范海健 ，陈夏裕 ，孙 杨 ，章明飞

（1. 苏州市职业大学，江苏 苏州 215104；2. 江苏亨通工控安全研究院，江苏 苏州 215131）

0 引言

2012 年 7 月，国务院在《关于大力推进信息化发展和切实保障信息安全的若干意见》的报告中提出，要将水务系统作为智慧城市建设进程中的重要组成部分。住房与城乡建设部发布的《关于发布国家智慧城市 2014 年度试点名单的通知》中进一步将智慧水务列为智慧城市专项建设内容之一。在新一代信息与工业互联网等技术发展的背景下，工控系统作为智慧水务的重要组成部分，其信息安全的重要性不言而喻。在国外，典型工业技术发达国家信息安全标准体系比较成熟，在国内，基于国家标准 GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》（以下简称等保 2.0）的工控系统的信息安全研究也越来越被重视[1]，为此，在等保 2.0 背景下，设计智慧水务系统的工控信息安全方案。

1 智慧水务工控网络安全问题与风险

近 2 a 国家“两化融合”（工业化、信息化）标准的提出，以及工业互联网的积极推进建设，工控安全也被提升到前所未有的高度。水务安全直接关系国计民生，因此自来水供水企业中带有工控系统运行的智慧水务控制系统信息安全的重要性也提升到非常重要的位置。

目前我国水务生产控制网络安全防护滞后于智慧水务系统的建设速度，工控系统缺乏自身的安全性设计，在信息安全意识、策略、机制、法规标准等方面都存在不少问题，具体分析如下：

1）技术层面。工控网络系统本身存在一定的脆弱性：已建项目主要软硬件多为进口，可能存有后门；关键性设备的安全门槛设置不够，易被网络攻击所利用；部分设备网络借用公共电信网络和互联网组网，增加了网络接入风险。

同时，工控网络安全防护体系不能适应新技术发展：关键设备资产底数不清楚，信息记录不完备；严重漏洞难以及时处理，系统软件补丁管理困难，难以应对 APT 攻击；“两化融合”加速了网络安全风险的暴露，没有形成应对的策略。

2）管理层面。工控网络工作站操作人员技术手段与安全意识面临考验：违规操作（U 盘滥用，软件乱装）成为常态，缺少有效的访问控制手段；取水泵房、水质监测广泛使用无线通信，易被搭线监听、窃密和干扰；工作人员缺乏定期信息安全培训，不能适应工控信息安全变化发展要求。

针对目前的智慧水务生产控制网络安全的现状，结合国家“两化融合”的推进，建立有效的智慧水务生产控制网络安全体系势在必行。

2 工控系统信息安全标准体系

2.1 国际 IEC 62443 标准体系

随着信息技术的发展，工控系统通信网络中的信息安全越来越受到重视，IEC/TC 65/WG10（国际电工委员会（IEC）第 65 技术委员会的第 10 工作组）与 ISA（国际自动化协会）99 成立了联合工作组，共同制定了 IEC 62443《工业过程测量、控制和自动化网络与系统信息安全》系列化标准[2-3]。该标准定义了工控系统基本的概念和模型，涵盖 4 个系列 12 个标准，每个系列针对的使用对象各不相同，并且随着时间的推移不断地改进与优化。

IEC 62443 由 ANSI（美国国家标准学会）/ISA提出，被 ISO（国际标准化组织）/IEC 采纳，所以会以不同的名字出现，包括 ANSI/ISA-99，ISA-99，ISA 62443，ISO/IEC 62443，ISO 62443，IEC 62443。IEC 62443 是在国际上被广泛采纳和认可的工控系统标准，各个国家和行业制定工控相关标准政策时都会参考吸收该标准提供的概念、方法、模型。

IEC 62443-1-1 中介绍了信息安全保证等级（SAL）的概念，后来 ISA 99 决定在以后的标准中将信息安全等级改为 SAL。主要有目（target），设计（design），达到（achieved）和能力（capability）等 4 种类型 SAL，这 4 个分类之间虽然互相有联系，但应用于信息安全生命周期的不同阶段。

2.2 典型工业技术发达国家信息安全标准体系

美国国家标准技术研究院（NIST）作为工控信息安全的主要发布单位，在 21 世纪初就陆续发布了 NIST 制定的工控安全主要标准，标准可跨行业，并且不断滚动发布。2010 年 NIST 在联邦信息系统安全要求和控制措施基础上，制定了《工业控制系统（ICS）安全指南》[4]。该指南涵盖了监控和数据采集（SCADA）系统、分布式控制系统（DCS）和其他控制系统，水和污水处理的工控系统也有相关的指导与说明。这些工控系统是美国关键基础（电力、水务、燃气、大型工业制造等设施）运作的关键。

在信息安全保障阶段，欧洲四国（英国、法国、德国、荷兰）根据欧洲工控安全的实际情况，提出评价满足保密性、可用性、完整性要求的信息技术安全评价准则（ITSEC）；美国、加拿大等美洲国家与欧洲四国和 ISO 共同发布信息技术安全评价的通用准则（以下简称 CC 标准）[5]，CC 标准已经被这些国家承认代替美国可信计算机系统评价标准（TCSEC），作为评价安全信息系统的标准。同时，CC 标准也已经被我国制定国家标准时采纳作为参考。

2.3 等保 2.0 标准体系

不同国家对工控网络防护系统信息安全的要求各不相同，与使用环境、企业文化、实际人员管理息息相关，为此，必须研究与我国工控系统特点和需求匹配的标准系统与评估等级。2019 年 5 月 10 日，国家市场监督管理总局、国家标准化管理委员会发布等保 2.0[6]，等保 2.0 按保护等级要求对工控网络系统做了详细说明。

等保 2.0 是在 2008 年全国重要信息系统安全等级保护定级工作基础上进行的进一步升级。网络安全等级保护对网络进行分等级保护、监督，将信息网络和系统，网上的数据和信息，按照重要性和遭受损坏后的危害性分成 5 个安全保护等级。公安机关对二级网络进行指导，对三和四级网络定期开展监督、检查。

等保 2.0 覆盖工控系统、云计算、大数据、物联网等新技术新应用。工控系统作为新列入的标准，构成“安全通用要求 + 新型应用安全扩展要求”的要求内容。安全通用要求针对共性化保护需求提出，等级保护对象无论以何种形式出现，须根据安全保护等级实现相应级别的安全通用要求；安全扩展要求针对个性化保护需求提出，须根据安全保护等级和使用的特定技术或应用场景实现安全扩展要求。

等保 2.0 按照基本、设计和测评等要求进行分类，形成“安全通信网络”“安全区域边界”“安全计算环境”和“安全管理中心”支持下的三重防护体系架构。其次，等保 2.0 强化了可信计算技术使用的要求，把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求。

工控系统安全扩展要求章节针对工控系统的特点提出特殊保护要求。对工控系统主要增加的内容包括“室外控制设备防护”“工控系统网络架构安全”“拨号使用控制”“无线使用控制”和“控制设备安全”等方面，具体如表 1 所示。

由表 1 可知，一和二级属于一般网络，故控制点与要求项少一些，三和四级为重要与特别重要网络，因此控制点数量上有明显增加。

表 1 工控系统安全扩展要求——控制点和要求项

3 智慧水务工控网络信息安全防护方案特点

根据智慧水务系统工控网络的重要性，工控信息安全防护等级定级要求应为三级。

基于国家等保 2.0 的要求，在技术层面上需要达到等保 2.0 所规定的要求，须进一步增强智慧水务的工控信息安全硬件与软件水平[7]，通过加固隔离网闸、工控防火墙等技术手段达到技防的目的；同时智慧水务管理系统的科学管理也要同步实施，才能与等保 2.0 的总体要求相匹配，达到人防的目的[8-9]。通过工业云平台实现感知与分析，通过白名单运行管理机制建立智慧水务系统工控网络信息安全“白环境”，按三级保护进行设计。在工控信息防护方面突出的特点如下：

1）基于云端态势感知大数据分析的顶层架构。通过智慧水务系统的前端传感器感知获取工控系统的数据，通过企业互联网其它平台或网络获取相关数据，并汇集到水务工控系统云平台，在云平台上实现数据及知识库资源的汇聚、存储、索引等功能，实现数据的关联分析，可深入分析工控资产信息、攻击事件及溯源等，感知威胁态势，具体架构如图 1 所示。

2）工控网络中白名单机制运行原理的使用。运用白名单的思想，通过对工控网络流量、工作站软件运行状态等进行监控，运用大数据技术收集并分析流量数据及工作站状态，建立工控系统及网络正常工作的安全模型，进而构筑水务工控网络系统的网络安全“白环境”。白名单机制运行原理概括为如下几点：只有可信任的设备，才允许接入控制网络；只有可信任的命令，才能在网络上传输；只有可信任的软件，才能在主机上执行。

图 1 基于云端“态势感知”大数据分析的总体架构

工控网络中的白名单机制运行原理如图 2 所示。

图 2 白名单机制运行原理

白名单运行机制创新之处在于：采用“软可信”计算技术，降低方案成本，提高实用性；通过机器自学习“白环境”智能建模技术，降低维护成本，提高易用性；采用高速工控协议深度包解析技术，具备高安全性、低时延影响等特性。

3）工控网络安全纵深防御体系的构建。该防御体系针对现有智慧水务工控系统中边界防护、访问控制策略、入侵和异常行为监测等薄弱环节，以及工控系统 PLC 控制器末端防护缺失等问题进行重点关注，部署相关安全软硬件设备提升防御能力，典型网络拓扑如图 3 所示。

图 3 智慧水务行业工控防护典型网络拓扑图

智慧水务工控网络系统主要分为企业资源层、生产管理层、过程监控层及现场控制层。企业资源层通过 TCP/IP 协议与外部互联网相连，通过在企业资源层与生产管理层之间部署工控隔离网闸，截断 TCP 连接，对工业协议（OPC Classic，Modbus TCP，DNP3）数据进行数据交换，能够实现对工业应用数据的深度解析控制，起到边界隔离，纵深安全防护的作用。在核心交换机上部署工控检测审计系统，通过对网络访问及工控协议进行检测与深度解析，实时监测工控系统的运行，总结没有威胁的白名单，并进行实时更新，确保智慧水务工控系统运行安全。在生产管理层与过程监控层界面部署工控主机防火墙，依据程序特征建立操作系统运行“白环境”，并禁止非授信程序运行，避免因无关程序的运行与升级带来安全性风险。在现场控制层面的 PLC 控制器末端部署工控防火墙，通过工控协议解析模块对协议进行过滤和解析，确保控制 PLC 程序代码的安全性，得到最小化的访问控制。

设计方案从整个设计技术细节上直接对标等保2.0 的三级评估标准，系统解决了原有水务系统的安全风险，具体对比如表 2 所示。

表 2 水务系统加固前后风险项对比

设计方案的一期已经在某地区自来水厂部署运行，完成了水务工控系统中工控防火墙、隔离网闸及检测管理系统的布设，通过纵深防御体系的建立实现企业资源层等 4 个层次的保护，经过近半年的运行，总体达到了部署目的。

4 结语

随着智慧城市的进一步发展，智慧水务的实施，国家工业互联网的进一步推进，以及国家等保2.0 的发布，水务工控信息安全体系的建设越来越获得水务企业的认同。在等保 2.0 背景下探索智慧水务工控网络信息安全设计方案，从技防与人防的角度全面提高了设备、系统、网络的安全性，可靠性，稳定性，相对于目前水务管理系统的信息孤岛式管理有了很大的改进。根据项目实施的情况看，后期要进一步拓展与提升相关技术管理人员的技术与管理水平，达到项目可靠运行的要求，为智慧水务系统的可靠运行保驾护航。