工業領域關鍵信息基礎設施網絡安全防護體系研究

張斌 陳意 王新霞 孔群 胡謙

工業領域的關鍵信息基礎設施主要包括電力、水務、燃氣、石油石化等重要的行業和領域，本文面向工業領域關鍵信息基礎設施開展研究，調研某省工業領域關鍵信息基礎設施網絡安全現狀，分析其面臨的安全問題，研究安全防護體系，并進行案例驗證。

關鍵信息基礎設施（以下簡稱“關基”）主要指影響國家、社會、公共利益的通信、電子政務及國防科工等領域，除此之外，還包括電力、水務、燃氣、石油石化等重要的工業行業和領域。與其他領域關基不同，工業領域的關基由于其網絡架構的特殊性、網絡傳輸的實時性及工業協議種類多等特點，導致其安全防護在防護技術、措施和管理層面都存在一定的特殊性。工業領域的關基一旦遭受網絡攻擊，不僅影響系統正常運行或引發數據泄露，還可能會威脅到人民生命財產安全，甚至社會穩定和國家安全，因此亟須針對工業領域的關基開展網絡安全防護體系研究，進一步提升其安全防護水平。

本文主要面向工業領域的關基開展研究，調研某省工業領域關基的網絡安全現狀，分析該領域面臨的問題，研究包含各個層面安全防護要點的安全防護體系，并在化工行業進行案例驗證，以保障工業領域關基的安全運行。

由于某省的產業門類齊全，能較好反映我國工業領域關基的安全現狀，故選取該省工業領域關基相關工業企業作為調研樣本，共選取200余家企業開展調研，調研結果分析如下：

工業資產：參與調研的企業中，使用企業資源計劃系統（ERP）的企業占比約7成，使用制造企業生產過程執行管理系統（MES）的企業僅占3成，使用Windows操作系統的企業占7成；使用國產可編程邏輯控制器（PLC）的企業不到1成，使用國產分散控制系統（DCS）的企業約為5成，使用國產數據采集與監視控制系統（SCADA）的企業不足3成。

安全技術：參與調研的企業中，超過7成的企業在其工控系統所在的物理環境部署了防護措施，近5成的企業使用了工業主機防護軟件，但超過3成的企業工控系統直接與互聯網連接，多數企業未在安全域之間部署安全隔離措施，只有近3成的企業部署了工業防火墻等安全隔離設備；部署入侵檢測系統（IDS）、入侵防護系統（IPS）等監測手段的企業不足2成。

安全管理：參與調研的企業中，60%的企業建立了工控網絡安全配置策略，超過6成的企業建立了工控系統資產清單，只有4成的企業與服務商明確了信息安全責任和義務，6成的企業制定了工控安全事件應急響應預案，但定期開展應急演練的企業只有4成。

根據調研結果，當前工業領域關基網絡安全存在的問題主要有：

企業安全主體責任落實不到位。工業領域關基相關企業初步建立了網絡安全防護策略，企業防護意識有所提升。但很多企業仍未明確安全主體責任，未建立安全責任制，內部人員普遍存在使用弱密碼、賬號共用的現象；工控設備、系統的訪問權限管理混亂，極易獲取敏感信息。

工控系統國產化水平偏低。工業領域關基在高端裝備、控制系統、工業標準等方面高度依賴國外，國內產業實力難以滿足企業應用需求。國內廠商尚未掌握工控核心技術，大部分工控系統設備及核心元器件技術由國外壟斷，工控系統及設備自主化進程仍需加快。

工控安全產業生態亟待完善。工業領域關基的網絡安全風險呈現多元化特征，導致安全隱患發現難度更高。但工業領域關基相關的安全產業生態中的產品設計、運維、評估、實施等服務能力不足，無法形成完整的安全產業鏈。同時，尚未出臺針對工業領域關基的安全防護體系，缺少相關的安全產品和服務。

工業領域關基的網絡安全架構如圖1所示，基于其復雜的內網、外網協同的網絡狀態和安全業務需要，設計了四層架構：終端層、控制層、網絡層、應用層，以滿足工業領域關基網絡安全的防護要求。

終端層包含執行器、計量器、生產設備、智能裝備等終端設備，終端層的安全防護層面主要指物理安全，包括終端設備的物理位置選擇、訪問控制、防火、防盜、電磁防護等要求；控制層包含工程師站、操作員站和工業控制系統，控制層安全防護層面分為控制安全和設備安全，其中控制安全包括工控系統安全、組態軟件安全、工業數據庫安全，設備安全包括主機安全、控制設備安全、介質安全；網絡層包含交換機、工業網關等網絡設備，網絡層安全防護層面為網絡安全，包括網絡架構、邊界防護、網絡設備安全、訪問控制、入侵防范等要求；應用層包含MES、ERP等應用系統，應用層安全防護層面為應用安全，包括身份鑒別、訪問控制、安全審計等；數據安全和管理安全層面貫穿整個工業領域關基的網絡安全防護體系，為其提供全面的安全防護。

為驗證工業領域關基安全防護體系的有效性，選取化工行業典型企業XX化工集團開展防護體系的實例驗證。本次驗證的范圍主要包括XX化工集團下屬化工有限公司DCS控制系統的物理環境、主機、網絡、業務應用系統、安全管理制度和人員等，從物理、控制、設備、網絡、應用、數據、管理等七個方面，對其網絡安全防護情況進行綜合驗證，并改善其安全防護要點。

通過本次案例驗證，XX化工集團的DCS控制系統通過以下防護措施，可以更好地實現對關基的安全防護：

設備安全層面，在工業主機上安裝防病毒軟件，并在安裝前進行驗證測試。

控制安全層面，對接入網絡的主機采取控制措施，如實名接入認證、IP地址與MAC地址綁定等。

網絡安全層面，采取身份認證、安全監測等措施對無線網絡入網進行嚴格管控。

數據安全層面，對重要或敏感的工業數據進行分類分級后，對其進行加密存儲或隔離保護。

管理安全層面，建立關基網絡和系統的安全策略配置清單，并定期核查。

隨著人工智能、5G、物聯網等新技術與工業的深度融合應用，工業領域關基的網絡邊界逐漸模糊，網絡攻擊面不斷擴大，“新基建”下的工業領域關基網絡安全面臨更為復雜多變的新挑戰。下一步需繼續推進工業領域關基的網絡安全保障工作，通過政產學研協同合作，從政策、技術、產業、人才等方面持續發力，不斷提升工業領域關基的安全防護水平。

作者單位：張斌 中國網絡安全審查技術與認證中心陳意、王新霞、孔群、胡謙 山東省電子信息產品檢驗院（中國賽寶（山東）實驗室）