基于等保2.0工業控制系統網絡安全技術防護研究

李 琪

（國家計算機網絡與信息安全管理中心青海分中心，青海 西寧 810000）

近年來，隨著現代社會信息技術水平的不斷提升，以及全國乃至全球網絡安全形勢的持續變化，發布至今達十余年之久的等保1.0已無法滿足網絡安全新風險、新技術的應對要求，網絡安全防御體系急需實現由被動向主動、由粗放到精準的優化轉型。由此，等保2.0應運而生，并于2019年12月1日正式實行，開啟了我國網絡安全制度體系發展的新篇章。在此背景下，我們有必要對基于等保2.0的工業控制系統網絡安全技術防護展開探究討論。

1 基于等保2.0工業控制系統網絡安全技術防護的基本背景

等保的全稱為“網絡安全等級保護”，是我國網絡安全領域的基本國策與核心制度。在網絡安全建設初期，我國社會主要應用的制度為等保1.0，其從物理、網絡、主機、應用、數據五個角度入手，對網絡安全防護提出了技術要求，同時從制度、機構、人員、系統建設以及系統運維五個角度入手，對網絡安全防護提出了管理要求。辯證地看，等保1.0在推動我國網絡安全建設興起與發展的同時，也存在諸多問題。例如：基于等保1.0的網絡安全防御工事以被動防護為主，對風險的主動感知能力比較弱；等保1.0在覆蓋范疇上存在一定局限性，與云安全、大數據、工業控制等新科技、新概念存在不兼容問題；等保1.0在安全防護時機上具有即時性特點，即只能對已發生的安全風險作出應對[1]。

為了解決此類缺陷短板，同時也為了使我國網絡安全防護體系建設得更加健全，等保2.0適時而出，在法律規定、技術要求、管理要求、實施標準、覆蓋領域等各個方面都有了明顯的優化調整。例如：在法律規定方面，等保2.0以《中華人民共和國網絡安全法》為支撐，對以社會企業為代表的網絡運營者提出了硬性要求，若不遵守和落實網絡安全等級保護的各項要求，將代表著對公共法律的觸犯；在技術要求方面，等保2.0對前代制度的相關內容進行了整合與細化，形成了物理和環境、網絡和通信、設備和計算、應用和數據四個層次；在管理要求層面，等保2.0將機構與人員兩部分安全管理要求合而為一，并建立起了更嚴格的定級測評體系；在實施標準方面，等保2.0除了“通用要求”以外，還融入了“擴展要求”，以此滿足不同網絡應用場景、不同技術體系的特定安全防護需求；在覆蓋領域方面，云計算、移動網絡、物聯網、工業控制等網絡發展新產物被納入到制度體系之中，與我國社會的發展實情高度貼合。

2 基于等保2.0工業控制系統網絡安全技術防護的威脅因素

2.1 工業控制系統本身存在設計缺陷

在前期設計階段，很多工業控制系統的架構工程師更關注穩定性、功能性，而疏于對系統安全防護能力的重視。這樣一來，便很容易導致工業控制系統在實際投用中存在大量的安全漏洞，為黑客、病毒等威脅主體的侵入創造可乘之機。據我國相關權威平臺的調查報告稱，截止至2020年2月，該平臺共檢查出工業控制系統漏洞2353種，其中有超過九成為中度以上風險漏洞，且以Siemens、Schneider以及研華三個品牌的工控產品漏洞最多。

2.2 工業控制系統網絡邊界相對模糊

現階段，工業控制系統已實現了由集中控制系統、分散控制系統到現場總線控制系統的逐步發展，其與工業管理網、公共互聯網的通信連接也日趨緊密。在此背景下，工業控制系統相對封閉化、獨立化的網絡狀態被打破，進而造成了其網絡邊界的嚴重模糊。這樣一來，無法厘清網絡邊界，也就很難實現網絡安全防護體系的覆蓋化部署，使得越權操作、違規外聯、非法訪問等負面現象時有發生，對工業控制系統的安全穩定運行與工業生產活動的順利高效開展構成了極大威脅。

2.3 工業控制系統風險排查力度不足

當工業控制系統遭到外部攻擊或非法入侵時，其波動變化能在數據信息層面得到明顯體現，從而形成相應的異常網絡流量。此時，若系統或人員對此類異常作出感知，即可及時實現外部威脅、風險隱患的應對處理，為工業控制系統的安全穩定提供保障。但從目前的實際情況來看，很多工業控制系統在設計和投用過程中，并未配備出高敏感性的異常流量分析模塊或感知系統。這樣一來，風險隱患的排查速度、排查力度將大打折扣，難以達到等保2.0的要求標準。

2.4 工業控制系統的主機運用不合理

在當前，主機系統運用的不合理、不先進，是影響我國社會中企業工業控制系統安全質量的又一重要因素。例如，截止至2020年1月14日，微軟公司已明確提出不再為Windows7及之前版本的操作系統提供主流支持服務，包括更新服務包、修復系統漏洞、改變功能設計等。但放眼我國社會實際，很大一部分企業仍會將Windows7、WindowsXP等操作系統用于工程師站、管理員站、操作員站、數據庫等工業控制網絡主機的建構當中。此時，一旦該系列操作系統出現新安全漏洞或新拓展需求，將很難從運營商處得到自動、及時的服務支持，顯然不利于主機乃至整體工業控制系統的安全防護。

3 基于等保2.0工業控制系統網絡安全技術防護的實踐策略

3.1 提高物理環境質量

現階段，多數企業會將工業控制系統機房建設在廠區環境當中，故而很難保證其周圍物理環境的客觀質量。對此，為了避免工業控制系統受到水、水、電磁、溫濕度等物理因素的干擾影響，企業必須要構建出相對完善的網絡安全物理防護體系。例如，為了防止火災對工業控制系統的安全穩定構成威脅，應在長期環境中布設出足量的火光傳感器，并將智能化消防監控系統納入到將機房主體的建設當中，以實現火災隱患的及時感知、及時響應、自動處理，將工控機的安全程度維持在高水平[2]。

3.2 強化邊界防護力度

在等保2.0制度的導向之下，企業必須要對工業控制系統的網絡邊界作出細化明確，并制定出多元著手的安全防護技術方案。例如，可在工業控制系統的網域邊緣設置準入隔離設備，并部署出工業網閘、工業防火墻等防御工事，以此在網絡邊界構筑起多層結合的安防壁壘，對外部環境中違規接入、非法入侵的威脅主體進行強效隔離。再如，可在防火墻的應用基礎上，依托其病毒庫建立起風險代碼排查機制，對病毒庫中已錄入的病毒、木馬、危險數據包等進行動態監測與同步反饋，從而實現風險源侵入路徑的阻斷與記錄。

3.3 注重安全態勢感知

與等保1.0相比，等保2.0最大的變化之一，就是對安全體系的防護模式進行了調整，提出了集事前預防、事中響應、事后審計于一身的全程化、持續化保障要求?；诖耍诠I控制系統網絡安全技術防護的實踐中，企業必須要對安全態勢感知功能的建立與強化提起重視，對系統內部的數據流動、環節運轉情況進行全天候監控。期間，一旦發現有異常的網絡流量存在，應及時進行風險點與風險來源的確認，并采取源頭追溯、審計分析、故障處理、系統修復等后續手段。

3.4 確保主機運維合理

工程師站、操作員站、數據庫等主機是工業控制系統的構成基礎，其系統的運維質量與系統運行、企業生產密切相關。所以，企業在基于等保2.0的網絡安全技術防護實踐中，首先要確保主機操作系統選用的合理性，盡量避免使用品牌運營商已停止服務支持的系統版本，以防止系統漏洞無法修復、系統功能難以拓展的情況發生，對工業控制系統的穩定運行構成威脅。其次，企業在部署防火墻、裝載殺毒軟件等的過程當中，應明確分析相關安全保護工具與操作系統之間的兼容性，以防止工具的保護效用難以發揮，使系統暴露于危險的網絡環境之中。最后，在主機系統、安全工具均使用無誤的情況下，各站的終端操作人員、后臺管理人員還應做好日常化與定期化兼備的系統運維工作，如病毒檢測、漏洞修復、冗余數據增刪、告警信息反饋等，從而為系統提供出最大化的人工管理保障，進一步增強工業控制系統的安全性、穩定性、耐久性。

4 結束語

總而言之，與前代制度相比，等保2.0的嚴格度更高、覆蓋面更廣、內容更精細、角度更多元，為廣大企業的網絡安全防護建設提出了新要求、指明了新方向。在實踐中，企業應圍繞物理環境、網絡邊界、異常感知、運維管理等多個方面，構建出完善、科學的安全防護技術體系，以將工業控制系統的運行質量始終維持在較高水平，為生產活動提供出穩定優質的工控保障。