李 琪

（国家计算机网络与信息安全管理中心青海分中心，青海 西宁 810000）

近年来，随着现代社会信息技术水平的不断提升，以及全国乃至全球网络安全形势的持续变化，发布至今达十余年之久的等保1.0已无法满足网络安全新风险、新技术的应对要求，网络安全防御体系急需实现由被动向主动、由粗放到精准的优化转型。由此，等保2.0应运而生，并于2019年12月1日正式实行，开启了我国网络安全制度体系发展的新篇章。在此背景下，我们有必要对基于等保2.0的工业控制系统网络安全技术防护展开探究讨论。

1 基于等保2.0工业控制系统网络安全技术防护的基本背景

等保的全称为“网络安全等级保护”，是我国网络安全领域的基本国策与核心制度。在网络安全建设初期，我国社会主要应用的制度为等保1.0，其从物理、网络、主机、应用、数据五个角度入手，对网络安全防护提出了技术要求，同时从制度、机构、人员、系统建设以及系统运维五个角度入手，对网络安全防护提出了管理要求。辩证地看，等保1.0在推动我国网络安全建设兴起与发展的同时，也存在诸多问题。例如：基于等保1.0的网络安全防御工事以被动防护为主，对风险的主动感知能力比较弱；等保1.0在覆盖范畴上存在一定局限性，与云安全、大数据、工业控制等新科技、新概念存在不兼容问题；等保1.0在安全防护时机上具有即时性特点，即只能对已发生的安全风险作出应对[1]。

为了解决此类缺陷短板，同时也为了使我国网络安全防护体系建设得更加健全，等保2.0适时而出，在法律规定、技术要求、管理要求、实施标准、覆盖领域等各个方面都有了明显的优化调整。例如：在法律规定方面，等保2.0以《中华人民共和国网络安全法》为支撑，对以社会企业为代表的网络运营者提出了硬性要求，若不遵守和落实网络安全等级保护的各项要求，将代表着对公共法律的触犯；在技术要求方面，等保2.0对前代制度的相关内容进行了整合与细化，形成了物理和环境、网络和通信、设备和计算、应用和数据四个层次；在管理要求层面，等保2.0将机构与人员两部分安全管理要求合而为一，并建立起了更严格的定级测评体系；在实施标准方面，等保2.0除了“通用要求”以外，还融入了“扩展要求”，以此满足不同网络应用场景、不同技术体系的特定安全防护需求；在覆盖领域方面，云计算、移动网络、物联网、工业控制等网络发展新产物被纳入到制度体系之中，与我国社会的发展实情高度贴合。

2 基于等保2.0工业控制系统网络安全技术防护的威胁因素

2.1 工业控制系统本身存在设计缺陷

在前期设计阶段，很多工业控制系统的架构工程师更关注稳定性、功能性，而疏于对系统安全防护能力的重视。这样一来，便很容易导致工业控制系统在实际投用中存在大量的安全漏洞，为黑客、病毒等威胁主体的侵入创造可乘之机。据我国相关权威平台的调查报告称，截止至2020年2月，该平台共检查出工业控制系统漏洞2353种，其中有超过九成为中度以上风险漏洞，且以Siemens、Schneider以及研华三个品牌的工控产品漏洞最多。

2.2 工业控制系统网络边界相对模糊

现阶段，工业控制系统已实现了由集中控制系统、分散控制系统到现场总线控制系统的逐步发展，其与工业管理网、公共互联网的通信连接也日趋紧密。在此背景下，工业控制系统相对封闭化、独立化的网络状态被打破，进而造成了其网络边界的严重模糊。这样一来，无法厘清网络边界，也就很难实现网络安全防护体系的覆盖化部署，使得越权操作、违规外联、非法访问等负面现象时有发生，对工业控制系统的安全稳定运行与工业生产活动的顺利高效开展构成了极大威胁。

2.3 工业控制系统风险排查力度不足

当工业控制系统遭到外部攻击或非法入侵时，其波动变化能在数据信息层面得到明显体现，从而形成相应的异常网络流量。此时，若系统或人员对此类异常作出感知，即可及时实现外部威胁、风险隐患的应对处理，为工业控制系统的安全稳定提供保障。但从目前的实际情况来看，很多工业控制系统在设计和投用过程中，并未配备出高敏感性的异常流量分析模块或感知系统。这样一来，风险隐患的排查速度、排查力度将大打折扣，难以达到等保2.0的要求标准。

2.4 工业控制系统的主机运用不合理

在当前，主机系统运用的不合理、不先进，是影响我国社会中企业工业控制系统安全质量的又一重要因素。例如，截止至2020年1月14日，微软公司已明确提出不再为Windows7及之前版本的操作系统提供主流支持服务，包括更新服务包、修复系统漏洞、改变功能设计等。但放眼我国社会实际，很大一部分企业仍会将Windows7、WindowsXP等操作系统用于工程师站、管理员站、操作员站、数据库等工业控制网络主机的建构当中。此时，一旦该系列操作系统出现新安全漏洞或新拓展需求，将很难从运营商处得到自动、及时的服务支持，显然不利于主机乃至整体工业控制系统的安全防护。

3 基于等保2.0工业控制系统网络安全技术防护的实践策略

3.1 提高物理环境质量

现阶段，多数企业会将工业控制系统机房建设在厂区环境当中，故而很难保证其周围物理环境的客观质量。对此，为了避免工业控制系统受到水、水、电磁、温湿度等物理因素的干扰影响，企业必须要构建出相对完善的网络安全物理防护体系。例如，为了防止火灾对工业控制系统的安全稳定构成威胁，应在长期环境中布设出足量的火光传感器，并将智能化消防监控系统纳入到将机房主体的建设当中，以实现火灾隐患的及时感知、及时响应、自动处理，将工控机的安全程度维持在高水平[2]。

3.2 强化边界防护力度

在等保2.0制度的导向之下，企业必须要对工业控制系统的网络边界作出细化明确，并制定出多元着手的安全防护技术方案。例如，可在工业控制系统的网域边缘设置准入隔离设备，并部署出工业网闸、工业防火墙等防御工事，以此在网络边界构筑起多层结合的安防壁垒，对外部环境中违规接入、非法入侵的威胁主体进行强效隔离。再如，可在防火墙的应用基础上，依托其病毒库建立起风险代码排查机制，对病毒库中已录入的病毒、木马、危险数据包等进行动态监测与同步反馈，从而实现风险源侵入路径的阻断与记录。

3.3 注重安全态势感知

与等保1.0相比，等保2.0最大的变化之一，就是对安全体系的防护模式进行了调整，提出了集事前预防、事中响应、事后审计于一身的全程化、持续化保障要求。基于此，在工业控制系统网络安全技术防护的实践中，企业必须要对安全态势感知功能的建立与强化提起重视，对系统内部的数据流动、环节运转情况进行全天候监控。期间，一旦发现有异常的网络流量存在，应及时进行风险点与风险来源的确认，并采取源头追溯、审计分析、故障处理、系统修复等后续手段。

3.4 确保主机运维合理

工程师站、操作员站、数据库等主机是工业控制系统的构成基础，其系统的运维质量与系统运行、企业生产密切相关。所以，企业在基于等保2.0的网络安全技术防护实践中，首先要确保主机操作系统选用的合理性，尽量避免使用品牌运营商已停止服务支持的系统版本，以防止系统漏洞无法修复、系统功能难以拓展的情况发生，对工业控制系统的稳定运行构成威胁。其次，企业在部署防火墙、装载杀毒软件等的过程当中，应明确分析相关安全保护工具与操作系统之间的兼容性，以防止工具的保护效用难以发挥，使系统暴露于危险的网络环境之中。最后，在主机系统、安全工具均使用无误的情况下，各站的终端操作人员、后台管理人员还应做好日常化与定期化兼备的系统运维工作，如病毒检测、漏洞修复、冗余数据增删、告警信息反馈等，从而为系统提供出最大化的人工管理保障，进一步增强工业控制系统的安全性、稳定性、耐久性。

4 结束语

总而言之，与前代制度相比，等保2.0的严格度更高、覆盖面更广、内容更精细、角度更多元，为广大企业的网络安全防护建设提出了新要求、指明了新方向。在实践中，企业应围绕物理环境、网络边界、异常感知、运维管理等多个方面，构建出完善、科学的安全防护技术体系，以将工业控制系统的运行质量始终维持在较高水平，为生产活动提供出稳定优质的工控保障。