行业热点 《工业控制系统信息安全防护指南》 解读 ICS产品管理团队 王晓鹏 张学聪 关键词 ：工控安全 工控信息安全 工控安全生命周期 等级保护 防护指南 摘要 ：11 月 7 日， 《中华人民共和国网络安全法》通过，在第三十一条明确规定，”国 家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域， 以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公 共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。” 工信部近期也发布了《工业控制系统信息安全防护指南》，而在此之前，工信部曾经发 布过工信部协 [2011]451 号《关于加强工业控制系统信息安全管理的通知》（下文简称 451 号文），从通知文件到防护指南，适用范围更加聚焦，目标更加明确，本文从不同角度做出 解读，并给出相关解决方案。 差异性分析 系统信息安全防护指南》则直接指出该指南适用于工业控制系统应 适用范围的差异 用企业以及从事工业控制系统规划、设计、建设、运维、评估的企 451 号文适用于核设施、钢铁、有色、化工、石油石化、电力、 天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、 事业单位，范围更广，目标更加明确。 落实的手段差异 防护指南深化了对原有 451 号文要求的内容，在工业控制系统 城市供水供气供热以及其他与国计民生紧密相关的领域 ； 《工业控制 49 行业热点 信息安全防护的落实手段上进行了强化。原有 451 号文旨在加强各 涉及企业信息网络 ( 生产管理层、信息管理层 ) 和企业生产网络 ( 过 相关机构针对工业控制系统信息安全的重要性和紧迫性的认识，如 程监督层、过程控制层 ) 的数据交互明确了防护措施。除了指出禁止 各级政府工业和信息化主管部门要加强对工业控制系统信息安全工 没有防护的工业控制网络与互联网连接，还提供了具体的边界安全 作的指导和督促检查 ；有关行业主管或监管部门、国有资产监督管 防护手段，如规定将工业控制系统的开发、测试和生产环境进行分离， 理部门要加强对重点领域工业控制系统信息安全管理工作的指导监 通过工业控制网络边界防护设备对工业控制网络与企业网或互联网 督 ；有关部门要加快推动工业控制系统信息安全防护技术研究和产 之间的边界进行安全防护，通过工业防火墙、网闸等防护设备对工 品研制 ；国有大型企业要切实加强工业控制系统信息安全管理的领 业控制网络安全区域之间进行逻辑隔离安全防护。 导。侧重点在于加强各部门对工业控制系统信息安全防护的认识上， 并没有提出具体的责任要求。 涉及企业信息网络向企业生产网络的远程访问安全，防护指南 参考了电力等先进发展行业中已经采用并得到检验的技术手段，如严 防护指南对工控系统信息安全防护落实手段进行了进一步的明 格禁止工业控制系统面向互联网开通 HTTP、FTP、Telnet 等高风 确。规定了地方工业和信息化主管部门要根据工业和信息化部的统 险通用网络服务 ；确需远程访问的，采用数据单向访问控制等策略 筹安排，对本行政区域内的工业企业进行指导并制定工控安全防护 进行安全加固，对访问时限进行控制，并采用加标锁定策略。 实施方案。要求各相关单位建立工控安全管理机制、成立信息安全 涉及企业过程监督层、过程控制层的安全配置管理方面，防护 协调小组等方式，明确工控安全管理责任人，落实工控安全责任制， 指南在原有 451 号文有关配置管理要求基础上进行了细化，加入了补 部署工控安全防护措施。 丁管理和身份认证相关要求。如密切关注重大工控安全漏洞及其补 可以看出，从原 451 号文到防护指南的推进，工控系统安全防 丁发布，及时采取补丁升级措施。在补丁安装前，需对补丁进行严格 护落实的手段进一步得到了加强。从要加强、要加快、切实加强到建立、 的安全评估和测试验证 ；在工业主机登录、应用服务资源访问、工 成立、明确、部署，整体防护落实手段有了一个质的飞跃。 业云平台访问等过程中使用身份认证管理。对于关键设备、系统和 技术方向的差异 平台的访问采用多因素认证 ；合理分类设置账户权限，以最小特权 目前防护指南深化了对原有 451 号文要求的内容，强调了可落地 原则分配账户权限。 防护指南对原有 451 号文有关应急管理要求进行了加深，引入了 的防护技术手段，已经可以具体到工业防火墙和网闸等具体的措施 安全监测机制和应急预案演练手段。规定了需要在工业控制网络部 上。 防护指南在原有 451 号文有关连接管理要求基础上进行了细化， 50 署网络安全监测设备，报告并处理网络攻击或异常行为 ；在重要工 行业热点 业控制设备前端部署具备工业协议深度包检测功能的防护设备，限 身份认证 制违法操作 ；定期对工业控制系统的应急响应预案进行演练。 �引入身份认证的要求，并且提出对于关键资产的访问需要采用 另外，防护指南还特别指出需要保留工业控制系统的相关访问 多因素认证。多因素认证也是《指南》中新增的针对工控系统的要求， 相关的关键资产应该采用口令加 RFID 等多种认证方式进行认证。 日志，并对操作过程进行安全审计。 管理方面的差异 �引入最小特权原则 ； 安全软件选择与管理 �引入强口令的要求，并要求对一些工控软件定期更换口令。工 �引入工控安全软件验证测试的环节，防病毒软件和白名单软件 控系统大部分还是使用厂家配置的默认口令，或使用弱口令，通过 需要在离线环节中进行测试和验证。防病毒和白名单软件是近几年 设置强口令，并定期更换，可以增加攻击者暴力破解口令的难度。 工控系统比较流行的安全软件， 《指南》中强调了在这些软件上线前 �新提出了加强对身份认证证书信息保护力度，禁止在不同系统 需要做好充分的测试，防止因为这些软件导致工控系统的故障。 和网络环境下共享的要求，防止身份认证信息泄露，从而导致身份 �引入防病毒和恶意软件入侵管理机制，对工业控制系统及临时 认证失效。 接入的设备采取病毒查杀等安全预防措施。对于任何接入已有工控 安全监测和应急预案演练 系统或新上线的工控系统都需要进行上线前的安全检查。 �提出在工控网络部署网络安全监测设备，及时发现威胁。相关 配置和补丁管理 的建议在一些行业规范中也可以找到对应的条例，现阶段工控系统 �引入重大配置变更的管理，在进行重大配置变更前进行影响分 的安全状况还是处于一个朦胧的阶段，管理员并不清楚自己负责的 析和严格的安全测试。 工控系统中是否已经具有相关的威胁，所以在工控系统中部署网络 �在配置管理的基础上引入补丁管理，相关企事业单位需要及时 入侵检测装置可以很好的帮助管理员了解该系统现有的安全状况和水 进行补丁升级，并且在安装前需要进行安全评估和验证。现阶段很 平。 多安全厂商已经具有了扫描工控系统漏洞的能力，但是在扫描出相 �提出在重要资产前部署具备工业协议深度包检测功能的防护设 关的漏洞后如何进行漏洞的修复一直是一个问题， 《指南》中着重强 备即工控防火墙类设备，限制违法操作 ； �在 451 号文的基础上提出工控安全事件需逐级报送直至属地 调了在进行配置变更（包含业务配置变更和安全基线配置变更）和漏 洞修复前都需要在试验环境中进行验证和测试。 省级工业和信息化主管部门，并提出注意保护现场便于取证。该建 51 行业热点 议在 451 号文的基础上提出了保护现场和取证的要求，工控安全不 题，落实此条建议可以避免生产部门和信息部门之间工控系统安全 仅要做到“防得住”，还要尽量做到“查得到”。 责任落实不明确，没有责任人的问题。 资产安全 解决方案 根据防护指南对工控安全的防护要求，可以从两个方面来看 �引入资产安全明确资产的责任人，建立台账和资产的处置机制 工业控制系统全生命周期 等，这些是目前工控系统普遍比较欠缺的，在防护指南中提出并做 工业控制系统全生命周期的角度去考虑贯穿于系统生命周期各 了相关要求。 个阶段的防护措施。 �提出对关键主机，网络，控制组件进行冗余备份 • 在设计阶段，将信息安全因素考虑其中，给出成型的系统建设 数据安全 信息安全解决方案 ； �提出对动态和静态数据的保护 ； �提出对测试数据进行保护，一是方便后期的维护，二是测试环 • 在设备选型阶段，选择成熟的融合信息安全的工业控制系统 境大都按照真实环境进行模拟，攻击者获取测试环境的数据后可以 （DCS、PLC、RTU、IED 等）和经过严格测试和认证的全线工控安 全产品 ； 参考这些数据对真实系统发动有针对性的攻击 ； • 在测试阶段，通过漏洞检测与挖掘技术对已成型的系统进行 供应链管理 在 451 号文供应商选择和在合同中明确安全责任和义务的基础 严格的安全测试，通过渗透测试、漏洞扫描、漏洞挖掘等方式发现 上增加了保密条例，防范敏感信息外泄，做好数据防泄漏工作，很 系统存在的安全隐患并进行加固和修复，同时，需要分离工业控制 多工控系统涉及国计民生，相关的生产流程，生产工艺都属于秘密 系统的开发、测试和生产环境，确保风险的隔离。 • 在运行阶段，通过非法入侵检测与异常行为安全审计等手段实 信息，因此在 451 号文的基础上《指南》提出了防泄密的要求。 现安全管理 ； 落实责任 • 在系统检修阶段，继续通过漏洞扫描、漏洞挖掘等手段对系 提出通过建立工控安全管理机制、成立信息安全协调小组等方 统进行二次安全测试 ； 式，明确工控安全管理责任人，落实工控安全责任制，部署工控安 全防护措施。很多企事业单位工控系统的使用者和管理者是两批人， • 在废弃阶段，对系统残余风险进行确认，确保系统正常报废 无风险遗留。 可能负责信息安全的又是另一拨人，因此存在责任主体不明确的问 52 行业热点 工控网络架构部署 行严格的访问控制。工控终端管控系统还可 兼具防病毒及应用程序白名单功能，只允许 经过工业企业自身授权和安全评估的软件运 行。 五、在工业控制网络区域部署网络安全 监测设备，如工控入侵检测系统、工控安全 审计系统，及时发现、报告并处理网络攻击 或异常行为。安全监测设备应能识别多种工 控协议，适应攻防的最新发展，准确监测网 络异常流量，自动应对各层面安全隐患，通 过对相关工控协议进行解析，发现潜在的异 工业控制网络综合防护拓扑图 常行为，并在第一时间进行告警。 六、工业控制系统应用企业上级监管机 一、在企业工业控制网络区域中部署工业防火墙，通过工业防火墙对安全区域之间进行 构可通过扫描器等合规性检查工具对相关单 逻辑隔离安全防护，包括对重要工业控制设备的