等保2.0下工控安全防護新變化

畢 婷，陳雪鴻,楊帥鋒

(國家工業信息安全發展研究中心，北京 100040)

0 引言

自1994年國務院第147號令《計算機信息系統安全保護條例》文件發布以來，我國信息系統安全等級保護工作已經開展20余年，并經推廣落實形成了完善的等級保護制度與標準體系。自2016年頒布的《網絡安全法》將網絡安全等級保護工作作為基本制度以來，國家有關部門及行業監管機構正在加快制定有關配套標準，將我國等級保護工作引入新時代[1]。然而，隨著智能化和網絡化與信息系統的加速融合，原有等級保護的標準體系與技術手段已無法滿足工控系統安全保護的個性化需求。因此，明確新時期等級保護工控安全保護新變化及安全防護方向具有十分重要的意義。本文通過分析等保2.0標準中工控安全防護要求的亮點，從新時期工控安全防護工作思路出發提出了工控系統安全防護的新方向，最后提出企業落實工控安全新要求的建議及啟示。

1 等保2.0標準下工控系統等級保護亮點

我國網絡安全等級保護工作隨著等保2.0制度的發布正式進入新時代。等級保護的基本要求作為我國開展網絡安全監管工作的重要抓手，已成為新時期我國網絡安全建設的一項基本制度和主要依據。特別是隨著大數據、人工智能等新技術與工控系統的深度融合，工控系統安全防護要求發生了很大變化。原有的等保1.0標準已無法滿足新形勢下工控系統個性化安全保護需求[2]。因此，等保2.0標準應運而生。

新發布的2.0版本新增了工控系統安全擴展要求，其在內容、控制點設置、測評方法選擇、保護要求等方面都進行了調整，具體亮點主要包括：

(1)緊跟技術發展步伐，將工控系統納入到保護對象的范圍，明確了工控系統等級保護工作的重要地位；

(2)重點加強標準對新技術的適用性，通過新增工控系統安全擴展要求，有針對性地強化了工控系統安全保護方法；

(3)調整并細化了控制點和控制項，通過新增、調整、細化工控系統安全擴展要求控制項內容，有效提高了安全防護措施的可操作性和標準的落地性；

(4)調整安全保護策略，變被動防御為主動防御[3]。

2 等保2.0時代下工控安全防護方向

新技術與工控系統的加速融合使得工控系統及其相關組件、工業智能設備等與網絡連接，工控系統的傳統封閉狀態逐漸轉向為開放互聯。傳統工控系統基本上與外網隔離[4]。因此在規劃建設階段并未充分考慮安全防護問題，導致工控系統的威脅由內網擴大到包括跨內外網攻擊在內的各種威脅，進一步增加了病毒、木馬、勒索軟件等威脅入侵的機率。目前，我國工業企業在實踐中對工控系統的常用防護技術手段主要包括網絡安全測試工具、工控系統網絡健壯性測試工具、白名單技術、防火墻技術、安全審計等[5]。

如今，隨著等保2.0標準的發布，網絡安全等級保護范圍空前擴大[6]。工控系統安全防護成為新時期網絡安全等級保護工作的重點之一，也是工業信息安全領域的重中之重。等保2.0標準在結合不同工控系統所在的行業特點、應用場景、安全目標的差異基礎上，通過提出工控系統安全擴展要求，指引了我國新時期工控安全防護方向：

(1)重點加強安全網絡通信防護。一方面采用技術隔離手段提高工控系統與其他系統以及工控系統內部等區域之間的安全隔離水平，另一方面采用加密認證技術提高廣域網內進行數據交換或控制指令的工控系統防護水平。

(2)大力提升安全區域邊界防護。一方面通過在網絡邊界部署訪問控制設備、配置強訪問策略等方式，對工控網絡區域邊界的E-mail等網絡服務進行阻隔，有效阻止工控網絡區域邊界的訪問行為[7]；另一方面通過傳輸加密等安全防護措施，加強工控系統中傳輸報文的安全性保護。

(3)持續優化安全計算環境。首先，加強身份鑒別、安全審計等安全要求，具體可通過加強工業主機登錄、賬戶權限，強化SCADA軟件、工業控制設備口令等加大身份認證鑒別力度，同時加強工控系統運維人員的權限管理，加強操作記錄和審查。

3 對落實等保2.0工控安全防護要求的啟示

(1)結合等保2.0工控安全要求及《工業控制系統信息安全防護指南》，加強企業工控系統態勢感知平臺建設，提升全天候、全方位態勢感知能力[8]。健全數據采集、情報與大數據分析、監測預警、分析研判、應急處置、追蹤溯源等平臺功能開發與運營。加快推進工控系統安全防護核心技術突破，研發工控系統等級保護檢查工具，有效推動等保2.0標準落地實施。大力推廣工控安全市場上創新性、殺手锏式國產化產品的使用。

(2)建立常態化等級保護自查與檢查機制，通過定期組織本單位開展工控系統安全評估、防護能力評估等工作，有效將等保2.0工作規范納入到常態化工作，推動工控系統安全保護工作進入良性發展軌道。加強重點、特殊時期工控系統檢查與監測，有效提升企業工控安全防御實踐。推動工控系統新應用、新業態、新模式安全防護前瞻布局，保障工控系統安全取得良好社會效益[9]。

(3)大力推動企業攻防演練實戰，通過開展工控系統技能大賽等形式，有效提升工控系統安全事件應急響應能力，做到早發現早處置，真正實現主動防御、積累經驗、鍛煉隊伍。同時大力加強工控系統安全防護迭代式演進，模擬企業工控系統紅藍對抗，有效檢驗工控系統脆弱性，及時修補工控系統安全漏洞，逐步提升等保2.0標準下的下一代安全防御能力。

4 結論

等保2.0標準對工控系統等級保護工作提出了新要求。如何做好新時期工控系統安全保護工作成為未來工業企業的重要工作之一。本文結合等保2.0工控系統安全擴展要求，分析了工控系統等級保護的主要亮點，并基于當前工控系統及工業智能設備等開放互聯的狀態，提出了等保2.0時代下工控安全防護方向，最后提出的落實工控安全防護要求的幾點啟示對工控企業未來貫徹落實等保2.0工控系統等級保護工作具有一定的指導作用。