王建，王天屹，翟亞紅，蔣天倫

（1.北京卓識網(wǎng)安技術(shù)股份有限公司，北京100190；2.南方科技大學(xué)，廣東深圳518055；3.中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心，北京100020；4.華北電力大學(xué)a.控制與計算機工程學(xué)院；b.電氣與電子工程學(xué)院，北京102206）

0 引言

為實現(xiàn)工業(yè)自動化和控制系統(tǒng)通信網(wǎng)絡(luò)的信息安全，工業(yè)過程測量、控制與自動化∕網(wǎng)絡(luò)與系統(tǒng)信息安全工作組（IEC∕TC65∕WG10）與國際自動化協(xié)會（ISA 99）的聯(lián)合工作組經(jīng)過10 余年工作，制定出IEC 62443《工業(yè)過程測量、控制和自動化網(wǎng)絡(luò)與系統(tǒng)信息安全》系列標(biāo)準(zhǔn)（以下簡稱為IEC 62443 標(biāo)準(zhǔn)）已被業(yè)界廣泛認(rèn)同并采用［1-7］。該系列標(biāo)準(zhǔn)針對工業(yè)生產(chǎn)過程中涉及的信息安全問題，且充分考慮了各參與方的不同需求。其中IEC 62443-3-3《系統(tǒng)信息安全要求和信息安全保障等級》圍繞著基本概念模型中所定義的6 項基本要求（標(biāo)志和鑒別控制、使用控制、系統(tǒng)完整性、數(shù)據(jù)保密性、對事件的及時響應(yīng)和資源可用性）規(guī)范了相關(guān)的系統(tǒng)信息安全內(nèi)容及如何分配系統(tǒng)信息安全保障等級。

我國網(wǎng)絡(luò)安全領(lǐng)域的基本制度是網(wǎng)絡(luò)安全等級保護(hù)制度，自2007年全國范圍內(nèi)推進(jìn)實施。2019年等級保護(hù)標(biāo)準(zhǔn)升級為GB∕T 22239—2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》，即等級保護(hù)標(biāo)準(zhǔn)2.0。在工業(yè)領(lǐng)域，等級保護(hù)標(biāo)準(zhǔn)2.0以信息安全為起點，逐步與工業(yè)生產(chǎn)業(yè)務(wù)相融合，將工業(yè)控制列入標(biāo)準(zhǔn)范圍，構(gòu)成“安全通用要求+工業(yè)控制安全擴展要求”的內(nèi)容。工業(yè)控制系統(tǒng)安全擴展要求是針對工業(yè)控制系統(tǒng)特點提出的特殊保護(hù)要求。

全國工業(yè)過程測量控制和自動化標(biāo)準(zhǔn)化技術(shù)委員會（TC124）正將IEC 62443 系列標(biāo)準(zhǔn)轉(zhuǎn)化為國家標(biāo)準(zhǔn)，網(wǎng)絡(luò)安全等級保護(hù)基本要求GB∕T 22239—2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》（以下簡稱為GB∕T 22239—2019 標(biāo)準(zhǔn)）也正式頒布實施，下文將對比2個標(biāo)準(zhǔn)的異同。

1 適用范圍對比

工業(yè)控制系統(tǒng)是數(shù)據(jù)采集與監(jiān)視控制（SCADA）系統(tǒng)、分散控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）、遠(yuǎn)程終端單元（RTU）和其他用于傳感、控制、監(jiān)視和診斷的系統(tǒng)，包括用于制造業(yè)和流程工業(yè)的控制系統(tǒng)、樓宇控制系統(tǒng)、地理上分散的操作諸如公共設(shè)施（電力、天然氣和自來水）、管道和石油生產(chǎn)及分配設(shè)施、其他工業(yè)和應(yīng)用如交通運輸網(wǎng)絡(luò)，使用自動化或被遠(yuǎn)程控制、監(jiān)視的資產(chǎn)。

1.1 IEC 62443標(biāo)準(zhǔn)

制定IEC 62443 系列標(biāo)準(zhǔn)的主要目的是提供一種靈活的框架，以應(yīng)對工業(yè)自動化和控制系統(tǒng)（IACS）目前存在的不足。IEC 62443 系列標(biāo)準(zhǔn)可以有效提高企業(yè)系統(tǒng)安全性，使之適應(yīng)業(yè)務(wù)IT 系統(tǒng)的要求，并與IACS獨特的高可用性需求相結(jié)合。

IEC 62443 結(jié)構(gòu)分為5 個層級，由上至下依次為企業(yè)系統(tǒng)、運營管理、監(jiān)督控制、安全和保護(hù)或基本控制、過程（受控設(shè)備），如圖1所示。

圖1 IEC 62443參考模型Fig.1 IEC 62443 reference model

其中，第3―0 層為標(biāo)準(zhǔn)對應(yīng)的范圍。第3 層為運營管理層，具有管理生產(chǎn)最終產(chǎn)品的工作流程的功能。第2 層為監(jiān)督控制層，具有監(jiān)督和控制物理過程的功能。第1 層為本地或基本控制層，具有感知和操作物理過程的功能?？刂破髦苯舆B接到過程中的傳感器和執(zhí)行器。同時，該層也包括安全和保護(hù)系統(tǒng)，用于監(jiān)視過程，并在超出安全限值時自動將過程返回安全狀態(tài)。第0 層為過程層，包括直接連接到過程設(shè)備的傳感器和執(zhí)行器。

1.2 等級保護(hù)工控擴展要求

2019 年正式實施的GB∕T 22239—2019 標(biāo)準(zhǔn)將原標(biāo)準(zhǔn)中的信息系統(tǒng)改為等級保護(hù)對象，并將工業(yè)控制系統(tǒng)列入了標(biāo)準(zhǔn)范圍。參考IEC 62443 層次結(jié)構(gòu)模型劃分，將SCADA 系統(tǒng)、DCS 和PLC 的模型共性進(jìn)行抽象，通用工業(yè)企業(yè)采用層次模型進(jìn)從上到下共分為5個層次，以由上至下依次為企業(yè)資源層、生產(chǎn)管理層、過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設(shè)備層［8］，如圖2所示。

各個層級具體分工如IEC 62443 參考模型，不同層級對實時性的要求不同，在工業(yè)控制系統(tǒng)中的功能也不同。層級4（企業(yè)資源層）通過企業(yè)資源管理（ERP）系統(tǒng)為企業(yè)決策層提供決策運行手段。層級3（生產(chǎn)管理層）通過制造執(zhí)行系統(tǒng)（MES）為企業(yè)提供包括制造數(shù)據(jù)管理、計劃排程管理、生產(chǎn)調(diào)度管理等管理模塊。層級2（過程監(jiān)控層）通過分布式SCADA 系統(tǒng)采集和監(jiān)控生產(chǎn)過程參數(shù)，并利用人機界面（HMI）系統(tǒng)實現(xiàn)人機交互。層級1（現(xiàn)場控制層）通過PLC，DCS控制單元和RTU等進(jìn)行生產(chǎn)過程的控制。層級0（現(xiàn)場設(shè)備層）控制執(zhí)行器執(zhí)行生產(chǎn)過程，并通過傳感器采集實際生產(chǎn)過程中的數(shù)據(jù)。

圖2 等級保護(hù)工控擴展要求參考模型Fig.2 Reference model of extension requirements for industrial control system with classified security protection

IEC 62443 標(biāo)準(zhǔn)與等級保護(hù)標(biāo)準(zhǔn)都應(yīng)用于工業(yè)控制系統(tǒng)，適用范圍一致。從發(fā)展歷程來講，IEC 62443 標(biāo)準(zhǔn)是從工業(yè)控制系統(tǒng)的自身安全需求延伸到信息安全層面，而GB∕T 22239—2019 標(biāo)準(zhǔn)是從通用的信息安全擴展到了工業(yè)控制系統(tǒng)領(lǐng)域。

2 安全等級對比

IEC 62443-3-3 標(biāo)準(zhǔn)定義了系統(tǒng)級的技術(shù)安全要求，信息安全等級（SLs）被劃分為3 個不同的類型：目標(biāo)（SL-T）、實現(xiàn)（SL-A）和能力（SL-C），在工業(yè)控制系統(tǒng)全生命周期的各個階段均有不同的安全要求。同時該標(biāo)準(zhǔn)定義了0―4 共5 種不同級別的信息安全等級，每個安全級別的安全要求逐級遞增，每個技術(shù)指標(biāo)項均定義了不同的安全等級［9-12］。

在等級保護(hù)標(biāo)準(zhǔn)中，對于工業(yè)控制系統(tǒng)的現(xiàn)場采集∕執(zhí)行、現(xiàn)場控制、過程控制和生產(chǎn)管理等要素，可根據(jù)系統(tǒng)功能、責(zé)任主體、控制對象和生產(chǎn)廠商等劃分為不同的定級對象。不同對象可以確定為不同級別并擁有不同的安全保護(hù)能力。等級保護(hù)根據(jù)受害的客體和對客體的侵害程度共分為5個安全等級，不同級別的等級保護(hù)對象所具備的基本安全保護(hù)能力不同。第5級保護(hù)的是非常重要的監(jiān)管對象，有特殊的管理模式和安全要求，不做詳細(xì)介紹。

IEC 62443-3-3 與GB∕T 22239—2019 標(biāo)準(zhǔn)的安全等級對比見表1。兩者對不同安全等級的攻擊行為和保障方式進(jìn)行分級，對于受到損害后的系統(tǒng)，根據(jù)標(biāo)準(zhǔn)中不同安全等級要求，對系統(tǒng)受到損害后的恢復(fù)功能也有不同要求。

表1 IEC 62443-3-3與GB/T 22239—2019標(biāo)準(zhǔn)安全等級對比Tab.1 Comparison of security levels in IEC 62443-3-3 and GB/T 22239—2019

3 安全指標(biāo)對比

以核電站DCS 為例，比較IEC 62443-3-3 標(biāo)準(zhǔn)與GB∕T 22239—2019 標(biāo)準(zhǔn)的技術(shù)指標(biāo)。核電站非安全級DCS 主要用于核電站正常運行的監(jiān)視和控制，與其他系統(tǒng)相互隔離。與傳統(tǒng)IT 網(wǎng)絡(luò)不同，核電站DCS 主要考慮系統(tǒng)的可用性和可靠運行。當(dāng)核電站DCS 發(fā)生故障或受到信息安全影響時，首要考慮的是使設(shè)備或系統(tǒng)保持安全水平或者進(jìn)入安全狀態(tài)（不對功能安全造成影響），如不影響系統(tǒng)的響應(yīng)時間、可靠性、內(nèi)存等要求［13］。因此，在安全技術(shù)指標(biāo)方面會更關(guān)注控制系統(tǒng)運行的特點。

3.1 IEC 62443-3-3 標(biāo)準(zhǔn)安全要求

IEC 62443-3-3 標(biāo)準(zhǔn)規(guī)定了標(biāo)志和鑒別控制、使用控制、系統(tǒng)完整性、數(shù)據(jù)保密性、對事件的及時響應(yīng)和資源可用性等7個基本要求相關(guān)的詳細(xì)技術(shù)類控制系統(tǒng)要求［14］，每個技術(shù)類控制要求包含1 個基線要求以及0 個或數(shù)個加強安全性的增強要求，控制要求逐級遞增，每個安全等級所對應(yīng)的安全要求數(shù)量見表2。

3.2 等級保護(hù)技術(shù)指標(biāo)

GB∕T 22239—2019 標(biāo)準(zhǔn)技術(shù)部分除安全物理環(huán)境外，由安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境和安全管理中心構(gòu)成了安全技術(shù)指標(biāo)，同時還包括通用安全和工業(yè)控制系統(tǒng)安全擴展要求。各等級的安全指標(biāo)數(shù)量見表3。在安全計算環(huán)境中，安全技術(shù)指標(biāo)分布如圖3所示。

表2 IEC 62443-3-3所定義的安全要求數(shù)量Tab.2 Safety requirement number defined by IEC 62443-3-3

表3 等級保護(hù)的安全指標(biāo)數(shù)量Tab.3 Number of security indicators for graded protection

圖3 安全計算環(huán)境的指標(biāo)分布Fig.3 Distribution of secured computing environment indexes

3.3 相關(guān)技術(shù)指標(biāo)對比

IEC 62443-3-3標(biāo)準(zhǔn)所規(guī)范的IACS安全要求與IACS 獨特的高可用性需求相結(jié)合，采用系統(tǒng)化的防御方式，從控制系統(tǒng)業(yè)務(wù)可靠運行的角度擴展信息安全的要求。主要技術(shù)指標(biāo)包括：防止未經(jīng)授權(quán)查詢、使用設(shè)備或信息；保證通信通道上數(shù)據(jù)的完整性、保密性；限制通信通道上的數(shù)據(jù)流；及時響應(yīng)危及信息安全的事件及時響應(yīng)以及保證網(wǎng)絡(luò)資源的可用性等，并在基礎(chǔ)要求上逐級遞增。

GB∕T 22239—2019 標(biāo)準(zhǔn)的安全通用要求和安全擴展要求共同構(gòu)成了對等級保護(hù)對象的安全要求。其中，安全計算環(huán)境主要描述控制系統(tǒng)、控制設(shè)備的安全要素。選取同樣的控制系統(tǒng)，分別選取GB∕T 22239—2019 標(biāo)準(zhǔn)第3 級定義的工業(yè)控制系統(tǒng)安全計算環(huán)境的技術(shù)指標(biāo)，與IEC 62443-3-3 標(biāo)準(zhǔn)的技術(shù)指標(biāo)進(jìn)行比對，其關(guān)系如圖4所示。

圖4 IEC 62443-3-3與GB/T 22239—2019標(biāo)準(zhǔn)相關(guān)技術(shù)指標(biāo)對比Fig.4 Comparison of relevant technical indexes in IEC 62443-3-3 and GB/T 22239—2019

以核電站DCS 為例進(jìn)行相關(guān)技術(shù)指標(biāo)的對比分析，2 個標(biāo)準(zhǔn)對DCS 均適用，兩者對控制系統(tǒng)通用的信息安全約束、用戶三權(quán)分立、用戶身份鑒別、使用控制等基本相同。如IEC 62443-3-3 標(biāo)準(zhǔn)中的標(biāo)志和鑒別控制指標(biāo)，明確對設(shè)備與軟件的口令策略、安全策略、雙因子認(rèn)證以及遠(yuǎn)程加密管理等要求。在GB∕T 22239—2019 標(biāo)準(zhǔn)中也存在身份鑒別明確對設(shè)備與軟件的口令策略、安全策略、雙因子認(rèn)證以及遠(yuǎn)程加密管理等要求。

2 個標(biāo)準(zhǔn)的側(cè)重點明顯不同，IEC 62443-3-3 標(biāo)準(zhǔn)更加關(guān)注工業(yè)控制系統(tǒng)以及所有系統(tǒng)部件可用性，重點關(guān)注生產(chǎn)控制系統(tǒng)保證企業(yè)生產(chǎn)的持續(xù)、可操作性及穩(wěn)定的運行。從IEC 62443-3-3 標(biāo)準(zhǔn)中的技術(shù)指標(biāo)看，系統(tǒng)訪問、系統(tǒng)性能、專用工業(yè)控制系統(tǒng)安全保護(hù)技術(shù)及全生命周期的安全支持方面，技術(shù)要求比GB∕T 22239—2019 標(biāo)準(zhǔn)中相關(guān)的安全指標(biāo)更為具體、更能體現(xiàn)工業(yè)控制系統(tǒng)的特征。

在核電站DCS 自身安全性方面，如針對標(biāo)志和鑒別的指標(biāo)，IEC 62443-3-3 標(biāo)準(zhǔn)對設(shè)備、進(jìn)程和人員的標(biāo)志和身份鑒別均提出了安全要求［15］，SR1.5鑒別器管理，含有要求控制系統(tǒng)提供初始化鑒別器內(nèi)容；鑒別器安裝完成后立即改變所有鑒別器的默認(rèn)值；改變或者刷新所有的鑒別器；當(dāng)存儲或者傳輸?shù)臅r候，要保護(hù)鑒別器免受未經(jīng)授權(quán)的泄露和修改；又如SR1.10 鑒別器反饋，其中包含要求控制系統(tǒng)提供鑒別過程中隱藏鑒別信息反饋的能力。而在GB∕T 22239—2019 標(biāo)準(zhǔn)中安全計算環(huán)境層面身份鑒別安全指標(biāo)中，只要求對登錄的用戶進(jìn)行身份標(biāo)志和鑒別。

在邊界防護(hù)方面，GB∕T 22239—2019 標(biāo)準(zhǔn)等級保護(hù)要求中邊界方面的技術(shù)指標(biāo)比較多，圍繞著網(wǎng)絡(luò)架構(gòu)、邊界防護(hù)、入侵防范有比較多的安全防護(hù)措施。而IEC 62443-3-3 標(biāo)準(zhǔn)則強調(diào)系統(tǒng)自我保護(hù)能力。針對與其他系統(tǒng)采取隔離方式的核電站DCS，更適用于自我保護(hù)工作模式。如IEC 62443-3-3 標(biāo)準(zhǔn)中的SR5.2 區(qū)域邊界防護(hù)-孤島模式、失效關(guān)閉，這項指標(biāo)明確描述了系統(tǒng)一旦遭受攻擊，控制系統(tǒng)不但會阻斷網(wǎng)絡(luò)邊界的通信，而且系統(tǒng)自身還會切斷一切與其通信的路徑和傳輸數(shù)據(jù)，做到自身與外界無任何數(shù)據(jù)交互，形成信息孤島，確保系統(tǒng)自身安全穩(wěn)定運行。

4 結(jié)束語

圍繞工業(yè)控制系統(tǒng)信息安全需求，對IEC 62443-3-3 標(biāo)準(zhǔn)中系統(tǒng)安全要求與GB∕T 22239—2019 標(biāo)準(zhǔn)進(jìn)行分析和對比，二者適用范圍一致，并分別對不同安全等級的攻擊行為和保障方式進(jìn)行分級。系統(tǒng)訪問、系統(tǒng)性能、專用工業(yè)控制系統(tǒng)安全保護(hù)技術(shù)及全生命周期的安全支持方面，前者的技術(shù)要求比后者相關(guān)的安全指標(biāo)更為具體、更能體現(xiàn)工業(yè)控制系統(tǒng)的特征。