基于等级保护2.0工业控制系统网络安全防护体系研究

基于等级保护2.0工业控制系统网络安全

防护体系研究

◆ 李 涛

摘要：随着《信息安全技术 网络安全等级保护基本要求》发布，等级保护要求上升到新的高度，工业控制系统作为关键信息基础设施也被纳入了新的等级保护范畴。论文通过对工业控制系统网络安全现状分析后，设计了一种基于等级保护2.0标准的工控控制系统网络安全防护体系，该体系主要依据《信息安全技术 网络安全等级保护基本要求》的通用要求和工业控制系统的扩展要求，同时结合了P2DR和IATF安全模型，分别设计了安全管理体系和安全技术体系以及安全运维体系等三大体系，为工业控制系统稳定、可靠运行提供了保障。

关键词：等级保护2.0标准；工业控制系统；网络安全；防护体系；漏洞

一、前言

随着2019年5月13号正式发布《信息安全技术 网络安全等级保护基本要求》《信息安全技术 网络安全等级保护设计要求》《信息安全技术 网络安全等级保护测评要求》等3项标准（以下简称等保2.0），新的等保要求也进入到新的高度。同时，工业控制系统作为关键信息基础设施也被纳入等保范围之内，分为通用要求和工业控制系统扩展要求[1-2]。

本文主要围绕《信息安全技术 网络安全等级保护基本要求》标准，结合当前工业控制系统的网络安全现状，进行基于等保2.0的工业控制系统网络安全防护体系研究。

5.工业主机存在大量安全问题。工业场景中使用的操作员站、工程师站以及工业数据库主机大部分为Windows的操作系统，如Windows XP、Windows7、Windows Server2003、2008等操作系统，这些操作系统微软已经不再提供相应的服务。还有这些工业主机安装杀毒软件不足，即使安装了杀毒软件，由于兼容性问题、操作系统多样性以及病毒库需要定期更新等问题，导致杀毒软件在工业主机上无法很好的使用，安全问题屡有发生。另一方面，移动存储介质的不规范使用，病毒、木马等恶意软件的攻击，工艺、配方泄密等安全问题不断发生[4]。

6.工业无线网络管控机制不完善。近几年，随着数字化工厂、智慧车间的不断涌现，工业无线被大量使用。由于在生产车间建设无线网络时仅考虑生产业务的可用性，而忽视无线接入的安全性，缺少无线接入安全认证措施。

7.运维机制不到位。由于工业控制系统大部分产品是国外品牌，如PLC（西门子、施耐德、AB、欧姆龙等），DCS（横河电机、霍尼韦尔、艾默生），工业应用软件（IFIX、WINCC、Kepware OPC）等。为了运维的便捷以及成本上的考虑，一般这些产品存在远程运维的接口甚至后门，同时在运维过程中也没有相应的技术手段对操作、内容、行为进行记录与分析，一旦出现安全问题就无法定位追溯。

（二）管理方面

1.人员安全意识薄弱、缺乏安全培训。工业控制系统的运维工作通常由设备管理部门的工程师和生产车间工作人员完成，这些人员平时对生产安全意识较强，注重工业控制系统的可用性，但对工业控制系统网络安全风险关注较少，系统安全意识薄弱，企业的资金预算不足，缺少相应的网络安全培训计划。

还有安全认识上错误，比如与外界隔离最安全；单纯防病毒就可以；网络安全事件不会影响生产安全；安全防护工作可以一次性解决等认识上的错误。

2.工业控制系统网络安全管理制度缺失。大部分企业，对工业控制系统安全管理制度比较缺失。缺少专门管理机构，岗位职责不清晰，专人负责不明确，网络安全组织保障体系建设不到位[5]。

3.工业控制系统网络安全应急预案缺失。大部分企业未制定完善的应急预案，在应急响应与事件处理方面，缺乏定期组

二、工业控制系统网络安全安全现状分析

（一）技术方案

1.工业控制系统存在漏洞。据国家信息安全漏洞共享平台统计，目前工业控制系统的漏洞2000多个，主要体现在控制器、工业协议、工业主机操作系统、工业应用软件等方面，如西门子、施耐德、研华、和利时、亚控等典型工控安全产品厂商。另一方面，高中危漏洞占比95%以上，缓存溢出、拒绝服务等类型漏洞居多，这些漏洞都很容易被威胁利用造成安全事件。

2.工业控制系统安全配置较弱。由于工业控制系统在运行维护过程中，主要考虑其可用性和方便性，未对工业控制系统的安全项进行配置，比如弱口令、开放多余的端口，未删除多余的账号等等，存在一些安全配置上的弱点。这些弱配置项很容易被病毒、木马、黑客甚至敌对势力等利用造成一定损失。

3.工业控制网络边界模糊、无法感知。工业控制系统随着多年的运行与维护，以及与办公网、互联网接入不断接入，再加上安全防护措施不足，使得工业控制系统的网络边界越来越模糊。以及对运行维护过程中，终端违规接入和非法外联行为无法管控，使得工业控制系统网络边界无法感知。

4.工业控制网络中异常流量无法感知[3]。由于工业控制系统中缺少网络流量监测与审计的措施，一些工业控制网络中的病毒、木马等恶意软件，用户违规操作、误操作，以及网络DDOS攻击等无法感知，一旦出现安全事件，无法从流量角度进行深层次的分析、定位、追责。

48

信息系统工程 │ 2019.11.20

SYS SECURITY 系统安全

织演练，缺失工控网络安全事件应急处置流程、事件分析和责任追究制度[6]。

门定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。制定、实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报。

2.安全管理机构与人员。安全管理机构和安全管理人员建设将决定整个安全管理体系的成败。网络安全领导小组应由单位高层领导和有关部门的管理人员组成，负责协调、指导及管理网络安全各个方面的工作。人员安全管理应作为安全管理的重中之重，需要重点考虑人员录用、人员离岗、安全意识教育和培训，以及外部人员管理等。

3.安全建设管理。安全建设管理应贯穿到信息系统整个生命周期，在系统审批、建设、安全定级与备案、安全方案设计、软件开发与实施、验收与测试、系统交付与等级测评，以及服务商选择等过程均需要进行安全管理。

4.安全运维管理。主要对机房环境、资产、介质、漏洞、网络、恶意代码、配置、密码等进行安全运维管理；对变更、备份与恢复、安全事件处置、应急预案、外包运维、安全评估、安全加固、安全培训等服务进行管理。

（二）安全技术体系1.安全通信网络设计

（1）网络架构。关键网络设备和计算设备采用冗余架构，合理划分的安全域，不同域之间进行安全隔离。

（2）通信传输。通信完整性和保密性主要通过加密机进行完成。

三、基于等保2.0工业控制系统网络安全防护体

系设计

整体安全框架设计以《网络安全法》为背景，遵循等保2.0《信息安全技术 网络安全等级保护基本要求》的通用要求和工业控制系统的扩展要求，同时结合了P2DR安全模型和IATF信息保障技术框架理念，分别设计安全管理体系和安全技术体系以及安全运维体系等三大安全体系。

通过构建1个安全管理中心和安全通信网络、区域边界、计算环境的3重防护来打造纵深防护的技术体系。最后通过结合各种技术手段、管理手段、安全策略，提供度、全方位的网络安全防护能力，从而达到能够有效防护、全面检测监控、及时响应的安全防御体系。

整体安全架构体系设计如下：（一）安全管理体系

1.安全管理制度。设立工业网络安全管理工作的职能部门，设立安全主管人、安全管理各个方面的负责人，定义各负责人的职责；成立指导和管理网络安全工作的委员会或领导小组，其最高领导应由单位主管领导委任或授权；制定文件明确安全管理机构各部门和岗位的职责、分工和技能要求；配备安全管理专职人员，不可兼任；加强与供应商、安全企业、安全机构的合作与沟通，获取网络安全的最新发展动态。由安全管理部

网络安全体系安全管理制度安全管理机构岗位设置人员设置授权审批沟通合作审核检查安全管理人员人员录用人员离岗教育培训外访管理安全建设管理定级备案采购使用软件开发工程实施测试验收安全方案设计外包软件开发系统支付等保测评供应商选择安全运维管理环境、资产、介质管理设备维护漏洞风险系统安全事件处置恶意代码配置、密码应急预案外包运维管理体系安全策略管理制度制定发布评审修订P2DR安全防护安全检测安全响应安全管理中心安全计算环境身份鉴别入侵防范访问控制恶意代码防范安全审计可信认证数据完整性数据保密性个人信息保护漏洞扫描安全监测审计事件分级SLA指标事件受理处理安全处置流程问题和知识库数据备份恢复剩余信息保护技术体系安全区域边界边界防护访问控制可信认证安全审计入侵防范垃圾邮件防护安全边界监测恶意代码防护恶意入侵监测应急响应管理资产管理配置管理安全通信网络加密认证安全架构可行验证通信传输可信监测安全运维体系变更管理考核管理物理位置选择物理访问控制防静电防水防潮温湿度控制电磁防护安全物理环境机房环境监测巡检物理环境监测文档管理防火电力供应防雷击防盗与防破坏工业控制系统图1整体安全架构体系设计图

信息系统工程 │ 2019.11.20

49

SYS SECURITY 系统安全

（3）可信验证。此项为可选项，可通过国产CPU、操作系统、数据库来完成可信验证。

2.安全区域边界设计

（1）边界防护。通过部署工业防火墙、工业网闸解决不同安全域之间违规访问与逻辑隔离。通过部署网络准入设备，针对终端的违规接入和非法外联进行管控。针对工业无线网络，将无线AP或无线路由器的上联端口进行控制，如接入防火墙端口上，并以工业防火墙为边界，与其他网络区域做逻辑隔离。

（2）访问控制。在工业防火墙中设置访问控制ACL，基于对数据包的源地址、目的地址、工控协议、源端口、目的端口，请求服务进行检查，实现数据的安全传输。

（3）入侵防范。在工业网络中的交换机旁路部署监测审计设备，对网络中的数据流量进行实时解析。同时利用白名单、黑名单规则库，实时监测针对网络攻击、异常操作、非法设备接入以及蠕虫、病毒等恶意软件的入侵并实时报警，同时详实记录一切网络通信行为，包括指令级的协议通信记录。

（4）恶意代码。利用防毒墙内置的工业病毒库，对网络流量中的木马、病毒、恶意代码进行检测，进行告警和阻断。

（5）安全审计。在网络核心部署运维堡垒机，针对运维人员在远程运维设备时，进行操作记录、分析、审计，为事后追溯提供依据。同时，利用监测审计设备白名单自学习机制，对异常通信行为进行审计并告警。

3.安全计算环境

（1）身份鉴别。工业主机、网络设备、安全设备、控制设备、应用系统、数据库等应内置身份鉴别功能或身份鉴别措施。如果不具备，可使用堡垒机进行统一安全登陆认证。

（2）访问控制。在工业主机、网络设备、安全设备、应用系统、数据库等设备或系统，对登录的用户分配账户及相应操作权限。删除或停用多余的、过期的账户，避免共享账户的存在。对管理用户授权，遵循最小权限原则。

（3）安全审计。通过部署数据库审计，基于数据库协议分析与控制技术，实现对数据库操作“危险指令阻断、访问行为控制、安全态势分析、全面行为审计”的数据库安全主动防御。

通过部署工控安全卫士进行主机审计，对安全事件、审计记录、监测数据上报到安全管理平台。同时，通过部署日志审计系统，对安全设备、网络设备以及工业主机、控制系统、数据库、应用系统的日志进行统一收集、记录、分析。

（4）入侵防范。在工业主机、网络设备、安全设备、应用系统、数据库等设备或系统只安装必要的组件和应用程序。关闭非必要的系统服务和默认共享，关闭非必要的高危端口等。

（5）恶意代码防范。通过部署工控安全卫士，实现对工业主机的进程白名单管理，对移动存储介质使用进行管理，有效抵御未知病毒、木马、恶意程序、非法入侵等针对终端的攻击，实现安全防护。

（6）数据完整性。通过部署数据库审计，实现对工业控制系统核心数据的访问、增、删、改、查等行为进行日志记录，审计记录数据进行统计、查询、分析及生成统计报表等功能，

50信息系统工程 │ 2019.11.20

防止外部黑客攻击、内部高危操作、敏感数据泄漏以及数据库在遭到破坏或其它恶意操作后有据可查，从而追朔对数据库访问的一切操作。

4.安全管理中心

（1）系统管理。通过部署工控安全管理平台，对登录系统的管理员进行身份鉴别（动态双因子认证），系统配有三员角色，即系统管理员、安全管理员、审计管理员。系统管理员对系统参数、配置、启动、修改、加载等配置项有授权权限，进行统一配置管理。

（2）审计管理。审计管理员通过双因子认证登录到管理平台上，对系统的操作日志以及告警日志进行统一查看、分析、审计等。

（3）安全管理。安全管理员通过双因子认证登录到管理平台上，对安全策略下发、配置、修改、访问控制、授权等统一配置管理。

（4）集中管理。通过工控安全管理平台对所有安全设备统一管理，所有终端的事件信息统一上传，参数配置统一下发等功能，实现对工业控制系统的整体安全态势集中可视化展现（资产、漏洞、拓扑、事件）、分析、入侵检测和安全事件的预警、管控，提升企业安全防护整体水平。

（三）安全运维体系

安全运维体系主要采用ISO20000系列标准的思想，并参考ITSM框架规定的方法进行建设，同时借助ITIL在IT服务管理领域的最佳实践经验。建设贯穿安全运维全生命周期管理方法、标准/规范、管理模式、支撑工具、管理对象以及基于流程管理的安全运维体系。

四、结语

通过对工业控制系统的安全现状分析，以及结合等保2.0标准通用要求和工业控制系统扩展要求，设计了一种基于等保2.0标准的工业控制系统网络安全防护体系，即构造1个中心，3重防护的纵深防御体系，分别建设安全管理体系和安全技术体系以及安全运维体系等三大安全体系，为工业控制系统的网络安全防护提供了理论参考依据。H参考文献

[1] 陈广勇, 祝国邦, 范春玲.《信息安全技术 网络安全等级保护测评

要求》（GB/T 28448-2019）标准解读[J]. 信息网络安全,2019,(7).

[2] 张建刚. 网络安全管理与网络安全等级保护制度探究[J]. 现代信息科技,2019,3,11.

[3]李季.对工业控制系统信息安全防护的思考[J].网络安全技术与应用,2019,(08).

[4]张宏斌,王晓磊,赵云龙.工控网络安全检测与防护体系研究[J].信息技术与网络安全,2019,(06).

[5]李刚,郑美红.智能制造工控网络安全防护体系发展概述[J].信息技术与网络安全,2019,(06).

[6]刘勇.制造型企业工控网络安全风险与防护探讨[J].网络安全技术与应用,2019,(06).

（作者单位：农业农村部信息中心）