一种工控系统等级保护测评方法和系统

技术领域

本发明涉及工业控制系统技术领域，特别是涉及一种工控系统等级保护测评方法和系统。

背景技术

工业控制系统广泛应用于电力、石化、交通、市政、新型智能制造等涉及国家安全的重要领域，一旦出现安全问题，受到影响的将不仅是企业经济损失，甚至会危害国家安全及社会公众利益，其重要性不言而喻。在两化融合的大背景下，工业控制系统逐渐从早期的封闭独立状态向开放化状态转变，工控系统自身承担的重要使命使其逐渐成为网络攻击的对象，工业控制系统信息安全问题日益突出。

工业控制系统(ICS)是几种类型控制系统的总称，包括数据采集与监视控制系统(SCADA)、集散控制系统(DCS)和其它控制系统，如在工业部门和关键基础设施中经常使用的可编程逻辑控制器(PLC)。工业控制系统主要由过程级、操作级以及各级之间和内部的通信网络构成，对于大规模的控制系统，也包括管理级。过程级包括被控对象、现场控制设备和测量仪表等，操作级包括工程师和操作员站、人机界面和组态软件、控制服务器等，管理级包括生产管理系统和企业资源系统等，通信网络包括商用以太网、工业以太网、现场总线等。

一个典型的工业控制系统的功能层次模型如图1所示。层次模型将工业控制系统功能划分为五个层级，由上至下依次为第4层企业资源层、第3层生产管理层、第2层过程监控层、第1层现场控制层和第0层现场设备层，层次的划分也体现工业控制系统不同功能层级对数据通讯实时性及数据记录时间需求的不同要求。其中，过程监控层，包括监视和控制过程所涉及的功能和系统，过程监控层系统为提供操作员人机界面功能、提供报警和过程历史记录收集等功能的系统。主要用于对生产过程中不同方面数据进行采集与集中监控，组态友好易用的控制系统上位数据展示平台，搭建易用的人机接口(HMI)，实现对工业生产的监视、控制、分析、报警等功能。现场控制层，包括直接用于工业控制过程的安全保护系统和基本控制系统，如用以完成连续控制、顺序控制、批量控制和离散控制的工业自动化控制系统。直接用于工业控制过程的控制系统包括但不限于DCS、PLC、RTU等，安全保护系统如SIS安全仪表系统等。现场设备层，包括实际参与工业生产和业务的工业控制物理过程，该层涉及的生产设施为直接连接到工艺和工业设备且受现场控制层控制系统控制的传感器和执行器等。

我国网络安全领域的基本制度是网络安全等级保护，2019年等级保护标准升级为等级保护2.0，将工业控制列入标准范围，针对工业控制系统的特点单独列举了扩展要求，构成了“安全通用要求+工业控制安全扩展要求”的要求内容。等级保护测评工作是按照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》、GB/T28448-2019《信息安全技术网络安全等级保护测评要求》中的技术指标进行测评工作。

工业控制系统具有可用性和实时性要求高，系统生命周期长，业务连续性要求高的特点，在实施工业控制系统等保测评活动中，需要解决如下问题：

(1)测评指标选择非常重要。在对工业控制系统测评前，会根据工业控制系统的特点选择被测对象的测评指标，对某些不选中的测评指标需要给出裁剪理由。但实际应用中，测评人员往往对工业控制系统工作模式不熟悉，对现场控制层的测评对象的测评指标选择存在障碍，存在选择不准确或不适用项裁剪理由不充分的问题。

(2)工业控制系统通常是在连续运行的，等保测评不能影响工控系统正常工作，对部署在现场控制层的终端设备的检测往往不能实施。通常对工控现场控制设备测评中，终端设备由于没有人机交互界面，不能完全通过查看配置获取测评信息；同时又系统实时性工作要求，且现场无法搭建模拟环境，不能对控制设备实施渗透、扫描的检测。

(3)传统的测评工作都是根据人工判别网络设备类型、按照标准要求编制测评记录，测评分析工作依赖测评人员的个人能力，往往测评人员对工业控制系统的理解不深，对测评指标符合分析会出现误差，且测评时间过长，整个测评时间并不高效。

发明内容

本发明的目的是针对工控系统实时性工作特点，提供一种工控系统等级保护测评方法和系统，对现场控制层设备进行安全检测，提升测评准确性和测评效率。

为实现上述目的，本发明提供了如下方案：

一种工控系统等级保护测评方法，包括：

确定工业控制系统的测评对象和测评指标及不适用项；

基于所述测评对象和测评指标，对正在运行状态的现场控制设备进行测评，获得测评记录，并对所述测评记录进行分析。

优选地，所述工业控制系统的测评对象包括：过程监控层和现场控制层的设备，其中，所述过程监控层与通用测评要求一致，所述现场控制层测评对象需考虑对定级系统安全性起决定作用的控制层设备、网络互连设备。

优选地，确定所述工业控制系统的测评对象和测评指标及不适用项，包括：

根据工控扩展指标检索库，确定所述工业控制系统的测评对象和测评指标，并参考所述工控扩展指标检索库中不同场景的不适用项描述，完成所述测评指标中不适用项的确认和描述，其中，所述工控扩展指标检索库为针对SCADA系统、DCS系统、PLC系统分别建立的三类典型的定级对象样例、测评对象和测评指标的映射关系、指标不适用性说明。

优选地，建立所述测评对象和测评指标的映射关系包括：

对每个测评对象建立安全通用要求和工业控制安全扩展要求的指标映射关系，明确与对应场景建立相关联系，对所述不适用项建立基于场景的分析和说明。

优选地，对所述正在运行状态的现场控制设备进行测评，包括：

分别建立工控设备指纹库和工控设备漏洞库，获得正在运行的现场控制设备三维指纹，并发送至问题分析模块，所述问题分析模块用于与所述工控设备指纹库中的信息进行比对，明确设备状态，并通过所述工控设备漏洞库进行查询，获得待检测工控系统的漏洞信息；其中，所述漏洞信息包括漏洞数量和漏洞严重程度。

优选地，建立所述工控设备指纹库，包括：

获取所述工控设备的特征属性，基于所述特征属性获取所述工控设备的设备指纹，建立不同设备类型的所述工控设备指纹库；其中，所述特征属性包括设备名称、设备型号、固件版本号、所属厂商、协议端口号和MAC地址。

优选地，建立所述工控设备漏洞库，包括：

基于工况设备库中存储的工控设备进行安全检测，对检测出的安全漏洞进行记载，建立所述工控设备漏洞库；其中，检测方法包括配置核查法和漏洞扫描法。

优选地，所述配置核查法对待检测工控系统中的设备进行安全配置检查，所述安全配置检查的内容包括检查设备的基本信息、账户信息、账户口令策略、用户权限、安全审计、共享目录、运行服务、运行进程、已安装的更新程序、已安装的软件、端口信息、网卡信息、访问控制、漏洞信息；

所述漏洞扫描法使用自动化扫描工具对工控设备的操作系统、应用软件和网络系统进行已知漏洞、开放服务或开放接口特征进行逐一检查和测试，验证系统是否存在潜在安全漏洞和可被利用的脆弱性，并对检查出的脆弱性进行记录。

为了实现上述目的，本发明还提供了一种工控系统的等级保护测评系统，包括：

采集模块：用于获取正在运行状态的现场控制设备的指纹，并发送至后端子系统；

后端子系统：用于明确设备状态，并通过知识库进行查询，获得所述现场控制设备工控系统的漏洞信息；

知识库：用于进行安全问题的汇总和分析以及安全控制的整体评估；

报告模块：用于通过所述设备状态及所述漏洞信息，形成测评记录。

优选地，所述后端子系统包括：

指标配置模块：用于选择并确定测评对象、测评指标及不适用性；

问题分析模块：用于结合工控设备指纹库和工控设备漏洞库进行安全问题的汇总和分析，获得分析结果；

专家评估模块：用于基于所述分析结果进行安全控制的整体评估；

知识库维护模块：用于根据业务发展对工控扩展指标检索库、工控设备指纹库、工控设备漏洞库进行维护。

本发明的有益效果为：

1.本发明用于支持等级保护测评指标的选择，支撑选择通用指标和工控扩展指标，能够准确选择测评指标和描述不适用项裁剪理由；

2.本发明支撑对现场控制层终端设备的测评和记录检测结果；

3.本发明对测评指标进行综合分析，减少测评误差提升测评效率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明背景技术中典型的工业控制系统功能层次模型示意图；

图2为本发明实施例的工控系统的等级保护测评系统结构示意图；

图3为本发明实施例的工控扩展指标参考库示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

本实施例提供一种工控系统等级保护测评方法包括：

1、依据工控扩展指标参考库，选择工业控制系统测评对象和测评指标，明确不适用性及其说明。

(1)建设和维护工控扩展指标参考库(如图3)

工控扩展指标参考库针对SCADA系统、DCS系统、PLC系统分别建立三类典型的定级对象样例、测评对象和测评指标的映射关系、指标不适用性说明。特别是建设常用的调度系统、变电站、风电场等

其中，测评对象和测评指标的映射关系是对每个测评对象建立安全通用要求和工业控制安全扩展要求的指标映射关系，明确与对应场景建立相关联系，对部分不适用项建立基于场景的分析和说明。

工业控制系统的测评对象主要包括过程监控层、现场控制层的设备，其中过程监控层与通用测评要求一致，现场控制层测评对象需充分考虑对定级系统安全性起决定作用的控制层设备、网络互连设备等。对现场控制层测评对象选择测评指标时，是在工控扩展指标参考库指引下，从安全通用要求和工业控制安全扩展要求中选择测评指标；同时还需要参考工控扩展指标参考库中不同场景的不适用项描述，完成该测评指标中不适用项确认和描述。

2、对正在运行状态的现场控制设备，参考工控设备指纹库和工控设备漏洞库形成测评记录。

工业控制系统通常是对可用性要求较高，通用的安全措施可能会影响工控系统连续运行，例如用于基本功能的账户不应被锁定，甚至短暂的也不行；安全措施的部署不应显著增加延迟而影响系统响应时间；对于高可用性的控制系统，安全措施失效不应中断基本功能等。

工业控制系统中过程监控层的测评方法同通用系统，本专利介绍适合现场控制层的设备的测评方法，如PLC、各种采集装置、保护装置。

(1)建立工控设备指纹库

建立工控设备指纹库，包括西门子、施耐德、罗克韦尔、ABB等国内外知名厂商的PLC、DPU、采集装置等工控设备的特征属性，可以是设备名称、设备型号、固件版本号、所属厂商、协议端口号、MAC地址等。在获取多个设备的设备指纹后，建立各个设备类型的指纹库。

(2)建设工控设备漏洞库

事先对工控设备库中存储的工控设备进行安全检测，对检测出的安全漏洞进行记载，建立工控设备的漏洞库。检测方法通常包括配置核查法和漏洞扫描法。

配置核查法

对待检测工控系统中的设备进行安全配置检查。安全配置检查内容主要包括检查设备的基本信息、账户信息、账户口令策略、用户权限、安全审计、共享目录、运行服务、运行进程、已安装的更新程序、已安装的软件、端口信息、网卡信息、访问控制、漏洞信息等。

如：搭建检测环境，通过编程器或固件提取方式提取PLC控制器中的文件系统,检查文件系统中是否存在空口令账号配置、敏感信息泄漏、非必要服务开启等不当配置。

漏洞扫描法

使用专门的自动化扫描工具对工控设备的操作系统、应用软件和网络系统进行已知漏洞、开放服务或开放接口等特征进行逐一检查和测试，验证系统是否存在潜在安全漏洞和可被利用的脆弱性。并将检查出的脆弱性记录下来。

(3)对正在运行状态的现场控制设备，参考工控设备指纹库和工控设备漏洞库形成测评记录，完成现场测评工作。

采集模块获得正在运行的现场控制设备指纹，交给系统的问题分析模块。问题分析模块负责与工控设备指纹库的信息比对，明确设备状态；并在工控设备漏洞库中查询，并能够获得所述待检测工控系统的漏洞信息，所述漏洞信息包括漏洞数量和漏洞严重程度。

本实施例还提供一种工控系统的等级保护测评系统，如图2，包括：

采集模块：用于获取正在运行状态的现场控制设备的指纹，并发送至后端子系统；

后端子系统：用于明确设备状态，并通过知识库进行查询，获得所述现场控制设备工控系统的漏洞信息；

知识库：用于进行安全问题的汇总和分析以及安全控制的整体评估；

报告模块：用于通过所述设备状态及所述漏洞信息，形成测评记录。

工业控制系统等级保护测评系统对测评人员提供采集模块、报告模块；后台系统包括指标配置模块、问题分析模块、专家评估模块、知识库维护模块；知识库包括工控扩展指标检索库、工控设备指纹库、工控设备漏洞库。

测评人员依据指标配置模块的指引，选择测评对象和测评指标后实施现场测评，通过采集模块采集和记录测评结果，通过问题分析模块结合工控设备指纹库和工控设备漏洞库进行主要安全问题的汇总和分析；再通过专家评估模块进行安全控制的整体评估，工业控制系统通常是对可用性要求较高，一些装置如果要实施安全措施可能会终止其连续运行，原则上安全措施不应对高可用性的工业控制系统基本功能产生不利影响，例如用于基本功能的账户不应被锁定，甚至短暂的也不行；安全措施的部署不应显著增加延迟而影响系统响应时间；对于高可用性的控制系统，安全措施失效不应中断基本功能等。

知识库维护模块需根据业务发展对工控扩展指标检索库、工控设备指纹库、工控设备漏洞库进行维护。

本发明用于支持等级保护测评指标的选择，支撑选择通用指标和工控扩展指标，能够准确选择测评指标和描述不适用项裁剪理由。支撑对现场控制层终端设备的测评和记录检测结果。对测评指标进行综合分析，减少测评误差提升测评效率。

以上所述的实施例仅是对本发明优选方式进行的描述，并非对本发明的范围进行限定，在不脱离本发明设计精神的前提下，本领域普通技术人员对本发明的技术方案做出的各种变形和改进，均应落入本发明权利要求书确定的保护范围内。