張斌 陳意 王新霞 孔群 胡謙

工業(yè)領域的關鍵信息基礎設施主要包括電力、水務、燃氣、石油石化等重要的行業(yè)和領域，本文面向工業(yè)領域關鍵信息基礎設施開展研究，調研某省工業(yè)領域關鍵信息基礎設施網(wǎng)絡安全現(xiàn)狀，分析其面臨的安全問題，研究安全防護體系，并進行案例驗證。

關鍵信息基礎設施（以下簡稱“關基”）主要指影響國家、社會、公共利益的通信、電子政務及國防科工等領域，除此之外，還包括電力、水務、燃氣、石油石化等重要的工業(yè)行業(yè)和領域。與其他領域關基不同，工業(yè)領域的關基由于其網(wǎng)絡架構的特殊性、網(wǎng)絡傳輸?shù)膶崟r性及工業(yè)協(xié)議種類多等特點，導致其安全防護在防護技術、措施和管理層面都存在一定的特殊性。工業(yè)領域的關基一旦遭受網(wǎng)絡攻擊，不僅影響系統(tǒng)正常運行或引發(fā)數(shù)據(jù)泄露，還可能會威脅到人民生命財產(chǎn)安全，甚至社會穩(wěn)定和國家安全，因此亟須針對工業(yè)領域的關基開展網(wǎng)絡安全防護體系研究，進一步提升其安全防護水平。

本文主要面向工業(yè)領域的關基開展研究，調研某省工業(yè)領域關基的網(wǎng)絡安全現(xiàn)狀，分析該領域面臨的問題，研究包含各個層面安全防護要點的安全防護體系，并在化工行業(yè)進行案例驗證，以保障工業(yè)領域關基的安全運行。

由于某省的產(chǎn)業(yè)門類齊全，能較好反映我國工業(yè)領域關基的安全現(xiàn)狀，故選取該省工業(yè)領域關基相關工業(yè)企業(yè)作為調研樣本，共選取200余家企業(yè)開展調研，調研結果分析如下：

工業(yè)資產(chǎn)：參與調研的企業(yè)中，使用企業(yè)資源計劃系統(tǒng)（ERP）的企業(yè)占比約7成，使用制造企業(yè)生產(chǎn)過程執(zhí)行管理系統(tǒng)（MES）的企業(yè)僅占3成，使用Windows操作系統(tǒng)的企業(yè)占7成；使用國產(chǎn)可編程邏輯控制器（PLC）的企業(yè)不到1成，使用國產(chǎn)分散控制系統(tǒng)（DCS）的企業(yè)約為5成，使用國產(chǎn)數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）的企業(yè)不足3成。

安全技術：參與調研的企業(yè)中，超過7成的企業(yè)在其工控系統(tǒng)所在的物理環(huán)境部署了防護措施，近5成的企業(yè)使用了工業(yè)主機防護軟件，但超過3成的企業(yè)工控系統(tǒng)直接與互聯(lián)網(wǎng)連接，多數(shù)企業(yè)未在安全域之間部署安全隔離措施，只有近3成的企業(yè)部署了工業(yè)防火墻等安全隔離設備；部署入侵檢測系統(tǒng)（IDS）、入侵防護系統(tǒng)（IPS）等監(jiān)測手段的企業(yè)不足2成。

安全管理：參與調研的企業(yè)中，60%的企業(yè)建立了工控網(wǎng)絡安全配置策略，超過6成的企業(yè)建立了工控系統(tǒng)資產(chǎn)清單，只有4成的企業(yè)與服務商明確了信息安全責任和義務，6成的企業(yè)制定了工控安全事件應急響應預案，但定期開展應急演練的企業(yè)只有4成。

根據(jù)調研結果，當前工業(yè)領域關基網(wǎng)絡安全存在的問題主要有：

企業(yè)安全主體責任落實不到位。工業(yè)領域關基相關企業(yè)初步建立了網(wǎng)絡安全防護策略，企業(yè)防護意識有所提升。但很多企業(yè)仍未明確安全主體責任，未建立安全責任制，內部人員普遍存在使用弱密碼、賬號共用的現(xiàn)象；工控設備、系統(tǒng)的訪問權限管理混亂，極易獲取敏感信息。

工控系統(tǒng)國產(chǎn)化水平偏低。工業(yè)領域關基在高端裝備、控制系統(tǒng)、工業(yè)標準等方面高度依賴國外，國內產(chǎn)業(yè)實力難以滿足企業(yè)應用需求。國內廠商尚未掌握工控核心技術，大部分工控系統(tǒng)設備及核心元器件技術由國外壟斷，工控系統(tǒng)及設備自主化進程仍需加快。

工控安全產(chǎn)業(yè)生態(tài)亟待完善。工業(yè)領域關基的網(wǎng)絡安全風險呈現(xiàn)多元化特征，導致安全隱患發(fā)現(xiàn)難度更高。但工業(yè)領域關基相關的安全產(chǎn)業(yè)生態(tài)中的產(chǎn)品設計、運維、評估、實施等服務能力不足，無法形成完整的安全產(chǎn)業(yè)鏈。同時，尚未出臺針對工業(yè)領域關基的安全防護體系，缺少相關的安全產(chǎn)品和服務。

工業(yè)領域關基的網(wǎng)絡安全架構如圖1所示，基于其復雜的內網(wǎng)、外網(wǎng)協(xié)同的網(wǎng)絡狀態(tài)和安全業(yè)務需要，設計了四層架構：終端層、控制層、網(wǎng)絡層、應用層，以滿足工業(yè)領域關基網(wǎng)絡安全的防護要求。

終端層包含執(zhí)行器、計量器、生產(chǎn)設備、智能裝備等終端設備，終端層的安全防護層面主要指物理安全，包括終端設備的物理位置選擇、訪問控制、防火、防盜、電磁防護等要求；控制層包含工程師站、操作員站和工業(yè)控制系統(tǒng)，控制層安全防護層面分為控制安全和設備安全，其中控制安全包括工控系統(tǒng)安全、組態(tài)軟件安全、工業(yè)數(shù)據(jù)庫安全，設備安全包括主機安全、控制設備安全、介質安全；網(wǎng)絡層包含交換機、工業(yè)網(wǎng)關等網(wǎng)絡設備，網(wǎng)絡層安全防護層面為網(wǎng)絡安全，包括網(wǎng)絡架構、邊界防護、網(wǎng)絡設備安全、訪問控制、入侵防范等要求；應用層包含MES、ERP等應用系統(tǒng)，應用層安全防護層面為應用安全，包括身份鑒別、訪問控制、安全審計等；數(shù)據(jù)安全和管理安全層面貫穿整個工業(yè)領域關基的網(wǎng)絡安全防護體系，為其提供全面的安全防護。

為驗證工業(yè)領域關基安全防護體系的有效性，選取化工行業(yè)典型企業(yè)XX化工集團開展防護體系的實例驗證。本次驗證的范圍主要包括XX化工集團下屬化工有限公司DCS控制系統(tǒng)的物理環(huán)境、主機、網(wǎng)絡、業(yè)務應用系統(tǒng)、安全管理制度和人員等，從物理、控制、設備、網(wǎng)絡、應用、數(shù)據(jù)、管理等七個方面，對其網(wǎng)絡安全防護情況進行綜合驗證，并改善其安全防護要點。

通過本次案例驗證，XX化工集團的DCS控制系統(tǒng)通過以下防護措施，可以更好地實現(xiàn)對關基的安全防護：

設備安全層面，在工業(yè)主機上安裝防病毒軟件，并在安裝前進行驗證測試。

控制安全層面，對接入網(wǎng)絡的主機采取控制措施，如實名接入認證、IP地址與MAC地址綁定等。

網(wǎng)絡安全層面，采取身份認證、安全監(jiān)測等措施對無線網(wǎng)絡入網(wǎng)進行嚴格管控。

數(shù)據(jù)安全層面，對重要或敏感的工業(yè)數(shù)據(jù)進行分類分級后，對其進行加密存儲或隔離保護。

管理安全層面，建立關基網(wǎng)絡和系統(tǒng)的安全策略配置清單，并定期核查。

隨著人工智能、5G、物聯(lián)網(wǎng)等新技術與工業(yè)的深度融合應用，工業(yè)領域關基的網(wǎng)絡邊界逐漸模糊，網(wǎng)絡攻擊面不斷擴大，“新基建”下的工業(yè)領域關基網(wǎng)絡安全面臨更為復雜多變的新挑戰(zhàn)。下一步需繼續(xù)推進工業(yè)領域關基的網(wǎng)絡安全保障工作，通過政產(chǎn)學研協(xié)同合作，從政策、技術、產(chǎn)業(yè)、人才等方面持續(xù)發(fā)力，不斷提升工業(yè)領域關基的安全防護水平。

作者單位：張斌 中國網(wǎng)絡安全審查技術與認證中心陳意、王新霞、孔群、胡謙 山東省電子信息產(chǎn)品檢驗院（中國賽寶（山東）實驗室）