20 等保2.0对工业控制系统安全的重点要求有哪些？

除了安全通用要求，等保2.0对工业控制系统提出了安全扩展要求，以适用工业控制的特有技术和应用场景特点，工业控制系统安全扩展要求（以三级为例）如图3-1所示。

1.安全物理环境

室外控制设备物理防护要求如下。

① 室外控制设备应放置于采用铁板或其他防火材料制作的箱体或装置中并紧固；箱体或装置具有透风、散热、防盗、防雨和防火能力等（一级及以上）。

解读：本条目要求控制系统部署的物理环境安全，确保控制系统的可用性，避免控制设备因宕机、线路短路、火灾、被盗等因素引发其他生产事故，从而影响生产运行。

② 室外控制设备放置应远离强电磁干扰、强热源等环境，如无法避免应及时做好应急处置及检修，保证设备正常运行（一级及以上）。

解读：本条目要求设备部署的外部环境安全，避免因电磁、高温等环境因素影响控制系统正常运行。

2.安全通信网络

（1）网络架构

① 工业控制系统与企业其他系统之间应划分为两个区域，区域间应采用单向的技术隔离手段（一级及以上）。

解读：本条目要求在生产网（L0/L1/L2/L3）与信息网（L4）之间，应具备必要的隔离手段。该单向隔离手段主要针对应用层，即数据流实现单向流通，采用只读属性，不允许写操作。

② 工业控制系统内部应根据业务特点划分为不同的安全域，安全域之间应采用技术隔离手段（一级及以上）。

解读：工业控制系统内部根据承载的业务能力和网络架构的不同，进行合理的分区分域，通常将具有相同业务特点的控制设备和网络资产划分为一个独立区域，不同业务特点的资产设备应划分为不同安全域，在不同区域之间采用工业防火墙进行隔离。

③ 涉及实时控制和数据传输的工业控制系统，应使用独立的网络设备组网，在物理层面上实现与其他数据网及外部公共信息网的安全隔离（二级及以上）。

解读：在实时性要求较高的工业场景中，应在物理层面实现生产网与管理网或其他网络的隔离，禁止生产网与其他网络之间直接进行通信。

（2）通信传输

在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份认证、访问控制和数据加密传输（二级及以上）。

解读：在工业控制系统需要通过广域网进行通信的场景下，需要对通信的主/从站采用相应的身份认证手段，对目标身份进行认证后，进行数据交互；数据交互过程应具备访问控制手段，即对通信的五元组进行管控；生产数据在广域网传输过程中需进行加密处理。

3.安全区域边界

（1）访问控制

① 应在工业控制系统与企业其他系统之间部署访问控制设备，配置访问控制策略，禁止任何穿越区域边界的E-mail、Web、Telnet、Rlogin、FTP等通用网络服务（一级及以上）。

解读：生产网与办公网及管理网间应部署访问控制设备，禁用上述通用网络服务。在保证业务通信正常的条件下，以最小化为原则，禁用一切其他策略。

② 应在工业控制系统内安全域和安全域之间的边界防护机制失效时，及时进行报警（二级及以上）。

解读：本条目旨在要求当边界安全管控故障或失效时，需要存在相应检测机制，能够及时将上述问题通报管理者，避免存在大范围防护盲区。

（2）拨号使用控制

① 工业控制系统确需使用拨号访问服务的，应限制具有拨号访问权限的用户数量，并采取用户身份鉴别和访问控制等措施（二级及以上）。

解读：本条目旨在对采用拨号方式进行网络访问的工业控制系统进行限制，在网络访问过程中对用户的连接数量及会话数量进行限制，同时对访问者身份进行标识验证，并且对所有采用拨号方式的用户进行访问过程的控制。

② 拨号服务器和客户端均应使用经安全加固的操作系统，并采取数字证书认证、传输加密和访问控制等措施（三级及以上）。

解读：本条目旨在要求对建设的拨号网络系统服务器及客户端安装专用安全加固系统，同时在服务器与客户端建立通信时，应采取数字证书认证方式，须对建立的通信内容进行加密，保证通信内容的保密性，并对客户端进行访问控制。

③ 涉及实时控制和数据传输的工业控制系统禁止使用拨号访问服务（四级及以上）。

解读：本条目旨在对具有实时性要求的工业控制系统，采取禁止使用拨号访问服务策略，从物理层面实现实时控制和数据传输功能的工业控制系统不被任何人员或个体拨号访问。

（3）无线使用控制

① 应对所有参与无线通信的用户（人员、软件进程或者设备）提供唯一性标识和鉴别（一级及以上）。

解读：本条目旨在对无线通信中身份鉴别做出要求，在借助于运营商（无线）网络的组网中，需要对通信端（通信应用设备或通信网络设备）建立基于用户的标识（用户名、证书等），标识具有唯一性且支持对该属性进行鉴别；在工业现场自建无线（Wi-Fi、zigbee等）网络中，通信网络设备应在组网过程中具备唯一标识，且支持对该设备属性进行鉴别。

② 应对所有参与无线通信的用户（人员、软件进程或者设备）进行授权及执行使用进行限制（二级及以上）。

解读：无线通信中的应用设备或网络设备需支持对无线通信策略进行授权，非授权设备或应用不能接入无线网络；非授权功能不能在无线通信网络中执行响应动作，对于授权用户需要具备权限控制策略。

③ 应对无线通信采取传输加密的安全措施，实现传输报文的机密性保护（三级及以上）。

解读：无线通信过程中，需对报文进行加密，加密方式可分为脱敏加密或私有协议加密，保证通信过程的机密性。

④ 对采用无线通信技术进行控制的工业控制系统，应能识别其物理环境中发射的未经授权的无线设备，报告未经授权试图接入或干扰控制系统的行为（三级及以上）。

解读：应用无线通信技术的工业生产环境，应有识别、检测工业环境中其他未授权无线设备射频信号的应用，并对未授权的无线接入行为及应用进行审计、报警及联动管控，避免无线信号干扰、影响生产，避免未授权用户通过无线接入控制系统，对生产造成破坏。

4.安全计算环境

控制设备安全要求如下。

① 控制设备自身应实现相应级别安全通用要求提出的身份鉴别、访问控制和安全审计等安全要求，如受条件限制，控制设备无法实现上述要求，应由其上位控制或管理设备实现同等功能或通过管理手段控制（一级及以上）。

解读：控制设备应实现对应等级的通用安全要求；考虑到控制系统自主可控范围较低，在其自身不满足上述条件时，需通过上位控制系统或其他管理设备实现上述要求。

② 应在经过充分测试评估后，在不影响系统安全稳定运行的情况下对控制设备进行补丁更新、固件更新等工作（一级及以上）。

解读：考虑到工业生产环境的特殊性（应用兼容性较弱），在对控制设备进行补丁更新、固件更新时，需要对控制系统进行充分的验证、兼容性测试、评估后，在停产维修阶段对系统进行更新升级，保障控制系统的可用性。

③ 应关闭或拆除控制设备的软盘驱动、光盘驱动、USB接口、串行口或多余网口等，确需保留的应通过相关的技术措施实施严格的监控管理（三级及以上）。

解读：由于工业生产环境的脆弱性，为避免通过不必要的外设接口对工业系统造成破坏，需将控制设备的软盘驱动、光盘驱动、USB接口、串行口或多余网口等进行拆除或屏蔽，如不具备拆除条件或确需保留的，应通过管理措施进行严格管控。

④ 应使用专用设备和专用软件对控制设备进行更新（三级及以上）。

解读：控制设备更新需采用专用硬件，确保运维版本控制，控制系统更新均使用专用软件。

⑤ 应保证控制设备在上线前经过安全性检测，避免控制设备固件中存在恶意代码程序（三级及以上）。

解读：控制设备上线前，需要进行脆弱性检测及恶意代码检测。

5.安全建设管理

（1）产品采购和使用

工业控制系统重要设备应通过专业机构的安全性检测后方可采购使用（二级及以上）。

解读：本条目旨在要求工业企业在采购重要及关键控制系统或信息安全产品时，应该了解该产品是否已通过国家相关的认证标准，并且在相关专业机构进行了安全性检测，目的是防止该类设备运转时出现故障，影响正常生产。

（2）外包软件开发

应在外包开发合同中规定针对开发单位、供应商的约束条款，包括设备及系统在生命周期内有关保密、禁止关键技术扩散和设备行业专用等方面的内容（二级及以上）。

解读：本条是指工业企业在外包项目时，应该与外包公司及控制设备提供商签署保密协议或合同，以保证其不会将本项目重要建设过程及内容进行宣传及案例复用，目的在于保障工业企业在建设时期的敏感信息、重要信息等内容不被泄露。