刘思思　张德馨　唐刚　贾东明

摘   要： 聚焦“等级保护2.0”的安全等级保护要求，基于供水生产控制系统安全现状，从工业控制系统安全扩展要求中安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全建设管理五大层面，提出了各测评指标适用的测评对象，并总结了实施安全等级保护测评的要点，为促进供水企业和测评机构开展供水生产控制系统安全等级保护提供指南。

关键词： 供水生产控制系统;“等级保护2.0”;网络安全;安全保护等级定级;安全等级保护测评

中图分类号：TP39    文献标识码：A    文章编号：2095-8412 （2020） 01-012-05

工业技术创新 URL： http： //www.china-iti.com    DOI： 10.14103/j.issn.2095-8412.2020.01.003

引言

城市供水是关系千家万户的民生行业，国家、社会对自来水的生产和输送有着很高的要求。随着城市化建设进程的加快，供水企业也逐渐向信息化和数字化发展，如建设云平台、结合物联网等先进技术研发各种水务系统等[1]。这些先进技术的引入，一方面提升了供水生产控制系统的智慧化运行管理;另一方面也带来了网络安全隐患。

2019年5月，《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）[2]发布，对工业控制系统提出了安全等级保护要求。供水生产控制系统是供水行业典型的工业控制系统，其网络安全事关人民的生活、社会的稳定以及国家的安全。因此，对供水生产控制系统开展网络安全等级保护测评工作，是十分必要且紧迫的。

本文在如下三个方面进行分析和研究：一是介绍了供水生产控制系统安全现状;二是从“等级保护2.0”工业控制系统安全扩展要求中安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全建设管理五大控制层面，提炼了测评指标及适用的测评对象;三是总结了各指标的测评要点，明确了系统安全管理要素，为促进供水企业和测评机构开展供水生产控制系统安全等级保护提供指南。本文意在帮助供水企业和测评机构更好地开展网络安全等级保护工作。

1  供水生产控制系统概述

1.1  供水生产控制系统定义

供水生产控制系统是综合运用自动化控制、在线监测、地理信息系统（GIS）、供水调度等先进技术，建立的对整个城市或厂区供水生产设施进行管理与控制的平台[3]。如图1所示是供水生产控制网络，其中水厂调度分中心、水厂现场控制层、水厂现场设备层组成供水生产控制系统。

供水生产控制系统具备工业控制系统的典型特点，如通信实时性要求高、控制设备生命周期长、通信传输以明文协议为主等。

1.2  供水生产控制系统安全现状

供水生产控制系统作为供水企业生产管理的重要系统，承担着保障国计民生的重大责任。目前不同地区的水务单位信息化水平差距较大，普遍存在以下安全风险。

（1）安全漏洞问题。供水生产控制系统的上位机常采用Windows操作系统，在供水生产控制系统上线运行后，企业几乎不会对操作系统进行补丁升级，导致主机存在大量安全漏洞。供水生产控制系统控制设备常采用施耐德、昆腾、横河等国外产品，近年来，施耐德、西门子等国外工业控制设备不断爆出安全漏洞，这些漏洞一旦被恶意利用，有可能导致系统宕机、改变系统操作指令等，严重影响供水生产控制系统的稳定和安全运行。

（2）网络安全问题。供水生产控制系统生命周期较长，早期的供水生产控制系统网络简单，单点传输，不具备线路、设备冗余，网络边界无安全防护措施，导致不同水厂间互联互通。信息化程度较高的系统的网络边界虽然具有一定安全防护措施，但存在安全防护措施未得以配置或已失效情况。此外，供水公司需要从水源井抽水送入供水管网，多采用GPRS无线远程技术采集水源井控制数据，无线网络的引入增加了供水生产控制系统的入侵面。

（3）管理体系建设问题。管理安全在网络安全中的比重远远大于技术安全，以前供水企业在控制系统网络安全方面关注很少，几乎没有建立完善、有效的网络安全管理制度体系，难以从安全策略、安全机构人员、安全建设、安全运维等方面进行全方位管理。

2  供水生产控制系统等级保护测评实施要点

我国一直对传统信息系统有着等级保护要求，随着“等级保护2.0”发布，工业控制系统的网络安全越发受到国家、相关企业的重视，供水企业以前更多关注的是物理安全、系统功能安全，而现在逐渐转向网络安全，随之而来的是如何保障供水生产控制系统的网络安全。对供水生产控制系统进行网络安全等级保护测评，能够了解系统的安全现状，发现系统存在的安全隐患，进而更好提升网络安全防护水平，保障供水生产控制系统的网络安全。

供水生产控制系统的网络安全等级保护测评不同于传统信息系统，不同水厂的供水生产控制系统也存在一定差異，鉴于供水生产控制系统对可靠性及可用性要求更高，在进行安全等级保护测评的过程中应以保证系统功能要求为主。在测评过程中，某些测评项的整改措施不可避免地会对系统造成较大影响，这时应对可能产生的影响及后果进行充分分析，使用补偿措施降低安全风险[4]。本文以第三级的系统安全测评为例，结合工业控制系统安全扩展要求及供水生产控制系统实际情况进行测评重点分析。

2.1  测评指标

根据GB/T 22239-2019，不管等级保护对象的形态如何，必须首先使用安全测评通用要求部分进行测评，对于使用特定技术或特定形态的等级保护对象，再使用相对应的安全测评扩展要求部分进行测评。因此，对于供水生产控制系统，不仅要按照通用要求进行测评，还要依据工业控制安全测评扩展要求进行测评。

GB/T 22239-2019对第三级工业控制系统提出了21条测评指标，分别从安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全建设管理5个层面提出了安全要求。表1根据供水生产控制系统特点，对工业控制安全测评指标适用对象进行了总结。

2.2  测评要点

结合供水生产控制系统的实际情况，分别从以上5个方面对供水生产控制系统的测评要点进行分析。

2.2.1  安全物理环境

水厂供水拥有一套完备的工艺流程，一般每项工艺拥有一间工艺厂房，控制设备存放在厂房或厂房附近的小机房内。在安全物理环境一项，应重点查看暴露在室外的控制设备，是否具备一定的防风、防雨、防电磁等能力，避免受到相应的物理破坏。例如，电磁干扰对控制设备的影响非常大，甚至能够造成控制设备的运行失效。

2.2.2  安全通信网络

在安全通信网络层面，应重点考虑两个方面，一是供水生产控制系统与外部系统的连接，与办公系统、视频监视系统、其他水务系统等之间的隔离措施，在不得不联通的情况下应形成逻辑隔离，实现数据单向流通。二是供水生产控制系统内部情况，应重点关注内部纵向安全区域的划分，按照《信息安全技術 网络安全等级保护安全设计技术要求》（GB/T 25070-2019）[5]，采用包括但不限于以下两种方式的安全区域划分：

① 将现场设备层、现场控制层、过程监控层组成一个安全区域;

② 将现场设备层、现场控制层组成一个安全区域。

如此即可将某个水厂作为一个独立安全区域，该水厂下辖的子水厂作为不同级别的子安全区域，关注各安全区域之间的隔离措施。此外，还要考虑供水生产控制系统内部数据传输是否采用加密、身份认证等安全措施。

2.2.3  安全区域边界

在安全区域边界层面，应重点关注供水生产控制系统网络边界、安全域边界的访问控制情况，如是否实现不同水厂间网络互不相通。其次，供水生产控制系统多采用GPRS无线数据传输系统，应重点关注无线数据传输时的身份认证、数据加密及无线设备的授权使用情况。

2.2.4  安全计算环境

在安全计算环境层面，应多关注控制设备本体安全，重点查看控制设备是否设置身份鉴别措施，避免存在空口令直接登录等情况，因为有些PLC控制设备存在UI控制界面，可以通过UI控制界面直接进行指令操作。在可实现的情况下，重点查看控制设备访问控制措施和审计措施，如某些PLC控制设备具有Web登录界面，登录口令为空口令或默认口令，成功登录后可以对PLC配置进行一些更改等。此外，应关注控制设备安全漏洞、后门等问题，落实是否对这些本体安全问题采取了相应措施。

2.2.5  安全建设管理

在对供水生产控制系统的安全测评中，除了技术方面的测评，管理测评也十分重要。技术是手段，管理是基石，应重点关注管理体系的建设、管理制度的完善和全备，特别是要在通用要求的基础上提出，控制设备需经过专业机构的安全性检测后才可采购使用，证明工业控制设备本体安全的重要性。

3  结语

“等级保护2.0”的到来，正式开启了工业控制系统的安全保护工作。供水生产控制系统作为国家关键信息基础设施的一部分，在信息化建设不断深化的形势下，对其进行网络安全等级保护测评，意义重大。文中从供水生产控制系统安全现状出发，提出了适用于供水生产控制系统的等级保护测评实施要点，希望对供水企业和测评机构开展等级保护测评工作提供一点帮助。

参考文献

[1] 范秋海. “智慧供水”在城市供水系统中的应用分析[J]. 工程技术， 2019， 15（7）： 104.

[2] 信息安全技术 网络安全等级保护基本要求： GB/T 22239-2019[S].

[3] 张冰. 城市供水生产运行调度系统设计与实现[D]. 济南： 山东大学， 2014.

[4] 赵顺萍， 张晨艳. 关于做好供水生产控制系统信息安全工作的思考[J]. 城镇供水， 2017（5）： 1-4.

[5] 信息安全技术 网络安全等级保护安全设计技术要求： GB/T 25070-2019[S].

作者简介：

刘思思（1991—），通信作者，女，辽宁人，安全测评工程师，硕士研究生。研究方向：网络安全。

E-mail： liusisi@cstc.org.cn

张德馨（1981—），男，湖北人，安全测评工程师，博士研究生。主要研究方向：网络安全。

E-mail： zhangdx@cstc.org.cn

唐刚（1981—），男，四川人，网络空间安全测评工程技术中心主任，硕士研究生。研究方向：信息系统安全测试及相关标准、规范和测评方法。

E-mail： tangg@cstc.org.cn

贾东明（1988—），男，河北人，电力工程师，硕士研究生。研究方向：电力设备状态检测及评价。

（收稿日期：2019-11-19）

Discussion on the Key Points of Security Classified Protection Implementation of Water Supply Production Control System

LIU Si-si1， ZHANG De-xin1， TANG Gang1， JIA Dong-ming2

（1. China Software Testing Center， Beijing 100048， China;

2. State Grid Beijing Electric Power Company， Beijing 100031， China）

Abstract： Focusing on the security classified protection requirements of “classified protection 2.0”， based on the current security situation of water supply production control system， the applicable evaluation objects of each evaluation index are put forward from five aspects， i.e. security physical environment， security communication network， security area boundary， security computing environment and security construction management in the security extended requirements of the industrial control system. The key points of implementing the security classified protection evaluation are summarized， as to provide guidance for promoting the water supply enterprises and evaluation institutions to carry out security classified protection for water supply production control system.

Key words： Water Supply Production Control System; “Classified Protection 2.0”; Network Security; Security Protection Classification; Security Classified Protection Implementation