工业控制系统网络安全技术标准关键控制项研究

许 平 李绪国 杜伟军

1(中国电子科技集团公司第三十研究所 成都 610041)2(民航智慧能源工程技术研究中心 北京 100088)3(上海三零卫士信息安全有限公司 上海 200233)4(中国民航科学技术研究院 北京 100028)

工业控制系统(industrial control system, ICS)网络安全技术标准对于保障系统正常运行发挥着重要作用，既可帮助生产运营单位完善技术防护手段，规范员工操作行为；也有助于供应商及时发现自身产品存在的问题，不断完善产品功能和性能；又有助于政府部门加强ICS网络安全产品准入管理，保障供应链安全.

国内外高度重视ICS网络安全标准化工作，形成了从国际标准、国家标准和行业标准等一系列标准.当前，我国工业互联网快速发展，对ICS网络安全国家标准尤其是网络安全等级保护国家标准的针对性和适用性提出新的需求.本文对ICS网络安全防护技术应用需求和国家标准关键技术指标要求进行研究分析，为相关标准的制定和修订工作提供参考.

1 当前ICS网络安全标准技术指标分析

1.1 国内外主要标准技术指标对比分析

国际电工委员会(IEC)、电气和电子工程师协会(IEEE)和国际自动化协会(ISA)等国际标准化组织一直致力于ICS网络安全技术标准建设，其中最具适用性的国际标准有IEC62443《工业过程测量、控制和自动化 网络与系统信息安全》和SP 800-82《工业控制系统(ICS)安全指南》.全国信息安全标准化技术委员会(SAC/TC260)、全国工业过程测量与控制标准化技术委员会(SAC/TCl24)、全国电力系统管理及其信息交换标准化技术委员会(SAC/TC82)和全国电力监管标准化技术委员会(SAC/TC296)等国内标准化技术委员会结合国内实际需求，积极推广上述国际标准，例如 IEC 62443-2-1 于2016 年被等同采纳为《建立工业自动化和控制系统安全程序》(GB/T 33007—2016)，《工业控制系统安全控制应用指南》(GB/T32919—2016)基本采纳了NIST SP 800-82中的主要技术指标.

《中华人民共和国网络安全法》明确要求“国家实行网络安全等级保护制度，建立和完善网络安全标准体系”，《网络安全等级保护基本要求》(GB/T 22239—2019)和《网络安全等级保护安全设计技术要求》(GB/T 25070—2019)作为落实法律规定的核心标准，提出了适用于所有信息系统的通用技术指标要求，也提出了适用于ICS的扩展技术指标要求.本文分别就IEC62443和SP 800-82与上述标准中适用于ICS的技术指标进行对比分析.

1.1.1 IEC 62443标准与网络安全等级保护标准

1)体系架构.

IEC 62443 标准包含4部分：第1部分为总体要求，建立了定量系统信息安全符合性度量体系所必要的要求，提供系统目标、系统设计和最终达到的信息安全保障等级；第2部分为策略和规程，提出了建立网络信息安全管理系统所要求的元素、工作流程和实现指南，规定了系统信息安全程序运行方法和有效性度量体系；第3部分为系统级措施，提供了对不同网络安全产品的评估、缓解措施以及系统调节和监控技术，提出了系统的区域和通道网络安全保障等级要求和验证方式以及不同信息安全分区的基本防护措施和增强防护措施；第4部分为组件级措施，规定了嵌入式设备、主机设备、网络设备等安全产品开发时的网络安全技术要求.该标准从ICS自身安全需求延伸到网络安全层面，涵盖资产所有者、系统集成商、组件供应商等相关方，提出了全方位的网络安全技术要求.

我国网络安全等级保护国家标准提出了“一个中心、三重防御”的技术架构，即安全管理中心、安全通信网络、安全区域边界和安全计算环境，包含通用安全要求和ICS安全扩展要求.在指标体系架构上，参照IEC62443提出的层级结构模型，把ICS从底层往上划分为现场设备层、现场控制层和过程监控层，并基于不同层级信息交互，设立了边界安全隔离、访问策略控制、数据安全传输和存储以及监测审计等技术指标，保障系统运行安全和数据安全.

2)技术指标.

下面以IEC 62443-3-3标准“系统技术和组件技术”与GB/T 22239—2019标准的技术指标为例说明[1].IEC 62443-3-3 规定了标志和鉴别控制等7项基本要求，每项要求包含1项基线要求及若干增强要求；GB/T 22239—2019 标准由安全通信网络等4项指标构成，每项指标包含通用安全要求和ICS安全扩展要求.

在此对IEC 62443-3-3的基本要求和GB/T 22239—2019标准中的技术控制点及其数量进行对比，如表1和图1所示：

表1 IEC 62443-3-3基本要求与GB/T 22239—2019技术指标对比

图1 IEC 62443-3-3基本要求与GB/T 22239—2019技术指标控制点对比

可以看出：IEC 62443-3-3标准基于ICS高可用性需求，设置防止未经授权访问、受限数据流、事件实时响应以及资源可用性等指标，侧重于保障系统可靠运行，且技术要求随信息安全保障等级(SAL)逐级递增.GB/T 22239—2019在安全计算环境指标中也设置了保障系统可用性的指标，并按照安全等级(SL)逐级递增，但注重通过边界隔离防护、网络监测审计、入侵防范、集中安全管理等网络通信约束类指标提高系统安全防护能力.在保障系统高可用性方面，前者比后者指标更具体，对系统响应时间的影响更小，更能保证系统的可靠运行；在网络安全综合防御技术体系方面，后者指标更加完善.

注重系统的可用性是IEC62443标准的显著特点，例如：

在安全计算环境方面，二者都提出了用户身份鉴别指标及设备与软件的口令策略、双因子认证等要求.前者对设备、进程和人员的标志和身份鉴别都提出了具体要求，如控制系统提供初始化鉴别器，鉴别器安装完成后立即改变其默认值，改变或刷新所有鉴别器，存储或者传输时保护鉴别器免受未经授权的泄露和修改，控制系统提供鉴别过程中隐藏鉴别信息反馈的能力.后者只要求对登录系统的用户身份进行标识和鉴别.

在网络边界防护方面，前者强调系统自我保护能力.如“孤岛模式、失效关闭”指标提出：系统一旦遭受攻击，不但阻断网络边界的通信，而且还切断一切与其通信的路径和传输数据，做到自身与外界无任何数据交互，形成信息孤岛，确保系统自身安全稳定运行.后者围绕网络分区分域、边界隔离防护、入侵监测与防范、设备应用程序可信验证等设置网络通信约束性指标，以传统信息系统适用性指标体系为基础，适当补充了ICS特殊适用性指标控制项.

1.1.2 SP 800-82标准与网络安全等级保护标准

SP 800-82标准基于ICS的脆弱性和面临的威胁，围绕系统软硬件及固件的实施和执行，提出了标识与鉴别、访问控制、审计与核查、系统和通信保护、配置管理、系统与信息完整性、介质保护、事件应急响应、安全与隐私保护9项技术指标.每项指标提出详细的安全控制技术措施集合，内容包括结构化构件、措施编排方法和措施基线选择过程，用户可在满足自身防护需求的前提下对措施进行裁剪或补充[2].

SP 800-82的技术指标分为152个控制点，GB/T 22239—2019分为4类、28个控制点，重点从边界、网络、主机和应用等方面进行分类[3].对比来看，SP 800-82的控制点更加全面和详细，更加注重系统遭受攻击时持续提供服务、系统恢复和降低损害等能力.

1.2 国内主要行业标准技术指标特点

国内电力行业ICS网络安全防护工作起步早、最具代表性[4].行业管理部门发布实施了《电力二次系统安全防护规定》《电力监控系统安全防护规定》等规范性文件以及《电力监控系统网络安全防护导则》(GB/T 36572)等系列标准，提出了“安全分区、网络专用、横向隔离、纵向认证”的基本防护策略，重点从基础设施安全、体系结构安全、系统本体安全、安全可信免疫等方面明确具体技术要求.主要特点为：

1)分区分域和安全隔离.

网络分为生产控制大区和管理信息大区，其中：生产控制大区根据业务重要性和响应级别分为控制区和非控制区；生产控制大区与管理信息大区之间部署经国家指定部门检测认证的专用横向隔离装置，隔离强度达到物理隔离；生产控制大区与外部公用数据网采用虚拟专用网络(VPN)等通信时，设立安全接入区，并采用具有访问控制功能的设备、防火墙或者相当功能的逻辑隔离设施.

2)专用通信和加密认证.

控制区采用电力调度数据网或专用信道纵向通信；非控制区采用电力调度数据网纵向通信；管理信息大区采用电力企业数据网或外部互联网纵向通信；生产控制大区SCADA/AGC、电力市场交易等重要业务采用行业专用纵向加密认证装置远程通信.

3)主机和服务器防护.

生产控制大区统一部署恶意代码防护系统，离线更新病毒库、木马库以及IDS 规则库，禁止生产控制大区与管理信息大区共用一套恶意代码防护系统.拨号访问服务器和用户端使用经国家指定部门认证的安全加固操作系统，并采取加密、认证和访问控制等措施.

4)自主安全可控.

采用行业专用的电力调度数字证书系统，实现行业密码基础设施一体化管理，为电力监控系统以及电力调度数据网上的关键应用、用户和设备提供数字证书服务，实现高强度的身份认证、安全的数据传输以及可靠的行为审计.生产控制大区采用国产硬件防火墙，其功能、性能、电磁兼容性须经过国家相关部门的认证和测试.

此外，烟草行业发布实施《烟草工业企业生产网与管理网网络互联安全规范》，把生产企业网络分为生产网和管理网，两网之间通过专用互联接口通信，具备身份鉴别、访问控制、网络互联控制、恶意行为防范、安全审计以及支撑操作系统安全等功能.石化行业发布实施《石油化工工厂信息系统设计规范》，要求网络间严格进行安全隔离.

1.3 分析小结

1)国内ICS网络安全技术标准大多借鉴IEC62443和SP 800-82系列标准技术指标要求.结合国内需求，网络安全等级保护标准提出了“一个中心、三重防御”的技术指标体系，在网络边界隔离、网络通信、系统应用、数据保护、集中管理等方面提出针对性指标要求.

2)IEC62443和SP 800-82标准作为ICS专用安全防护标准，注重从保护ICS的高可用性设计指标，从系统自身安全需求延伸到外围网络安全层面，尽量减小对系统响应时间的影响；国内相关标准注重通过边界隔离、网络监测、入侵防范、集中安全管理等网络通信约束性指标，提高网络安全加固能力.

3)GB/T 22239—2019以传统信息系统适用性指标体系为基础，适当补充了ICS特殊适用性指标控制项，难以充分体现ICS针对性网络安全技术需求.

4)IEC 62443标准技术指标涵盖资产所有者、系统集成商、组件供应商等利益相关方，国内标准侧重于针对资产所有者提出技术指标要求.

5)国内电力等重要行业结合行业需求提出了ICS专用网络边界隔离、专用通信和加密认证、恶意代码防范、自主安全可控等特色指标，重点保护核心生产控制业务的安全，防护强度高于国际标准和国家标准.

2 ICS网络安全防护技术应用需求分析

2.1 工业互联网对ICS网络安全带来的挑战

2.1.1 系统泛在互联，缺乏有效的隔离防护手段

1)生产管理系统实时采集ICS数据，并与经营管理系统、互联网互联，ICS与管理网、互联网处于同一网络平面，工业病毒极易通过互联网进入ICS，远程操作行为带来的入侵很容易对ICS造成危害.目前以分区隔离为主要模式的网络安全技术弱化了连接安全性，使ICS在面对针对性网络攻击时愈发脆弱.

2)ICS系统大都集成化部署，子系统间缺乏有效隔离和认证手段，存在可被入侵者利用的漏洞，一旦某个子系统感染病毒或受到攻击，会迅速扩散到其他子系统.

3)上位机和下位机之间缺乏可靠的隔离防护措施，彼此间的通信缺少必要的身份鉴别和访问控制机制，一般采用明文传输数据，大大降低了通过上位机对下位机攻击的门槛.

4)具有数据采集分析、计算处理和远程控制功能的智能化设备多使用嵌入式通用操作系统，一定程度上降低了入侵难度，若遭受恶意攻击，会变成“跳板”并大规模主动扩散.

2.1.2 系统“带病运行”，缺乏针对性的防护手段

1)核心控制设备长期不间断运行，难以深度安全检测，设备运行程序缺乏有效的实时备份和恢复手段，缺乏违规操作和越权访问行为审计能力，设备漏洞修复依赖供应商且难以被修复，极易导致设备配置和梯形逻辑被篡改、被写入或删除内存模块上的数据等.

2)工作站普遍采用Windows操作系统，存在可远程执行代码、未授权访问等高危漏洞，漏洞补丁更新严重滞后且缺乏可靠的防病毒措施，攻击者可利用上述漏洞篡改系统配置参数或控制指令，可直接导致系统服务瘫痪并停产.

2.1.3 系统国产化率低，难以做到自主安全可控

核心控制设备、上位机操作系统、工业软件等大多采用国外厂商产品，难以彻底排查后门等“暗功能”，容易形成隐蔽的攻击通道.系统运维服务严重依赖供应商，对其行为缺乏违规操作、越权行为审计能力，生产和工艺配方信息存在泄露风险，系统难以做到“安全可靠、安全可信”.

2.1.4 缺乏网络安全精准监控手段，无法做到事件协同处置

我国工业互联网缺乏全网感知体系和终端监测手段，监测审计和事件感知能力不足，无法准确预警、有效防御并追踪溯源高级可持续性威胁等有组织的攻击行为.

目前国内建设的ICS网络安全态势感知平台难以及时更新现场监测设备安全行为基线和威胁库，事件误报、漏报问题突出，难以精准定位事件，以及集中下发安全策略，不具备事件协同处置能力.

2.2 国内ICS网络安全防护技术应用需求

1)以保证ICS高可用性为前提，从网络、主机、控制设备、数据等方面采用针对性的防护技术，切实提升高级可持续性威胁等重大网络安全风险防御能力.

2)完善ICS边界以及工业互联网移动互联、无线接入等边界防护技术要求，边界隔离防护措施既不影响系统间信息交互，也能有效降低事件快速蔓延风险.

3)推进国产密码技术在重要ICS中的应用，解决系统与数据的身份认证、访问控制、机密性和完整性问题.

4)推进核心控制设备、工作站、服务器、基础软件、业务软件等软硬件产品国产化，完善内生安全机制，有效避免“后门”攻击威胁.

5)采用新建、改造ICS上线前软件源代码安全性检测和系统安全性测试技术,针对存在的漏洞和“后门”，提出安全可控的防护技术要求.

3 ICS网络安全技术标准关键控制项

基于上述分析，本文从系统本体、通信网络、数据安全、安全监测与应急处置、防护产品安全等方面提出ICS网络安全防护技术指标和关键控制项.如图2所示：

图2 ICS网络安全标技术标准关键控制项

3.1 网络边界安全防护

防护目标：适应工业互联网对系统互联的要求，部署高可靠性的边界隔离设备，既能满足ICS与外部网络、内部子系统间信息交互需求，又能有效抵御系统内外部攻击行为.

关键控制项：

1)ICS与外部网络边界部署安全隔离技术装置，重要ICS采用单向(双单向)隔离并采用无连接通信协议通信，所造成的系统延时≤5 ms[5]，既满足网络间数据双向传输和下发远程控制指令等系统运行和低时延通信要求，也能有效防止外部网络向ICS发动基于工控协议的攻击；

2)重要ICS与外部网络之间设置非军事区(DMZ)，避免网络之间直接交换数据，采取各自独立的鉴别机制和凭证，消除两网之间不受管制的通信；

3)重要ICS根据控制和监测等不同功能划分安全区域，不同区域边界采用具备逻辑隔离功能的设备，对系统内的通信行为进行细粒度的控制，能够识别和阻止已知的网络安全威胁，保证控制类系统可靠运行；

4)重要ICS核心控制器前部署逻辑隔离装置，所造成的系统延时≤100 μs，阻止非法数据包与控制器通信，减轻控制器负荷，保护控制器免受风暴数据包攻击；

5)移动互联、无线接入设备接入ICS前通过认证网关和工控防火墙安全隔离，访问控制主客体力度至少细化到IP地址和端口号、MAC地址及应用协议,对传输数据进行加密.

3.2 工业主机安全防护

防护目标：

有效控制工业主机各类访问行为，避免非授权访问，防止受到非法入侵或造成工业数据泄露，但不因采用安全防护技术措施而影响系统正常运行或对系统的功能安全产生不利影响.

关键控制项：

1)安装主机加固类软件，设置白名单配置策略，仅允许系统执行已知安全程序，实时监控主机进程、服务、网络端口和外接设备状况，及时阻止执行非授权应用或篡改信任应用的行为，阻止开启非法进程或开放非法端口；

2)重要ICS上位机安装组态软件或修改重要参数时，采用 “口令+证书” “口令+生物鉴别”等身份鉴别方式[6]，采用面向ICS的远程安全运维管控平台，实现运维服务行为可控、可审计；

3)统一管理主机外接U盘等移动介质，针对不同身份配置相应可读、可写、可使用等权限，利用文件过滤技术阻止所有可疑文件，并对操作行为进行日志审计，消除移动介质使用时可能出现的BadUSB攻击、LNK攻击等安全威胁；

4)采用在线无损漏洞扫描技术定期对主机进行深度漏洞安全检测，在兼顾主机高可用性的情况下及时更新漏洞补丁.

3.3 数据安全保护

防护目标：

保护传输和存储数据的完整性和保密性，保证ICS内部及与外部网络之间信息的安全传输.

关键控制项：

1)重要系统采用专用数据网络或专用信道通信，通过无线网络传输数据时采用无线信号加密、接入设备认证、无线-有线网络间隔离等控制手段；

2)数据采集时进行识别、解析和清洗，数据存储时判别数据敏感等级并实施一定程度的加密，数据传输时进行签名和验证，实现对数据流向的动态管控；

3)采用数据标识身份认证技术，保证标识身份的真实性，通过标识数据加密防止数据传输时被泄露，借助标识行为授权机制防范异常解析或篡改行为；

4)系统采用统一的安全协议底层架构，工业网络协议具备保密和认证机制，能够抵御互联网中常见的重放攻击、篡改攻击、中间人攻击、拒绝服务攻击、修改控制系统程序软件等恶意攻击行为.

3.4 恶意代码防范

防护目标：

在不干扰ICS正常功能的前提下，统一部署安全可靠的恶意代码防护系统，有效阻止有害入侵在系统内的传播蔓延.

关键控制项：

1)统一部署恶意代码防护系统，病毒库、木马库以及IDS 规则库离线更新，禁止与管理信息系统共用一套防恶意代码管理服务器；

2)在ICS与外部网络边界、内部子系统连接处、上位机和下位机之间等重要部位部署恰当的防病毒和恶意代码策略，有效阻止来自系统内外部的病毒和恶意代码穿透性地扩散至整个系统；

3)工程师站、操作员站及时安装经过测试的安全补丁，使用反病毒软件和文件完整性检测软件进行安全控制，以消减恶意软件威胁；

4)U盘等移动介质和运维笔记本等接入ICS前首先进行病毒查杀，所有输入数据先存放在文档服务器进行病毒查杀，内部终端从服务器读取数据；

5)重要系统服务器、核心控制设备等关键部件采用冷备机制，防止因感染勒索病毒等恶意软件而导致数据无法恢复.

3.5 防护产品安全

防护目标：

安全防护产品安全可靠、管控策略有效，避免因产品自身缺陷对ICS正常功能产生影响.

关键控制项：

1)串接类产品部署不影响系统的响应时间等性能要求，比如在系统上位机和下位机之间部署的安全隔离设备须满足最低通信延时要求；

2)产品不应设置锁定用于基本功能的账户等系统所必须支持的功能，不应对系统功能的可靠性和功能安全产生影响；

3)产品不应因自身安全措施失效导致系统的基本功能中断；

4)产品应具备对存储在其上的敏感数据进行安全保护的功能，不存在未授权泄露身份认证信息、配置信息等风险；

5)产品不应存在已公布的漏洞，预装软件、补丁包/升级包不应存在恶意程序，不应存在未声明的功能和访问接口(含远程调试接口).

3.6 自主安全可控

防护目标：

ICS采用国产化软硬件产品并建立内生安全机制，有效防御未知漏洞和后门攻击.

关键控制项：

1)采用嵌入式安全可信上位机，具有安全模块及可信验证等机制，具备身份加密认证、数据加密传输等功能，能有效防御未知漏洞和后门攻击；

2)采用具有国产化芯片和操作系统的核心控制设备，控制指令执行时间≤0.08 μs[5]，具有嵌入式安全模组等内生安全机制，具备身份加密认证、数据加密传输等功能，能有效防御未知漏洞和后门攻击[7].

3.7 安全监测与应急处置

防护目标：

对ICS部署授权、认证和监听等安全功能，从资产、漏洞、威胁、攻击等多个方面监测网络安全态势，实时分析安全风险并及时预警，集中下发安全策略并协同处置安全事件.

关键控制项：

1)智能化设备采用自身硬件安全保护机制，具备网络安全感知、监测预警和应急处置功能，保证网络通信和数据安全；

2)监测审计设备具备安全行为基线和威胁告警规则自学习能力，能够智能识别网络异常和入侵行为，具备高级可持续性威胁检测和发现能力，能及时、准确预警木马病毒或主机受控等攻击事件；

3)企业级ICS网络安全态势感知与集中管控平台具备设备漏洞库、威胁情报库、应急响应工具库等安全知识库，能够全天候动态监测、关联分析和综合感知威胁并发布预警，能够集中下发安全处置策略并快速协同应急处置，防止黑客利用漏洞进行更广泛的攻击；

4)重要系统服务器、交换机应支持设备整机主备切换功能或关键部件应支持冗余功能，在设备或关键部件运行状态异常时能自动切换到冗余设备或冗余部件以降低安全风险.

4 有关建议

建议管理部门应组织加强工业互联网环境下ICS网络安全防护关键技术指标研究，尽快制定针对性技术标准，保障重要行业领域ICS安全可靠运行.

1)组织国内各相关标准化专业机构和技术委员会等建立联席会议机制，复审已发布的ICS网络安全国家标准，针对工业互联网对ICS网络安全防护的特殊需求，研究制定《工业控制系统网络安全防护关键技术要求》强制性国家标准，确保落地实施.

2)指导性国家标准《信息安全技术重要工业控制系统网络安全防护导则》(GB/Z 41288—2022)于2022年3月9日发布，该标准从安全防护技术、应急备用措施和安全管理等方面提出了重要ICS网络安全防护体系，建议尽快按照推荐性国家标准发布.

3)建立ICS网络安全技术标准符合性测试认证制度，定期对标准技术指标要求的有效性、适用性开展测试评估，积极吸纳成熟的安全防护新技术，不断完善技术指标要求.

4)在后续标准制定中，充分借鉴IEC 62443和SP 800-82等相关国际标准先进思路，积极引导ICS功能安全和信息安全技术的融合，不断提升ICS自主安全可控能力.