工業控制系統（ICS）是指對工業生產過程安全（Safety）、信息安全（Security）和可靠運行產生作用和影響的人員、硬件、策略和軟件的集合，包括集散控制系統（DCS）、監督控制和數據采集（SCADA）系統、可編程序邏輯控制器（PLC）、遠程測控單元RTU、相關的信息系統如人機界面等。隨著信息化和工業化的發展工業控制系統廣泛應用于國防軍工、軌道交通、電力電網、石油化工、水利水庫等關系國計民生的重點工控行業，由于其復雜多樣性，工業控制系統也面臨來自各方面的威脅。近年來，隨著工業控制新技術的發展，原有標準部分條款無法滿足工業控制高可靠性、實時性下的安全設計技術要求，因此亟需根據工業控制系統的特點增加新的內容。此次修訂規范了網絡安全等級保護安全設計技術要求對工業控制系統的擴展設計要求，包括第一級至第四級工業控制系統安全保護環境的安全計算環境、安全區域邊界、安全通信網絡和安全管理中心等方面的設計技術要求。適用于指導網絡安全等級保護工業控制系統安全技術方案設計與實施，也可作為信息安全智能部門對工業控制系統進行監督、檢查和指導的依據。

工業控制系統和其他信息系統按照功能層次分為從下到上的五層架構：

a）第0層，現場設備層；

b）第1層，現場控制層；

c）第2層，過程監控層；

d）第3層，生產管理層；

e）第4層，企業資源層，即其他的信息系統（本標準不對第4層做等級保護設計要求）。

根據工業控制系統安全單位的唯一確定性、業務對象、業務特點和業務范圍等因素，綜合確定工業控制系統等級保護對象。在確定定級對象的安全等級時，應綜合考慮資產價值、生產對象及后果等因素。確定工業控制系統定級對象具體參照GB/T 22240、GB/T 22239等相關等保標準。

根據對工業控制系統架構及安全的分析，總結出工業控制系統中第0～3層防護對象包含的用戶、軟硬件和數據三類。

此次修訂工作結合工業控制系統形態眾多、性能各異、實時性及可靠性要求高、現場設備計算資源有限等特點，充分分析工業控制系統面臨的各種威脅，發現其脆弱性，從而提出了三重防護多級互聯、安全分區縱深防御設計技術思路。

（一）三重防護多級互聯技術框架

工業控制系統的等級保護防護方案設計參照以往構建在安全管理中心支持下的計算環境、區域邊界、通信網絡三重防御體系，采用分區的架構，結合工業控制系統總線協議復雜多樣、實時性強、節點計算資源有限、設備可靠性要求高、故障恢復時間短、安全機制不能影響實時性等特點進行設計，以實現可信、可控、可管的系統安全互聯、區域邊界安全防護和計算環境安全。

（二）安全分區縱深防御策略

對于復雜工業控制系統建議采用分層分區的保護結構實現信息安全等級保護設計，但對于簡單的工業控制系統則以不分層進行信息安全等級保護設計。根據工業控制系統被保護對象業務性質分區，針對功能層次技術特點實施信息安全等級保護設計，對工業控制系統進行安全防護。

依據圖1，縱向上工業控制系統分為五層，其中第0~3層為工業控制系統等級保護的范疇，即為本防護方案覆蓋的區域；橫向上對工業控制系統進行安全區域的劃分，根據工業控制系統中業務的重要性、實時性、關聯性、對現場受控設備的影響程度以及功能范圍、資產屬性等，形成不同的安全防護區域，所有系統都必須置于相應的安全區域內，具體分區以工業現場實際情況為準。此次修訂給出了防護方案的示例性分區，分區方式包括但不限于：第0～2層組成一個安全區域、第0～1層組成一個安全區域、同層中有不同的安全區域等。

分區的主要根據有業務系統或其功能模塊的實時性、使用者、主要功能、設備使用場所、各業務系統間的相互關系、廣域網通信方式以及對工業控制系統的影響程度等。對于額外的安全性和可靠性要求，在主要的安全區還可以根據操作功能進一步劃分成子區。將設備劃分成不同的區域可以幫助企業有效地建立“縱深防御”策略。將具備相同功能和安全要求的各系統的控制功能劃分成不同的安全區域，并按照方便管理的原則，為各安全功能區域分配網段地址。

等級保護分為四級，防護方案設計逐級增強，但防護方案設計中的防護類別相同，只是安全保護設計的強度不同，防護類別包括：安全計算環境、安全區域邊界、安全通信網絡、安全管理中心。各級工業控制系統信息安全保護環境的設計通過對各級的安全計算環境、安全區域邊界、安全通信網絡以及安全管理中心的設計加以實現。

（一）設計目標和策略

工業控制系統等級保護的設計目標逐級增強。第一級工業控制系統信息安全保護環境的設計目標是對第一級工業控制系統的信息安全保護系統實現定級系統的自主訪問控制，使系統用戶對其所屬客體具有自我保護的能力。第二級工業控制系統信息安全保護環境的設計目標是在第一級的基礎上，增加系統安全審計等安全功能，并實施基于角色的訪問控制，使系統具有更強的安全保護能力。第三級工業控制系統信息安全保護環境的設計目標是在第二級的基礎上，增強身份鑒別、審計等功能，同時增加區域邊界之間的安全通信措施。第四級工業控制系統信息安全保護環境的設計目標是在第三級的基礎上，對關鍵的控制回路的相關信息安全保護設計要求做了闡述，要求設計者在有安全風險的場合提供適合工控應用特點的保護方法和安全策略，通過實現基于角色的訪問控制以及增強系統的審計機制等一系列措施，使系統具有在統一安全策略管控下，提供高強度的保護敏感資源的能力。

工業控制系統等級保護的設計策略逐級增強。第一級系統安全保護環境的設計策略是以身份鑒別為基礎，按照工業控制系統對象進行訪問控制，監控層、控制層提供按照用戶和（或）用戶組對操作員站和工程師站的文件及數據庫表的自主訪問控制，以實現用戶與數據的隔離，設備層按照用戶和（或）用戶組對安全和保護系統、基本控制系統的組態數據、配置文件等的自主訪問控制，使用戶具備自主安全保護的能力；以包過濾和狀態檢測的手段提供區域邊界保護；以數據校驗和惡意代碼防范等手段提供數據和系統的完整性保護。第二級工業控制系統信息安全保護環境的設計策略是以身份鑒別為基礎，提供單個用戶和（或）用戶組對共享文件、數據庫表、組態數據等的自主訪問控制；以包過濾手段、狀態檢測提供區域邊界保護；以數據校驗和惡意代碼防范等手段，同時通過增加系統安全審計等功能，使用戶對自己的行為負責，提供用戶數據保密性和完整性保護，以增強系統的安全保護能力。第三級工業控制系統信息安全保護環境的設計策略是在第二級的基礎上，相應增強身份鑒別、審計等功能；增加邊界之間的安全通信防護，保障邊界安全性。第四級工業控制系統信息安全保護環境的設計策略是在第三級的基礎上，構造基于角色的訪問控制模型，表明主、客體的級別分類和非級別分類的組合，以此為基礎，按照基于角色的訪問控制規則實現對主體及其客體的訪問控制。

（二）關鍵設計技術要求

1. 安全計算環境設計技術要求

安全計算環境，包括工業控制系統0～3層中的信息存儲、處理及實施安全策略的相關部件。安全計算環境按照保護能力劃分為第一級安全計算環境、第二級安全計算環境、第三級安全計算環境和第四級安全計算環境，安全計算環境設計技術要求逐級增強。

2. 安全區域邊界設計技術要求

安全區域邊界是指對定級系統的安全計算環境邊界，以及安全計算環境與安全通信網絡之間實現連接并實施安全策略的相關部件。安全區域邊界按照保護能力劃分為第一級安全區域邊界、第二級安全區域邊界、第三級安全區域邊界和第四級安全區域邊界，安全區域邊界設計技術要求逐級增強。

3. 安全通信網絡設計技術要求

安全通信網絡指對定級系統安全計算環境和信息安全區域之間進行信息傳輸及實施安全策略的相關部件。安全通信網絡按照保護能力劃分為第一級安全通信網絡、第二級安全通信網絡、第三級安全通信網絡和第四級安全通信網絡，安全通信網絡設計技術要求逐級增強。

對網絡通訊的保護，例如對工程師站組態下裝的過程，是通過網絡下裝到控制器，分析網絡，如果有不安全因素，需加防篡改保護，首先要鑒別工程師站的操作者的身份是否有對控制器進行下裝操作的權限，如果有操作權限，方可建立工程師站和控制器之間的通訊連接。

4. 安全管理中心設計技術要求

安全管理中心指對定級系統的安全策略及安全計算環境、安全區域邊界和安全通信網絡上的安全機制實施統一管理的平臺。第二級及第二級以上的定級系統安全保護環境需要設置安全管理中心，稱為第二級安全管理中心、第三級安全管理中心和第四級安全管理中心。安全管理中心設計技術要求逐級增強。

5. 針對工業控制系統特點具體分析安全設計技術要求

① 針對控制系統業務流程特點實施安全保護

對工業控制系統的計算環境，比較特殊的是處于第0層、第1層、也包括第2層的計算環境。其中處于第1層的控制器（或是PLC，SCADA中的RTU），通過現場總線與傳感器、執行器相連接，形成了一個控制回路，這是工業控制系統中基礎和關鍵的部分，也是重要的保護目標。其中控制器運行系統的控制邏輯，也是連接第0層和地2層的一個關鍵環節，對控制器的訪問和操作，必須先經過身份鑒別。這包括工程師站的組態下裝，操作員站發出的命令，都應經過身份鑒別通過后授權執行。過去，一些控制器對組態下裝到控制器操作的身份鑒別是在工程師站上由組態軟件系統執行，在控制器上對工程師站的組態下裝，操作員站發出的命令之前進行身份鑒別，對假冒攻擊進行了防護。

② 對控制過程的完整性保護

是防止干擾和破壞控制回路的數據傳輸和處理，防止數據延誤、丟失和篡改，保護控制系統的同步機制、校時機制，控制器從所處的計算環境來說，極易受到來自網絡、現場總線、I/O端口的干擾，如以下但不限于所列行為：

a）在一個控制周期內，超過正常數量的中斷請求；

b）超過合理包速率范圍的icmp協議請求；

c）超過合理包速率范圍的廣播報文；

d）破壞現場總線的請求—應答機制；

e）破壞冗余工作機制；

f）干擾表決器等安全保護系統的正常工作；

g）惡意觸發冗余系統切換、安全保護系統的停機的行為；

h）其他干擾。

這些干擾會破壞控制任務的執行，甚至足以引起控制器復位，而這些惡意攻擊可以以合法的身份出現。因此，要求在設計控制應用系統時，能識別、監控和防護這類攻擊行為，可在計算環境上，如控制器通過阻止關閉受到攻擊的端口，在邊界上識別過濾這類攻擊，在通信上采用防假冒防篡改防干擾等保護措施，形成多層次的縱深防御。

③ 對現場總線的安全保護

現場總線和現場設備層的安全問題，在受到物理保護或有人值守的情況下，可避免鄰近攻擊。在現場總線和現場設備，要防止留有可供插入、改接的物理接口，如有的設備還配置有HART接口，在缺乏物理保護和監控的環境下，有可能為非法接入、修改參數提供了機會，在控制器的現場總線接口處，應有實時監控，對于丟幀、數據異常、超過一定范圍的抖動及時報警處理。對于重要的現場總線和設備，應根據應用的保護需求，用適合于實時性好、小位數處理的密碼技術進行完整性或保密性保護。

④ 以操作員站向控制器發送指令為例說明

以操作員站向控制器發送指令為例說明這條信息處理路徑所要應用的安全保護措施。操作員站啟動前先用可信計算處理器件對操作系統裝載程序和操作系統進行度量，和存放的報文摘要值對比，沒有被篡改后系統啟動，經安全管理中心確認屬于白名單的應用程序和服務啟動，操作員登錄進入操作員站，操作員使用用于身份鑒別的介質U-KEY插入操作員站的USB接口，此時操作員站是禁用所有外設介質端口的，這一插入USB接口事件報道安全管理中心，經過判別是做身份鑒別后，確認操作員身份并授權，此后操作員再次操作不需再做身份鑒別，以保證能實時做出響應。操作員要離開操作員站時要做明確的退出操作，拿走U-KEY，從安全考慮，當操作員站在一定時間沒有操作動作時，應提示操作員繼續操作，如果沒有響應，應及時鎖屏，終止這個會話，防止操作員離開，有人趁機假冒。解鎖時需輸入密碼。以上過程都被審計，可由安全管理中心審計追蹤。在對控制器的通信時，需先通過身份鑒別，只有身份鑒別通過后方可建立通信連接，其中重要指令的下達，重要數據的傳送，應根據應用特點，用密碼技術保證完整性或保密性，防止偽造指令和數據欺騙。對于操作員站和控制器的通信會話也要提供保護，在操作員交接班時應保持會話的有效性，要考慮到出現緊急事件時能夠實時處置，審計措施應能明確操作員的行為和責任。

在GB/T 25070中增加的工業控制系統安全設計要求的內容，是在國家標準GB/T25070-2010基礎上為適應工業控制新技術、新應用情況下而進行的修訂，制定統一的工業控制系統等級保護標準，建立整體安全防護體系及框架，給出了詳細、可實施的安全設計要求，可用于指導工業控制系統運營使用單位、信息安全服務機構開展等級保護安全技術方案設計，能夠有效應對針對工業控制系統環境的信息安全威脅，保護國家工業控制系統不被非法攻擊，保障重要工業控制系統的正常運行，從而確保國家工業基礎設施免遭破壞。

本文來源：警察技術雜志 作者：傅一帆??霍玉鮮