等級保護2.0工業(yè)控制系統(tǒng)安全
2008年發(fā)布的《GB/T22239-2008 信息安全技術 信息系統(tǒng)安全等級保護基本要求 》及其配套政策文件和標準統(tǒng)稱為等保1.0。等保1.0在經(jīng)歷了多年的試點、推廣、行業(yè)標準制定、落實工作后,由于新技術、新應用、新業(yè)務形態(tài)的大量出現(xiàn),尤其是人工智能、大數(shù)據(jù)、物聯(lián)網(wǎng)、云計算、全數(shù)字化儀控系統(tǒng)等的快速發(fā)展,安全趨勢和形勢的急速變化,原來發(fā)布的標準已經(jīng)不再適用于當前安全要求,從2015年開始,等級保護的安全要求逐步開始制定2.0標準,包括5個部分:安全通用要求、云計算安全擴展要求、移動互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求、工業(yè)控制安全擴展要求,豐富了防護內(nèi)容和要求,通用要求中精簡了多余或者不適用的內(nèi)容,增加了無線網(wǎng)絡、網(wǎng)絡集中監(jiān)控等的要求。2017年8月,公安部評估中心根據(jù)網(wǎng)信辦和安標委的意見將等級保護在編的5個基本要求分冊標準進行了合并形成《網(wǎng)絡安全等級保護基本要求》一個標準。本文主要參考《信息安全技術 網(wǎng)絡安全等級保護基本要求》(送審稿)(以下簡稱“該標準”)分析等保2.0的主要變化以及針對工業(yè)控制系統(tǒng)的安全擴展內(nèi)容和要求。
等保2.0的主要變化
為適應《中華人民共和國網(wǎng)絡安全法》,配合落實“網(wǎng)絡安全等級保護制度”,該標準的名稱由“信息安全技術 信息系統(tǒng)安全等級保護基本要求”變更為“信息安全技術 網(wǎng)絡安全等級保護基本要求”。
該標準主要從技術和管理兩個方面提出要求,技術要求由原來的物理安全、網(wǎng)絡安全、主機安全、應用安全和數(shù)據(jù)安全及備份恢復調(diào)整分類為物理和環(huán)境安全、網(wǎng)絡和通信安全、設備和計算安全、應用和數(shù)據(jù)安全;管理要求由原來的安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理調(diào)整分類為安全策略和管理制度、安全管理機構和人員、安全建設管理、安全運維管理。
為了適應新技術、新業(yè)務、新應用,該標準對云計算、移動互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)分別提出相應的要求,內(nèi)容結構調(diào)整各個級別的安全要求為安全通用要求、云計算安全擴展要求、移動互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求和工業(yè)控制系統(tǒng)安全擴展要求;
控制項的變化:
該標準取消了原來安全控制點的S、A、G標注,增加一個附錄A描述等級保護對象的定級結果和安全要求之間的關系,說明如何根據(jù)定級的S、A結果選擇安全要求。
工業(yè)控制系統(tǒng)安全擴展要求
物理和環(huán)境安全:增加了對室外控制設備的安全防護要求,如放置控制設備的箱體或裝置以及控制設備周圍的環(huán)境;
網(wǎng)絡和通信安全:增加了適配于工業(yè)控制系統(tǒng)網(wǎng)絡環(huán)境的網(wǎng)絡架構安全防護要求、通信傳輸要求以及訪問控制要求,增加了撥號使用控制和無線使用控制的要求;
設備和計算安全:增加了對控制設備的安全要求,控制設備主要是應用到工業(yè)控制系統(tǒng)當中執(zhí)行控制邏輯和數(shù)據(jù)采集功能的實時控制器設備,如PLC、DCS控制器等;
安全建設管理:增加了產(chǎn)品采購和使用和軟件外包方面的要求,主要針對工控設備和工控專用信息安全產(chǎn)品的要求,以及工業(yè)控制系統(tǒng)軟件外包時有關保密和專業(yè)性的要求;
安全運維管理:調(diào)整了漏洞和風險管理、惡意代碼防范管理和安全事件處置方面的需求,更加適配工業(yè)場景應用和工業(yè)控制系統(tǒng)。
工業(yè)控制系統(tǒng)應用場景
工業(yè)控制系統(tǒng)的概念和定義
工業(yè)控制系統(tǒng)(ICS)是幾種類型控制系統(tǒng)的總稱,包括數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(SCADA)系統(tǒng)、集散控制系統(tǒng)(DCS)和其它控制系統(tǒng),如在工業(yè)部門和關鍵基礎設施中經(jīng)常使用的可編程邏輯控制器(PLC)。工業(yè)控制系統(tǒng)通常用于諸如電力、水和污水處理、石油和天然氣、化工、交通運輸、制藥、紙漿和造紙、食品和飲料以及離散制造(如汽車、航空航天和耐用品)等行業(yè)。工業(yè)控制系統(tǒng)主要由過程級、操作級以及各級之間和內(nèi)部的通信網(wǎng)絡構成,對于大規(guī)模的控制系統(tǒng),也包括管理級。過程級包括被控對象、現(xiàn)場控制設備和測量儀表等,操作級包括工程師和操作員站、人機界面和組態(tài)軟件、控制服務器等,管理級包括生產(chǎn)管理系統(tǒng)和企業(yè)資源系統(tǒng)等,通信網(wǎng)絡包括商用以太網(wǎng)、工業(yè)以太網(wǎng)、現(xiàn)場總線等。
工業(yè)控制系統(tǒng)分層模型
該標準參考IEC 62264-1的層次結構模型劃分,同時將SCADA系統(tǒng)、DCS系統(tǒng)和PLC系統(tǒng)等模型的共性進行抽象, 形成了如圖二的分層架構模型,從上到下共分為5個層級,依次為企業(yè)資源層、生產(chǎn)管理層、過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設備層,不同層級的實時性要求不同。企業(yè)資源層主要包括ERP系統(tǒng)功能單元,用于為企業(yè)決策層員工提供決策運行手段;生產(chǎn)管理層主要包括MES系統(tǒng)功能單元,用于對生產(chǎn)過程進行管理,如制造數(shù)據(jù)管理、生產(chǎn)調(diào)度管理等;過程監(jiān)控層主要包括監(jiān)控服務器與HMI系統(tǒng)功能單元,用于對生產(chǎn)過程數(shù)據(jù)進行采集與監(jiān)控,并利用HMI系統(tǒng)實現(xiàn)人機交互;現(xiàn)場控制層主要包括各類控制器單元,如PLC、DCS控制單元等,用于對各執(zhí)行設備進行控制;現(xiàn)場設備層主要包括各類過程傳感設備與執(zhí)行設備單元,用于對生產(chǎn)過程進行感知與操作。
根據(jù)工業(yè)控制系統(tǒng)的架構模型不同層次的業(yè)務應用、實時性要求以及不同層次之間的通信協(xié)議不同,需要部署的工控安全產(chǎn)品或解決方案有所差異,尤其是涉及工控協(xié)議通信的邊界需要部署工控安全產(chǎn)品進行防護,不僅支持對工控協(xié)議細粒度的訪問控制,同時滿足各層次對實時性的要求。
同時,該標準專門標注了隨著工業(yè)4.0、信息物理系統(tǒng)的發(fā)展,上述分層架構已不能完全適用,因此對于不同的行業(yè)企業(yè)實際發(fā)展情況,允許部分層級合并,可以根據(jù)用戶的實際場景進行判斷。
考慮到工業(yè)控制系統(tǒng)構成的復雜性,組網(wǎng)的多樣性,以及等級保護對象劃分的靈活性,給安全等級保護基本要求的使用帶來了選擇的需求。該標準給出了各個層次使用本標準相關內(nèi)容的映射關系,可以在實際應用中參考:
約束條件
工業(yè)控制系統(tǒng)通常對可靠性、可用性要求非常高,所以在對工業(yè)控制系統(tǒng)依照等級保護進行防護的時候要滿足以下約束條件:
原則上安全措施不應對高可用性的工業(yè)控制系統(tǒng)基本功能產(chǎn)生不利影響。例如用于基本功能的賬戶不應被鎖定,甚至短暫的也不行;
安全措施的部署不應顯著增加延遲而影響系統(tǒng)響應時間;
對于高可用性的控制系統(tǒng),安全措施失效不應中斷基本功能等。
經(jīng)評估對可用性有較大影響而無法實施和落實安全等級保護要求的相關條款時,應進行安全聲明,分析和說明此條款實施可能產(chǎn)生的影響和后果,以及使用的補償措施。
工業(yè)控制系統(tǒng)等級保護檢查
隨著網(wǎng)絡安全等級保護2.0的即將發(fā)布和實施,公安部門會著手開展針對工業(yè)控制系統(tǒng)的等級保護檢查工作,我們的工業(yè)控制系統(tǒng)等級保護檢查工具合格研發(fā)單位,等待公安部組織的統(tǒng)一測試后進行列裝主要面向公安客戶進行工控系統(tǒng)等級保護執(zhí)法檢查工作,屆時會發(fā)布列裝通告。
同時,針對非公安客戶,我公司已經(jīng)在2018年7月26日上市發(fā)布了工業(yè)網(wǎng)絡安全合規(guī)評估工具,用于上級檢查和關鍵基礎設施運營企業(yè)安全自查。工業(yè)網(wǎng)絡安全合規(guī)評估工具配置一體化便攜式、高性能專用硬件裝備,集信息收集(對象、資產(chǎn)、流量)、合規(guī)評估、資產(chǎn)信息管理、資產(chǎn)統(tǒng)計分析、資產(chǎn)安全評估、網(wǎng)絡異常行為審計、無線WiFi評估、通信流量診斷(流量統(tǒng)計、工控協(xié)議合規(guī)性分析、數(shù)據(jù)包分布統(tǒng)計、診斷數(shù)據(jù)統(tǒng)計、IP流量統(tǒng)計)、視頻監(jiān)控設備評估、主機惡意代碼評估于一體的綜合評估工具集,為用戶提供標準、專業(yè)的檢查指導,并支持對評估結果數(shù)據(jù)的關聯(lián)分析、統(tǒng)計對比,可幫助用戶快速分析展示合規(guī)現(xiàn)狀,定位工業(yè)網(wǎng)絡安全風險。