等保2.0:工控系統(tǒng)安全如何應(yīng)對新要求
隨著我國“互聯(lián)網(wǎng)+”戰(zhàn)略的逐步落地,產(chǎn)業(yè)互聯(lián)網(wǎng)將成為未來國家最重要的基礎(chǔ)設(shè)施之一。云計算、大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)等新技術(shù)在關(guān)鍵信息基礎(chǔ)設(shè)施中廣泛應(yīng)用,網(wǎng)絡(luò)安全形勢與需求發(fā)生快速變化,使得等保1.0,即2008年發(fā)布的《GB/T22239-2008 信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求 》及其配套政策文件和標準,已經(jīng)不再符合新技術(shù)、新業(yè)務(wù)場景下的網(wǎng)絡(luò)安全保護要求。
等保2.0擴展了網(wǎng)絡(luò)安全保護的范圍,提高了對關(guān)鍵信息基礎(chǔ)設(shè)施進行等級保護的要求,并且針對不同保護對象的安全目標、技術(shù)特點、應(yīng)用場景的差異,采用了安全通用要求與安全擴展要求結(jié)合的方式,以更好地滿足安全保護共性化與個性化要求,提升了等級保護的普適性與可操作性,為《網(wǎng)絡(luò)安全法》的實施執(zhí)行提供了有力的技術(shù)保障。
一、等保2.0對工業(yè)控制系統(tǒng)的安全擴展要求
除了安全通用要求,等保2.0對工業(yè)控制系統(tǒng)提出了安全擴展要求,以適用工業(yè)控制的特有技術(shù)和應(yīng)用場景特點。
其中,安全擴展的特殊要求包括:
物理和環(huán)境安全:增加了對室外控制設(shè)備的安全防護要求,如放置控制設(shè)備的箱體或裝置以及控制設(shè)備周圍的環(huán)境;
網(wǎng)絡(luò)和通信安全:增加了適配于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)架構(gòu)安全防護要求、通信傳輸要求以及訪問控制要求,增加了撥號使用控制和無線使用控制的要求;
設(shè)備和計算安全:增加了對控制設(shè)備的安全要求,控制設(shè)備主要是應(yīng)用到工業(yè)控制系統(tǒng)當中執(zhí)行控制邏輯和數(shù)據(jù)采集功能的實時控制器設(shè)備,如PLC、DCS控制器等;
安全建設(shè)管理:增加了產(chǎn)品采購和使用和軟件外包方面的要求,主要針對工控設(shè)備和工控專用信息安全產(chǎn)品的要求,以及工業(yè)控制系統(tǒng)軟件外包時有關(guān)保密和專業(yè)性的要求;
安全運維管理:調(diào)整了漏洞和風(fēng)險管理、惡意代碼防范管理和安全事件處置方面的需求,更加適配工業(yè)場景應(yīng)用和工業(yè)控制系統(tǒng)。
二、工業(yè)控制系統(tǒng)安全的重點要求解讀
綜合等保2.0對工業(yè)控制系統(tǒng)安全的通用要求和擴展要求,可以看出工業(yè)安全防護的重點在工業(yè)主機安全、邊界安全和工業(yè)安全管理三個領(lǐng)域。
1.工業(yè)主機安全要求
-
8.1.4.5 惡意代碼防范
應(yīng)采用免受惡意代碼攻擊的技術(shù)措施或主動免疫可信驗證機制及時識別入侵和病毒行為,并將其有效阻斷。
-
8.5.4.1 控制設(shè)備安全
b) 應(yīng)在經(jīng)過充分測試評估后,在不影響系統(tǒng)安全穩(wěn)定運行的情況下對控制設(shè)備進行補丁更新、固件更新等工作;
c) 應(yīng)關(guān)閉或拆除控制設(shè)備的軟盤驅(qū)動、光盤驅(qū)動、USB接口、串行口或多余網(wǎng)口等,確需保留的必須通過相關(guān)的技術(shù)措施實施嚴格的監(jiān)控管理;
2.工業(yè)安全邊界安全要求
-
8.1.3.1 邊界防護
a) 應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進行通信;
b) 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查或限制;
c) 應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查或限制;
d) 應(yīng)限制無線網(wǎng)絡(luò)的使用,保證無線網(wǎng)絡(luò)通過受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò)
-
8.5.2.1 網(wǎng)絡(luò)架構(gòu)
a) 工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應(yīng)劃分為兩個區(qū)域,區(qū)域間應(yīng)采用單向的技術(shù)隔離手段;
b) 工業(yè)控制系統(tǒng)內(nèi)部應(yīng)根據(jù)業(yè)務(wù)特點劃分為不同的安全域,安全域之間應(yīng)采用技術(shù)隔離手段;
-
8.5.3.1 訪問控制
a) 應(yīng)在工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間部署訪問控制設(shè)備,配置訪問控制策略,禁止任何穿越區(qū)域邊界的E-Mail、Web、Telnet、Rlogin、FTP等通用網(wǎng)絡(luò)服務(wù)
3.工業(yè)安全管理要求
-
8.1.5.4 集中管控
a) 應(yīng)劃分出特定的管理區(qū)域,對分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進行管控;
b) 應(yīng)能夠建立一條安全的信息傳輸路徑,對網(wǎng)絡(luò)中的安全設(shè)備或安全組件進行管理;
c) 應(yīng)對網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運行狀況進行集中監(jiān)測;
d) 應(yīng)對分散在各個設(shè)備上的審計數(shù)據(jù)進行收集匯總和集中分析,并保證審計記錄的留存時間符合法律法規(guī)要求;
e) 應(yīng)對安全策略、惡意代碼、補丁升級等安全相關(guān)事項進行集中管理;
f) 應(yīng)能對網(wǎng)絡(luò)中發(fā)生的各類安全事件進行識別、報警和分析
三、工業(yè)安全痛點解決應(yīng)對
等保2.0關(guān)于工業(yè)控制系統(tǒng)安全要求的三個重點,也是工業(yè)企業(yè)安全建設(shè)的三個痛點,奇安信經(jīng)過多年的工業(yè)安全技術(shù)研究和客戶服務(wù)實踐,提出了一體化的解決方案,如下圖所示。
方案完整覆蓋工控網(wǎng)絡(luò)的防護、監(jiān)測及集中管理,包含4款產(chǎn)品:工業(yè)主機安全防護系統(tǒng)、工業(yè)控制安全網(wǎng)關(guān)(工業(yè)防火墻)、工業(yè)安全監(jiān)測系統(tǒng)(含控制平臺)、工業(yè)安全隔離與信息交換系統(tǒng)(工業(yè)網(wǎng)閘)。
工業(yè)主機安全防護系統(tǒng)是一款軟件產(chǎn)品,安裝在工控上位機和工業(yè)服務(wù)器上,基于白名單智能匹配技術(shù)和“入口-運行-擴散”三重關(guān)卡式攔截技術(shù),防止病毒與惡意程序入侵攻擊,控制USB移動設(shè)備非法接入,為工業(yè)軟件提供安全、干凈的運行白環(huán)境。
工業(yè)控制安全網(wǎng)關(guān)系統(tǒng)(工業(yè)防火墻)是專為工業(yè)環(huán)境打造的一款邊界安全防護產(chǎn)品,為工控網(wǎng)與企業(yè)網(wǎng)的連接、工控網(wǎng)內(nèi)部各區(qū)域的連接提供安全隔離。產(chǎn)品采用四重白名單的安全策略,過濾非法訪問,保證只有可信任的設(shè)備接入工控網(wǎng)絡(luò),保證可信任的流量在網(wǎng)絡(luò)上傳輸。
工業(yè)安全監(jiān)測系統(tǒng)(ISD)對工控系統(tǒng)的運行數(shù)據(jù)進行被動無損采集,自動發(fā)現(xiàn)工業(yè)資產(chǎn),監(jiān)測非法接入設(shè)備,實時檢測網(wǎng)絡(luò)入侵行為,監(jiān)控工控設(shè)備異常操作,并實時將各類攻擊與異常信息上傳到工業(yè)安全監(jiān)測控制平臺(ISDC)。ISDC匯總所有安全監(jiān)測設(shè)備的日志,以及工業(yè)主機安全防護、工業(yè)防火墻、工業(yè)網(wǎng)閘的日志,集中存儲,統(tǒng)一分析,幫助安全運營人員及時了解工業(yè)網(wǎng)絡(luò)全網(wǎng)安全態(tài)勢與威脅動態(tài)。
工業(yè)安全隔離與信息交換系統(tǒng)(工業(yè)網(wǎng)閘)用于工控網(wǎng)絡(luò)不同安全級別網(wǎng)絡(luò)間進行安全數(shù)據(jù)交換。通過鏈路阻斷、協(xié)議轉(zhuǎn)換的方式實現(xiàn)信息擺渡,可深度解析多種工業(yè)協(xié)議(OPC、ModBus、S7、DNP3、IEC104等),集安全隔離、實時信息交換、協(xié)議分析、內(nèi)容檢測、訪問控制、安全防護等多種功能于一體,在實現(xiàn)網(wǎng)絡(luò)安全隔離的同時,提供高速、安全的數(shù)據(jù)交換能力和可靠的信息交換服務(wù)
附:工業(yè)控制系統(tǒng)簡介
1.工業(yè)控制系統(tǒng)概述
工業(yè)控制系統(tǒng)(ICS)是幾種類型控制系統(tǒng)的總稱,包括數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(SCADA)、集散控制系統(tǒng)(DCS)和其它控制系統(tǒng),如在工業(yè)部門和關(guān)鍵基礎(chǔ)設(shè)施中經(jīng)常使用的可編程邏輯控制器(PLC)。工業(yè)控制系統(tǒng)通常用于諸如電力、水和污水處理、石油和天然氣、化工、交通運輸、制藥、紙漿和造紙、食品和飲料以及離散制造(如汽車、航空航天和耐用品)等行業(yè)。工業(yè)控制系統(tǒng)主要由過程級、操作級以及各級之間和內(nèi)部的通信網(wǎng)絡(luò)構(gòu)成,對于大規(guī)模的控制系統(tǒng),也包括管理級。過程級包括被控對象、現(xiàn)場控制設(shè)備和測量儀表等,操作級包括工程師和操作員站、人機界面和組態(tài)軟件、控制服務(wù)器等,管理級包括生產(chǎn)管理系統(tǒng)和企業(yè)資源系統(tǒng)等,通信網(wǎng)絡(luò)包括商用以太網(wǎng)、工業(yè)以太網(wǎng)、現(xiàn)場總線等。
2.工業(yè)控制系統(tǒng)層次模型
工控網(wǎng)絡(luò)層次模型從上到下共分為5個層級,依次為企業(yè)資源層、生產(chǎn)管理層、過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設(shè)備層,不同層級的實時性要求不同。企業(yè)資源層主要包括ERP系統(tǒng)功能單元,用于為企業(yè)決策層員工提供決策運行手段;生產(chǎn)管理層主要包括MES系統(tǒng)功能單元,用于對生產(chǎn)過程進行管理,如制造數(shù)據(jù)管理、生產(chǎn)調(diào)度管理等;過程監(jiān)控層主要包括監(jiān)控服務(wù)器與HMI系統(tǒng)功能單元,用于對生產(chǎn)過程數(shù)據(jù)進行采集與監(jiān)控,并利用HMI系統(tǒng)實現(xiàn)人機交互;現(xiàn)場控制層主要包括各類控制器單元,如PLC、DCS控制單元等,用于對各執(zhí)行設(shè)備進行控制;現(xiàn)場設(shè)備層主要包括各類過程傳感設(shè)備與執(zhí)行設(shè)備單元,用于對生產(chǎn)過程進行感知與操作。