等保2.0时代下工控安全技术革新

谢云龙，吴得清，姜红勇

(北京中电瑞铠科技有限公司，北京 100016)

0 引言

新发布的等保2.0在原有标准基础上进行了细化、分类和加强，使之更加契合如今的工控环境与技术。如何应对等保2.0时代，把控工控技术的发展方向，如何将现场环境与政策完美结合，形成更加完善、健全、有效的工控安全体系，以应对未知威胁，是每一个工控行业企业都应思考的问题。

1 等保概念由来

20世纪60年代，美军文件保密制度提出了等级保护概念，1985年发布的《可信计算机系统评估准则》(TCSEC)是第一个相对成熟且影响深远的准则。

1991年，《信息技术安全评估准则》(ITSEC)出台并应用于欧共体。1993年加拿大公布《可信计算机产品评估准则》(CTCPEC)3.0版本。CTCPEC将安全分为功能性要求和保证性要求两部分。功能性要求分为机密性、完整性、可用性、可控性等四个大类。

1996年美国、欧盟、加拿大联合起来将各自评估准则合为一体，形成通用评估准则(Common Criteria)。CC2.1版本于1999年出台，在CC中定义了评估信息技术产品和系统安全性所需要的基础准则，是度量信息技术安全性的基准。

我国的等级保护工作其发展主要经历了四个阶段。

国务院于1994年颁布《中华人民共和国计算机信息系统安全保护条例》。2003年，中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”，标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度[1]。

2004年至2006年期间，公安部联合四部委开展了涉及65 117家单位，共115 319个信息系统的等级保护基础调查和等级保护试点工作。

2007年6月，四部门联合出台了《信息安全等级保护管理办法》。7月四部门联合颁布了《关于开展全国重要信息系统安全等级保护定级工作的通知》，并于7月20日召开了全国重要信息系统安全等级保护定级工作部署专题电视电话会议，标志着我国信息安全等级保护制度正式开始实施。

2010年4月，公安部出台了《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》，提出等级保护工作的阶段性目标。2010年12月，公安部和国务院国有资产监督管理委员会联合出台了《关于进一步推进中央企业信息安全等级保护工作的通知》，要求中央企业贯彻执行等级保护工作。至此我国信息安全等级保护工作全面展开，等保工作进入规模化推进阶段。

2 等保2.0分析

在等保2.0中，对各个级别系统应达到的安全水平给出了更加精细化的标准，如何达到、贯彻这个标准，是每一个企业应该思考的问题，而通过使用网络安全产品及工控专用安全产品则是目前最低成本也是最高效的途径。

安全产品可以通过技术手段节约大量的人力以及时间成本，同时具备人力所不能达到的精细化颗粒级别等优势，工控安全产品的进步、专精，加上与管理的并重，组成了全新的等保2.0时代。

在等保2.0中，除去对内容的整合修改外，也对标准名称进行了修改，由《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》，这样的修改是为了与《中华人民共和国网络安全法》中的相关法律条文保持一致，与法律相呼应。

2.1 等保2.0与1.0对比

等保2.0相比于1.0，更加契合了如今安全形势，针对全新技术(如云计算、大数据)，以及国家重点领域安全(如工业控制系统)等提出了更全面，深入，细化的要求准则。

本文以大部分工控系统所在的第三级为例，列举等保2.0与1.0差异，如表1所示。

2.2 等保2.0工控要求

区别于等保1.0的是，等保2.0中专门提出了包括工控安全扩展要求在内的四大扩展要求，其中包括：

室外控制设备放置应远离强电磁干扰、热源和应远离极端天气环境等，如无法避免，在遇到极端天气时应及时做好应急处置及检修确保设备正常运行。

工业控制系统与企业其他系统之间应划分为两个区域，区域间应采用单向的技术隔离手段。

工业控制系统内部应根据业务特点划分为不同的安全域，安全域之间应采用技术隔离手段。

表1 对照表

涉及实时控制和数据传输的工业控制系统，应使用独立的网络设备组网，在物理层面上实现与其它数据网及外部公共信息网的安全隔离。

在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份认证、访问控制和数据加密传输。

工业控制系统与企业其他系统之间部署访问控制设备，配置访问控制策略，禁止任何穿越区域边界的E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务。

应在工业控制系统内安全域和安全域之间的边界防护机制失效时，及时进行报警。

工业控制系统确需使用拨号访问服务的，应限制具有拨号访问权限的用户数量；并采取用户身份鉴别和访问控制等措施。

拨号服务器和客户端均应使用经安全加固的操作系统，并采取数字证书认证、传输加密和访问控制等措施。

对采用无线通信技术进行控制的工业控制系统，应能识别其物理环境中发射的未经授权的无线设备，报告未经授权试图接入或干扰控制系统行为。

控制设备自身应实现相应级别安全通用要求提出的身份鉴别、访问控制和安全审计等设备和计算方面的安全要求，如受条件限制控制设备无法实现上述要求，应由其上位控制或管理设备实现同等功能或通过管理手段控制。

应在经过充分测试评估后，在不影响系统安全稳定运行的情况下对控制设备进行补丁更新、固件更新等工作。

应关闭或拆除控制设备的软盘驱动、光盘驱动、USB接口、串行口等，确需保留的必须通过相关的技术措施实施严格的监控管理。

应保证控制设备在上线前经过安全性检测，确保控制设备固件中不存在恶意代码程序[2]。

2.3 等保2.0工控扩展重点

面对日益猖獗的安全威胁，以及更加具有针对性的攻击手段，传统信息安全产品已经力有不逮，工控系统不同于其他组织系统，遭遇破坏的后果更加严重且具有典型工控特色，在此基础上，等保2.0文件中提出了工业控制系统安全扩展要求，其中包括要求室外控制设备物理防护，组网时要求在物理层面实现其他数据网与外部公共信息网的安全隔离，对上机人员进行更加严格的访问控制以及操作系统加固，数字证书认证。

其中一个重点在于控制设备安全，等保2.0工控扩展要求中明确提出，控制设备自身实现相应级别要求所提出的身份鉴别、访问控制以及安全审计，若受条件限制无法实现，应由其上位控制或管理设备实现同等功能或通过管理手段控制，且关闭，拆除控制设备的软盘驱动，光盘驱动，USB接口，串行口等，确需保留则必须通过相关技术措施实施严格的监控管理。

从等保2.0中可以发现，相比于等保1.0，它更加注重了监控，以及明确提出了工业控制设备的层层细化标准，这符合信息安全中的P2DR模型(如图1所示)，也就是Pt(防护时间)与检测时间(Dt)、响应时间(Rt)的关系[3]，即：

Pt>Dt+Rt

(1)

该模型给出了定义，及时的检测和响应就是安全。这在工业控制系统中更为适用，因为工业控制系统安全对实时性要求极高，稍有延误便有可能造成严重后果，同时要求重点提高防护时间，这需要更加具有针对性，且更加高效的技术革新。

图1 P2DR模型

2.4 等保2.0下工控安全技术趋势

经过分析，可以发现等保2.0已经给出了一个未来安全技术发展的趋势，即针对工控系统特性，可用性大于机密性、完整性；且要求工控安全产品区别于普通安全产品，需贴切工控现场环境，如满足温度，湿度等工业标准，无风扇设计等；且性能应更加稳定，延长有效防护时间，满足实时性与准确性双向需求。

其中尤其强调了对于工控系统安全的针对性，因为工业控制系统基于工业控制协议(例如，OPC、Modbus、DNP3、S7)，而IT信息系统基于IT通信协议(例如，HTTP、FTP、SMTP、TELNET)。虽然，现在主流工业控制系统已经广泛采用工业以太技术，基于IP/TCP/UDP通信，但是应用层协议是不同的，这就要求信息安全产品必须支持工业控制协议(例如，OPC、Modbus、DNP3、S7)，否则就会出现如为了支持OPC Classic服务而放开大量TCP端口的问题。

3 工控现场安全分析

以发电企业电力监控安全为例，引申等保2.0政策，并结合现场情况进行案例分析。

从2004年，电力行业原电监会颁布的第5号令《电力工控系统安全防护规定》及34号文《电力工控系统安全防护总体方案》至今的发改委14号令和能源局36号文及配套文件。发电企业在业务实际和工作场景中，不断深化安全防护概念及措施，紧跟“十六字方针”原则[4]做好边界防护，确保边界的安全可靠，主要采用的技术和手段是通过合理规划业务分区，将不同风险等级的业务及控制系统进行“安全分区”；并根据业务设计规划网络架构，实现“网络专用”；生产大区的控制和非控制区之间，通过部署防火墙进行“逻辑隔离”，生产大区和管理大区间，通过部署单向隔离装置进行“物理隔离”；发电企业使用及涉网的网络线路，通过部署采用加密技术的装置，实现 “纵向认证”。按照等级保护三级的要求，通过加强物理安全及管理、主机及网络设备安全配置，采用结构安全、身份认证、通讯加密、访问控制等方面进行安全加固及防护。

随着信息化技术的发展和“IT”与“OT”的不断深化融合，如今虚拟化、云平台/计算、大数据、无线接入、移动应用技术的大面积采用及推广，在等保1.0时代这些技术尚未足够成熟亦或没有广泛采用，故等保1.0的相关要求也并为对上述技术和应用进行安全防护的规定和具体要求。技术的变革促使着管理方式和方法的变革，等保2.0将从云平台的搭建结构，及搭载虚拟机的边界安全防护采用对流量及

边界的入侵检测情况分析安全风险；对无线接入的管理也更注重所属区域划分及同不同业务分区的隔离及数据交换，从资源管控、移动应用开发和安全运维等多维度做出更详细要求，目前广泛应用的技术包括身份鉴别、访问抗抵赖、白名单、隔离网闸、入侵检测、流量及日志分析设计技术。从而确保物理网整体性安全，实现电力监控的中的工业控制系统安全运行。

4 结论

等保2.0意味着工控安全日益受到重视，同时也为工控安全带来了新的标准和挑战，在这样的大环境下，工控技术的革新是必然的，不可逆转的，新时代的工控安全产品应以工控环境为参考标准，参考等保2.0中物理与环境要求规范，全面适应工控特殊性如温度、湿度等相关要求，且区别于普通信息安全产品，更加注重可用性，国内自主研发、自主可控必将是大势所趋，知己知彼方可为工业网络安全保驾护航。

[1] 张伟丽.信息安全等保护现状浅析[J].信息安全与技术，2014(9)：9-13.

[2] 信息安全等级保护管理办法(公通字[2007]43号)[Z].2007.

[3] 动态网络安全体系的代表模型1[M].1995.

[4] 国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估规施的通知(国能安全[2015]36号)[Z].2015.