陶源：基于网络安全等级保护构建工业控制系统的综合防护体系

一 引言

随着工业化与信息化深度融合，以工业互联网、信息物理系统、制造业创新网络等为特征的智能工业将引领我国工业迈入转型发展的新时代，工业控制系统（ICS）已成为国家关键基础设施的神经中枢，其安全防护至关重要。

工业控制系统包括数据采集与监视控制系统（SCADA）、集散控制系统（DCS）和其它控制系统，如在工业部门和关键基础设施中经常使用的可编程逻辑控制器（PLC）。工业控制系统通常用于诸如电力、水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和饮料以及离散制造（如汽车、航空航天和耐用品）等行业。

工业控制系统的安全包括信息安全（Security）和功能安全（Safety）。信息安全是指保证工业控制系统的信息可用性、完整性、保密性，防范非授权的窃取、破坏。功能安全是指保证工业控制系统或控制设备执行正确的功能，当失效或故障发生时，控制设备和工业控制系统仍需保持安全条件或者进入到安全状态。

因此，工业控制系统的信息安全是用于构建工业控制系统多区域多边界的防护结构，形成工业控制系统的信息安全防护屏障；工业控制系统的功能安全是工业控制系统的最终防护屏障，当工业控制系统外围防护被突破后，为避免安全事故发生而采取降低伤害的概率和严重程度的安全手段。

《中华人民共和国网络安全法》，在第二十一条规定“国家实行网络安全等级保护制度”。因此，需要综合采纳信息安全和功能安全的保护思想，对工业控制系统进行网络安全等级保护，即通过采取必要措施，防范对工业控制系统网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使工业控制系统网络处于稳定可靠运行的状态，以及保障工业控制系统网络数据的完整性、保密性、可用性的能力。

二

2.1 工业控制系统的典型层次模型

工业控制系统主要由过程级、操作级以及各级之间和内部的通信网络构成，对于大规模的控制系统，也包括管理级。过程级包括被控对象、现场控制设备和测量仪表等，操作级包括工程师和操作员站、人机界面和组态软件、控制服务器等，管理级包括生产管理系统和企业资源系统等，通信网络包括商用以太网、工业以太网、现场总线等。

依据国际标准IEC 62443-1-1，本文给出工业控制系统参考模型，如图1所示。工业控制系统参考模型根据工业控制系统的特点及工业典型层次模型架构，给出了工业控制系统所涵盖的层级范围。

图1 工业控制系统参考模型

企业资源层，主要包括ERP系统功能单元，用于为企业决策层员工提供决策运行手段。

生产管理层，包括管理生产所需的工作流程所涉及的主要功能和系统，例如调度生产、生产计划、可靠性保障和现场控制业务优化等功能系统。主要包括MES生产管理系统、EMS能源管理系统、生产调度系统等系统，主要用于将决策层生产计划等信息转化成车间的生产调度计划，并将计划细化到作业工位。依据底层控制系统提供的设备、人员、物料等实时数据，进行分析、计算与处理。

过程监控层，包括监视和控制过程所涉及的功能和系统，过程监控层系统为提供操作员人机界面功能、提供报警和过程历史记录收集等功能的系统。主要用于对生产过程中不同方面数据进行采集与集中监控，实现对工业生产的监视、控制、分析、报警等功能。

现场控制层，包括直接用于工业控制过程的安全保护系统和基本控制系统，如用以完成连续控制、顺序控制、批量控制和离散控制的工业自动化控制系统。直接用于工业控制过程的基本控制系统包括但不限于DCS、PLC、RTU等，安全保护系统如SIS安全仪表系统等。

现场设备层，包括实际参与工业生产和业务的工业控制物理过程，该层涉及的生产设施为直接连接到工艺和工业设备且受现场控制层控制系统控制的传感器和执行器等。

2.2 工业控制系统各层次涵盖的典型对象

结合国际标准IEC 62443-1-1和工业控制系统各层次的典型对象类型，本文给出了GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》（以下简称为“GB/T 22239-2019”）中工业控制系统各层级所覆盖的典型生产控制系统和装置，供工业控制系统安全建设时参考使用。

工业控制系统各层级所覆盖的典型生产控制系统和装置如表1所示。

表1：工业控制系统层级涵盖的典型对象类型

构建工业控制系统的综合安全防护体系时，可以依据工业控制系统的层级和安全保护级别采取合适的安全保护措施。

三 工业控制系统的等级保护对象

工业控制系统是非常复杂的系统，需要根据工业控制系统的规模、功能以及业务主体来划分工业控制系统的等级保护对象和明确网络安全责任主体。

一般来说，工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中，现场采集/执行、现场控制和过程控制等要素需作为一个整体对象定级，各要素不单独定级；生产管理要素宜单独定级。

对于大型工业控制系统，可以根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。

3.1 工业控制系统等级保护对象的纵向划分方法

在确定工业控制系统等级保护对象的时候，企业资源层、生产管理层的构成要素可以分别作为单独的等级保护对象，而过程监控层、现场控制层和现场设备层的构成要素应作为一个整体对象，各要素不单独定级。这是从纵向（功能层次）划分工业控制系统的等级保护对象，如图2所示。

 图2 纵向划分工业控制系统的等级保护对象

3.2 工业控制系统等级保护对象的横向划分方法

如果工业控制系统规模很大，并且横向上的业务责任主体和系统功能也不同，可以在横向上根据工业控制系统业务的责任主体和工业控制系统的不同功能、控制对象的不同范围等因素将现场设备层、现场控制层和过程监控层进一步划分成多个等级保护对象。这是从横向（业务责任主体+功能层次）划分工业控制系统的等级保护对象，如图3所示。

 图3 横向划分工业控制系统的等级保护对象

四 工业控制系统的网络安全等级保护

4.1 网络安全等级保护的整体安全保护能力要求

工业控制系统的网络安全等级保护所遵循的标准体系包括以下国家标准：

（1）计算机信息系统安全保护等级划分准则（GB 17859-1999）

（2）网络安全等级保护定级指南（GB/T 22240-2020）

（3）网络安全等级保护基本要求（GB/T 22239-2019）

（4）网络安全等级保护安全设计要求（GB/T 25070-2019）

（5）网络安全等级保护测评要求（GB/T 28448-2019）

（6）网络安全等级保护测评过程指南（GB/T 28449-2018）

（7）网络安全等级保护实施指南（GB/T 25058-2019）

网络安全等级保护系列标准首次明确将工业控制系统纳入了等级保护范围内，并且构成了“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”支持下的“一个中心、三重防护”体系架构。

在网络安全等级保护系列标准里，GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》是核心标准，可以依据该标准从技术类和管理类来构建不同安全保护等级的工业控制系统综合防护体系。技术类包括：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心；管理类包括：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

依据不同的安全保护等级，工业控制系统需要具有相适应的安全保护能力，需要考虑以下总体性要求，保证工业控制系统的整体安全保护能力。在GB/T 22239-2019中给出了关于等级保护对象整体安全保护能力的要求，工业控制系统可以参考等级保护对象整体安全保护能力构建工业控制系统的整体安全保护能力。

GB/T 22239-2019对等级保护对象的整体安全保护能力要求如下：

（1）构建纵深的防御体系：从技术和管理两个方面采取相应的安全要求，在采取由点到面的各种安全措施时，在整体上还应保证各种安全措施的组合从外到内构成一个纵深的安全防御体系，保证等级保护对象整体的安全保护能力。应从通信网络、网络边界、局域网络内部、各种业务应用平台等各个层次落实GB/T 22239-2019提到的各种安全措施，形成纵深防御体系。

（2）采取互补的安全措施：GB/T 22239-2019以安全控制的形式提出安全要求，在将各种安全控制落实到特定等级保护对象中时，应考虑各个安全控制之间的互补性，关注各个安全控制在层面内、层面间和功能间产生的连接、交互、依赖、协调、协同等相互关联关系，保证各个安全控制共同综合作用于等级保护对象上，使得等级保护对象的整体安全保护能力得以保证。

（3）保证一致的安全强度：GB/T 22239-2019将安全功能要求，如身份鉴别、访问控制、安全审计、入侵防范等内容，分解到等级保护对象的各个层面，在实现各个层面安全功能时，应保证各个层面安全功能实现强度的一致性。应防止某个层面安全功能的减弱导致整体安全保护能力在这个安全功能上消弱。例如，要实现双因子身份鉴别，则应在各个层面的身份鉴别上均实现双因子身份鉴别；要实现基于标记的访问控制，则应保证在各个层面均实现基于标记的访问控制，并保证标记数据在整个等级保护对象内部流动时标记的唯一性等。

（4）建立统一的支撑平台：GB/T 22239-2019针对较高级别的等级保护对象，提到了使用密码技术、可信技术等，多数安全功能（如身份鉴别、访问控制、数据完整性、数据保密性等）为了获得更高的强度，均要基于密码技术或可信技术，为了保证等级保护对象的整体安全防护能力，应建立基于密码技术的统一支撑平台，支持高强度身份鉴别、访问控制、数据完整性、数据保密性等安全功能的实现。

（5）进行集中的安全管理：GB/T 22239-2019针对较高级别的等级保护对象，提到了实现集中的安全管理、安全监控和安全审计等要求，为了保证分散于各个层面的安全功能在统一策略的指导下实现，各个安全控制在可控情况下发挥各自的作用，应建立集中的管理中心，集中管理等级保护对象中的各个安全控制组件，支持统一安全管理。

4.2 根据工业控制系统的应用场景选取合适的安全保护措施

在GB/T 22239-2019中，明确提出了因为业务目标的不同、使用技术的不同、应用场景的不同等因素，不同的等级保护对象会以不同的形态出现，形态不同的等级保护对象面临的威胁有所不同，安全保护需求也会有所差异。为了便于实现对不同级别的和不同形态的等级保护对象的共性化和个性化保护，等级保护要求分为安全通用要求和安全扩展要求。

安全通用要求针对共性化保护需求提出，等级保护对象无论以何种形式出现，必须根据安全保护等级实现相应级别的安全通用要求；安全扩展要求针对个性化保护需求提出，需要根据安全保护等级和使用的特定技术或特定的应用场景选择性实现安全扩展要求。安全通用要求和安全扩展要求共同构成了对等级保护对象的安全要求。

由于工业控制系统通常是对可用性要求较高的等级保护对象，工业控制系统中的一些装置如果实现特定类型的安全措施可能会终止其连续运行，原则上安全措施不应对高可用性的工业控制系统基本功能产生不利影响。例如用于基本功能的账户不应被锁定，甚至短暂的也不行；安全措施的部署不应显著增加延迟而影响系统响应时间；对于高可用性的控制系统，安全措施失效不应中断基本功能等。

经评估对可用性有较大影响而无法实施和落实安全等级保护要求的相关条款时，应进行安全声明，分析和说明此条款实施可能产生的影响和后果，以及使用的补偿措施。

五 总结

GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》是网络安全等级保护的核心标准，在该标准中对工业控制系统的安全要求为：安全通用要求和工业控制系统安全扩展要求。

工业控制系统的安全扩展要求包括5个层面和9个控制点，这5个层面和9个控制点内容分别为：

（1）安全物理环境：室外控制设备物理防护。

（2）安全通信网络：网络架构、通信传输。

（3）安全区域边界：访问控制、拨号使用控制、无线使用控制。

（4）安全计算环境：控制设备安全。

（5）安全建设管理：产品采购和使用、外包软件开发。

工业控制系统构成的复杂性，组网的多样性，以及等级保护对象划分的灵活性，给网络安全等级保护基本要求的使用带来了选择的需求。在GB/T 22239-2019中给出了工业控制系统功能层次模型和标准相关内容的映射关系。

 表2：GB/T 22239-2019要求项与工业控制系统层级的映射关系

工业控制系统通常是对可用性要求较高的等级保护对象，原则上安全措施不应对高可用性的工业控制系统基本功能产生不利影响，即统筹考虑业务安全和网络安全。工业控制系统的具体安全措施需要结合具体的应用场景和实时性要求进行具体分析，在保障业务安全的前提下，通过采取必要安全措施，防范对工业控制系统网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使工业控制系统网络处于稳定可靠运行的状态，以及保障工业控制系统网络数据的完整性、保密性、可用性的能力。