重要工业控制系统网络安全防护体系

辛耀中

《关键信息基础设施安全保护条例》(以下简称《条例》)已由国务院发布，自2021年9月1日起施行.本文结合2022年1月发布的国标GB/Z 41288—2022《信息安全技术 重要工业控制系统网络安全防护导则》，谈以下几点认识.

1 清醒认识全球网络安全威胁

近年来，全球网络安全事件频发.2015年12月23日黑客通过网络攻击进入乌克兰几个地区电网控制系统(SCADA)，直接控停了7个110 kV变电站和23个35 kV变电站，导致大规模停电；2016年10月21日，美国大量物联网视频设备DDoS攻击域名服务(DNS)，导致大半个美国互联网瘫痪；2017年5月12日勒索病毒袭击全球上百个国家，许多工控系统遭到攻击；2019年3月8日委内瑞拉大范围停电持续多日，委内瑞拉当即指责美国进行网络攻击，是首个通过攻击电网来颠覆国家的典型案例；2019年6月底美国军方宣称通过网络攻击了伊朗军事设施；2019年7月美国指责伊朗攻击纽约电网，导致曼哈顿地区停电；2021年5月美国输油管道遭勒索病毒攻击,进入紧急状态；2022年2月开始的俄罗斯-乌克兰冲突中，双方的政府网站、军事设施和基础设施等都遭受了对方阵营的网络攻击.

网络安全隐患已从软件向硬件发展.近年公开报道的攻击能源控制系统的TRITON, Stuxnet, Blackenergy以及勒索病毒等，都是针对Windows操作系统的.然而，2017年5月，Google发现Intel的CPU内藏有Minix操作系统，很快Google的张量处理器TPU也被发现存在安全漏洞，后来发现几乎所有处理器都存在“熔断”“幽灵”“僵尸负荷”等安全隐患，凡是支持指令分支预测和乱序执行的处理器都存在类似问题.

我国工业控制系统网络安全形势也不容乐观.20年前我国就发生过类似乌克兰电网遭受的网络攻击，2000年10月13日四川二滩电站收到外网的异常指令信号，6台机组全停，导致当时独立的四川电网大面积停电，电网几乎瓦解.“二滩事件”引起我国相关主管部门高度重视，立即组织研究电力监控系统网络安全防护措施并不断发展完善.2002年原国家经贸委发布第30号令《电网和电厂计算机监控系统及调度数据网络安全防护规定》；2005年原国家电监会发布第5号令《电力二次系统安全防护规定》；2007年公安部联合4部委出台《信息安全等级保护管理办法》；2014年国家发展改革委发布第14号令《电力监控系统安全防护规定》；2016年工信部发布338号文《工业控制系统信息安全防护指南》；2017年全国人大颁布《中华人民共和国网络安全法》；2021年8月国务院发布《关键信息基础设施安全保护条例》.

在国家相关政策法规的指导下，电力行业用20年时间，逐步建立了比较完善的电力监控系统网络安全防护体系.根据国家电网外网边界的监测统计，每天遭受的各类恶意网络攻击从2008年北京奥运期间的平均每天598次增加到现在的平均每天上万次(平均1次/8 s)，这些网络攻击都已被安全防护体系有效阻断，成功保障了电网安全和国家安全.事实上，没有硝烟的全球网络战正在进行之中，电网已是前沿阵地，其他关键基础设施也是网络攻击的重要目标，切不可麻痹大意、掉以轻心！

2 建立行业领域工业控制系统网络安全防护体系

工业控制系统要求具备高可靠性、强实时性、高安全性、强连续性.工业控制系统网络安全防护原则为：以内生安全为主、以边界安全为辅、既要防外也需防内、技术应急管理并重、形成体系并不断发展.

1)建立行业领域安全防护体系.国标《重要工业控制系统网络安全防护导则》旨在指导重要行业领域的工业控制系统尽快建立自身的网络安全防护体系，防护体系呈4维时空立体结构，其中，X轴为安全防护技术(T)、Y轴为应急备用措施(E)、Z轴为全面安全管理(M)、T轴为不断发展的时间坐标(t)，称为TEMt防护体系.安全防护技术维度(T)主要包括基础安全、结构安全、本体安全、安全免疫等.应急备用措施维度(E)主要包括冗余备用、应急响应、多道防线等.安全管理维度(M)主要包括全体人员安全管理、全部设备安全管理、全生命周期安全管理、融入安全生产管理体系.时间维度(t)主要表示该体系将随时间而不断发展完善.如图1所示：

图1 重要工业控制系统网络安全防护体系(TEMt)

2)分区分级保护重点.体系结构安全是工业控制系统网络安全防护体系的基础框架，也是所有其他安全防护措施的重要基础.结构安全应采用“安全分区、网络专用、横向隔离、纵向认证”的基本防护策略.根据本行业领域的业务特性和模块重要程度，按照国家等保2.0的要求准确合理地划分安全等级和安全分区，重点保护核心生产控制业务的安全.安全等级较高的生产控制系统应以安全为主，方便性服从于安全性；安全等级较低的管理信息系统和外网服务系统，应考虑业务应用的方便性，具备适当的安全强度即可.整个工业控制系统应形成栅格状结构，防止任何局部故障或单点故障影响整个系统.

3)专用网络多道防线.工业控制系统应采用专用的局域网络(LAN)和广域网络(WAN)，与外部因特网和企业管理信息网络之间实行物理层面的安全隔离.在与本级其他业务系统相连的横向边界，以及上下级工业控制系统相连的纵向边界，均应部署高强度的网络安全防护设施，并对数据通信的7层协议采用相应安全措施，形成立体多道安全防线.如图2所示.

图2 工控安全体系中的结构安全

4)逐步实现本体安全.工业控制系统本体安全或内生安全包括5个层面：一是工业控制系统软件没有恶意隐患；二是操作系统没有恶意后门；三是整机主板上没有恶意芯片；四是处理器芯片内没有恶意指令；五是工业控制系统具备可信安全免疫能力.任一层面的安全加强，都是对本体安全的重要贡献，不必追求所有层面的安全防护措施同时实施.新开发的工业控制系统应尽可能一步实现内生安全，但对于老的在运控制系统，只能先强化边界安全并加强安全管理，待控制系统技改大修或升级换代时再实现内生安全.如图3所示.

图3 防护技术、备用措施和安全管理

我国电力行业用30年时间解决了电网控制系统的内生安全问题，前10年全面引进，中间10年自主研发，近10年逐步超越.2009年研制成功“智能电网调度控制系统(D5000)”，将安全防护技术融入控制模块和相关环节，切实实现了内生安全.D5000系统已在国家电网广泛应用，形成了约10万节点的电网调度控制专用云和数亿实时测点的电网控制专用物联网.

5)应急备用安全底线.从安全生产的角度看，世上没有百分之百的安全，任何节点或设备都有可能被攻破，所以重要工业控制系统的各个环节和各个模块均应具备必要的应急备用措施.工控的实时数据采集、网络传输、控制决策、命令执行、控制中心等环节都应根据业务需要设置冗余备用机制，冗余机制也是拟态防御的重要组成部分.

6)三分技术七分管理.虽然安全防护技术非常重要，但只要涉及人员和设备，管理就是必不可少的.应将安全防护技术融入工业控制系统的采集、传输、控制等各个环节和各业务模块，融入工业控制系统的设计研发、安装调试、运行维护、退役销毁等过程中；应将网络安全管理融入企业安全生产管理体系，对全体人员(包括内部人员和外部调试或测试人员)、全部设备(包括安全设备和生产设备等)、全生命周期进行全方位的安全管理.

7)不断完善防护体系.建立行业领域的网络安全防护体系需要较长周期，而IT技术和控制技术都在不断发展，同时网络攻击技术也在不断发展，所以安全防护技术也必须不断发展，安全防护体系也必须不断完善，而且永无止境.我国电力监控系统网络安全防护体系于2008年初步建成，之后不断发展完善，已经覆盖了各级电网调度控制中心、各类变电站和发电厂，并经受了多年的实战检验验证，相关成果形成了国家标准GB/T 36572—2018《电力监控系统安全防护导则》.在此基础上进行泛化和弱化，形成了新的国家标准GB/Z 41288—2022《信息安全技术 重要工业控制系统网络安全防护导则》，以指导其他工控领域在通用的等级保护2.0的基础之上，建立符合自身业务特性的网络安全防护体系.如图4所示：

图4 建立各行业领域的网络安全防护体系

8)行业差异与体系共性.由于不同行业领域的控制业务性质差异很大：能源电力和公用事业领域多以固定业务为主(输配电网、油气管网、自来水网、燃气网络、城市热网、变电站、发电厂、炼油厂等)，既有局部过程控制又有全局系统控制；交通运输行业则以移动业务为主(火车、轨道交通、汽车、飞机、轮船等)，以局部单元的自主控制为主，以全局协调指挥为辅；智能生产制造行业(化工厂、冶炼厂、机械厂、食品厂等)则以局部就地控制为主.业务性质的不同必然导致安全防护措施的不同，然而总体安全防护体系(TEMt)却是相同的，安全防护的总体原则是相同的，可将多层次的单项网络安全防护措施组合形成相互支撑的防护体系，从而以最小的代价，达到较高的安全强度.

3 密切关注新技术的安全风险

近些年IT新概念层出不穷，新技术也不断发展，其中一些直接影响工业控制系统的网络安全，下面稍作分析.

1)工业控制与云计算.云计算的本质是硬件集群化、软件服务化、业务集中化.新一代重要工业控制系统也多基于集群服务器和面向服务技术，但控制系统主要采用分布处理技术.由于控制业务多是连续独占处理器运行，需要将多个小服务器虚拟化成集群服务器(小虚大)，从而提高系统的总体处理能力和可靠性，工控不需要“大虚小”式的虚拟化，这是工控的本质特性决定的.在网络安全威胁向硬件实体发展的形势下，虚拟化和云计算已成为网络安全的重灾区.等保2.0中描述了云计算，国标《重要工业控制系统网络安全防护导则》明确指出：工控系统可以采用控制专用云技术，但必须与社会公有云及企业管理云实施安全隔离.

2)工业控制与物联网.物联网的本质是将传感器联接到网络上.“万物互联”是国际网络巨头的宣传口号，却是工业控制系统的大忌！试想不同行业领域、不同工厂车间的生产控制系统为什么要互联到一起？是工业控制业务本身的需要还是主动为全世界的黑客们提供进门的钥匙？工控系统应该根据业务需要，该联则联，没有业务需要的坚决不联.国标《重要工业控制系统网络安全防护导则》明确指出：工控系统可以采用控制专用物联网技术，但必须与社会公有物联网及企业管理物联网实施安全隔离.

3)工业控制与大数据.由于工业过程控制涉及秒级、毫秒级甚至微秒级的大量实时测点的数据采集与处理，所以许多人认为“工业大数据”十分庞大.事实上工控系统采用分布就近处理方式之后，已经将“大数据”分解为“小数据”.工业数据一般基于明确的业务模型，物理意义和逻辑关系都很清楚，没有模型的离散数据往往导致垃圾数据.无模型的通用大数据处理技术在工控领域不太适用.

4)工业控制与无线通信.无线通信技术主要为移动目标服务，重点解决“最后几百(或几十)米”问题，其核心网还是光纤通信网络.工业控制系统大多属于固定通信业务范畴(交通运输行业除外)，工厂车间都是固定不动的，通信范围主要在厂区和车间内部，其金属反射、电磁干扰、粉尘环境等都很复杂，对无线通信影响很大，所以多以光纤通信为主、以无线通信为辅的组合方式，也称为“光纤+无线”方式,可根据工控业务特性选择适合自身的通信方式，避免一刀切.

5)工业控制与人工智能.当前人工智能技术尚处于特定领域、特定技术、“四肢五官”等专用智能阶段，距离抽象思维、知识处理、大脑机理等基础性的通用智能阶段还有较长的路要走.基于神经网络的深度学习技术有2个分支：一是无模型的；二是有模型的.重要工业控制系统均是基于业务模型的，而且经过长期的实践验证，模型和其中的每个参数都有明确的物理意义.因此，将人工智能用于工业控制领域时，特别是用于涉及国家命脉和人身安全的实时闭环控制系统时，应该优先选用基于模型的技术路线，先行验证，稳步实施.

6)工业控制与工业互联网.工业互联网意指将互联网技术应用于工业领域.其字面意义容易被误解为要将各行各业的工业控制系统都联起来，若联到某专用网络上，跨行业领域的控制业务互联，不存在内在业务需求，且成本很高；若联到公共互联网上，则又破坏了各行业领域工控专网的安全隔离.折中的结果可能是保持行业领域的工控专网特性不变，将需要统筹管理的必要信息加密传到公共互联网上，实为工业内联网(industrial Intranet).

7)工业控制与零信任.“零信任”架构是在物理边界安全防护的基础上，增加一层基于身份认证的逻辑安全边界，把访问控制从粗粒度的网络边界层面，扩展到细粒度的所有主体、客体和业务层面，对所有的人、设备、访问请求等进行身份验证和权限管控，实现内外兼防.有人误以为“零信任”可以实现内部外部一视同仁，甚至内网外网合二为一，这是误解，自拆边界等于自毁长城！

8)工业控制与可信计算.可信计算技术通过系统启动时的静态安全度量和运行过程中的动态安全度量，仅度量合格的程序才被允许调入内存执行，因此能够有效免疫已知和未知恶意代码.重要工业控制系统不允许现场修改程序代码，任何控制程序的修改必须经过专业检测和真型动态模拟测试.正是因为工控的本质特性，能很好地适应可信计算的技术特点，可有效提高工控系统对已知和未知恶意代码安全免疫能力.可信安全免疫技术已在电网调度控制和广播电视等领域广泛应用.

9)工业控制与操作系统.操作系统是计算机之“魂”，正面临微内核、服务化等重大技术转型，原有通用的宏内核操作系统难以满足高端工控需求.目前实时性和可靠性要求很高的重要工控系统基本不用操作系统，由用户程序直接驱动硬件设施，但开发移植成本很高，总体可靠性较低.工控系统急需高可靠、硬实时、强安全、标准化的微内核操作系统.

10)工业控制与处理器架构.CPU芯片是计算机之“心”，正面临结构调整、开放指令、众核异构等重大技术转型，原有通用处理器架构难以满足高端工控需求.目前实时性和可靠性要求很高的重要工控系统不得不直接采用多个处理器堆砌方式，用户程序直接驱动硬件，开发移植成本非常高，实时性和可靠性较低.工控系统急需高可靠、硬实时、强安全、开放指令的处理器架构.

4 切实保障国家关键基础设施安全

所有新技术和网络安全防护措施的应用，都应该使得本行业领域的工业控制系统更安全可靠、更经济高效、更绿色环保、更实用友好.否则，无异于自我攻击.

《条例》要求重点保护关键信息基础设施安全.重要工控系统都属于国家关键基础设施，也属于国家关键信息基础设施，如果重要工业控制系统受到网络攻击破坏，可能导致重大安全事故、人身伤亡事故或重大设备事故，直接影响国家安全和社会稳定，需要按《条例》要求重点保护.

保护工业控制系统安全首先要保护控制功能安全，其次才是网络信息安全，网络信息安全要服务于控制功能安全；若控制系统失去可靠性、实时性和连续性，相当于受到自我攻击.虽然重要工业控制系统属于关键信息基础设施，但保护工业控制系统安全的根本目的是保护工业系统安全，而不是控制系统或信息系统的自身安全，将控制系统或信息系统停机断网是保障其自身安全的最好措施，但工控系统绝不可能为了免遭网络攻击而停止工业系统的运行.重要工业控制系统的安全直接影响生产过程安全，关乎国家安全和社会稳定，应全面加强网络安全风险管控，保障工业控制系统安全，保障工业控制系统安全稳定经济运行.