我国工业控制系统信息安全政策和标准体系架构研究

安高峰 朱长明 雷晓锋 李亚楠

(北京天融信网络安全技术有限公司 北京 100085)

(an_gaofeng@topsec.com.cn)

1 工业控制系统信息安全形势

工业控制系统被广泛应用于电力、石油石化、核能交通等工业生产领域，以及航空、轨道交通、供水等公共服务领域，超过80%的涉及国计民生的关键基础设施依靠工控系统来实现自动化作业.随着2010年震网病毒事件爆发，工控系统信息安全事件在世界范围内频发，范围覆盖欧美、大洋洲、亚洲各地的能源、水利、核能、交通等工控系统所在领域.

我国同样遭受着工控系统信息安全漏洞的困扰，例如2010年齐鲁石化、2011年大庆石化炼油厂，某装置控制系统分别感染Conficker病毒，都造成控制系统服务器与控制器通信不同程度的中断［1］.2017年我国石油石化、通信等行业也遭受了“WannaCry”勒索病毒的影响，病毒攻击造成某大型石油公司的2万座加油站短时间内无法使用银行卡及网络支付，影响范围波及北京、上海等多个大中型城市.普华永道于2016年11月29日发布的全球信息安全状况调查报告显示，中国工控系统领域的安全事件呈暴涨趋势，相比于2015年增长了22.13倍.同期，全球该领域的安全事件下滑9%［2］.工信部网络安全管理局2018年5月发布网络安全威胁态势报告显示:2018年第1季度，我国境内在互联网上可辨识的工控系统及设备数量共计2 772个，与上一个季度数量基本持平，但新增工控安全漏洞112个，相比上一个季度增长约50%，涉及125个工业相关产品，包括西门子、施耐德电气等在中国广泛应用的工控系统产品［3］.

随着中国制造2025全面推进，我国工业数字化、网络化、智能化加快发展，新形势下工控系统信息安全工作的重要性和紧迫性更加凸显.

2 工业控制系统信息安全国家政策

党中央、国务院高度重视信息安全问题.习近平总书记多次就网络安全和信息化工作作出重要指示，强调“安全是发展的前提，发展是安全的保障，安全和发展要同步推进”.《中国制造2025》提出要“加强智能制造工业控制系统网络安全保障能力建设，健全综合保障体系”.《国务院关于深化制造业与互联网融合发展的指导意见》将“提高工业信息系统安全水平”作为主要任务之一，2017年6月1日起实施的《中华人民共和国网络安全法》也要求对包括工控系统在内的“可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”实行重点保护.国务院《关于深化“互联网+先进制造业”发展工业互联网的指导意见》中提出“建立工业互联网安全保障体系、提升安全保障能力”的发展目标，部署“强化安全保障”的主要任务，为工业互联网安全保障工作制定了时间表和路线图.

面对日益严峻的工控系统信息安全形势，自2010年以来，我国政府和相关主管部门相继出台了多项政策法规，为规范工控系统信息安全领域的相关活动提供了政策指导和实施指南.这些政策可以分为总体类、特定技术或行业领域类.

2.1 总体类政策

关于总体类工控系统信息安全政策，是针对整个工控系统信息安全的管理工作、防护方案以及未来的整体规划制定的政策，并不局限于某个特定的技术领域或某个特定的行业.

1)《关于加强工业控制系统信息安全管理的通知》

工信部于2011年9月，发布了《关于加强工业控制系统信息安全管理的通知》(工信部协［2011］451号文件).该文件针对国内各工业企业对工控系统信息安全问题重视不够、管理制度不健全、相关标准规范缺失、技术防护措施不到位，安全防护能力和应急处置能力不强等普遍存在的问题，明确提出了重点领域工控系统信息安全管理要求，包括:

①充分认识加强工控系统信息安全管理的重要性和紧迫性;

②明确重点领域工控系统信息安全管理要求;

③建立工控系统安全测评检查和漏洞发布制度;

④进一步加强工控系统信息安全工作的组织领导.

2)《工业控制系统信息安全防护指南》

2016年10月，工信部印发了《工业控制系统信息安全防护指南》，《指南》坚持“安全是发展的前提，发展是安全的保障”，以当前我国工控系统面临的安全问题为出发点，注重防护要求的可执行性，从管理和技术方面、30项具体措施为工业企业做好工控系统安全防护工作提出了具体要求和操作建议.

该项政策发布后，为工控系统应用企业以及从事工控系统规划、设计、建设、运维、评估的企事业单位提供了政策指导.

3)《工业控制系统信息安全行动计划(2018—2020年)》

2017年12月，工信部印发《工业控制系统信息安全行动计划(2018—2020年)》.《行动计划》深入贯彻落实国家安全战略，突出了落实企业主体责任，从提升工业企业工控系统安全防护能力、促进工业信息安全产业发展、加快工控安全保障体系建设出发，进一步明确了部门、地方和企业做什么和怎么做，部署了五大能力提升行动，为下一步开展工控安全工作提供了依据和指导.

《行动计划》实施的主要目标是:到2020年，一是建成工控安全管理工作体系，企业主体责任明确，各级政府部门监督管理职责清楚，工作管理机制基本完善;二是全系统、全行业工控安全意识普遍增强，对工控安全危害认识明显提高，将工控安全作为生产安全的重要组成部分;三是态势感知、安全防护、应急处置能力显著提升，全面加强技术支撑体系建设，建成全国在线监测网络，应急资源库，仿真测试、信息共享、信息通报平台(一网一库三平台);四是促进工业信息安全产业发展，提升产业供给能力，培育一批龙头骨干企业，创建3～5个国家新型工业化产业示范基地(工业信息安全)①http: www.miit.gov.cn newweb n1146290 n4388791 c596116 content.html.

2.2 特定技术或行业领域类政策

针对具体的技术和领域，政府发布了多项具体的指导性文件，为工控系统信息安全相关企业和主管部门提供具体的指导.

1)《工业控制系统信息安全事件应急管理工作指南》

2017年5月，工信部印发《工业控制系统信息安全事件应急管理工作指南》.旨在加强工控系统信息安全事件应急管理，提高工控安全事件应急处置能力，预防和减少工控安全事件造成的损失和危害，保障工业生产正常运行.

《指南》密切结合工控安全事件应急工作的实际，以防范重大工控安全事件为重点，厘清工业和信息化部、地方工业和信息化主管部门、技术支撑队伍和企业的职责，加强工控安全事件应急管理和组织协调，提升工控安全事件应急处置能力.

《指南》要求，建立覆盖工业和信息化部、地方工业和信息化主管部门、工业企业3个不同层次的预案体系，促进工控安全应急管理工作规范化、制度化;通过定期组织开展应急演练，提高应对工控安全事件的技术能力;通过建立国家工控安全应急专家组和地方工控安全应急专家组，支持工控安全应急技术机构、基础平台建设，提升应急处置基础能力.

工控安全事件应急处置是应急工作的重中之重，做好工控安全应急处置对于维护国家安全、社会秩序、经济建设和公众利益都具有举足轻重的意义.

2)《工业控制系统信息安全防护能力评估工作管理办法》

2017年7月，工信部印发《工业控制系统信息安全防护能力评估工作管理办法》.为检验2016年10月发布的《工业控制系统信息安全防护指南》的实践效果，综合评价工业企业工控安全防护能力，工信部根据电力、化工、汽车、有色、石化、烟草等重点行业开展的工控安全预评估工作，组织专家开展专题研讨论证，最终形成在科学性、合理性和可操作性等各方面都成熟可用的《能力评估管理办法》.

管理办法的发布，是以我国两化融合发展时期工控安全保障需求和工控安全防护工作推进为出发点和落脚点，密切结合了工控安全防护能力评估工作实际情况.

办法规范了针对工业企业开展的工控安全防护能力评估活动，加强工控安全防护能力评估机构、人员和工具的管理，明确了工控安全防护能力评估工作的程序.

办法为相关工控安全防护评估工作的各方面单位都提供了相应的政策依据.

3)《电力监控系统安全防护规定》

为了加强电力监控系统的信息安全管理，防范黑客及恶意代码等对电力监控系统的攻击及侵害，保障电力系统的安全稳定运行，根据《电力监管条例》《中华人民共和国计算机信息保护条例》和国家有关规定，结合电力监控系统的实际情况，2014年8月，国家发展改革委颁布《电力监控系统安全防护规定》.

规定提出电力监控系统安全防护工作应当落实国家信息安全等级保护制度，按照国家信息安全等级保护的有关要求，坚持“安全分区、网络专用、横向隔离、纵向认证”的原则，保障电力监控系统的安全.

这一国家和政府层面出台的法规性文件，无疑为保障电力系统的安全运行、促进电力企业在新形势下做好电力监控系统安全防护工作上了一道安全锁.

4)《烟草工业企业生产网与管理网网络互联安全规范》

针对烟草工业企业，行业发布了《YC T 494—2014烟草工业企业生产网与管理网网络互联安全规范》的行业标准［4］，烟草工业企业应在规划设计网络时应考虑生产网、管理网及其他网络互联的安全隔离要求.

5)石油、石化企业

针对石油、石化企业，分别在“十三五”规划中明确了工控系统安全隔离的必要性.比如油田生产现场(井口、站库、管线等)用于生产数据实时采集和远程控制的网络，容易受到来自外部的搭线攻击.有效的安全隔离是确保安全生产的根本.

3 工业控制系统信息安全标准体系研究

通过调研我国信息安全国家标准体系建设现状，分析工控系统安全标准化实际需求，借鉴国际上工控系统信息安全相关标准体系研究的经验，总结出了工控系统信息安全标准体系［5］.

该体系包括安全监管、安全规划、安全建设、安全测评、安全管理、安全产品共6类标准.工业企业可以参考和依照这6类标准，规划建设企业的工控系统信息安全防护体系，加强工控系统信息安全管理，切实提高工控系统的信息安全保障能力.同时，在每类标准的基础上，可按照标准所涉及的主要内容进行细分，标准体系框架如图1所示(注:图1中暗底色表示已经发布的国家标准，亮底色表示在研的国家标准).

3.1 安全监管

为了便于主管部门对我国工业企业的工控系统安全防护的水平和能力进行监管和检查，全国信息安全标准化委员会(简称信安标委，TC260)立项研制以下几项标准:

《网络安全等级保护基本要求》从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理等方面提出具体控制措施的监管要求［6］.

《工业控制系统 信息安全分级规范》分别从工控系统重要性程度、受侵害后潜在影响程度、信息安全威胁等级等定级要素的各个方面，综合评判工控系统的信息安全等级［7］.

《工业控制系统安全检查指南》参照国家和行业主管部门开展信息安全检查的通用做法和形式，给出工控系统检查的目的、范围、方式、流程、内容的选择方法，同时给出了对信息安全工作影响较为关键的检查内容，方便企业开展相关的检查工作.各企业也可以根据自身企业生产控制系统的特点和检查时期的关注点，自行增加相关检查内容，以满足信息安全检查工作的需要.

3.2 安全规划

安全规划类标准主要针对工控系统信息安全实际情况，分别从设计要求、系统要求，对工控系统的信息安全提出安全要求［8］.其中:

设计要求主要通过研究国内外信息安全标准中基本要求分类，探索解决对差异众多的工控系统按等级保护要求提供一致的安全保障能力.在继承原来信息系统等保标准的框架体系的基础上，根据我国的情况对工控系统功能层次模型进行了具体分析细化，并根据不同层次的应用特点，提出了相应的安全保护设计要求.

系统要求主要针对工控系统信息安全领域的使用者(包括资产所有者、系统集成商、产品供应商、服务供应商、合规性管理机构)，参照 IEC 62443相关标准，对规划设计的工控安全防护系统是否能够提供满足资产所有者的安全等级要求的系统能力进行评价.

图1 工控信息安全标准体系框架

3.3 安全建设

安全建设类标准主要为工控系统信息安全实施提出安全指导［9］.

《信息安全技术工业控制系统安全控制应用指南》提供了可用于工控系统的安全控制列表，规范了工控系统的安全控制选择过程，制定工控系统的安全程序，形成具体安全解决方案.

《信息安全技术工业控制系统风险评估实施指南》［10］针对工控系统开展的风险评估工作的具体实施提出指导，充分考虑工控系统的特殊性和不同等级的安全要求，认真梳理本单位工控系统的资产，从环境和人为因素分析工控系统面临的威胁，从技术和管理方面分析工控系统存在的脆弱性，结合现有安全措施，分析工控系统现存风险，平衡效益与成本，制定风险处置计划，采取措施降低工控系统的信息安全风险.

3.4 安全测评

通过研制工控系统相关安全产品测评，以及系统安全能力评估等标准，确保工控系统信息安全控制措施的科学性和有效性.工业生产企业可以依照标准进行风险评估和测评，并根据测评结果及时调整企业信息安全策略和安全防护措施，有助于工业企业提升其工控信息安全整体防护能力［11］.

3.5 安全管理

安全管理类标准，要求在确定工控系统安全管理的具体意图、理解需求期望并明确工控系统体系范围的基础上，将工控系统安全管理活动分布到企业生产运营的各个环节中，并提出了工控系统安全管理基本框架各阶段所需的基本控制措施［12-13］.

3.6 安全产品

工控信息安全产品类标准主要针对工控系统信息安全防护的具体产品和技术提出安全要求，如工控系统终端安全要求、漏洞检测技术要求、网络监测安全技术要求和测试评价方法、网络审计产品安全技术要求等［14］，同时还包括服务提供商、网络通信安全等方面的安全技术要求［15］.

4 总 结

本文通过调研我国信息安全国家标准体系建设现状，分析工控系统安全标准化实际需求，借鉴国际上工控系统信息安全相关标准体系研究的经验，总结出了工控系统信息安全标准体系.体系包括安全监管、安全规划、安全建设、安全测评、安全管理、安全产品共6类标准，分别介绍了其在体系中的地位和作用，并在每类标准的基础上，按照标准所涉及的主要内容进行细分，工业企业可以参考和依照这6类标准，规划建设企业的工控系统信息安全防护体系，加强工控系统信息安全管理，切实提高工控系统的信息安全保障能力.另外，本体系还可为工业企业定期开展工控安全自检等活动提供参考及指导，切实提高企业工控系统信息安全的保障能力.