溫度，濕度等工業標準，無風扇設計等；且性能應更加穩定，延長有效防護時間，滿足實時性與準確性雙向需求。

其中尤其強調了對于工控系統安全的針對性，因為工業控制系統基于工業控制協議(例如，OPC、Modbus、DNP3、S7)，而IT信息系統基于IT通信協議(例如，HTTP、FTP、SMTP、TELNET)。雖然，現在主流工業控制系統已經廣泛采用工業以太技術，基于IP/TCP/UDP通信，但是應用層協議是不同的，這就要求信息安全產品必須支持工業控制協議(例如，OPC、Modbus、DNP3、S7)，否則就會出現如為了支持OPC Classic服務而放開大量TCP端口的問題。

3 工控現場安全分析

以發電企業電力監控安全為例，引申等保2.0政策，并結合現場情況進行案例分析。

從2004年，電力行業原電監會頒布的第5號令《電力工控系統安全防護規定》及34號文《電力工控系統安全防護總體方案》至今的發改委14號令和能源局36號文及配套文件。發電企業在業務實際和工作場景中，不斷深化安全防護概念及措施，緊跟“十六字方針”原則[4]做好邊界防護，確保邊界的安全可靠，主要采用的技術和手段是通過合理規劃業務分區，將不同風險等級的業務及控制系統進行“安全分區”；并根據業務設計規劃網絡架構，實現“網絡專用”；生產大區的控制和非控制區之間，通過部署防火墻進行“邏輯隔離”，生產大區和管理大區間，通過部署單向隔離裝置進行“物理隔離”；發電企業使用及涉網的網絡線路，通過部署采用加密技術的裝置，實現 “縱向認證”。按照等級保護三級的要求，通過加強物理安全及管理、主機及網絡設備安全配置，采用結構安全、身份認證、通訊加密、訪問控制等方面進行安全加固及防護。

隨著信息化技術的發展和“IT”與“OT”的不斷深化融合，如今虛擬化、云平臺/計算、大數據、無線接入、移動應用技術的大面積采用及推廣，在等保1.0時代這些技術尚未足夠成熟亦或沒有廣泛采用，故等保1.0的相關要求也并為對上述技術和應用進行安全防護的規定和具體要求。技術的變革促使著管理方式和方法的變革，等保2.0將從云平臺的搭建結構，及搭載虛擬機的邊界安全防護采用對流量及

邊界的入侵檢測情況分析安全風險；對無線接入的管理也更注重所屬區域劃分及同不同業務分區的隔離及數據交換，從資源管控、移動應用開發和安全運維等多維度做出更詳細要求，目前廣泛應用的技術包括身份鑒別、訪問抗抵賴、白名單、隔離網閘、入侵檢測、流量及日志分析設計技術。從而確保物理網整體性安全，實現電力監控的中的工業控制系統安全運行。

4 結論

等保2.0意味著工控安全日益受到重視，同時也為工控安全帶來了新的標準和挑戰，在這樣的大環境下，工控技術的革新是必然的，不可逆轉的，新時代的工控安全產品應以工控環境為參考標準，參考等保2.0中物理與環境要求規范，全面適應工控特殊性如溫度、濕度等相關要求，且區別于普通信息安全產品，更加注重可用性，國內自主研發、自主可控必將是大勢所趨，知己知彼方可為工業網絡安全保駕護航。

[1] 張偉麗.信息安全等保護現狀淺析[J].信息安全與技術，2014(9)：9-13.

[2] 信息安全等級保護管理辦法(公通字[2007]43號)[Z].2007.

[3] 動態網絡安全體系的代表模型1[M].1995.

[4] 國家能源局關于印發電力監控系統安全防護總體方案等安全防護方案和評估規施的通知(國能安全[2015]36號)[Z].2015.