工控系統(tǒng)等保測評必讀（對于即將出臺的等保標準，聽聽主筆人怎么說）

2017-07-14 16:35:51 大云網(wǎng)　點擊量：評論 (0)

【網(wǎng)絡(luò)安全】工控系統(tǒng)等保測評必讀（對于即將出臺的等保標準，聽聽主筆人怎么說）

——《網(wǎng)絡(luò)安全等級保護測評要求第5部分：工業(yè)控制系統(tǒng)安全擴展要求》解讀

編者按

《中華人民共和國網(wǎng)絡(luò)安全法》第三十一條規(guī)定“國家對公共通信和信息服務(wù)、能源、交
通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪
失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)
施，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護。”工業(yè)控制系統(tǒng)作為國家關(guān)鍵信
息基礎(chǔ)設(shè)施是等級保護工作的核心保護對象。為了適應(yīng)國家法律、政策的最新要求，工
業(yè)控制系統(tǒng)等級保護相關(guān)標準需要擴展和完善，其中如何評價系統(tǒng)的安全狀況將是開展
后續(xù)工作的基礎(chǔ)，下面請標準編制組為大家詳細介紹工控系統(tǒng)測評要求的主要內(nèi)容。

《網(wǎng)絡(luò)安全等級保護測評要求第5部分：

工業(yè)控制系統(tǒng)安全擴展要求》標準解讀

《網(wǎng)絡(luò)安全等級保護測評要求第5部分：

工業(yè)控制系統(tǒng)安全擴展要求》標準解讀

一、工業(yè)控制系統(tǒng)等級保護標準的編制意義

隨著信息化和工業(yè)化的發(fā)展，工業(yè)控制系統(tǒng)在能源、交通、水利、公共服務(wù)等重要行業(yè)和
領(lǐng)域廣泛應(yīng)用，現(xiàn)代工業(yè)生產(chǎn)、輸送、供應(yīng)等自動控制環(huán)節(jié)均依賴于工業(yè)控制系統(tǒng)。2010
年“震網(wǎng)”病毒事件發(fā)生后，工業(yè)控制系統(tǒng)安全越來越引起各國政府與民眾的高度關(guān)注，美
國等發(fā)達國家陸續(xù)發(fā)布了針對工業(yè)控制系統(tǒng)保護的系列標準和框架等。2013年，“棱鏡門
事件表明，某些西方大國為維持其全球霸權(quán)，一直在利用其技術(shù)的原發(fā)優(yōu)勢，不斷加強對
其他國家網(wǎng)絡(luò)空間的滲透、控制和破壞，對這些國家的社會秩序和國家安全構(gòu)成了嚴重威
脅。2015年，烏克蘭電網(wǎng)公司遭受惡意代碼攻擊，導(dǎo)致7個110KV變電站和23個35KV變電
站故障，造成8000個用戶斷電。烏克蘭電網(wǎng)公司受網(wǎng)絡(luò)攻擊事件被認為是有史以上規(guī)模最
大的電力系統(tǒng)攻擊事件，其警示作用猶如棒喝，深刻揭示了工業(yè)控制系統(tǒng)安全防護形式之
嚴峻和黑客攻擊實力之強悍。而對于我國來說，自改革開放以來，我國逐步從農(nóng)業(yè)大國向
工業(yè)國家發(fā)展，兩化融合改變了現(xiàn)代工業(yè)生產(chǎn)方式，解放了社會生產(chǎn)力，但隨之帶來的安
全現(xiàn)狀不容忽視，由于核心技術(shù)落后于人，在較長一段時間內(nèi)，關(guān)鍵設(shè)備大多從國外進口
，國產(chǎn)水平較低，網(wǎng)絡(luò)安全基礎(chǔ)薄弱，維護網(wǎng)絡(luò)空間安全，實現(xiàn)工業(yè)控制系統(tǒng)的“可控、能
控、在控”的任務(wù)非常艱巨。

1994年，國務(wù)院印發(fā)《中華人民共和國計算機工業(yè)控制系統(tǒng)安全保護條例》，明確規(guī)定“計算
機工業(yè)控制系統(tǒng)實行安全等級保護”。2003年，中央辦公廳、國務(wù)院辦公廳印發(fā)了《國家信息
化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》，明確要求重點保護國家基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系
國家安全、經(jīng)濟命脈、社會穩(wěn)定的重要信息系統(tǒng)安全，抓緊建立信息安全等級保護制度。200
7年以后，公安部會同有關(guān)部門陸續(xù)出臺了《關(guān)于信息安全等級保護工作的實施意見》、《信息
安全等級保護管理辦法》、《關(guān)于開展信息系統(tǒng)等級保護安全建設(shè)整改工作的指導(dǎo)意見》等一
系列政策文件。與此同時，全國信息安全標準化技術(shù)委員會和公安部工業(yè)控制系統(tǒng)安全標準化
技術(shù)委員會組織制定了信息安全等級保護工作基礎(chǔ)類、應(yīng)用類、產(chǎn)品類和其他類急需的一系列
標準。其中《信息系統(tǒng)安全等級保護定級指南》、《信息系統(tǒng)安全等級保護基本要求》、《信
息系統(tǒng)安全等級保護測評要求》等標準在國家信息安全監(jiān)管部門、信息系統(tǒng)運維單位、測評機
構(gòu)等相關(guān)單位廣泛使用，標準內(nèi)容得到了廣泛驗證。總體來說，我國信息安全等級保護工作已
取得很大的進展，重點行業(yè)已落實了等級保護制度。

但是在標準的使用過程中，也出現(xiàn)了部分條款無法適用或適用性不強的現(xiàn)象，特別是針對工
業(yè)控制系統(tǒng)，升級、打補丁、防病毒、入侵檢測等通用系統(tǒng)保護措施，在線掃描滲透等測評
手段不適用于已投運工控系統(tǒng)，亟需根據(jù)工業(yè)控制系統(tǒng)特點制定工業(yè)控制系統(tǒng)的等級保護系
列標準。此外，2017年6月1日正式實施的國家《網(wǎng)絡(luò)安全法》第三十一條規(guī)定，關(guān)鍵信息
基礎(chǔ)設(shè)施要在網(wǎng)絡(luò)安全等級保護的基礎(chǔ)上，實行重點保護。大量工業(yè)控制系統(tǒng)用于重要行業(yè)
和領(lǐng)域，其一旦遭到破壞、喪失功能或數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公
共利益，應(yīng)納入關(guān)鍵信息基礎(chǔ)設(shè)施保護目錄。《網(wǎng)絡(luò)安全法》的出臺表明，“網(wǎng)絡(luò)”和“網(wǎng)絡(luò)
安全”在新形勢下已有了新的定義，工業(yè)控制系統(tǒng)等級保護相關(guān)標準需要適應(yīng)國家法律、政
策的最新要求，結(jié)合等級保護已有標準的修訂，制定出臺。

電力是最早開展等級保護工作和等級測評體系建設(shè)的行業(yè)之一，其在工業(yè)控制系統(tǒng)安全防
護工作上積累了豐富經(jīng)驗。2012年以來，在已有工作的基礎(chǔ)上，國家能源局對已有行業(yè)政
策進行了梳理、修訂、制定。2014年，以國家發(fā)改委令的形式印發(fā)了《電力監(jiān)控系統(tǒng)安全
防護規(guī)定》。2015年，以國家能源局文的形式印發(fā)了《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法
》，《電力行業(yè)信息安全等級保護管理辦法》、《電力監(jiān)控系統(tǒng)安全防護總體方案等安全
防護方案和評估規(guī)范》等，這些文件對于監(jiān)督指導(dǎo)行業(yè)網(wǎng)絡(luò)與信息安全工作起了重要作用
。為提升工業(yè)控制系統(tǒng)安全防護能力，規(guī)范工控系統(tǒng)安全防護建設(shè)，促進我國信息安全產(chǎn)
業(yè)發(fā)展，在國家有關(guān)部門指導(dǎo)下，國家能源局信息中心組織測評機構(gòu)、工控安全廠商、能
源企業(yè)等，對工業(yè)控制系統(tǒng)測評方法進行專題研究，編制了《工業(yè)控制系統(tǒng)安全等級保護
測評要求第5部分工業(yè)控制安全擴展測評要求》（以下簡稱工控測評要求）。

工控測評要求是以《信息安全技術(shù) 信息系統(tǒng)安全等級保護測評要求》（GB/T 28448-2012
）修訂稿為基礎(chǔ)，針對工業(yè)控制系統(tǒng)的特點進行了適度調(diào)整，更適用于工業(yè)控制系統(tǒng)測評
的現(xiàn)狀。

二、工控測評要求標準范圍

工控測評要求規(guī)定了對工業(yè)控制系統(tǒng)安全等級保護狀況進行安全測試評估的要求，包括對第
一級工業(yè)控制系統(tǒng)、第二級工業(yè)控制系統(tǒng)、第三級工業(yè)控制系統(tǒng)和第四級工業(yè)控制系統(tǒng)進行
安全測試評估的單元測評要求和工業(yè)控制系統(tǒng)整體測評要求。略去對第五級工業(yè)控制系統(tǒng)進
行單元測評的具體內(nèi)容要求。

工控測評要求適用于信息安全測評服務(wù)機構(gòu)、工業(yè)控制系統(tǒng)的主管部門及運營使用單位對工
業(yè)控制系統(tǒng)安全等級保護狀況進行的安全測試評估。信息安全監(jiān)管職能部門依法進行的信息
安全等級保護監(jiān)督檢查可以參考使用。

三、工控測評要求主要內(nèi)容

工控測評要求按照GB/T1.1-2009的規(guī)則起草。包含范圍、規(guī)范性引用文件、術(shù)語和定義、概
述、總體要求、第一級到第四級工業(yè)控制系統(tǒng)單元測評等。

概述包括兩個方面：1、測評描述框架；2、測評使用方法。

總體要求測評包括兩個方面：1、總體要求技術(shù)單項測評；2、總體要求管理單項測評。

第一、二、三、四級工業(yè)控制系統(tǒng)單元測評包括兩個方面：1、安全技術(shù)單項測評；2、
安全管理單項測評。

四、與網(wǎng)絡(luò)安全等級保護標準系列標準的銜接體現(xiàn)在

1、沿襲在國標等級保護標準體系中的定位

在現(xiàn)有國標等級保護系列標準中，定級指南是基礎(chǔ)，實施指南和設(shè)計要求是方法指引，基
本要求是基線要求，測評要求是狀況分析，標準關(guān)系圖如圖1所示。《網(wǎng)絡(luò)安全等級保護
測評要求》是對已定級的等級保護對象的狀況分析，等級保護對象可能為信息系統(tǒng)、物聯(lián)
網(wǎng)、大數(shù)據(jù)、移動互聯(lián)系統(tǒng)、工業(yè)控制系統(tǒng)等，而工業(yè)控制系統(tǒng)測評要求是在保持與《網(wǎng)
絡(luò)安全等級保護測評要求》編制框架結(jié)構(gòu)一致的基礎(chǔ)上，以測評單元的形式對工業(yè)控制系
統(tǒng)的對應(yīng)擴展安全控制措施進行測試評價。測評單元由測評指標、測評對象、測評實施、
單元判定組成。

圖1 現(xiàn)有國標等級保護系列標準關(guān)系

2、與通用測評要求測評構(gòu)架思路保持一致

網(wǎng)絡(luò)安全等級保護測評的概念性描述框架由兩部分構(gòu)成：單項測評和整體測評，其等級測評框架如圖2所示。

圖2 通用測評要求等級測評構(gòu)架

工控系統(tǒng)等級保護測評的概念性描述框架與等級測評框架保持基本一致，區(qū)別之處有2 處：
一是工控系統(tǒng)測評指標包括GB/T 22239.1-20XX和參考GB/T 22239.5-20XX提出的要求項
；二是工控系統(tǒng)測評單元含“一票否決”測評單元，工控系統(tǒng)部分測評單元為“一票否決”測評
單元， “一票否決”測評單元中的任何單個單元判定結(jié)果為不符合，不需要再開展其他單元
測評，整體測評結(jié)論為不符合。“一票否決”測評單元的設(shè)定取決于是否有國家或行業(yè)政策強
制的禁止條款的支持。

圖3 工控系統(tǒng)等級測評框架

3、與等級保護系列標準文檔結(jié)構(gòu)保持一致

在國標等級保護系列標準中，基本要求、測評要求、設(shè)計要求標準間文檔結(jié)構(gòu)有緊密的內(nèi)
在聯(lián)系，基本要求文檔結(jié)構(gòu)如圖4所示，工控測評要求文檔結(jié)構(gòu)如圖5所示，工控測評要求
單項測評分兩大類，安全管理類測評和安全技術(shù)類測評，安全管理類測評細分為安全策略
和管理制度、安全管理機構(gòu)和人員、安全建設(shè)管理、安全運維管理四大安全層面測評，安
全技術(shù)類測評可細分為物理和環(huán)境、網(wǎng)絡(luò)和通信、設(shè)備和計算、應(yīng)用和數(shù)據(jù)四大安全層面
測評。安全層面測評可再細分為要求項測評，測評單元是針對每個要求項提出的。整體測
評分安全控制點測評、安全控制點間測評和安全層面間測評。

圖4 基本要求文檔結(jié)構(gòu)

圖5 工控測評要求文檔結(jié)構(gòu)

4、基于基本要求描述模型的基礎(chǔ)上設(shè)計控制與測評措施

2017年6月1日開始實施的國家《網(wǎng)絡(luò)安全法》中對網(wǎng)絡(luò)的定義為：“網(wǎng)絡(luò)，是指由計算機
或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M行收集、存儲、傳輸
、交換、處理的系統(tǒng)。網(wǎng)絡(luò)安全，是指通過采取必要措施，防范對網(wǎng)絡(luò)的攻擊、侵入、干
擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)
的完整性、保密性、可用性的能力。”等級保護從1.0進行2.0時代，等級保護對象形態(tài)大致
分為3種：信息系統(tǒng)形態(tài)，網(wǎng)絡(luò)基礎(chǔ)設(shè)施形態(tài)，云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)、移動互聯(lián)等新
應(yīng)用形態(tài)。劃為等級保護對象的工業(yè)控制系統(tǒng)是信息系統(tǒng)的一種特殊子類，它有信息和計
算，有網(wǎng)絡(luò)也有設(shè)備，要使工業(yè)控制系統(tǒng)達到網(wǎng)絡(luò)安全的目標，同樣是指通過采取必要措
施，防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可
靠運行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。哪些是基線措施，
如何測評這些基線措施是否有效，是工控測評要求需要考慮的內(nèi)容。而要確定基線措施，
就需考慮工控系統(tǒng)面臨的主要威脅。那么，工業(yè)控制系統(tǒng)主要面臨哪些威脅呢？表1列出
了工控系統(tǒng)面臨的主要威脅。

表1 工業(yè)控制系統(tǒng)主要威脅

序號	安全威脅	描述
1	黑客入侵	有組織的黑客團體對工業(yè)控制系統(tǒng)進行惡意攻擊、竊取數(shù)據(jù)，破壞工業(yè)控制系統(tǒng)正常運行。
2	旁路控制	非授權(quán)者發(fā)送非法控制命令，導(dǎo)致系統(tǒng)事故，甚至系統(tǒng)瓦解。
3	完整性破壞	非授權(quán)修改工業(yè)控制系統(tǒng)配置、程序、控制命令；非授權(quán)修改電力市場交易中的敏感數(shù)據(jù)。
4	越權(quán)操作	超越已授權(quán)限進行非法操作。
5	無意或故意行為	無意或有意地泄漏口令等敏感信息，或不謹慎地配置訪問控制規(guī)則等。
6	攔截篡改	攔截或篡改網(wǎng)絡(luò)傳輸中的控制命令、參數(shù)設(shè)置等敏感數(shù)據(jù)。
7	非法用戶	非授權(quán)用戶使用計算機或網(wǎng)絡(luò)資源。
8	信息泄漏	口令、證書等敏感信息泄密。
9	網(wǎng)絡(luò)欺騙	Web服務(wù)欺騙攻擊；IP欺騙攻擊。
10	身份偽裝	入侵者偽裝合法身份，進入工業(yè)控制系統(tǒng)。
11	拒絕服務(wù)攻擊	向工業(yè)網(wǎng)絡(luò)或通信網(wǎng)關(guān)發(fā)送大量雪崩數(shù)據(jù)，造成網(wǎng)絡(luò)或系統(tǒng)癱瘓。
12	竊聽	黑客在工業(yè)網(wǎng)或?qū)＞€信道上搭線竊聽明文傳輸?shù)拿舾行畔ⅲ瑸楹罄m(xù)攻擊做準備。

從基本要求來說，需要考慮各級系統(tǒng)需具備的管理和技術(shù)方面的基線能力。各級信息系統(tǒng)需具備的安全防護能力技術(shù)、管理特點及覆蓋范圍可用圖6、圖7、圖8說明。

圖6 基本要求技術(shù)要求特點

圖7 基本要求管理要求特點

圖8 基本要求覆蓋范圍特點

工業(yè)控制系統(tǒng)測評要求所對應(yīng)的測評要求特點和信息系統(tǒng)略有區(qū)別，區(qū)別表現(xiàn)在一是，
管理采取“就高”原則。即一個工控責(zé)任單位有多個等級的工控系統(tǒng)，在管理措施上需要
對所有工控系統(tǒng)采取最高等級的安全管理措施。二是，在技術(shù)特點上各等級的工業(yè)控制
系統(tǒng)均需在滿足總體策略的前提下執(zhí)行各級系統(tǒng)的安全防護。工業(yè)控制系統(tǒng)測評要求的
技術(shù)要求特點如圖9所示。

圖9 工控系統(tǒng)測評要求測評指標技術(shù)要求特點

五、擴展測評指標要點

擴展測評指標編制思路為：以數(shù)據(jù)流向分析各級工業(yè)控制系統(tǒng)對應(yīng)的主要威脅，參考基
本要求描述模型選擇安全控制措施。

對于測評指標的文檔結(jié)構(gòu)圖，我們比較了圖10和圖11，經(jīng)過充分研究討論，最終選擇了
圖11。一是因為圖11保持了與基本要求文檔結(jié)構(gòu)的一致性；二是因為采用圖11可以更加
清晰地從安全層面架構(gòu)角度描述安全控制措施提升各級工控系統(tǒng)對應(yīng)等級的安全保護能力
（如4級是策略/防護/檢測/恢復(fù)/響應(yīng)）；三是從操作性角度來看，對于存量工控系統(tǒng)，運
行單位、測評機構(gòu)、檢查機構(gòu)很難無歧義清晰判斷對象（如測評對象）屬于哪一層，如勵
磁裝置，繼電保護裝置，筆者都難以描述屬于哪一層；如PLC，其既具有現(xiàn)場組件，也具
有控制組件。而對于用戶所能采取的控制措施，只能對設(shè)備整體進行保護。對于測評機構(gòu)
來說，所能采取的測評實施，也只能設(shè)備整體進行測評。

圖10 測評要求測評指標編制描述思路1

圖11 測評要求測評指標編制描述思路2

測評指標示例如下：

總體要求-技術(shù)測評指標示例：（L0-OS5-01）工業(yè)控制系統(tǒng)與企業(yè)管理系統(tǒng)之間原則上應(yīng)
劃分為兩個區(qū)域，區(qū)域間應(yīng)采用有效的隔離技術(shù)手段；禁止任何穿越區(qū)域邊界的E-Mail、
Web、Telnet、Rlogin、FTP等通用網(wǎng)絡(luò)服務(wù)。

總體要求-管理測評指標示例：（L0-OS5-07）工控系統(tǒng)所屬單位中出現(xiàn)多等級工控系統(tǒng)時
，通用管理要求統(tǒng)一采用定級最高的工控系統(tǒng)執(zhí)行。

分級要求-技術(shù)測評指標示例：（L3-MMS5-03）在更新惡意代碼庫、木馬庫以及規(guī)則庫前
，應(yīng)首先在測試環(huán)境中測試通過，對隔離區(qū)域惡意代碼更新應(yīng)有專人負責(zé)，更新操作應(yīng)離
線進行，并保存更新記錄。

分級要求-管理測評指標示例：（L3-CMS5-02）工業(yè)控制系統(tǒng)重要軟硬件系統(tǒng)、設(shè)備及專
用信息安全產(chǎn)品應(yīng)采用安全可信的產(chǎn)品及服務(wù)進行建設(shè)。

免責(zé)聲明：本文僅代表作者個人觀點，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實相關(guān)內(nèi)容。

我要收藏

個贊