作為“等保”系列專題之一，本文將以GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要求》中“安全通用要求”和“工業控制系統安全擴展要求”的安全控制點為依據，對比分析等保二級與等保三級安全通信網絡的差異性，為即將或正在開展等保建設的企業/單位提供參考。

在安全通用要求中，安全通信網絡分為“網絡架構、通信傳輸、可信驗證”3類安全控制點，其中等保二級共4條細分要求，等保三級在等保二級內容的基礎上，額外新增4條更嚴格的要求。

2.1.1 網絡架構差異性總結

• 標準要求對比

• 差異性說明

1、應保證網絡設備的業務處理能力滿足業務高峰期需要（等保三級）

解釋說明：為了保證網絡設備（包括交換機、路由器、邊界防火墻等）具備足夠處理能力，保證業務服務的可用性，應定期檢查網絡設備資源占用情況，確保網絡設備的業務處理能力具備冗余空間，配置網絡設備閾值告警。

2、應保證網絡各個部分的帶寬滿足業務高峰期需要（等保三級）

解釋說明：為了保證業務服務的連續性，各網絡節點的帶寬滿足業務高峰期需要，應確保網絡設備（包括寬帶監控設備、負載均衡設備等）對帶寬的實時監控，設置閾值告警。如果存在帶寬無法滿足業務高峰期需要的情況，將存在延遲過高、服務穩定性差等風險，嚴重情況下會導致業務中斷。

3、應提供通信線路、關鍵網絡設備和關鍵計算設備的硬件冗余，保證系統的可用性（等保三級）

解釋說明：為了避免通信線路、關鍵網絡設備和關鍵計算設備出現故障時引起系統中斷，應采用冗余技術設計網絡拓撲結構（包括不同運營商線路、核心層交換機冗余、匯聚層交換機冗余、防火墻冗余、關鍵服務器雙機熱備等），以確保在通信線路、關鍵網絡設備、關鍵安全設備和關鍵計算設備故障時提供備用方案，有效增強網絡的可靠性。

• 差異性總結

1、等保三級對比等保二級，針對網絡設備業務處理能力、網絡節點帶寬的要求更高

工控系統對于業務服務的可用性要求較高，網絡設備的業務處理能力不足，高峰時可能導致網絡設備宕機或服務中斷，影響工控系統的正常運行，因此在網絡建設中應注意網絡設備處理能力和網絡節點帶寬要在能夠滿足業務高峰期基礎上留有一定冗余空間。

另外，工控系統的網絡傳輸主要以指令、組態、采集數據為主，網絡吞吐量不大，適度的吞吐量是可以接受的，對于高延遲和/或抖動是不能接受的，所以工控網絡設備和工控網絡安全設備應具備低時延等能力，保證工控系統的可用性。

2、等保三級對比等保二級，針對關鍵設備硬件冗余的要求更高

工控系統對于業務服務的可用性要求較高，工控系統設計之初，就將工業控制網絡冗余容錯理念深入系統之中，例如主控器冗余系統、從設備冗余系統、故障日志系統、工業冗余環網等，隨著工業互聯網、兩化融合、5G、大數據等理念的應用，工控系統逐漸引入MES系統、PIMS系統等全過程管理信息化系統，但部分通信線路、關鍵網絡設備和關鍵計算設備未實現冗余設計，為了確保工控系統業務服務的可用性，工控系統的工業交換機、服務器、工業防火墻等需冗余配置。

2.1.2 通信傳輸差異性總結

• 標準要求對比

• 差異性說明

1、應采用校驗技術或密碼技術保證通信過程中數據的完整性（等保三級）

解釋說明：相對于等保二級，等保三級新增了密碼技術的要求，為了防止數據在通信過程中被修改或破壞，采用經國家密碼主管部門認可的密碼技術（如加密機或者VPN）保證通信過程中的數據完整性，這些數據包括鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等，建議系統內各類設備或應用程序使用TLS/SSL、SSH等加密協議進行通信。

2、應采用密碼技術保證通信過程中數據的保密性（等保三級）

解釋說明：相較等保二級，等保三級更注重數據傳輸過程的保密性，作為關鍵項點，要求采用密碼技術保證通信過程中的數據保密性，為了防止信息被竊聽，應采取技術手段對通信過程中的敏感信息字段或整個報文加密，建議系統內各類設備或應用程序使用TLS/SSL、SSH等加密協議進行通信，確保鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息數據等，在通信過程的保密性。

• 差異性總結

等保三級對比等保二級，強調采用密碼技術保證通信過程中數據的完整性和保密性

隨著“新基建”、“中國制造2025”、“工業4.0”等理念的提出，使得原本封閉的工控系統走向“開放”，給原本脆弱的工控系統帶來更多網絡威脅。為了防止關鍵的信息在傳輸中被竊取和篡改，在高等級防護需求的系統中，應利用密碼技術，對系統配置數據、鑒別信息及重要業務的數據加密，保證其在通信過程中數據的完整性和保密性。

2.1.3 可信驗證差異化總結

• 標準要求對比

無論是辦公網還是工控網，可信驗證都需要通信設備（如交換機、路由器、寬帶監控設備、負載均衡設備等）具有可信跟芯片或硬件。其作為一般測評項，可根據企業/單位實際情況和技術應用成熟度綜合判斷采用何種方案，并逐步補充完善到整體的業務體系和防護體系中。

在工業控制系統安全擴展要求中，安全通信網絡為“網絡架構、通信傳輸”2類安全控制點，等保二級與等保三級均為4個細分要求。

下面我們將以工控系統擴展要求中安全通信網絡的控制點為依據，總結等保二級和等保三級防護建設的差異性。

2.2.1 網絡架構差異性總結

• 標準要求對比
  
  

• 差異化說明

a）工業控制系統與企業其他系統之間應劃分為兩個區域，區域間應采用單向的技術隔離手段；（等保三級）

解釋說明：現場設備層、現場控制層、過程監控層、生產管理層的OT系統與生產過程強相關，而企業資源管理層的IT系統與生產過程弱相關，應將OT系統與IT系統劃分為兩個區域，區域間應采用單向的技術隔離手段（例如工業網閘等），保證數據流只能從OT系統單向流向IT系統。

• 差異性總結

等保三級對比等保二級，針對工業控制系統與企業其他系統之間的技術隔離手段，要求采用單向隔離手段。

在電力、石油石化、化工、煤炭等關鍵信息基礎設施領域，存在工業控制系統與企業其他系統的網絡邊界，同時，依據各行業政策標準，在IT系統和OT系統的邊界主要應用安全隔離網閘。

例如電力行業，國家能源局下發的《關于印發電力監控系統安全防護總體方案等安全防護方案和評估規范的通知》(國能安全〔2015〕36號)：“應當采用不同強度的安全設備隔離各安全區，在生產控制大區與管理信息大區之間必須部署經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置，隔離強度應當接近或達到物理隔離。”

2.2.2 通信傳輸差異性總結

• 標準要求

• 差異化總結

等保三級對比等保二級，標準要求保持一致

電力、冶金、石油、化工、燃氣、鐵路等領域，存在通過廣域網進行控制指令或相關數據交換的需求。例如風力發電領域，由于風電場與集控中心、分公司等物理位置的分散性，風電場運行、控制、維護、并網的特殊性，必然要求工業控制系統需要基于GPRS無線網絡、Intemet網絡和PSTN網絡等進行數據傳輸，為了滿足等保對于通信傳輸的標準要求，應采用加密認證手段實現身份認證、訪問控制和數據加密，防止非授權用戶和惡意用戶進入工業控制系統，防止及控制指令或相關數據被竊取。

附：工控系統等保二級安全通信網絡防護建議

附：工控系統等保三級安全通信網絡防護建議