許 平 李緒國 杜偉軍

1(中國電子科技集團(tuán)公司第三十研究所 成都 610041)2(民航智慧能源工程技術(shù)研究中心 北京 100088)3(上海三零衛(wèi)士信息安全有限公司 上海 200233)4(中國民航科學(xué)技術(shù)研究院 北京 100028)

工業(yè)控制系統(tǒng)(industrial control system, ICS)網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn)對于保障系統(tǒng)正常運行發(fā)揮著重要作用，既可幫助生產(chǎn)運營單位完善技術(shù)防護(hù)手段，規(guī)范員工操作行為；也有助于供應(yīng)商及時發(fā)現(xiàn)自身產(chǎn)品存在的問題，不斷完善產(chǎn)品功能和性能；又有助于政府部門加強(qiáng)ICS網(wǎng)絡(luò)安全產(chǎn)品準(zhǔn)入管理，保障供應(yīng)鏈安全.

國內(nèi)外高度重視ICS網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作，形成了從國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)等一系列標(biāo)準(zhǔn).當(dāng)前，我國工業(yè)互聯(lián)網(wǎng)快速發(fā)展，對ICS網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)尤其是網(wǎng)絡(luò)安全等級保護(hù)國家標(biāo)準(zhǔn)的針對性和適用性提出新的需求.本文對ICS網(wǎng)絡(luò)安全防護(hù)技術(shù)應(yīng)用需求和國家標(biāo)準(zhǔn)關(guān)鍵技術(shù)指標(biāo)要求進(jìn)行研究分析，為相關(guān)標(biāo)準(zhǔn)的制定和修訂工作提供參考.

1 當(dāng)前ICS網(wǎng)絡(luò)安全標(biāo)準(zhǔn)技術(shù)指標(biāo)分析

1.1 國內(nèi)外主要標(biāo)準(zhǔn)技術(shù)指標(biāo)對比分析

國際電工委員會(IEC)、電氣和電子工程師協(xié)會(IEEE)和國際自動化協(xié)會(ISA)等國際標(biāo)準(zhǔn)化組織一直致力于ICS網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn)建設(shè)，其中最具適用性的國際標(biāo)準(zhǔn)有IEC62443《工業(yè)過程測量、控制和自動化 網(wǎng)絡(luò)與系統(tǒng)信息安全》和SP 800-82《工業(yè)控制系統(tǒng)(ICS)安全指南》.全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC260)、全國工業(yè)過程測量與控制標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TCl24)、全國電力系統(tǒng)管理及其信息交換標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC82)和全國電力監(jiān)管標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC296)等國內(nèi)標(biāo)準(zhǔn)化技術(shù)委員會結(jié)合國內(nèi)實際需求，積極推廣上述國際標(biāo)準(zhǔn)，例如 IEC 62443-2-1 于2016 年被等同采納為《建立工業(yè)自動化和控制系統(tǒng)安全程序》(GB/T 33007—2016)，《工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》(GB/T32919—2016)基本采納了NIST SP 800-82中的主要技術(shù)指標(biāo).

《中華人民共和國網(wǎng)絡(luò)安全法》明確要求“國家實行網(wǎng)絡(luò)安全等級保護(hù)制度，建立和完善網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系”，《網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GB/T 22239—2019)和《網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計技術(shù)要求》(GB/T 25070—2019)作為落實法律規(guī)定的核心標(biāo)準(zhǔn)，提出了適用于所有信息系統(tǒng)的通用技術(shù)指標(biāo)要求，也提出了適用于ICS的擴(kuò)展技術(shù)指標(biāo)要求.本文分別就IEC62443和SP 800-82與上述標(biāo)準(zhǔn)中適用于ICS的技術(shù)指標(biāo)進(jìn)行對比分析.

1.1.1 IEC 62443標(biāo)準(zhǔn)與網(wǎng)絡(luò)安全等級保護(hù)標(biāo)準(zhǔn)

1)體系架構(gòu).

IEC 62443 標(biāo)準(zhǔn)包含4部分：第1部分為總體要求，建立了定量系統(tǒng)信息安全符合性度量體系所必要的要求，提供系統(tǒng)目標(biāo)、系統(tǒng)設(shè)計和最終達(dá)到的信息安全保障等級；第2部分為策略和規(guī)程，提出了建立網(wǎng)絡(luò)信息安全管理系統(tǒng)所要求的元素、工作流程和實現(xiàn)指南，規(guī)定了系統(tǒng)信息安全程序運行方法和有效性度量體系；第3部分為系統(tǒng)級措施，提供了對不同網(wǎng)絡(luò)安全產(chǎn)品的評估、緩解措施以及系統(tǒng)調(diào)節(jié)和監(jiān)控技術(shù)，提出了系統(tǒng)的區(qū)域和通道網(wǎng)絡(luò)安全保障等級要求和驗證方式以及不同信息安全分區(qū)的基本防護(hù)措施和增強(qiáng)防護(hù)措施；第4部分為組件級措施，規(guī)定了嵌入式設(shè)備、主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備等安全產(chǎn)品開發(fā)時的網(wǎng)絡(luò)安全技術(shù)要求.該標(biāo)準(zhǔn)從ICS自身安全需求延伸到網(wǎng)絡(luò)安全層面，涵蓋資產(chǎn)所有者、系統(tǒng)集成商、組件供應(yīng)商等相關(guān)方，提出了全方位的網(wǎng)絡(luò)安全技術(shù)要求.

我國網(wǎng)絡(luò)安全等級保護(hù)國家標(biāo)準(zhǔn)提出了“一個中心、三重防御”的技術(shù)架構(gòu)，即安全管理中心、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界和安全計算環(huán)境，包含通用安全要求和ICS安全擴(kuò)展要求.在指標(biāo)體系架構(gòu)上，參照IEC62443提出的層級結(jié)構(gòu)模型，把ICS從底層往上劃分為現(xiàn)場設(shè)備層、現(xiàn)場控制層和過程監(jiān)控層，并基于不同層級信息交互，設(shè)立了邊界安全隔離、訪問策略控制、數(shù)據(jù)安全傳輸和存儲以及監(jiān)測審計等技術(shù)指標(biāo)，保障系統(tǒng)運行安全和數(shù)據(jù)安全.

2)技術(shù)指標(biāo).

下面以IEC 62443-3-3標(biāo)準(zhǔn)“系統(tǒng)技術(shù)和組件技術(shù)”與GB/T 22239—2019標(biāo)準(zhǔn)的技術(shù)指標(biāo)為例說明[1].IEC 62443-3-3 規(guī)定了標(biāo)志和鑒別控制等7項基本要求，每項要求包含1項基線要求及若干增強(qiáng)要求；GB/T 22239—2019 標(biāo)準(zhǔn)由安全通信網(wǎng)絡(luò)等4項指標(biāo)構(gòu)成，每項指標(biāo)包含通用安全要求和ICS安全擴(kuò)展要求.

在此對IEC 62443-3-3的基本要求和GB/T 22239—2019標(biāo)準(zhǔn)中的技術(shù)控制點及其數(shù)量進(jìn)行對比，如表1和圖1所示：

表1 IEC 62443-3-3基本要求與GB/T 22239—2019技術(shù)指標(biāo)對比

圖1 IEC 62443-3-3基本要求與GB/T 22239—2019技術(shù)指標(biāo)控制點對比

可以看出：IEC 62443-3-3標(biāo)準(zhǔn)基于ICS高可用性需求，設(shè)置防止未經(jīng)授權(quán)訪問、受限數(shù)據(jù)流、事件實時響應(yīng)以及資源可用性等指標(biāo)，側(cè)重于保障系統(tǒng)可靠運行，且技術(shù)要求隨信息安全保障等級(SAL)逐級遞增.GB/T 22239—2019在安全計算環(huán)境指標(biāo)中也設(shè)置了保障系統(tǒng)可用性的指標(biāo)，并按照安全等級(SL)逐級遞增，但注重通過邊界隔離防護(hù)、網(wǎng)絡(luò)監(jiān)測審計、入侵防范、集中安全管理等網(wǎng)絡(luò)通信約束類指標(biāo)提高系統(tǒng)安全防護(hù)能力.在保障系統(tǒng)高可用性方面，前者比后者指標(biāo)更具體，對系統(tǒng)響應(yīng)時間的影響更小，更能保證系統(tǒng)的可靠運行；在網(wǎng)絡(luò)安全綜合防御技術(shù)體系方面，后者指標(biāo)更加完善.

注重系統(tǒng)的可用性是IEC62443標(biāo)準(zhǔn)的顯著特點，例如：

在安全計算環(huán)境方面，二者都提出了用戶身份鑒別指標(biāo)及設(shè)備與軟件的口令策略、雙因子認(rèn)證等要求.前者對設(shè)備、進(jìn)程和人員的標(biāo)志和身份鑒別都提出了具體要求，如控制系統(tǒng)提供初始化鑒別器，鑒別器安裝完成后立即改變其默認(rèn)值，改變或刷新所有鑒別器，存儲或者傳輸時保護(hù)鑒別器免受未經(jīng)授權(quán)的泄露和修改，控制系統(tǒng)提供鑒別過程中隱藏鑒別信息反饋的能力.后者只要求對登錄系統(tǒng)的用戶身份進(jìn)行標(biāo)識和鑒別.

在網(wǎng)絡(luò)邊界防護(hù)方面，前者強(qiáng)調(diào)系統(tǒng)自我保護(hù)能力.如“孤島模式、失效關(guān)閉”指標(biāo)提出：系統(tǒng)一旦遭受攻擊，不但阻斷網(wǎng)絡(luò)邊界的通信，而且還切斷一切與其通信的路徑和傳輸數(shù)據(jù)，做到自身與外界無任何數(shù)據(jù)交互，形成信息孤島，確保系統(tǒng)自身安全穩(wěn)定運行.后者圍繞網(wǎng)絡(luò)分區(qū)分域、邊界隔離防護(hù)、入侵監(jiān)測與防范、設(shè)備應(yīng)用程序可信驗證等設(shè)置網(wǎng)絡(luò)通信約束性指標(biāo)，以傳統(tǒng)信息系統(tǒng)適用性指標(biāo)體系為基礎(chǔ)，適當(dāng)補(bǔ)充了ICS特殊適用性指標(biāo)控制項.

1.1.2 SP 800-82標(biāo)準(zhǔn)與網(wǎng)絡(luò)安全等級保護(hù)標(biāo)準(zhǔn)

SP 800-82標(biāo)準(zhǔn)基于ICS的脆弱性和面臨的威脅，圍繞系統(tǒng)軟硬件及固件的實施和執(zhí)行，提出了標(biāo)識與鑒別、訪問控制、審計與核查、系統(tǒng)和通信保護(hù)、配置管理、系統(tǒng)與信息完整性、介質(zhì)保護(hù)、事件應(yīng)急響應(yīng)、安全與隱私保護(hù)9項技術(shù)指標(biāo).每項指標(biāo)提出詳細(xì)的安全控制技術(shù)措施集合，內(nèi)容包括結(jié)構(gòu)化構(gòu)件、措施編排方法和措施基線選擇過程，用戶可在滿足自身防護(hù)需求的前提下對措施進(jìn)行裁剪或補(bǔ)充[2].

SP 800-82的技術(shù)指標(biāo)分為152個控制點，GB/T 22239—2019分為4類、28個控制點，重點從邊界、網(wǎng)絡(luò)、主機(jī)和應(yīng)用等方面進(jìn)行分類[3].對比來看，SP 800-82的控制點更加全面和詳細(xì)，更加注重系統(tǒng)遭受攻擊時持續(xù)提供服務(wù)、系統(tǒng)恢復(fù)和降低損害等能力.

1.2 國內(nèi)主要行業(yè)標(biāo)準(zhǔn)技術(shù)指標(biāo)特點

國內(nèi)電力行業(yè)ICS網(wǎng)絡(luò)安全防護(hù)工作起步早、最具代表性[4].行業(yè)管理部門發(fā)布實施了《電力二次系統(tǒng)安全防護(hù)規(guī)定》《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》等規(guī)范性文件以及《電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)導(dǎo)則》(GB/T 36572)等系列標(biāo)準(zhǔn)，提出了“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的基本防護(hù)策略，重點從基礎(chǔ)設(shè)施安全、體系結(jié)構(gòu)安全、系統(tǒng)本體安全、安全可信免疫等方面明確具體技術(shù)要求.主要特點為：

1)分區(qū)分域和安全隔離.

網(wǎng)絡(luò)分為生產(chǎn)控制大區(qū)和管理信息大區(qū)，其中：生產(chǎn)控制大區(qū)根據(jù)業(yè)務(wù)重要性和響應(yīng)級別分為控制區(qū)和非控制區(qū)；生產(chǎn)控制大區(qū)與管理信息大區(qū)之間部署經(jīng)國家指定部門檢測認(rèn)證的專用橫向隔離裝置，隔離強(qiáng)度達(dá)到物理隔離；生產(chǎn)控制大區(qū)與外部公用數(shù)據(jù)網(wǎng)采用虛擬專用網(wǎng)絡(luò)(VPN)等通信時，設(shè)立安全接入?yún)^(qū)，并采用具有訪問控制功能的設(shè)備、防火墻或者相當(dāng)功能的邏輯隔離設(shè)施.

2)專用通信和加密認(rèn)證.

控制區(qū)采用電力調(diào)度數(shù)據(jù)網(wǎng)或?qū)Ｓ眯诺揽v向通信；非控制區(qū)采用電力調(diào)度數(shù)據(jù)網(wǎng)縱向通信；管理信息大區(qū)采用電力企業(yè)數(shù)據(jù)網(wǎng)或外部互聯(lián)網(wǎng)縱向通信；生產(chǎn)控制大區(qū)SCADA/AGC、電力市場交易等重要業(yè)務(wù)采用行業(yè)專用縱向加密認(rèn)證裝置遠(yuǎn)程通信.

3)主機(jī)和服務(wù)器防護(hù).

生產(chǎn)控制大區(qū)統(tǒng)一部署惡意代碼防護(hù)系統(tǒng)，離線更新病毒庫、木馬庫以及IDS 規(guī)則庫，禁止生產(chǎn)控制大區(qū)與管理信息大區(qū)共用一套惡意代碼防護(hù)系統(tǒng).撥號訪問服務(wù)器和用戶端使用經(jīng)國家指定部門認(rèn)證的安全加固操作系統(tǒng)，并采取加密、認(rèn)證和訪問控制等措施.

4)自主安全可控.

采用行業(yè)專用的電力調(diào)度數(shù)字證書系統(tǒng)，實現(xiàn)行業(yè)密碼基礎(chǔ)設(shè)施一體化管理，為電力監(jiān)控系統(tǒng)以及電力調(diào)度數(shù)據(jù)網(wǎng)上的關(guān)鍵應(yīng)用、用戶和設(shè)備提供數(shù)字證書服務(wù)，實現(xiàn)高強(qiáng)度的身份認(rèn)證、安全的數(shù)據(jù)傳輸以及可靠的行為審計.生產(chǎn)控制大區(qū)采用國產(chǎn)硬件防火墻，其功能、性能、電磁兼容性須經(jīng)過國家相關(guān)部門的認(rèn)證和測試.

此外，煙草行業(yè)發(fā)布實施《煙草工業(yè)企業(yè)生產(chǎn)網(wǎng)與管理網(wǎng)網(wǎng)絡(luò)互聯(lián)安全規(guī)范》，把生產(chǎn)企業(yè)網(wǎng)絡(luò)分為生產(chǎn)網(wǎng)和管理網(wǎng)，兩網(wǎng)之間通過專用互聯(lián)接口通信，具備身份鑒別、訪問控制、網(wǎng)絡(luò)互聯(lián)控制、惡意行為防范、安全審計以及支撐操作系統(tǒng)安全等功能.石化行業(yè)發(fā)布實施《石油化工工廠信息系統(tǒng)設(shè)計規(guī)范》，要求網(wǎng)絡(luò)間嚴(yán)格進(jìn)行安全隔離.

1.3 分析小結(jié)

1)國內(nèi)ICS網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn)大多借鑒IEC62443和SP 800-82系列標(biāo)準(zhǔn)技術(shù)指標(biāo)要求.結(jié)合國內(nèi)需求，網(wǎng)絡(luò)安全等級保護(hù)標(biāo)準(zhǔn)提出了“一個中心、三重防御”的技術(shù)指標(biāo)體系，在網(wǎng)絡(luò)邊界隔離、網(wǎng)絡(luò)通信、系統(tǒng)應(yīng)用、數(shù)據(jù)保護(hù)、集中管理等方面提出針對性指標(biāo)要求.

2)IEC62443和SP 800-82標(biāo)準(zhǔn)作為ICS專用安全防護(hù)標(biāo)準(zhǔn)，注重從保護(hù)ICS的高可用性設(shè)計指標(biāo)，從系統(tǒng)自身安全需求延伸到外圍網(wǎng)絡(luò)安全層面，盡量減小對系統(tǒng)響應(yīng)時間的影響；國內(nèi)相關(guān)標(biāo)準(zhǔn)注重通過邊界隔離、網(wǎng)絡(luò)監(jiān)測、入侵防范、集中安全管理等網(wǎng)絡(luò)通信約束性指標(biāo)，提高網(wǎng)絡(luò)安全加固能力.

3)GB/T 22239—2019以傳統(tǒng)信息系統(tǒng)適用性指標(biāo)體系為基礎(chǔ)，適當(dāng)補(bǔ)充了ICS特殊適用性指標(biāo)控制項，難以充分體現(xiàn)ICS針對性網(wǎng)絡(luò)安全技術(shù)需求.

4)IEC 62443標(biāo)準(zhǔn)技術(shù)指標(biāo)涵蓋資產(chǎn)所有者、系統(tǒng)集成商、組件供應(yīng)商等利益相關(guān)方，國內(nèi)標(biāo)準(zhǔn)側(cè)重于針對資產(chǎn)所有者提出技術(shù)指標(biāo)要求.

5)國內(nèi)電力等重要行業(yè)結(jié)合行業(yè)需求提出了ICS專用網(wǎng)絡(luò)邊界隔離、專用通信和加密認(rèn)證、惡意代碼防范、自主安全可控等特色指標(biāo)，重點保護(hù)核心生產(chǎn)控制業(yè)務(wù)的安全，防護(hù)強(qiáng)度高于國際標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn).

2 ICS網(wǎng)絡(luò)安全防護(hù)技術(shù)應(yīng)用需求分析

2.1 工業(yè)互聯(lián)網(wǎng)對ICS網(wǎng)絡(luò)安全帶來的挑戰(zhàn)

2.1.1 系統(tǒng)泛在互聯(lián)，缺乏有效的隔離防護(hù)手段

1)生產(chǎn)管理系統(tǒng)實時采集ICS數(shù)據(jù)，并與經(jīng)營管理系統(tǒng)、互聯(lián)網(wǎng)互聯(lián)，ICS與管理網(wǎng)、互聯(lián)網(wǎng)處于同一網(wǎng)絡(luò)平面，工業(yè)病毒極易通過互聯(lián)網(wǎng)進(jìn)入ICS，遠(yuǎn)程操作行為帶來的入侵很容易對ICS造成危害.目前以分區(qū)隔離為主要模式的網(wǎng)絡(luò)安全技術(shù)弱化了連接安全性，使ICS在面對針對性網(wǎng)絡(luò)攻擊時愈發(fā)脆弱.

2)ICS系統(tǒng)大都集成化部署，子系統(tǒng)間缺乏有效隔離和認(rèn)證手段，存在可被入侵者利用的漏洞，一旦某個子系統(tǒng)感染病毒或受到攻擊，會迅速擴(kuò)散到其他子系統(tǒng).

3)上位機(jī)和下位機(jī)之間缺乏可靠的隔離防護(hù)措施，彼此間的通信缺少必要的身份鑒別和訪問控制機(jī)制，一般采用明文傳輸數(shù)據(jù)，大大降低了通過上位機(jī)對下位機(jī)攻擊的門檻.

4)具有數(shù)據(jù)采集分析、計算處理和遠(yuǎn)程控制功能的智能化設(shè)備多使用嵌入式通用操作系統(tǒng)，一定程度上降低了入侵難度，若遭受惡意攻擊，會變成“跳板”并大規(guī)模主動擴(kuò)散.

2.1.2 系統(tǒng)“帶病運行”，缺乏針對性的防護(hù)手段

1)核心控制設(shè)備長期不間斷運行，難以深度安全檢測，設(shè)備運行程序缺乏有效的實時備份和恢復(fù)手段，缺乏違規(guī)操作和越權(quán)訪問行為審計能力，設(shè)備漏洞修復(fù)依賴供應(yīng)商且難以被修復(fù)，極易導(dǎo)致設(shè)備配置和梯形邏輯被篡改、被寫入或刪除內(nèi)存模塊上的數(shù)據(jù)等.

2)工作站普遍采用Windows操作系統(tǒng)，存在可遠(yuǎn)程執(zhí)行代碼、未授權(quán)訪問等高危漏洞，漏洞補(bǔ)丁更新嚴(yán)重滯后且缺乏可靠的防病毒措施，攻擊者可利用上述漏洞篡改系統(tǒng)配置參數(shù)或控制指令，可直接導(dǎo)致系統(tǒng)服務(wù)癱瘓并停產(chǎn).

2.1.3 系統(tǒng)國產(chǎn)化率低，難以做到自主安全可控

核心控制設(shè)備、上位機(jī)操作系統(tǒng)、工業(yè)軟件等大多采用國外廠商產(chǎn)品，難以徹底排查后門等“暗功能”，容易形成隱蔽的攻擊通道.系統(tǒng)運維服務(wù)嚴(yán)重依賴供應(yīng)商，對其行為缺乏違規(guī)操作、越權(quán)行為審計能力，生產(chǎn)和工藝配方信息存在泄露風(fēng)險，系統(tǒng)難以做到“安全可靠、安全可信”.

2.1.4 缺乏網(wǎng)絡(luò)安全精準(zhǔn)監(jiān)控手段，無法做到事件協(xié)同處置

我國工業(yè)互聯(lián)網(wǎng)缺乏全網(wǎng)感知體系和終端監(jiān)測手段，監(jiān)測審計和事件感知能力不足，無法準(zhǔn)確預(yù)警、有效防御并追蹤溯源高級可持續(xù)性威脅等有組織的攻擊行為.

目前國內(nèi)建設(shè)的ICS網(wǎng)絡(luò)安全態(tài)勢感知平臺難以及時更新現(xiàn)場監(jiān)測設(shè)備安全行為基線和威脅庫，事件誤報、漏報問題突出，難以精準(zhǔn)定位事件，以及集中下發(fā)安全策略，不具備事件協(xié)同處置能力.

2.2 國內(nèi)ICS網(wǎng)絡(luò)安全防護(hù)技術(shù)應(yīng)用需求

1)以保證ICS高可用性為前提，從網(wǎng)絡(luò)、主機(jī)、控制設(shè)備、數(shù)據(jù)等方面采用針對性的防護(hù)技術(shù)，切實提升高級可持續(xù)性威脅等重大網(wǎng)絡(luò)安全風(fēng)險防御能力.

2)完善ICS邊界以及工業(yè)互聯(lián)網(wǎng)移動互聯(lián)、無線接入等邊界防護(hù)技術(shù)要求，邊界隔離防護(hù)措施既不影響系統(tǒng)間信息交互，也能有效降低事件快速蔓延風(fēng)險.

3)推進(jìn)國產(chǎn)密碼技術(shù)在重要ICS中的應(yīng)用，解決系統(tǒng)與數(shù)據(jù)的身份認(rèn)證、訪問控制、機(jī)密性和完整性問題.

4)推進(jìn)核心控制設(shè)備、工作站、服務(wù)器、基礎(chǔ)軟件、業(yè)務(wù)軟件等軟硬件產(chǎn)品國產(chǎn)化，完善內(nèi)生安全機(jī)制，有效避免“后門”攻擊威脅.

5)采用新建、改造ICS上線前軟件源代碼安全性檢測和系統(tǒng)安全性測試技術(shù),針對存在的漏洞和“后門”，提出安全可控的防護(hù)技術(shù)要求.

3 ICS網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn)關(guān)鍵控制項

基于上述分析，本文從系統(tǒng)本體、通信網(wǎng)絡(luò)、數(shù)據(jù)安全、安全監(jiān)測與應(yīng)急處置、防護(hù)產(chǎn)品安全等方面提出ICS網(wǎng)絡(luò)安全防護(hù)技術(shù)指標(biāo)和關(guān)鍵控制項.如圖2所示：

圖2 ICS網(wǎng)絡(luò)安全標(biāo)技術(shù)標(biāo)準(zhǔn)關(guān)鍵控制項

3.1 網(wǎng)絡(luò)邊界安全防護(hù)

防護(hù)目標(biāo)：適應(yīng)工業(yè)互聯(lián)網(wǎng)對系統(tǒng)互聯(lián)的要求，部署高可靠性的邊界隔離設(shè)備，既能滿足ICS與外部網(wǎng)絡(luò)、內(nèi)部子系統(tǒng)間信息交互需求，又能有效抵御系統(tǒng)內(nèi)外部攻擊行為.

關(guān)鍵控制項：

1)ICS與外部網(wǎng)絡(luò)邊界部署安全隔離技術(shù)裝置，重要ICS采用單向(雙單向)隔離并采用無連接通信協(xié)議通信，所造成的系統(tǒng)延時≤5 ms[5]，既滿足網(wǎng)絡(luò)間數(shù)據(jù)雙向傳輸和下發(fā)遠(yuǎn)程控制指令等系統(tǒng)運行和低時延通信要求，也能有效防止外部網(wǎng)絡(luò)向ICS發(fā)動基于工控協(xié)議的攻擊；

2)重要ICS與外部網(wǎng)絡(luò)之間設(shè)置非軍事區(qū)(DMZ)，避免網(wǎng)絡(luò)之間直接交換數(shù)據(jù)，采取各自獨立的鑒別機(jī)制和憑證，消除兩網(wǎng)之間不受管制的通信；

3)重要ICS根據(jù)控制和監(jiān)測等不同功能劃分安全區(qū)域，不同區(qū)域邊界采用具備邏輯隔離功能的設(shè)備，對系統(tǒng)內(nèi)的通信行為進(jìn)行細(xì)粒度的控制，能夠識別和阻止已知的網(wǎng)絡(luò)安全威脅，保證控制類系統(tǒng)可靠運行；

4)重要ICS核心控制器前部署邏輯隔離裝置，所造成的系統(tǒng)延時≤100 μs，阻止非法數(shù)據(jù)包與控制器通信，減輕控制器負(fù)荷，保護(hù)控制器免受風(fēng)暴數(shù)據(jù)包攻擊；

5)移動互聯(lián)、無線接入設(shè)備接入ICS前通過認(rèn)證網(wǎng)關(guān)和工控防火墻安全隔離，訪問控制主客體力度至少細(xì)化到IP地址和端口號、MAC地址及應(yīng)用協(xié)議,對傳輸數(shù)據(jù)進(jìn)行加密.

3.2 工業(yè)主機(jī)安全防護(hù)

防護(hù)目標(biāo)：

有效控制工業(yè)主機(jī)各類訪問行為，避免非授權(quán)訪問，防止受到非法入侵或造成工業(yè)數(shù)據(jù)泄露，但不因采用安全防護(hù)技術(shù)措施而影響系統(tǒng)正常運行或?qū)ο到y(tǒng)的功能安全產(chǎn)生不利影響.

關(guān)鍵控制項：

1)安裝主機(jī)加固類軟件，設(shè)置白名單配置策略，僅允許系統(tǒng)執(zhí)行已知安全程序，實時監(jiān)控主機(jī)進(jìn)程、服務(wù)、網(wǎng)絡(luò)端口和外接設(shè)備狀況，及時阻止執(zhí)行非授權(quán)應(yīng)用或篡改信任應(yīng)用的行為，阻止開啟非法進(jìn)程或開放非法端口；

2)重要ICS上位機(jī)安裝組態(tài)軟件或修改重要參數(shù)時，采用 “口令+證書” “口令+生物鑒別”等身份鑒別方式[6]，采用面向ICS的遠(yuǎn)程安全運維管控平臺，實現(xiàn)運維服務(wù)行為可控、可審計；

3)統(tǒng)一管理主機(jī)外接U盤等移動介質(zhì)，針對不同身份配置相應(yīng)可讀、可寫、可使用等權(quán)限，利用文件過濾技術(shù)阻止所有可疑文件，并對操作行為進(jìn)行日志審計，消除移動介質(zhì)使用時可能出現(xiàn)的BadUSB攻擊、LNK攻擊等安全威脅；

4)采用在線無損漏洞掃描技術(shù)定期對主機(jī)進(jìn)行深度漏洞安全檢測，在兼顧主機(jī)高可用性的情況下及時更新漏洞補(bǔ)丁.

3.3 數(shù)據(jù)安全保護(hù)

防護(hù)目標(biāo)：

保護(hù)傳輸和存儲數(shù)據(jù)的完整性和保密性，保證ICS內(nèi)部及與外部網(wǎng)絡(luò)之間信息的安全傳輸.

關(guān)鍵控制項：

1)重要系統(tǒng)采用專用數(shù)據(jù)網(wǎng)絡(luò)或?qū)Ｓ眯诺劳ㄐ?，通過無線網(wǎng)絡(luò)傳輸數(shù)據(jù)時采用無線信號加密、接入設(shè)備認(rèn)證、無線-有線網(wǎng)絡(luò)間隔離等控制手段；

2)數(shù)據(jù)采集時進(jìn)行識別、解析和清洗，數(shù)據(jù)存儲時判別數(shù)據(jù)敏感等級并實施一定程度的加密，數(shù)據(jù)傳輸時進(jìn)行簽名和驗證，實現(xiàn)對數(shù)據(jù)流向的動態(tài)管控；

3)采用數(shù)據(jù)標(biāo)識身份認(rèn)證技術(shù)，保證標(biāo)識身份的真實性，通過標(biāo)識數(shù)據(jù)加密防止數(shù)據(jù)傳輸時被泄露，借助標(biāo)識行為授權(quán)機(jī)制防范異常解析或篡改行為；

4)系統(tǒng)采用統(tǒng)一的安全協(xié)議底層架構(gòu)，工業(yè)網(wǎng)絡(luò)協(xié)議具備保密和認(rèn)證機(jī)制，能夠抵御互聯(lián)網(wǎng)中常見的重放攻擊、篡改攻擊、中間人攻擊、拒絕服務(wù)攻擊、修改控制系統(tǒng)程序軟件等惡意攻擊行為.

3.4 惡意代碼防范

防護(hù)目標(biāo)：

在不干擾ICS正常功能的前提下，統(tǒng)一部署安全可靠的惡意代碼防護(hù)系統(tǒng)，有效阻止有害入侵在系統(tǒng)內(nèi)的傳播蔓延.

關(guān)鍵控制項：

1)統(tǒng)一部署惡意代碼防護(hù)系統(tǒng)，病毒庫、木馬庫以及IDS 規(guī)則庫離線更新，禁止與管理信息系統(tǒng)共用一套防惡意代碼管理服務(wù)器；

2)在ICS與外部網(wǎng)絡(luò)邊界、內(nèi)部子系統(tǒng)連接處、上位機(jī)和下位機(jī)之間等重要部位部署恰當(dāng)?shù)姆啦《竞蛺阂獯a策略，有效阻止來自系統(tǒng)內(nèi)外部的病毒和惡意代碼穿透性地擴(kuò)散至整個系統(tǒng)；

3)工程師站、操作員站及時安裝經(jīng)過測試的安全補(bǔ)丁，使用反病毒軟件和文件完整性檢測軟件進(jìn)行安全控制，以消減惡意軟件威脅；

4)U盤等移動介質(zhì)和運維筆記本等接入ICS前首先進(jìn)行病毒查殺，所有輸入數(shù)據(jù)先存放在文檔服務(wù)器進(jìn)行病毒查殺，內(nèi)部終端從服務(wù)器讀取數(shù)據(jù)；

5)重要系統(tǒng)服務(wù)器、核心控制設(shè)備等關(guān)鍵部件采用冷備機(jī)制，防止因感染勒索病毒等惡意軟件而導(dǎo)致數(shù)據(jù)無法恢復(fù).

3.5 防護(hù)產(chǎn)品安全

防護(hù)目標(biāo)：

安全防護(hù)產(chǎn)品安全可靠、管控策略有效，避免因產(chǎn)品自身缺陷對ICS正常功能產(chǎn)生影響.

關(guān)鍵控制項：

1)串接類產(chǎn)品部署不影響系統(tǒng)的響應(yīng)時間等性能要求，比如在系統(tǒng)上位機(jī)和下位機(jī)之間部署的安全隔離設(shè)備須滿足最低通信延時要求；

2)產(chǎn)品不應(yīng)設(shè)置鎖定用于基本功能的賬戶等系統(tǒng)所必須支持的功能，不應(yīng)對系統(tǒng)功能的可靠性和功能安全產(chǎn)生影響；

3)產(chǎn)品不應(yīng)因自身安全措施失效導(dǎo)致系統(tǒng)的基本功能中斷；

4)產(chǎn)品應(yīng)具備對存儲在其上的敏感數(shù)據(jù)進(jìn)行安全保護(hù)的功能，不存在未授權(quán)泄露身份認(rèn)證信息、配置信息等風(fēng)險；

5)產(chǎn)品不應(yīng)存在已公布的漏洞，預(yù)裝軟件、補(bǔ)丁包/升級包不應(yīng)存在惡意程序，不應(yīng)存在未聲明的功能和訪問接口(含遠(yuǎn)程調(diào)試接口).

3.6 自主安全可控

防護(hù)目標(biāo)：

ICS采用國產(chǎn)化軟硬件產(chǎn)品并建立內(nèi)生安全機(jī)制，有效防御未知漏洞和后門攻擊.

關(guān)鍵控制項：

1)采用嵌入式安全可信上位機(jī)，具有安全模塊及可信驗證等機(jī)制，具備身份加密認(rèn)證、數(shù)據(jù)加密傳輸?shù)裙δ?，能有效防御未知漏洞和后門攻擊；

2)采用具有國產(chǎn)化芯片和操作系統(tǒng)的核心控制設(shè)備，控制指令執(zhí)行時間≤0.08 μs[5]，具有嵌入式安全模組等內(nèi)生安全機(jī)制，具備身份加密認(rèn)證、數(shù)據(jù)加密傳輸?shù)裙δ?，能有效防御未知漏洞和后門攻擊[7].

3.7 安全監(jiān)測與應(yīng)急處置

防護(hù)目標(biāo)：

對ICS部署授權(quán)、認(rèn)證和監(jiān)聽等安全功能，從資產(chǎn)、漏洞、威脅、攻擊等多個方面監(jiān)測網(wǎng)絡(luò)安全態(tài)勢，實時分析安全風(fēng)險并及時預(yù)警，集中下發(fā)安全策略并協(xié)同處置安全事件.

關(guān)鍵控制項：

1)智能化設(shè)備采用自身硬件安全保護(hù)機(jī)制，具備網(wǎng)絡(luò)安全感知、監(jiān)測預(yù)警和應(yīng)急處置功能，保證網(wǎng)絡(luò)通信和數(shù)據(jù)安全；

2)監(jiān)測審計設(shè)備具備安全行為基線和威脅告警規(guī)則自學(xué)習(xí)能力，能夠智能識別網(wǎng)絡(luò)異常和入侵行為，具備高級可持續(xù)性威脅檢測和發(fā)現(xiàn)能力，能及時、準(zhǔn)確預(yù)警木馬病毒或主機(jī)受控等攻擊事件；

3)企業(yè)級ICS網(wǎng)絡(luò)安全態(tài)勢感知與集中管控平臺具備設(shè)備漏洞庫、威脅情報庫、應(yīng)急響應(yīng)工具庫等安全知識庫，能夠全天候動態(tài)監(jiān)測、關(guān)聯(lián)分析和綜合感知威脅并發(fā)布預(yù)警，能夠集中下發(fā)安全處置策略并快速協(xié)同應(yīng)急處置，防止黑客利用漏洞進(jìn)行更廣泛的攻擊；

4)重要系統(tǒng)服務(wù)器、交換機(jī)應(yīng)支持設(shè)備整機(jī)主備切換功能或關(guān)鍵部件應(yīng)支持冗余功能，在設(shè)備或關(guān)鍵部件運行狀態(tài)異常時能自動切換到冗余設(shè)備或冗余部件以降低安全風(fēng)險.

4 有關(guān)建議

建議管理部門應(yīng)組織加強(qiáng)工業(yè)互聯(lián)網(wǎng)環(huán)境下ICS網(wǎng)絡(luò)安全防護(hù)關(guān)鍵技術(shù)指標(biāo)研究，盡快制定針對性技術(shù)標(biāo)準(zhǔn)，保障重要行業(yè)領(lǐng)域ICS安全可靠運行.

1)組織國內(nèi)各相關(guān)標(biāo)準(zhǔn)化專業(yè)機(jī)構(gòu)和技術(shù)委員會等建立聯(lián)席會議機(jī)制，復(fù)審已發(fā)布的ICS網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)，針對工業(yè)互聯(lián)網(wǎng)對ICS網(wǎng)絡(luò)安全防護(hù)的特殊需求，研究制定《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)關(guān)鍵技術(shù)要求》強(qiáng)制性國家標(biāo)準(zhǔn)，確保落地實施.

2)指導(dǎo)性國家標(biāo)準(zhǔn)《信息安全技術(shù)重要工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)導(dǎo)則》(GB/Z 41288—2022)于2022年3月9日發(fā)布，該標(biāo)準(zhǔn)從安全防護(hù)技術(shù)、應(yīng)急備用措施和安全管理等方面提出了重要ICS網(wǎng)絡(luò)安全防護(hù)體系，建議盡快按照推薦性國家標(biāo)準(zhǔn)發(fā)布.

3)建立ICS網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn)符合性測試認(rèn)證制度，定期對標(biāo)準(zhǔn)技術(shù)指標(biāo)要求的有效性、適用性開展測試評估，積極吸納成熟的安全防護(hù)新技術(shù)，不斷完善技術(shù)指標(biāo)要求.

4)在后續(xù)標(biāo)準(zhǔn)制定中，充分借鑒IEC 62443和SP 800-82等相關(guān)國際標(biāo)準(zhǔn)先進(jìn)思路，積極引導(dǎo)ICS功能安全和信息安全技術(shù)的融合，不斷提升ICS自主安全可控能力.