等保2.0時(shí)代下工控安全技術(shù)革新

謝云龍，吳得清，姜紅勇

(北京中電瑞鎧科技有限公司，北京 100016)

0 引言

新發(fā)布的等保2.0在原有標(biāo)準(zhǔn)基礎(chǔ)上進(jìn)行了細(xì)化、分類和加強(qiáng)，使之更加契合如今的工控環(huán)境與技術(shù)。如何應(yīng)對(duì)等保2.0時(shí)代，把控工控技術(shù)的發(fā)展方向，如何將現(xiàn)場(chǎng)環(huán)境與政策完美結(jié)合，形成更加完善、健全、有效的工控安全體系，以應(yīng)對(duì)未知威脅，是每一個(gè)工控行業(yè)企業(yè)都應(yīng)思考的問(wèn)題。

1 等保概念由來(lái)

20世紀(jì)60年代，美軍文件保密制度提出了等級(jí)保護(hù)概念，1985年發(fā)布的《可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則》(TCSEC)是第一個(gè)相對(duì)成熟且影響深遠(yuǎn)的準(zhǔn)則。

1991年，《信息技術(shù)安全評(píng)估準(zhǔn)則》(ITSEC)出臺(tái)并應(yīng)用于歐共體。1993年加拿大公布《可信計(jì)算機(jī)產(chǎn)品評(píng)估準(zhǔn)則》(CTCPEC)3.0版本。CTCPEC將安全分為功能性要求和保證性要求兩部分。功能性要求分為機(jī)密性、完整性、可用性、可控性等四個(gè)大類。

1996年美國(guó)、歐盟、加拿大聯(lián)合起來(lái)將各自評(píng)估準(zhǔn)則合為一體，形成通用評(píng)估準(zhǔn)則(Common Criteria)。CC2.1版本于1999年出臺(tái)，在CC中定義了評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全性所需要的基礎(chǔ)準(zhǔn)則，是度量信息技術(shù)安全性的基準(zhǔn)。

我國(guó)的等級(jí)保護(hù)工作其發(fā)展主要經(jīng)歷了四個(gè)階段。

國(guó)務(wù)院于1994年頒布《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》。2003年，中央辦公廳、國(guó)務(wù)院辦公廳頒發(fā)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》(中辦發(fā)[2003]27號(hào))明確指出“實(shí)行信息安全等級(jí)保護(hù)”，標(biāo)志著等級(jí)保護(hù)從計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的一項(xiàng)制度提升到國(guó)家信息安全保障一項(xiàng)基本制度[1]。

2004年至2006年期間，公安部聯(lián)合四部委開(kāi)展了涉及65 117家單位，共115 319個(gè)信息系統(tǒng)的等級(jí)保護(hù)基礎(chǔ)調(diào)查和等級(jí)保護(hù)試點(diǎn)工作。

2007年6月，四部門聯(lián)合出臺(tái)了《信息安全等級(jí)保護(hù)管理辦法》。7月四部門聯(lián)合頒布了《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》，并于7月20日召開(kāi)了全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作部署專題電視電話會(huì)議，標(biāo)志著我國(guó)信息安全等級(jí)保護(hù)制度正式開(kāi)始實(shí)施。

2010年4月，公安部出臺(tái)了《關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和開(kāi)展等級(jí)測(cè)評(píng)工作的通知》，提出等級(jí)保護(hù)工作的階段性目標(biāo)。2010年12月，公安部和國(guó)務(wù)院國(guó)有資產(chǎn)監(jiān)督管理委員會(huì)聯(lián)合出臺(tái)了《關(guān)于進(jìn)一步推進(jìn)中央企業(yè)信息安全等級(jí)保護(hù)工作的通知》，要求中央企業(yè)貫徹執(zhí)行等級(jí)保護(hù)工作。至此我國(guó)信息安全等級(jí)保護(hù)工作全面展開(kāi)，等保工作進(jìn)入規(guī)模化推進(jìn)階段。

2 等保2.0分析

在等保2.0中，對(duì)各個(gè)級(jí)別系統(tǒng)應(yīng)達(dá)到的安全水平給出了更加精細(xì)化的標(biāo)準(zhǔn)，如何達(dá)到、貫徹這個(gè)標(biāo)準(zhǔn)，是每一個(gè)企業(yè)應(yīng)該思考的問(wèn)題，而通過(guò)使用網(wǎng)絡(luò)安全產(chǎn)品及工控專用安全產(chǎn)品則是目前最低成本也是最高效的途徑。

安全產(chǎn)品可以通過(guò)技術(shù)手段節(jié)約大量的人力以及時(shí)間成本，同時(shí)具備人力所不能達(dá)到的精細(xì)化顆粒級(jí)別等優(yōu)勢(shì)，工控安全產(chǎn)品的進(jìn)步、專精，加上與管理的并重，組成了全新的等保2.0時(shí)代。

在等保2.0中，除去對(duì)內(nèi)容的整合修改外，也對(duì)標(biāo)準(zhǔn)名稱進(jìn)行了修改，由《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》改為《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，這樣的修改是為了與《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的相關(guān)法律條文保持一致，與法律相呼應(yīng)。

2.1 等保2.0與1.0對(duì)比

等保2.0相比于1.0，更加契合了如今安全形勢(shì)，針對(duì)全新技術(shù)(如云計(jì)算、大數(shù)據(jù))，以及國(guó)家重點(diǎn)領(lǐng)域安全(如工業(yè)控制系統(tǒng))等提出了更全面，深入，細(xì)化的要求準(zhǔn)則。

本文以大部分工控系統(tǒng)所在的第三級(jí)為例，列舉等保2.0與1.0差異，如表1所示。

2.2 等保2.0工控要求

區(qū)別于等保1.0的是，等保2.0中專門提出了包括工控安全擴(kuò)展要求在內(nèi)的四大擴(kuò)展要求，其中包括：

室外控制設(shè)備放置應(yīng)遠(yuǎn)離強(qiáng)電磁干擾、熱源和應(yīng)遠(yuǎn)離極端天氣環(huán)境等，如無(wú)法避免，在遇到極端天氣時(shí)應(yīng)及時(shí)做好應(yīng)急處置及檢修確保設(shè)備正常運(yùn)行。

工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應(yīng)劃分為兩個(gè)區(qū)域，區(qū)域間應(yīng)采用單向的技術(shù)隔離手段。

工業(yè)控制系統(tǒng)內(nèi)部應(yīng)根據(jù)業(yè)務(wù)特點(diǎn)劃分為不同的安全域，安全域之間應(yīng)采用技術(shù)隔離手段。

表1 對(duì)照表

涉及實(shí)時(shí)控制和數(shù)據(jù)傳輸?shù)墓I(yè)控制系統(tǒng)，應(yīng)使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，在物理層面上實(shí)現(xiàn)與其它數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。

在工業(yè)控制系統(tǒng)內(nèi)使用廣域網(wǎng)進(jìn)行控制指令或相關(guān)數(shù)據(jù)交換的應(yīng)采用加密認(rèn)證技術(shù)手段實(shí)現(xiàn)身份認(rèn)證、訪問(wèn)控制和數(shù)據(jù)加密傳輸。

工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間部署訪問(wèn)控制設(shè)備，配置訪問(wèn)控制策略，禁止任何穿越區(qū)域邊界的E-Mail、Web、Telnet、Rlogin、FTP等通用網(wǎng)絡(luò)服務(wù)。

應(yīng)在工業(yè)控制系統(tǒng)內(nèi)安全域和安全域之間的邊界防護(hù)機(jī)制失效時(shí)，及時(shí)進(jìn)行報(bào)警。

工業(yè)控制系統(tǒng)確需使用撥號(hào)訪問(wèn)服務(wù)的，應(yīng)限制具有撥號(hào)訪問(wèn)權(quán)限的用戶數(shù)量；并采取用戶身份鑒別和訪問(wèn)控制等措施。

撥號(hào)服務(wù)器和客戶端均應(yīng)使用經(jīng)安全加固的操作系統(tǒng)，并采取數(shù)字證書認(rèn)證、傳輸加密和訪問(wèn)控制等措施。

對(duì)采用無(wú)線通信技術(shù)進(jìn)行控制的工業(yè)控制系統(tǒng)，應(yīng)能識(shí)別其物理環(huán)境中發(fā)射的未經(jīng)授權(quán)的無(wú)線設(shè)備，報(bào)告未經(jīng)授權(quán)試圖接入或干擾控制系統(tǒng)行為。

控制設(shè)備自身應(yīng)實(shí)現(xiàn)相應(yīng)級(jí)別安全通用要求提出的身份鑒別、訪問(wèn)控制和安全審計(jì)等設(shè)備和計(jì)算方面的安全要求，如受條件限制控制設(shè)備無(wú)法實(shí)現(xiàn)上述要求，應(yīng)由其上位控制或管理設(shè)備實(shí)現(xiàn)同等功能或通過(guò)管理手段控制。

應(yīng)在經(jīng)過(guò)充分測(cè)試評(píng)估后，在不影響系統(tǒng)安全穩(wěn)定運(yùn)行的情況下對(duì)控制設(shè)備進(jìn)行補(bǔ)丁更新、固件更新等工作。

應(yīng)關(guān)閉或拆除控制設(shè)備的軟盤驅(qū)動(dòng)、光盤驅(qū)動(dòng)、USB接口、串行口等，確需保留的必須通過(guò)相關(guān)的技術(shù)措施實(shí)施嚴(yán)格的監(jiān)控管理。

應(yīng)保證控制設(shè)備在上線前經(jīng)過(guò)安全性檢測(cè)，確保控制設(shè)備固件中不存在惡意代碼程序[2]。

2.3 等保2.0工控?cái)U(kuò)展重點(diǎn)

面對(duì)日益猖獗的安全威脅，以及更加具有針對(duì)性的攻擊手段，傳統(tǒng)信息安全產(chǎn)品已經(jīng)力有不逮，工控系統(tǒng)不同于其他組織系統(tǒng)，遭遇破壞的后果更加嚴(yán)重且具有典型工控特色，在此基礎(chǔ)上，等保2.0文件中提出了工業(yè)控制系統(tǒng)安全擴(kuò)展要求，其中包括要求室外控制設(shè)備物理防護(hù)，組網(wǎng)時(shí)要求在物理層面實(shí)現(xiàn)其他數(shù)據(jù)網(wǎng)與外部公共信息網(wǎng)的安全隔離，對(duì)上機(jī)人員進(jìn)行更加嚴(yán)格的訪問(wèn)控制以及操作系統(tǒng)加固，數(shù)字證書認(rèn)證。

其中一個(gè)重點(diǎn)在于控制設(shè)備安全，等保2.0工控?cái)U(kuò)展要求中明確提出，控制設(shè)備自身實(shí)現(xiàn)相應(yīng)級(jí)別要求所提出的身份鑒別、訪問(wèn)控制以及安全審計(jì)，若受條件限制無(wú)法實(shí)現(xiàn)，應(yīng)由其上位控制或管理設(shè)備實(shí)現(xiàn)同等功能或通過(guò)管理手段控制，且關(guān)閉，拆除控制設(shè)備的軟盤驅(qū)動(dòng)，光盤驅(qū)動(dòng)，USB接口，串行口等，確需保留則必須通過(guò)相關(guān)技術(shù)措施實(shí)施嚴(yán)格的監(jiān)控管理。

從等保2.0中可以發(fā)現(xiàn)，相比于等保1.0，它更加注重了監(jiān)控，以及明確提出了工業(yè)控制設(shè)備的層層細(xì)化標(biāo)準(zhǔn)，這符合信息安全中的P2DR模型(如圖1所示)，也就是Pt(防護(hù)時(shí)間)與檢測(cè)時(shí)間(Dt)、響應(yīng)時(shí)間(Rt)的關(guān)系[3]，即：

Pt>Dt+Rt

(1)

該模型給出了定義，及時(shí)的檢測(cè)和響應(yīng)就是安全。這在工業(yè)控制系統(tǒng)中更為適用，因?yàn)楣I(yè)控制系統(tǒng)安全對(duì)實(shí)時(shí)性要求極高，稍有延誤便有可能造成嚴(yán)重后果，同時(shí)要求重點(diǎn)提高防護(hù)時(shí)間，這需要更加具有針對(duì)性，且更加高效的技術(shù)革新。

圖1 P2DR模型

2.4 等保2.0下工控安全技術(shù)趨勢(shì)

經(jīng)過(guò)分析，可以發(fā)現(xiàn)等保2.0已經(jīng)給出了一個(gè)未來(lái)安全技術(shù)發(fā)展的趨勢(shì)，即針對(duì)工控系統(tǒng)特性，可用性大于機(jī)密性、完整性；且要求工控安全產(chǎn)品區(qū)別于普通安全產(chǎn)品，需貼切工控現(xiàn)場(chǎng)環(huán)境，如滿足溫度，濕度等工業(yè)標(biāo)準(zhǔn)，無(wú)風(fēng)扇設(shè)計(jì)等；且性能應(yīng)更加穩(wěn)定，延長(zhǎng)有效防護(hù)時(shí)間，滿足實(shí)時(shí)性與準(zhǔn)確性雙向需求。

其中尤其強(qiáng)調(diào)了對(duì)于工控系統(tǒng)安全的針對(duì)性，因?yàn)楣I(yè)控制系統(tǒng)基于工業(yè)控制協(xié)議(例如，OPC、Modbus、DNP3、S7)，而IT信息系統(tǒng)基于IT通信協(xié)議(例如，HTTP、FTP、SMTP、TELNET)。雖然，現(xiàn)在主流工業(yè)控制系統(tǒng)已經(jīng)廣泛采用工業(yè)以太技術(shù)，基于IP/TCP/UDP通信，但是應(yīng)用層協(xié)議是不同的，這就要求信息安全產(chǎn)品必須支持工業(yè)控制協(xié)議(例如，OPC、Modbus、DNP3、S7)，否則就會(huì)出現(xiàn)如為了支持OPC Classic服務(wù)而放開(kāi)大量TCP端口的問(wèn)題。

3 工控現(xiàn)場(chǎng)安全分析

以發(fā)電企業(yè)電力監(jiān)控安全為例，引申等保2.0政策，并結(jié)合現(xiàn)場(chǎng)情況進(jìn)行案例分析。

從2004年，電力行業(yè)原電監(jiān)會(huì)頒布的第5號(hào)令《電力工控系統(tǒng)安全防護(hù)規(guī)定》及34號(hào)文《電力工控系統(tǒng)安全防護(hù)總體方案》至今的發(fā)改委14號(hào)令和能源局36號(hào)文及配套文件。發(fā)電企業(yè)在業(yè)務(wù)實(shí)際和工作場(chǎng)景中，不斷深化安全防護(hù)概念及措施，緊跟“十六字方針”原則[4]做好邊界防護(hù)，確保邊界的安全可靠，主要采用的技術(shù)和手段是通過(guò)合理規(guī)劃業(yè)務(wù)分區(qū)，將不同風(fēng)險(xiǎn)等級(jí)的業(yè)務(wù)及控制系統(tǒng)進(jìn)行“安全分區(qū)”；并根據(jù)業(yè)務(wù)設(shè)計(jì)規(guī)劃網(wǎng)絡(luò)架構(gòu)，實(shí)現(xiàn)“網(wǎng)絡(luò)專用”；生產(chǎn)大區(qū)的控制和非控制區(qū)之間，通過(guò)部署防火墻進(jìn)行“邏輯隔離”，生產(chǎn)大區(qū)和管理大區(qū)間，通過(guò)部署單向隔離裝置進(jìn)行“物理隔離”；發(fā)電企業(yè)使用及涉網(wǎng)的網(wǎng)絡(luò)線路，通過(guò)部署采用加密技術(shù)的裝置，實(shí)現(xiàn) “縱向認(rèn)證”。按照等級(jí)保護(hù)三級(jí)的要求，通過(guò)加強(qiáng)物理安全及管理、主機(jī)及網(wǎng)絡(luò)設(shè)備安全配置，采用結(jié)構(gòu)安全、身份認(rèn)證、通訊加密、訪問(wèn)控制等方面進(jìn)行安全加固及防護(hù)。

隨著信息化技術(shù)的發(fā)展和“IT”與“OT”的不斷深化融合，如今虛擬化、云平臺(tái)/計(jì)算、大數(shù)據(jù)、無(wú)線接入、移動(dòng)應(yīng)用技術(shù)的大面積采用及推廣，在等保1.0時(shí)代這些技術(shù)尚未足夠成熟亦或沒(méi)有廣泛采用，故等保1.0的相關(guān)要求也并為對(duì)上述技術(shù)和應(yīng)用進(jìn)行安全防護(hù)的規(guī)定和具體要求。技術(shù)的變革促使著管理方式和方法的變革，等保2.0將從云平臺(tái)的搭建結(jié)構(gòu)，及搭載虛擬機(jī)的邊界安全防護(hù)采用對(duì)流量及

邊界的入侵檢測(cè)情況分析安全風(fēng)險(xiǎn)；對(duì)無(wú)線接入的管理也更注重所屬區(qū)域劃分及同不同業(yè)務(wù)分區(qū)的隔離及數(shù)據(jù)交換，從資源管控、移動(dòng)應(yīng)用開(kāi)發(fā)和安全運(yùn)維等多維度做出更詳細(xì)要求，目前廣泛應(yīng)用的技術(shù)包括身份鑒別、訪問(wèn)抗抵賴、白名單、隔離網(wǎng)閘、入侵檢測(cè)、流量及日志分析設(shè)計(jì)技術(shù)。從而確保物理網(wǎng)整體性安全，實(shí)現(xiàn)電力監(jiān)控的中的工業(yè)控制系統(tǒng)安全運(yùn)行。

4 結(jié)論

等保2.0意味著工控安全日益受到重視，同時(shí)也為工控安全帶來(lái)了新的標(biāo)準(zhǔn)和挑戰(zhàn)，在這樣的大環(huán)境下，工控技術(shù)的革新是必然的，不可逆轉(zhuǎn)的，新時(shí)代的工控安全產(chǎn)品應(yīng)以工控環(huán)境為參考標(biāo)準(zhǔn)，參考等保2.0中物理與環(huán)境要求規(guī)范，全面適應(yīng)工控特殊性如溫度、濕度等相關(guān)要求，且區(qū)別于普通信息安全產(chǎn)品，更加注重可用性，國(guó)內(nèi)自主研發(fā)、自主可控必將是大勢(shì)所趨，知己知彼方可為工業(yè)網(wǎng)絡(luò)安全保駕護(hù)航。

[1] 張偉麗.信息安全等保護(hù)現(xiàn)狀淺析[J].信息安全與技術(shù)，2014(9)：9-13.

[2] 信息安全等級(jí)保護(hù)管理辦法(公通字[2007]43號(hào))[Z].2007.

[3] 動(dòng)態(tài)網(wǎng)絡(luò)安全體系的代表模型1[M].1995.

[4] 國(guó)家能源局關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護(hù)總體方案等安全防護(hù)方案和評(píng)估規(guī)施的通知(國(guó)能安全[2015]36號(hào))[Z].2015.