等保测评——工业控制测评项

安全物理环境

室外控制设备物理防护

a）室外控制设备应放置于采用铁板或其他防火材料制作的箱体或装置中并紧固；箱体或装置具有透风、散热、防盗、防雨和防火能力等；

b）室外控制设备放置应远离强电磁干扰、强热源等环境，如无法避免应及时做好应急处置及检修，保证设备正常运行。

为了防止室外控制设备被盗和免受火灾、雨水、电磁干扰、高温等外部环境的影响，室外控制设备需要采用防火箱体装置和远离强电磁干扰、强热源等进行物理防护，以保证室外控制设备的正常运行。

安全通信网络

网络架构

a）工业控制系统与企业其他系统之间应划分为两个区域，区域间应采用单向的技术隔离手段；

b）工业控制系统内部应根据业务特点划分为不同的安全域，安全域之间应采用技术隔离手段；

c）涉及实时控制和数据传输的工业控制系统，应使用独立的网络设备组网，在物理层面上实现与其它数据网及外部公共信息网的安全隔离。

根据工业控制系统分层分域的特点，从网络架构上进行分层分域隔离。工控系统与企业其他网络系统应采取符合国家或行业规定的单向隔离产品实现物理隔离。工业控制系统内部应根据业务特点所造成隔离强度的不同，采取不同的安全隔离措施，保证工业控制系统通信网络架构的安全。  

      工业企业网络系统通常划分为不同的安全工作区，这反映了各区中业务系统的重要性的差别。不同的安全区确定了不同的安全防护要求，从而决定了不同的安全等级和防护水平。防护的重点通常是生产网与信息网之间的边界，自动化生产网络与管理信息网络在此进行数据交换（如ERP、能源监测等），而管理信息网络通常可以连接Internet，遭受病毒感染与入侵的概率较大，所以这个位置是目前防护的重点，应具备必要的单向隔离防护手段。

 条款a）重点考虑在生产网和信息网之间部署单向隔离设备，确保生产网向信息网的单向数据传输。        

条款b）要求工业控制系统内部根据承载的业务能力和网络架构及设备组网状态的不同，进行合理的分区分域。通常将具有相同业务特点的控制设备和网络资产划分为一个独立区域，将不同业务特点的资产设备划分为不同的安全域。        

条款c）要求，在对实时性要求较高的工业场景中，应在物理层面实现与管理网或其他网络的隔离，禁止生产网与其他网络之间直接进行通信的行为。

通信传输

a）在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份认证、访问控制和数据加密传输。

工业控制系统生产数据在广域网传输过程中常采用传统的封包方式，数据仍以明文方式传递。为了防止控制指令或相关数据交换被窃取、工业控制系统被非授权访问和被恶意控制，工业控制系统在广域网中进行控制指令或相关数据交换时应采用加密认证手段进行身份认证、访问控制和数据加密传输，保证工业控制系统控制指令或相关数据交换的通信传输安全。

安全区域边界

访问控制

a）应在工业控制系统与企业其他系统之间部署访问控制设备，配置访问控制策略，禁止任何穿越区域边界的E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务；

b）应在工业控制系统内安全域和安全域之间的边界防护机制失效时，及时进行报警。

工业控制系统中常采用工业专有协议和专有应用系统，而E-mail、Web、Telnet、Rlogin、FTP等通用应用和协议是网络攻击最常用的载体。在工业控制系统区域边界、工业控制系统与企业其他系统之间部署访问控制设备，在保证业务正常通信的情况下,以最小化原则只允许工业控制系统中使用的专有协议通过，拒绝E-mail、Web、Telnet、Rlogin、FTP 等一切通用网络服务穿越区域边界进入工业控制系统网络。        

在工业控制系统内安全域和安全域之间一般采用工业控制系统专用防火墙进行边界防护，工业控制系统专用防火墙具有旁路功能，一旦机制失效，工业控制系统专用防火墙立刻启用所有协议全部通行的策略，需要及时进行报警。

拨号使用控制

a）工业控制系统确需使用拨号访问服务的，应限制具有拨号访问权限的用户数量，并采取用户身份鉴别和访问控制等措施；

b）拨号服务器和客户端均应使用经安全加固的操作系统，并采取数字证书认证、传输加密和访问控制等措施。

为了防止拨号访问服务被窃听、被篡改和通信被假冒，工业控制系统中使用拨号访问服务的，拨号服务器和客户端操作系统需要进行安全加固，限制用户数量，并采取身份认证、传输加密和访问控制等安全措施，保证工业控制系统拨号访问服务的安全使用，同时将对工业控制系统正常运行的安全影响降到最低。

无线使用控制

a）应对所有参与无线通信的用户（人员、软件进程或者设备）提供唯一性标识和鉴别；

b）应对所有参与无线通信的用户（人员、软件进程或者设备）进行授权以及执行使用进行限制；

c）应对无线通信采取传输加密的安全措施，实现传输报文的机密性保护；

d）对采用无线通信技术进行控制的工业控制系统，应能识别其物理环境中发射的未经授权的无线设备，报告未经授权试图接入或干扰控制系统的行为。

为防止无线通信内容被窃听、被篡改和通信被假冒，无线通信需要加密处理，对参与无线通信的用户进行标识和鉴别、授权和使用限制，并对未授权无线设备接入或干扰控制系统的行为进行识别和告警，保证工业控制系统的无线使用安全。

安全计算环境

控制设备安全

a）控制设备自身应实现相应级别安全通用要求提出的身份鉴别、访问控制和安全审计等安全要求，如受条件限制控制设备无法实现上述要求，应由其上位控制或管理设备实现同等功能或通过管理手段控制；

b）应在经过充分测试评估后，在不影响系统安全稳定运行的情况下对控制设备进行补丁更新、固件更新等工作；

c）应关闭或拆除控制设备的软盘驱动、光盘驱动、USB 接口、串行口或多余网口等，确需保留的应通过相关的技术措施实施严格的监控管理；

d）应使用专用设备和专用软件对控制设备进行更新；

e）应保证控制设备在上线前经过安全性检测，避免控制设备固件中存在恶意代码程序。

企业资源层、生产管理层不适用于安全扩展要求的防护范围。保证计算环境控制设备安全的主要安全目标是采取技术或管理措施确保控制设备自身是安全可控的。        

控制设备在组态下载、运行参数上送、联机调试和固件更新等场景下，应先对主体的身份进行鉴别，核实访问权限，并记录所有正确和失败的操作行为。考虑到现场设备层、现场控制层通常采用嵌入式控制设备，资源和性能条件受限，自身无法满足身份鉴别、访问控制和安全审计等安全功能，可通过与其相连的上位机如工程师站、操作员站来实现相应工业安全控制功能。        

连续性是工业生产的基本要求，因此，无论是生产设备，还是设备的控制系统，都需要长期连续运行，很难做到及时更新补丁。在对控制设备进行补丁更新、固件更新时，需要先行对控制系统进行充分的验证、兼容性测试和评估，然后在停产维修阶段对系统进行更新升级，保障控制系统的可用性。

USB 接口、光驱、串行口等工业主机外设的使用，为病毒、木马、蠕虫等恶意代码的入侵提供了途径，拆除或封闭工业主机上的不必要外设接口可减少其被感染的风险。不具备拆除条件或确需保留的，需要对必要外联接口进行驱动层面管控，划分授权。在控制系统的上位机上安装工业主机防护系统是最普遍而又有效的手段。        

控制设备更新需要采用专用硬件，确保运维版本控制，控制系统更新均为专用软件应使用工业控制系统相匹配的专用设备和软件，并由专业人员进行更新操作。        

工业控制设备上线前应事先在离线环境中进行测试与验证，其中离线环境指的是与生产环境物理隔离的环境。验证和测试内容包括安全软件的功能性、兼容性及安全性、脆弱性检测以及恶意代码检测。

安全建设管理

产品采购和使用

a）工业控制系统重要设备应通过专业机构的安全性检测后放可采购使用。

工业企业在采购重要及关键控制系统或网络安全专用产品时，应了解该产品是否已通过国家相关认证标准的认证，并且在相关专业机构进行了安全性检测（如中国电科院、国网电科院的电力工控产品测试服务等）。重要设备可参考国家互联网信息办公室会同工业和信息化部、公安部及国家认证认可监督管理委员会等部门制定的《网络关键设备和网络安全专用产品目录》。

外包软件开发

a）应在外包开发合同中规定针对开发单位、供应商的约束条款，包括设备及系统在生命周期内有关保密，禁止关键技术扩散和设备行业专用等方面的内容。

 工业企业在进行外包项目时，应与外包公司及控制设备提供商签署保密协议或合同以保证其不会将本项目重要建设过程及内容进行宣传及案例复用，从而保障工业企业在建设时期的敏感信息、重要信息等内容不被泄露。