李 琪

（國家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心青海分中心，青海 西寧 810000）

近年來，隨著現(xiàn)代社會(huì)信息技術(shù)水平的不斷提升，以及全國乃至全球網(wǎng)絡(luò)安全形勢的持續(xù)變化，發(fā)布至今達(dá)十余年之久的等保1.0已無法滿足網(wǎng)絡(luò)安全新風(fēng)險(xiǎn)、新技術(shù)的應(yīng)對(duì)要求，網(wǎng)絡(luò)安全防御體系急需實(shí)現(xiàn)由被動(dòng)向主動(dòng)、由粗放到精準(zhǔn)的優(yōu)化轉(zhuǎn)型。由此，等保2.0應(yīng)運(yùn)而生，并于2019年12月1日正式實(shí)行，開啟了我國網(wǎng)絡(luò)安全制度體系發(fā)展的新篇章。在此背景下，我們有必要對(duì)基于等保2.0的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全技術(shù)防護(hù)展開探究討論。

1 基于等保2.0工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全技術(shù)防護(hù)的基本背景

等保的全稱為“網(wǎng)絡(luò)安全等級(jí)保護(hù)”，是我國網(wǎng)絡(luò)安全領(lǐng)域的基本國策與核心制度。在網(wǎng)絡(luò)安全建設(shè)初期，我國社會(huì)主要應(yīng)用的制度為等保1.0，其從物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)五個(gè)角度入手，對(duì)網(wǎng)絡(luò)安全防護(hù)提出了技術(shù)要求，同時(shí)從制度、機(jī)構(gòu)、人員、系統(tǒng)建設(shè)以及系統(tǒng)運(yùn)維五個(gè)角度入手，對(duì)網(wǎng)絡(luò)安全防護(hù)提出了管理要求。辯證地看，等保1.0在推動(dòng)我國網(wǎng)絡(luò)安全建設(shè)興起與發(fā)展的同時(shí)，也存在諸多問題。例如：基于等保1.0的網(wǎng)絡(luò)安全防御工事以被動(dòng)防護(hù)為主，對(duì)風(fēng)險(xiǎn)的主動(dòng)感知能力比較弱；等保1.0在覆蓋范疇上存在一定局限性，與云安全、大數(shù)據(jù)、工業(yè)控制等新科技、新概念存在不兼容問題；等保1.0在安全防護(hù)時(shí)機(jī)上具有即時(shí)性特點(diǎn)，即只能對(duì)已發(fā)生的安全風(fēng)險(xiǎn)作出應(yīng)對(duì)[1]。

為了解決此類缺陷短板，同時(shí)也為了使我國網(wǎng)絡(luò)安全防護(hù)體系建設(shè)得更加健全，等保2.0適時(shí)而出，在法律規(guī)定、技術(shù)要求、管理要求、實(shí)施標(biāo)準(zhǔn)、覆蓋領(lǐng)域等各個(gè)方面都有了明顯的優(yōu)化調(diào)整。例如：在法律規(guī)定方面，等保2.0以《中華人民共和國網(wǎng)絡(luò)安全法》為支撐，對(duì)以社會(huì)企業(yè)為代表的網(wǎng)絡(luò)運(yùn)營者提出了硬性要求，若不遵守和落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)的各項(xiàng)要求，將代表著對(duì)公共法律的觸犯；在技術(shù)要求方面，等保2.0對(duì)前代制度的相關(guān)內(nèi)容進(jìn)行了整合與細(xì)化，形成了物理和環(huán)境、網(wǎng)絡(luò)和通信、設(shè)備和計(jì)算、應(yīng)用和數(shù)據(jù)四個(gè)層次；在管理要求層面，等保2.0將機(jī)構(gòu)與人員兩部分安全管理要求合而為一，并建立起了更嚴(yán)格的定級(jí)測評(píng)體系；在實(shí)施標(biāo)準(zhǔn)方面，等保2.0除了“通用要求”以外，還融入了“擴(kuò)展要求”，以此滿足不同網(wǎng)絡(luò)應(yīng)用場景、不同技術(shù)體系的特定安全防護(hù)需求；在覆蓋領(lǐng)域方面，云計(jì)算、移動(dòng)網(wǎng)絡(luò)、物聯(lián)網(wǎng)、工業(yè)控制等網(wǎng)絡(luò)發(fā)展新產(chǎn)物被納入到制度體系之中，與我國社會(huì)的發(fā)展實(shí)情高度貼合。

2 基于等保2.0工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全技術(shù)防護(hù)的威脅因素

2.1 工業(yè)控制系統(tǒng)本身存在設(shè)計(jì)缺陷

在前期設(shè)計(jì)階段，很多工業(yè)控制系統(tǒng)的架構(gòu)工程師更關(guān)注穩(wěn)定性、功能性，而疏于對(duì)系統(tǒng)安全防護(hù)能力的重視。這樣一來，便很容易導(dǎo)致工業(yè)控制系統(tǒng)在實(shí)際投用中存在大量的安全漏洞，為黑客、病毒等威脅主體的侵入創(chuàng)造可乘之機(jī)。據(jù)我國相關(guān)權(quán)威平臺(tái)的調(diào)查報(bào)告稱，截止至2020年2月，該平臺(tái)共檢查出工業(yè)控制系統(tǒng)漏洞2353種，其中有超過九成為中度以上風(fēng)險(xiǎn)漏洞，且以Siemens、Schneider以及研華三個(gè)品牌的工控產(chǎn)品漏洞最多。

2.2 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)邊界相對(duì)模糊

現(xiàn)階段，工業(yè)控制系統(tǒng)已實(shí)現(xiàn)了由集中控制系統(tǒng)、分散控制系統(tǒng)到現(xiàn)場總線控制系統(tǒng)的逐步發(fā)展，其與工業(yè)管理網(wǎng)、公共互聯(lián)網(wǎng)的通信連接也日趨緊密。在此背景下，工業(yè)控制系統(tǒng)相對(duì)封閉化、獨(dú)立化的網(wǎng)絡(luò)狀態(tài)被打破，進(jìn)而造成了其網(wǎng)絡(luò)邊界的嚴(yán)重模糊。這樣一來，無法厘清網(wǎng)絡(luò)邊界，也就很難實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù)體系的覆蓋化部署，使得越權(quán)操作、違規(guī)外聯(lián)、非法訪問等負(fù)面現(xiàn)象時(shí)有發(fā)生，對(duì)工業(yè)控制系統(tǒng)的安全穩(wěn)定運(yùn)行與工業(yè)生產(chǎn)活動(dòng)的順利高效開展構(gòu)成了極大威脅。

2.3 工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)排查力度不足

當(dāng)工業(yè)控制系統(tǒng)遭到外部攻擊或非法入侵時(shí)，其波動(dòng)變化能在數(shù)據(jù)信息層面得到明顯體現(xiàn)，從而形成相應(yīng)的異常網(wǎng)絡(luò)流量。此時(shí)，若系統(tǒng)或人員對(duì)此類異常作出感知，即可及時(shí)實(shí)現(xiàn)外部威脅、風(fēng)險(xiǎn)隱患的應(yīng)對(duì)處理，為工業(yè)控制系統(tǒng)的安全穩(wěn)定提供保障。但從目前的實(shí)際情況來看，很多工業(yè)控制系統(tǒng)在設(shè)計(jì)和投用過程中，并未配備出高敏感性的異常流量分析模塊或感知系統(tǒng)。這樣一來，風(fēng)險(xiǎn)隱患的排查速度、排查力度將大打折扣，難以達(dá)到等保2.0的要求標(biāo)準(zhǔn)。

2.4 工業(yè)控制系統(tǒng)的主機(jī)運(yùn)用不合理

在當(dāng)前，主機(jī)系統(tǒng)運(yùn)用的不合理、不先進(jìn)，是影響我國社會(huì)中企業(yè)工業(yè)控制系統(tǒng)安全質(zhì)量的又一重要因素。例如，截止至2020年1月14日，微軟公司已明確提出不再為Windows7及之前版本的操作系統(tǒng)提供主流支持服務(wù)，包括更新服務(wù)包、修復(fù)系統(tǒng)漏洞、改變功能設(shè)計(jì)等。但放眼我國社會(huì)實(shí)際，很大一部分企業(yè)仍會(huì)將Windows7、WindowsXP等操作系統(tǒng)用于工程師站、管理員站、操作員站、數(shù)據(jù)庫等工業(yè)控制網(wǎng)絡(luò)主機(jī)的建構(gòu)當(dāng)中。此時(shí)，一旦該系列操作系統(tǒng)出現(xiàn)新安全漏洞或新拓展需求，將很難從運(yùn)營商處得到自動(dòng)、及時(shí)的服務(wù)支持，顯然不利于主機(jī)乃至整體工業(yè)控制系統(tǒng)的安全防護(hù)。

3 基于等保2.0工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全技術(shù)防護(hù)的實(shí)踐策略

3.1 提高物理環(huán)境質(zhì)量

現(xiàn)階段，多數(shù)企業(yè)會(huì)將工業(yè)控制系統(tǒng)機(jī)房建設(shè)在廠區(qū)環(huán)境當(dāng)中，故而很難保證其周圍物理環(huán)境的客觀質(zhì)量。對(duì)此，為了避免工業(yè)控制系統(tǒng)受到水、水、電磁、溫濕度等物理因素的干擾影響，企業(yè)必須要構(gòu)建出相對(duì)完善的網(wǎng)絡(luò)安全物理防護(hù)體系。例如，為了防止火災(zāi)對(duì)工業(yè)控制系統(tǒng)的安全穩(wěn)定構(gòu)成威脅，應(yīng)在長期環(huán)境中布設(shè)出足量的火光傳感器，并將智能化消防監(jiān)控系統(tǒng)納入到將機(jī)房主體的建設(shè)當(dāng)中，以實(shí)現(xiàn)火災(zāi)隱患的及時(shí)感知、及時(shí)響應(yīng)、自動(dòng)處理，將工控機(jī)的安全程度維持在高水平[2]。

3.2 強(qiáng)化邊界防護(hù)力度

在等保2.0制度的導(dǎo)向之下，企業(yè)必須要對(duì)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)邊界作出細(xì)化明確，并制定出多元著手的安全防護(hù)技術(shù)方案。例如，可在工業(yè)控制系統(tǒng)的網(wǎng)域邊緣設(shè)置準(zhǔn)入隔離設(shè)備，并部署出工業(yè)網(wǎng)閘、工業(yè)防火墻等防御工事，以此在網(wǎng)絡(luò)邊界構(gòu)筑起多層結(jié)合的安防壁壘，對(duì)外部環(huán)境中違規(guī)接入、非法入侵的威脅主體進(jìn)行強(qiáng)效隔離。再如，可在防火墻的應(yīng)用基礎(chǔ)上，依托其病毒庫建立起風(fēng)險(xiǎn)代碼排查機(jī)制，對(duì)病毒庫中已錄入的病毒、木馬、危險(xiǎn)數(shù)據(jù)包等進(jìn)行動(dòng)態(tài)監(jiān)測與同步反饋，從而實(shí)現(xiàn)風(fēng)險(xiǎn)源侵入路徑的阻斷與記錄。

3.3 注重安全態(tài)勢感知

與等保1.0相比，等保2.0最大的變化之一，就是對(duì)安全體系的防護(hù)模式進(jìn)行了調(diào)整，提出了集事前預(yù)防、事中響應(yīng)、事后審計(jì)于一身的全程化、持續(xù)化保障要求。基于此，在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全技術(shù)防護(hù)的實(shí)踐中，企業(yè)必須要對(duì)安全態(tài)勢感知功能的建立與強(qiáng)化提起重視，對(duì)系統(tǒng)內(nèi)部的數(shù)據(jù)流動(dòng)、環(huán)節(jié)運(yùn)轉(zhuǎn)情況進(jìn)行全天候監(jiān)控。期間，一旦發(fā)現(xiàn)有異常的網(wǎng)絡(luò)流量存在，應(yīng)及時(shí)進(jìn)行風(fēng)險(xiǎn)點(diǎn)與風(fēng)險(xiǎn)來源的確認(rèn)，并采取源頭追溯、審計(jì)分析、故障處理、系統(tǒng)修復(fù)等后續(xù)手段。

3.4 確保主機(jī)運(yùn)維合理

工程師站、操作員站、數(shù)據(jù)庫等主機(jī)是工業(yè)控制系統(tǒng)的構(gòu)成基礎(chǔ)，其系統(tǒng)的運(yùn)維質(zhì)量與系統(tǒng)運(yùn)行、企業(yè)生產(chǎn)密切相關(guān)。所以，企業(yè)在基于等保2.0的網(wǎng)絡(luò)安全技術(shù)防護(hù)實(shí)踐中，首先要確保主機(jī)操作系統(tǒng)選用的合理性，盡量避免使用品牌運(yùn)營商已停止服務(wù)支持的系統(tǒng)版本，以防止系統(tǒng)漏洞無法修復(fù)、系統(tǒng)功能難以拓展的情況發(fā)生，對(duì)工業(yè)控制系統(tǒng)的穩(wěn)定運(yùn)行構(gòu)成威脅。其次，企業(yè)在部署防火墻、裝載殺毒軟件等的過程當(dāng)中，應(yīng)明確分析相關(guān)安全保護(hù)工具與操作系統(tǒng)之間的兼容性，以防止工具的保護(hù)效用難以發(fā)揮，使系統(tǒng)暴露于危險(xiǎn)的網(wǎng)絡(luò)環(huán)境之中。最后，在主機(jī)系統(tǒng)、安全工具均使用無誤的情況下，各站的終端操作人員、后臺(tái)管理人員還應(yīng)做好日?；c定期化兼?zhèn)涞南到y(tǒng)運(yùn)維工作，如病毒檢測、漏洞修復(fù)、冗余數(shù)據(jù)增刪、告警信息反饋等，從而為系統(tǒng)提供出最大化的人工管理保障，進(jìn)一步增強(qiáng)工業(yè)控制系統(tǒng)的安全性、穩(wěn)定性、耐久性。

4 結(jié)束語

總而言之，與前代制度相比，等保2.0的嚴(yán)格度更高、覆蓋面更廣、內(nèi)容更精細(xì)、角度更多元，為廣大企業(yè)的網(wǎng)絡(luò)安全防護(hù)建設(shè)提出了新要求、指明了新方向。在實(shí)踐中，企業(yè)應(yīng)圍繞物理環(huán)境、網(wǎng)絡(luò)邊界、異常感知、運(yùn)維管理等多個(gè)方面，構(gòu)建出完善、科學(xué)的安全防護(hù)技術(shù)體系，以將工業(yè)控制系統(tǒng)的運(yùn)行質(zhì)量始終維持在較高水平，為生產(chǎn)活動(dòng)提供出穩(wěn)定優(yōu)質(zhì)的工控保障。