等保測評背景下工業控制系統的應對及整改研究

王云龍

艾默生過程控制有限公司 上海 201206

引言

2016年11月7日第十二屆全國人民代表大會常務委員會第二十四次會議通過《中華人民共和國網絡安全法》[2]，其中提到“國家實行網絡安全等級保護制度”，對涉及國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護，進一步要求至少每年一次檢測評估。尤其是隨著等保2.0于2019年12月01日的實施之后，對工業控制系統應用場景有了特別的擴展說明[3]，這更增加了工控系統如何應對等保測評[4]以及如何做出正確且及時的整改的需求。

針對這種需求，本文以Ovation[5]DCS 工控系統為例，為大家解讀等保測評背景下工控系統特別是火力發電廠[6]的應對及整改方法，以及應急處置預案[7]，這也是作者多年從事工控系統網絡安全服務工作的心得體會，倉促成文與大家共享。

1 等級保護相關背景

《信息安全技術網絡安全等級保護基本要求》是由“國家市場監督管理總局”和“中國國家標準化管理委員會”聯合發布的中華人民共和國國家標準，本文所提及的是GB/T22239—2019[8]（以下簡稱“等保2.0”）。

根據等級保護定級指南（GB/T22240—2008[9]）通常講用于火電廠過程控制的工控系統應該屬于等保三級，即信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。核電廠的部分工控系統甚至會被提升到四級，本文著重介紹處于等保三級狀態下的工控系統在應對等保測評時應注意的問題。

對于等保三級的工業控制系統來說，等保測評背景下主要要應對的是“8.1安全通用要求”和“8.5 工業控制系統安全擴展要求”。本文會在后面展開講解針對每一條細節要求應該如何應對和整改。

特別提醒大家注意的是關于等保2.0實施時的一些約束條件，這對客戶應對等保測評時提出的一些艱深問題提供了可行的解決辦法，因為該項條款在實踐中比較重要，所以給大家詳細敘述如下：

工業控制系統是對可用性要求較高的等級保護對象，工業控制系統中的一些裝置如果實現特定類型的安全措施可能會終止其連續運行，原則上安全措施不應對高可用性的工業控制系統基本功能產生不利影響。例如用于基本功能的賬戶不應被鎖定，甚至短暫的也不行；安全措施的部署不應顯著增加延遲而影響系統響應時間；對于高可用性的控制系統，安全措施失效不應中斷基本功能等。經評估對可用性有較大影響而無法實施和落實安全等級保護要求的相關條款時，應進行安全聲明，分析和說明此條款實施可能產生的影響和后果，以及使用的補償措施。

等保測評結果一般分為如下幾個檔次，≥90分為優，80分～90分為良，70分～80分為中，<70分為差。如果包含一些高風險項的話，很可能直接被判定為不合格。等保測評時其實不光是測系統，還有其他的諸如管理、物理等方面內容，本文主要側重如何從系統方面，技術層面來應對等保測評。等保測評的形式一般是人員訪談、審核資料、工具測試，測評人員一般不會被允許操作工控系統。

2 信息系統安全模型、技術框架及Ovation系統結構概述

因為等保三級要求適用P2DR安全模型；所以我們簡單介紹一下有關這個模型的基本概念，P2DR模型是美國ISS公司提出的動態網絡安全體系的代表模型，如圖1所示，它包括四個主要部分：策略、防護、檢測和響應。該模型認為與信息安全相關的所有活動，包括攻擊行為、防護行為、檢測行為和響應行為等，都需要消耗時間。因此，可以用時間來衡量一個體系的安全性和安全能力。公式如下Et = Dt + Rt - Pt, 其中Et表示暴露時間，Dt表示從入侵者開始發動入侵開始到系統能夠檢測到入侵行為所花費的時間，Rt表示從發現入侵行為開始，到系統能夠做出響應并恢復到正常狀態的時間，Pt代表系統在入侵者進行攻擊的情況下能夠堅持的時間。通過對上述參數的調整，我們的目標是盡量保證Et為負數或者盡可能的小，這樣系統就更加安全。

圖1 P2DR安全模型

信息保障技術框架，被我國國家973計劃項目引進國內，其核心思想是縱深防御戰略（Defense in Depth），就是采用多層次的、縱深的安全措施來保障用戶信息及信息系統的安全；其核心因素為人員、技術和操作，即人員依靠技術進行操作形成縱深防御，這種防御更強調技術空間屬性，逐層增加入侵者深入的難度，進而削減系統被完全攻陷的可能性。

Ovation是一種分散控制系統，其網絡結構概述如下：

每個Ovation DCS LAN都是圍繞一對交換機構建的容錯樹。使用兩個交換機，并相互連接以實現冗余。由于這對交換機構成了網絡樹的根，因此它們被創造性地命名為“根”和“備份根”。最簡單的DCS可以只由這對交換機組成，并且適用于通常位于單個區域的系統。這些系統通常全部采用CAT 5 UTP電纜連接，但當距離超過100米UTP電纜長度限制或需要額外的EMI/RFI隔離時，光電轉換器和光纖電纜可用于遠程節點。其他媒體或傳輸，如無線、光學（激光）和服務提供商網絡，必須根據具體情況加以考慮。

3 處于等保三級的工業控制系統應對策略

以Ovation DCS工業控制系統為例，應對等保測評主要有如下幾個方向需要考慮：有哪些要求項目可以通過Ovation系統本身的配置修改來得以實現？有哪些要求項目可以通過對系統加固的具體實踐，補充一定的缺失軟硬件來實現？有哪些要求項目可以通過專門的網絡安全系統附加到Ovation系統上得以實現？等保測評的過程中網絡安全管理人員的配備和外部專家參與陪考應該如何實現？

現就部分相關檢查項目舉例說明如下：

3.1 安全通用要求

3.1.1 安全通信網絡。

3.1.1.1 網絡構架：千兆交換機；ACL，防火墻，白名單；雙電源，防火墻冗余可能會影響業務，有bypass功能。

3.1.1.2 通信傳輸。管理類、業務類均采用加密技術、私有協議，要關閉Telnet，明文傳輸要關掉。

3.1.1.3 可信驗證。可信驗證一般不滿足，因為要有硬件可信根，可以表述為不適用

3.1.2 安全區域邊界。

3.1.2.1 邊界防護。按照Ovation和PWCS-C系統拓撲和實際部署，邊界就是防火墻；實現了檢查，一般應該關閉物理端口，有條件的進行IP/MAC綁定；不適用(N/A)，沒有無線，主機衛士有外設管理禁用功能，嚴禁無線。

3.1.2.2 訪問控制。盡量精細化，比如Any to Any的策略需要注意少用

3.1.2.3 入侵防范。IDS要放在防火墻之內；APT檢測引擎。

3.1.2.4 惡意代碼和垃圾郵件防范。不適用，POP3關閉，沒有郵件，防釣魚不適用；應該用防病毒網關，實際用IDS。

3.1.2.5 安全審計。網絡審計；測評記錄，LAA；電力系統一般不存在訪問互聯網行為和應用。

3.1.2.6 可信驗證。一般不符合，多數銀行系統都不符合。

3.5 工業控制系統安全擴展要求

3.5.1 網絡構架。36號文明確要求2區和3區，1號機和2號機之間要有邏輯隔離；交給測評單位的測評表應該符合實際配置非常重要。

4 通過工業控制系統本身的配置修改來得以實現的項目

對于Ovation系統來說安全意味著防止非授權使用和行為發生在系統中，這個目標主要通過“域”的概念和為處于“域”中的用戶和計算機分配特定“角色”來實現的。

“角色”是用以控制用戶和計算機具體行為和功能的一系列規則的集合。規則是一個簡單的語句，它定義了軟件運行時行為的一個方面。當進行安全規劃時，Ovation的系統管理員可以使用默認的“角色”也可以自己創建自定義的“角色”。當某一個用戶和計算機被賦予了某種“角色”后，它所能執行的任務相應的也就確定了。

組策略是Microsoft組策略規則的集合，這些規則定義用戶或計算機可以訪問的桌面和系統功能。

在計劃安全性時，請記住，在Ovation系統中執行某些操作的能力取決于兩個因素：運行Ovation應用程序的Windows會話。這基于分配給用戶/計算機的組策略。Windows會話包括登錄用戶，登錄計算機和適用的控制臺（即，用戶是在計算機上本地登錄還是通過遠程桌面服務遠程登錄）。Windows會話所屬的Ovation角色。這基于分配給用戶/計算機的Ovation角色策略。

建立安全系統的最佳做法：

為每個Ovation系統采用標準的防火墻配置，以防止有害數據從外界進入控制系統。

正式制定在Ovation系統上加載應用程序和軟件的計劃，以便只有指定的用戶（管理員）才能在系統上安裝軟件。

分配角色，以便可以在整個Ovation系統中執行某種功能。

指定一個以上的管理員，以確保安全的延續，以防萬一原有管理員不可用。

定義冗余域控制器，以確保登錄是動態的，而不是基于的安全數據的緩存。

使用備份方案和程序，確保在系統中斷時，系統數據可以恢復。

使用病毒檢測軟件來幫助防止軟件病毒的傳播對系統的破壞。

使用 Microsoft 提供的安全補丁，以確保您的 Windows 操作系統的安全。這些補丁程序已由 Emerson 測試過，以確保與 Ovation 軟件的兼容性。從艾默生用戶組網站訪問這些經過測試的補丁程序，然后將補丁程序下載到計算機上。

如果你計劃在Ovation系統中使用遠程和本地控制臺設計，請確保你有足夠的遠程控制臺安全規定。

制定一項計劃，詳細說明如何實施安全。

4.1 RADIUS SERVER

遠程認證撥入用戶服務(Remote Authentication Dial In User Service，RADIUS)是一種客戶端-服務器協議和軟件程序，它使遠程訪問客戶端能夠與中央服務器進行通信，以驗證撥入用戶的身份，并授權他們訪問所請求的系統或服務。

在Windows Server中，網絡策略服務器（NPS）是微軟對RADIUS服務器的實現。網絡策略服務器（NPS）允許您為連接請求認證和授權創建和執行組織范圍的網絡訪問策略。

作為RADIUS服務器，NPS對多種類型的網絡訪問進行集中連接認證、授權和審計，包括無線、認證交換機、撥號和虛擬專用網（VPN）遠程訪問以及路由器到路由器的連接。

NPS需要一些額外的配置來。處理來自RADIUS客戶端的連接請求，如控制器，路由器等。對活動目錄賬戶執行認證和授權。

以下步驟提供了將NPS配置為RADIUS服務器的概述，該服務器可以接受、驗證和授權來自RADIUS客戶端的連接請求。

在其默認域中注冊NPS

禁用或刪除默認策略

創建連接請求策略

創建網絡策略

添加一個控制器作為RADIUS客戶端

自定義RADIUS共享秘密（可選）

共享秘密是一個文本字符串，作為主機之間的密碼。RADIUS共享秘密用于保護RADIUS服務器和RADIUS客戶端之間的通信。在Ovation中，可以為每個控制器定制RADIUS共享秘密。

4.2 Security Whitepapers

在Ovation交換機和路由器上更改訪問權限并啟用密碼

為Ovation網絡中使用的交換機和路由器生成的配置具有默認訪問權限和啟用密碼，兩者都是相同的。該密碼是眾所周知的，并且與Ovation網絡中使用的所有Cisco交換機的密碼相同。

為了解決有關Ovation系統至關重要的網絡設備的安全問題，建議客戶更改訪問權限和啟用密碼。下面介紹更改密碼的過程。

在“devicename>”提示符下，輸入“enable”和出現提示時的enable密碼。提示將變為“ devicename＃”。

輸入“ conf t”。提示將變為“ devicename（config）＃”。

輸入“ line vty 0 15”。提示將更改為“ devicename（config-line）＃”。

要將密碼更改保存到非易失性配置，請輸入“ write mem”

建議將設備配置更改完全記錄在配置模式下輸入的文件中。每個設備應保留一個單獨的文件。在行首的感嘆號被命令解析器視為注釋，并被忽略。這可用于記錄更改。以下是如何管理配置更改的示例。

5 系統加固的具體實踐

加固是通過減少系統的脆弱性來保護系統的過程。系統執行的功能越多，其漏洞范圍就越大。Ovation系統加固的目的是通過配置來改善其安全狀態，在不損害Ovation軟件的功能的前提下，某些Windows策略設置可以與行業最佳實踐保持一致。安裝Ovation并對各個站點進行了首次加載和配置下裝之后，應該執行加固。這樣可以盡可能地滿足等保2.0的各項要求，從而提高總體評分。

6 專門的網絡安全系統附加到工業控制系統上的實踐

提供電子安全管理功能的硬件和軟件工具的集合。 PWCS應用程序旨在增強和管理分布式控制系統（DCS）的網絡安全性，而不會中斷受控過程。其主要的功能模塊有工業防火墻、網絡流量審計、入侵監測、主機衛士、多因子認證、安全U盤、日志審計與分析系統、統一安全管理平臺等，這些系統能夠更好地對標等保2.0的相應要求，是應對等保測評的重要抓手，本文就不做展開闡述了，有興趣的讀者可以找尋相應資料進行進一步研究。

7 結束語

本文主要以Ovation分散控制系統（DCS）為例講述了等保測評背景下工業控制系統的應對及整改方法。包括等級保護相關背景、信息系統安全模型、技術框架及Ovation系統結構、處于等保三級的工業控制系統應對策略、通過工業控制系統本身的配置修改來得以實現的項目、系統加固的具體實踐、通過專門的網絡安全系統附加到工業控制系統上得以實現的項目。希望為讀者在應對等保2.0評估的過程中提供幫助，并促進最終評分的提高，順利通過評估。甚至對近些年來越來越頻繁的諸如護網行動之類的網絡安全演習起到幫助作用。

8 等保的改進建議及前景展望

基于角色的訪問控制（Role-based Access, RBAC），是否可以同強制訪問控制策略一樣被引入等保2.0規范中，這樣可以拓寬訪問控制方面的覆蓋度，請行業專家參與討論。