网络安全等级保护工业控制系统安全防护技术体系设计

网络安全等级保护

工业控制系统安全防护技术体系设计

傅一帆霍玉鲜中国电子信息产业集团有限公司第六研究所

摘要：随着工业控制新技术、新应用的发展，在原有标准的基础上进行了扩展，增加了工业控制安全要求。从定级对象、

安全体系结构、安全保护环境设计等层面进行介绍，提升了标准的可读性，有利于标准对行业的指导。

关键词：等级撕ZQlk控制系统錄区域信息齡

不对第4层做等级保护设计要求）。

引言

工业控制系统（ics)是指对工业生产过程安全

根据工业控制系统安全单位的唯一确定性、业务对 象、业务特点和业务范围等因素，综合确定工业控制系统等 级保护对象。在确定定级对象的安全等级时，应综合考虑资 产价值、生产对象及后果等因素。确定工业控制系统定级对 象具体参照GB/T 22240、GB/T 22239等相关雜雛。

根据对工业控制系统架构及安全的分析，总结出工业 控制系统中第0 ~ 3层防护对象包含的用户、软硬件和数据 三类，如图1所示。

(Safely )、信息安全（Security )和可靠运行产生作用和

影响的人员、硬件、策略和软件的集合，包括集散控制系统

(DCS )、监督控制和数据采集（SCADA)系统、可编程

序逻辑控制器（PLC )、远程测控单元RTU、相关的信息系 统如人机界面等。随着信息化和工业化的发展工业控制系统 广泛应用于国防军工、轨道交通、电力电网、石油化工、水 利水库等关系国计民生的重点工控行业，由于其复杂多样 性，工业控制系统也面临来自各方面的威胁。近年来，随着 工业控制新技术的发展，原有标准部分条款无法满足工业控 制高可靠性、实时性下的安全设计技术要求，因此亟需根据 工业控制系统的特点増力噺的内容。此次修订规范了网络安 全等级保护安全设计技术要求对工业控制系统的扩展设计要 求，包括第一级至第四级工业控制系统安全保护环境的安全 计算环境、安全区域边界、安全通信网络和安全管理中心等 方面的设计技术要求。适用于指导网络安全等级保护工业控 制系统安全技术方案设计与实施，也可作为信息安全§能部 门对工业控制系统进行监督'检查和指导的依据。

图1工业控制系统防护对象

二' 工业控制系统安全体系结构

此次修订工作结合工业控制系统形态众多、性能各 异、实时性及可靠性要求高、现场设备计算资源有限等特 点，充分分析工业控制系统面临的各种威胁，发现其脆弱 性，从而提出了三重防护多级互联、安全分区纵深防御设计

路。

—、定綱象

工业控制系统和其他信息系统按照功能层次分为从下 到上的五层架构：

a )第0层，现场设备层； b )第1层，现场控制层； c )第2层，过程监控层； d )第3层，生产管理层；

e )第4层，企业资源层，即其他的信息系统（本标准

(一）三重防护多级互联技术框架

工业控制系统的等级保护防护方案设计参照以往构建 在安全管理中心支持下的计算环境、区域边界、通信网络三 重防御体系，采用分区的架构，结合工业控制系统总线协议

〇丨^6(：1111〇丨〇97 2017年第5期19

复杂多样、实时性强'节点计算资源有限、设备可靠性要求 高、故障恢复时间短、安全机制不能影响实时性等特点进行 设计，以实现可信、可控'可管的系统安全互联、区域边界 安全防护和计算环境安全，如图2所示。

安全管理中心支持下的计算环境、区域边界、 通信网络三重防御多级互联技术框架：

分区的主要根据有业务系统或其功能模块的实时性、 使用者、主要功能、设备使用场所、各业务系统间的相互 关系、广域网通信方式以及对工业控制系统的影响程度 等。对于额外的安全性和可靠性要求，在主要的安全区还 可以根据操作功能进一步划分成子区。将设备划分成不同 的区域可以帮助企业有效地建立“纵深防御”策略。将具 备相同功能和安全要求的各系统的控制功能划分成不同的 安全区域，并按照方便管理的原则，为各安全功能区域分 配网段地址〇

也||安全管瓔中心I A全理中心I

三、工业控制系统安全防护体系设计

等级保护分为四级，防护方案设计逐级增强，但防护 方案设计中的防护类别相同，只是安全保护设计的强度不 同，防护类另抱括：安全计算环境、安全区域边界、安全通 信网络、安全管理中心。各级工业控制系统信息安全保护环 境的设讨通过对M

的安全计算环境、安全区域边界、安全

|-=«1

1-----1 ^

系统安全审计

~

I

图2工业控制系统信息安全三重獅多级互联技术框架

(二）安全分区纵深防御策略

对于复杂工业控制系统建议采用分层分区的保护结构 实现信息安全等级保护设计，働于简单的工业控制系麵 以不分层进浦息安全等级保护设计。根据工业控制系雖 保护对象业务性质分区，针对功能层次技术特点实施信息安 全等级保护设计，对工业控制系驗防护。

依据图1,纵向上工业控制系统分为五层，其中第 0~3层为工业控制系统等级保护的范畴，即为本防护方案覆 盖的区域；横向上对工业控制系统进行安全区域的划分，根 据工业控制系统中业务的重要性、实时性、关联性、对现场 受控设备的影响程度以及功能范围、资产属性等，形成不同 的安全防护区域，所有系统都必须置于相应的安全区域内， 具体分区以工业现场实际情况为准。此次修订给出了防护方 案的示例性分区，分区方式包括但不限于：第0~2层组成 一个安全区域、第0~1层组成一个安全区域、同层中有不 同的安全区域等，如图3所示。

通信网络以及安全管理中心的设计加以实现。

(—)设计目标和策略

工业控制系统等级保护的设计目标逐级增强。第一级 工业控制系统信息安全保护环境的设计目标是对第一级工业 控制系统的信息安全保护系统实现定级系统的自主访问控 制，使系统用户对其所属客体具有自我保护的能力。第二级 工业控制系统信息安全保护环境的设计目标是在第一级的基 础上，增加系统安全审计等安全功能，并实施基于角色的访 问控制，使系统具有更强的安全保护能力。第三级工业控制 系统信息安全保护环境的设计目标是在第二级的基础上，增 强身份鉴别、审计等功能，同时增加区域边界之间的安全通 信措施。第四级工业控制系统信息安全保护环境的设计目标 是在第三级的基础上，对关键的控制回路的相关信息安全保 护设计要求做了阐述，要求设计者在有安全风险的场合提供 适合工控应用特点的保护方法和安全策略，通过实现基于角 色的访问控制以及增强系统的审制等_系列措施，使系 统具有在统一安全策略管控下，提供高强度的保护敏感资源 的能力。

工业控制系统等级保护的设计策略逐级增强。第一级 系统安全保护环境的设计策略是以身份鉴别为基础，按照 工业控制系统对象进行访问控制，监控层、控制层提供按 照用户和（或）用户组对操作员站和工程师站的文件及数 据库表的自主访问控制，以实现用户与数据的隔离，设备 层按照用户和（或）用户组对安全和保护系统、基本控制 系统的组态数据、配置文件等的自主访问控制，使用户具

20 1警親涿3 2017年第5期

“网络安全等级總安娜十献要求”傲了工作臟

备自主安全保护的能力；以包过滤和状态检测的手段提供 区域边界保护；以数据校验和恶意代码防范等手段提供数 据和系统的完整性保护。第二级工业控制系统信息安全保 护环境的设计策略是以身份鉴别为基础，提供单个用户和 (或）用户组对共享文件、数据库表、组态数据等的自主 访问控制；以包过滤手段、状态检测提供区域边界保护； 以数据校验和恶意代码防范等手段，同时通过增加系统安 全审计等功能，使用户对自己的行为负责，提供用户数据 保密性和完整性保护，以增强系统的安全保护能力。第三 级工业控制系统信息安全保护环境的设计策略是在第二级 的基础上，相应增强身份鉴别、审计等功能；增加边界之 间的安全通信防护，保障边界安全性。第四级工业控制系 统信息安全保护环境的设计策略是在第三级的基础上，构 造基于角色的访问控制模型，表明主、客体的级别分类和 非级别分类的组合，以此为基础，按照基于角色的访问控 制规则实现对主体及其客体的访问控制。

(二）关酿计技术要求 1 ■安全计算环境设计技术要求

安全计算环境，包括工业控制系统0 ~ 3层中的信息存 储、处理及实施安全策略的相关部件。安全计算环境按照保 护能力划分为第一级安全计算环境、第二级安全计算环境、 第三级安全计算环境和第四级安全计算环境，安全计算环境 设计技术要求逐级增强，各等级要求如表1。

表1安全计算环境设计技术要求

设计要求雜鉴别访问控制安全审计数据完整性保护数据保密性保护客体安全重用恶意代码防范网络可信连接保护配置可信检查控制过程完整性保护可信路径资源控制

第一级

第二级

第nm

第四级

表2安全区域边界设计技术要求

设计技术要求区域边界包过滤区域边界恶意代码防范区域边界安全审计区域边界完整性保护区域边界访问控制

第一级

第二^

第三级

第四级

V

V

VVVV

VVVVVVVVVV

3.安全通信网络设计技术要求

安全通信网络指对定级系统安全计算环境和信息安全 区域之间进行信息传输及实施安全策略的相关部件。安全通 信网络按照保护能力划分为第一级安全通信网络、第二级安 全通信网络、第三级安全通信网络和第四级安全通信网络， 安全通信网络设计技术要求逐级增强，各等级要求如表3。

表3安全通信网络设计技术要求

设计技术要求

通信网络数据传输完整性保护通信网络异常监测通信网审计

通信网络数据传输保密性保护通信网络数据传输的鉴别假护对M:无线网络攻击的防护通信网络可儲入保护

第一级

第二级

第邊

第四级

V

V

VVVVV

VVVVVVVVVVVVVV

对网络通讯的保护，例如对工程师站组态下装的过 程，是通过网络下装到控制器，分析网络，如果有不安全因 素，需加防篡改保护，首先要鉴别工程师站的操作者的身份 是否有对控制器进行下装操作的权限，如果有操作权限，方 可建立工程师站和控制器之间的通讯连接。

4.安全管理中心设计技术要求

安全管理中心指对定级系统的安全策略及安全计算环 境、安全区域边界和安全通信网络上的安全机制实纖一管 理的平台。第二级及第二级以上的定级系统安全保护环境需 要设置安全管理中心，称为第二级安全管理中心、第三级安 全管理中心和第四级安全管理中心。安全管理中心设计技术 要求逐级增强，各级要求如表4。

表4安全管理中心设要求

设计技术要求系统管理审计管理安全管理

第二级

第總

第四级

VVV

V

VVVVVVV

V

VVVVVVVVVV

VVVVVVVVVVVV

VV

2■安全区域边界设计技术要求

安全区域边界是指对定级系统的安全计算环境边界， 以及安全计算环境与安全通信网络之间实现连接并实施安全 策略的相关部件。安全区域边界按照保护能力划分为第一级 安全区馳界、第二级安全区域边界、第三级安全区馳界 和第四级安全区域边界，安全区域边界设计技术要求_强，各等级要求如表2〇

增

V

VVVVV

5■针对工业控制系统特点具体分析安全设i惟术要求

(1 )针对控制系统业务流程特点实施安全保护 对工业控制系统的计算环境，比较特殊的是处于第0 层、第1层、也包括第2层的计算环境。其中处于第1层的控 制器（或是PLC, SCADA中的RTU),通过现场总线与传 感器、执行器相连接，形成了4

控制回路，这是工业控制

〇丨1〇6 6〇1111〇丨〇97 2017年第5期21

专鑕

系统中基础和关键的部分，也是重要的保护目标。其中控制 器运行系统的控制逻辑，也是连接第0层和地2层的一个关 键环节，对控制器的访问和操作，必须先经过身份鉴别。这 包括工程师站的组态下装，操作员站发出的命令，都应经过 身份鉴别通过后授权执行。过去，_些控制器对组态下装到 控制器操作的身份鉴别是在工程师站上由组态软件系统执 行，在控制器上对工程师站的组态下装，操作员站发出的命 令之前进行身份鉴别，对假冒攻击进行了防护。

(2) 对控制过程的完整性保护

是防止干扰和破坏控制回路的数据传输和处理，防止 数据延误、丢失和篡改，保护控制系统的同步机制、校时机 制，控制器从所处的计算环境来说，极易受到来自网络、现 场总线、丨/〇端口的干扰，如以下但不限于所列行为：

算处理器件对操作系统装载程序和搮作系统进行度量，和存 放的报文摘要麵匕，没有麟瓶系统启动，经钱管理 中4确认属于白名单的应用程序和服务启动，操作员登录进 入操作员站，操作员使用用于身份鉴别的介质U-KEY插入 操作员站的USB接口，此时操作员站是禁用所有外设介质 端口的，这一插入USB接口事件报道安全管理中心，经过 判另|提做身份鉴别后，确认操作员身份并授权，此后«作员 再次操作不需再做身份鉴别，以保证能实时做出响应。搮作 员要离开操作员站时要做明确的退出操作，拿走U-KEY, 从安全考虑，当操作员站在一定时间没有操作动作时，应提 示操作员继续操作，如果没有响应，应及时锁屏，终止这个 会话，防止操作员离开，有人趁机假冒。解锁时需输入密 码。以上过程都被审计，可由安全管理中心审计追踪。在对 控制器的通信时，需先舰身份鉴别，只有雜鉴别舰后 方可建立通信连接，其中重要指令的下达，重要数据的传 送，应根据应用特点，用密码技术保证完整性或保密性，防 止伪造齡和数据欺骗。对于操作员站和控制器的通信会话 也要提供保护，在操作员交接班时应保持会话的有效性，要 考虑到出现紧急事件时能够实时处置，审计措施应能明确操

a )在1控制周期内，超过正常数量的中断请求；

b )超过合理包速率范围的icmp协议请求；c) 超过合理包速率范围的广播报文；d) 破坏现场总线的请求 一应答机制；e )破坏冗余工作机制；

f) 干扰表决器等安全保护系统的正常工作；g)

为；

恶意触发冗余系统切换、安全保护系统的停机的行 作员的行为和责任。

h) 其他干扰。

这些干扰会破坏控制任务的执行，甚至足以引起控制 器复位，而这些恶意攻击可以以合法的身份出现。因此，要 求在设计控制应用系统时，能识监控和防护这类攻击行 为，可在计算环境上，如控制器通过阻止关闭受到攻击的端 口，在边界上识别过滤这类攻击，在通信上采用防假冒防篡 改防干扰報护措施，形成多层次的纵深隱

(3) 对现场总线的安全保护

现场总线和现场设备层的安全问题，在受到物理保护 或有人值守的情况下，可麟邻近攻击。在麵总线和现场 设备，要防止留有可麵入、改接的物理接口，如有的设备 还配置有HART接口，在缺乏物理保护和监控的环境下，有 可能为非法接入、修改#«共了机会，在控制器的獅总 线接口处，应有实时监控，对于丢帧、数据异常、超过一定 范围的抖动及时报警规对于重要的麵总线和设备，应 根据应用的保护需求，用适合于实时性好、小位数处理的密

进行完整性或保密性保护。

(4) 以操作员站向控制器发送指令为例说明

以操作员站向控制器发送指令为例说明这条信息处理 路径所要应用的安全保护措施。操作员站启动前先用可信计

四、结语

在GB/T 25070中增加的工业控制系统安全设计要求的 内容，是在国家标准GB/T 25070-2010基础上为适应工业 控制新技术、新应用情况下而进行的修订，制定统一的工 业控制系统等级保护标准，建立整体安全防护体系及框 架，给出了详细、可实施的安全设计要求，可用于指导工 业控制系统运营使用单位、信息安全服务机构开展等级保 护安全技术方案设计，能够有效应对针对工业控制系统环 境的信息安全威胁，保护国家工业控制系统不被非法攻 击，保障重要工业控制系统的正常运行，从而确保国家工 业基础设施免遭破坏。K

参考文献

[1] GB/T 22240-2008《信息安全技术信息系统安全等级保护

定级指南》.[2] GB/T 22239-2008《信息安全技术信息系统安全等级保护

求》.

[3] GB/T 25070-2010《信息安全技术信息系统等级保护安全 设计技移求》.[4] IEC/TS 62443—1 Teiminology, Concqpts and Modefe.

22 I罾親涿3 2017年第5期