工控安全审计

什么是工控安全审计

工控安全审计（OT Security Audit）是对工业控制系统中的人员操作行为、网络通信流量、设备运行状态和系统配置变更进行持续记录、存储、分析和告警的安全措施。工控安全审计是工控安全管理体系的重要组成部分，既是安全事件事后追溯的关键数据来源，也是满足等级保护2.0等合规要求的重要手段。

工控安全审计的核心目标是构建完整的操作记录链条，确保”谁在什么时间、从哪里、对什么设备、执行了什么操作、操作结果如何”等关键信息被完整、准确、不可篡改地记录下来。当发生安全事件或生产异常时，审计记录是进行事件回溯、责任认定和原因分析的第一手资料。

工控审计的内容范围

工控安全审计的覆盖范围主要包括以下三个层面：

操作审计。 操作审计关注人员在工控系统中的交互行为，包括：工程师站的远程登录和注销事件、操作员站的过程控制操作（如参数设定、阀门控制、设备启停等）、组态修改和程序下装操作、数据库的查询和修改操作、系统配置变更操作等。操作审计需要与工控系统（如SCADA、DCS、PLC编程软件）进行对接或通过旁路方式采集操作日志。

网络审计。 网络审计对工控网络中的通信流量进行深度解析和记录。与普通网络审计不同，工控网络审计需要对工控协议进行深度解析，记录通信的工控语义信息，包括：通信双方的IP地址和工控设备标识、使用的工控协议类型及版本、协议操作类型（功能码）、操作的寄存器/IO地址、操作参数值、命令响应结果等。网络审计通常通过旁路部署的工控审计探针实现。

数据库审计。 工控系统中广泛使用关系型数据库（如Historian历史数据库、实时数据库等）存储过程数据和历史记录。数据库审计对这些数据库的访问行为进行监控和记录，包括SQL操作类型、操作对象（表、视图等）、操作条件、返回数据量等，防止敏感数据泄露或恶意篡改。

工控审计的合规要求

工控安全审计受到多项法律法规和标准的约束，其中最重要的是等级保护2.0制度：

等保2.0要求。 《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）在安全审计方面提出了明确要求：应在网络边界、重要网络节点进行安全审计，审计记录应包括事件的日期、时间、用户、事件类型、事件是否成功及其他与审计相关的信息；应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖；审计记录的保存期限应符合相关法律法规的要求。

网络安全法要求。 《中华人民共和国网络安全法》第二十一条规定，网络运营者应当留存相关的网络日志不少于六个月。这意味着工控安全审计系统必须具备至少6个月的日志存储能力，对于关键信息基础设施运营者，日志保存期限的要求可能更为严格。

行业监管要求。 电力、石油石化、轨道交通等关键行业通常有更具体的行业安全审计标准和管理规范，例如电力行业的《电力监控系统安全防护规定》（国家能源局令第14号）对安全审计提出了专项要求。

审计系统选型要点

选择工控安全审计系统时，应重点考察以下方面：

工控协议支持能力。 审计系统需要支持现场使用的全部工控协议类型，并且具备协议深度解析能力——不仅能识别协议类型，还要能解码协议报文的各个字段，提取工控语义信息。这是工控审计区别于普通网络审计的核心能力。

审计日志的完整性。 审计记录应包含足够丰富的上下文信息，包括时间戳、源/目的地址、协议详情、操作内容、执行结果等，确保事后能够完整还原操作过程。

日志存储与检索能力。 系统需要具备大容量的日志存储能力以满足6个月以上的合规要求，同时提供高效的日志检索和分析功能，支持多维度组合查询和统计分析。

实时分析与告警能力。 系统应具备基于规则的实时分析引擎，能够对异常操作行为（如非工作时间的操作、越权操作、异常指令序列等）进行实时检测和告警。

系统可靠性与可用性。 审计系统自身的可靠性要求较高，应支持硬件冗余（冗余电源、磁盘RAID等），避免因审计系统故障导致审计记录中断或丢失。

常见问题