等保2.0:工控系統安全如何應對新要求
隨著我國“互聯網+”戰略的逐步落地,產業互聯網將成為未來國家最重要的基礎設施之一。云計算、大數據、人工智能、物聯網等新技術在關鍵信息基礎設施中廣泛應用,網絡安全形勢與需求發生快速變化,使得等保1.0,即2008年發布的《GB/T22239-2008 信息安全技術信息系統安全等級保護基本要求 》及其配套政策文件和標準,已經不再符合新技術、新業務場景下的網絡安全保護要求。
等保2.0擴展了網絡安全保護的范圍,提高了對關鍵信息基礎設施進行等級保護的要求,并且針對不同保護對象的安全目標、技術特點、應用場景的差異,采用了安全通用要求與安全擴展要求結合的方式,以更好地滿足安全保護共性化與個性化要求,提升了等級保護的普適性與可操作性,為《網絡安全法》的實施執行提供了有力的技術保障。
一、等保2.0對工業控制系統的安全擴展要求
除了安全通用要求,等保2.0對工業控制系統提出了安全擴展要求,以適用工業控制的特有技術和應用場景特點。
其中,安全擴展的特殊要求包括:
物理和環境安全:增加了對室外控制設備的安全防護要求,如放置控制設備的箱體或裝置以及控制設備周圍的環境;
網絡和通信安全:增加了適配于工業控制系統網絡環境的網絡架構安全防護要求、通信傳輸要求以及訪問控制要求,增加了撥號使用控制和無線使用控制的要求;
設備和計算安全:增加了對控制設備的安全要求,控制設備主要是應用到工業控制系統當中執行控制邏輯和數據采集功能的實時控制器設備,如PLC、DCS控制器等;
安全建設管理:增加了產品采購和使用和軟件外包方面的要求,主要針對工控設備和工控專用信息安全產品的要求,以及工業控制系統軟件外包時有關保密和專業性的要求;
安全運維管理:調整了漏洞和風險管理、惡意代碼防范管理和安全事件處置方面的需求,更加適配工業場景應用和工業控制系統。
二、工業控制系統安全的重點要求解讀
綜合等保2.0對工業控制系統安全的通用要求和擴展要求,可以看出工業安全防護的重點在工業主機安全、邊界安全和工業安全管理三個領域。
1.工業主機安全要求
-
8.1.4.5 惡意代碼防范
應采用免受惡意代碼攻擊的技術措施或主動免疫可信驗證機制及時識別入侵和病毒行為,并將其有效阻斷。
-
8.5.4.1 控制設備安全
b) 應在經過充分測試評估后,在不影響系統安全穩定運行的情況下對控制設備進行補丁更新、固件更新等工作;
c) 應關閉或拆除控制設備的軟盤驅動、光盤驅動、USB接口、串行口或多余網口等,確需保留的必須通過相關的技術措施實施嚴格的監控管理;
2.工業安全邊界安全要求
-
8.1.3.1 邊界防護
a) 應保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信;
b) 應能夠對非授權設備私自聯到內部網絡的行為進行檢查或限制;
c) 應能夠對內部用戶非授權聯到外部網絡的行為進行檢查或限制;
d) 應限制無線網絡的使用,保證無線網絡通過受控的邊界設備接入內部網絡
-
8.5.2.1 網絡架構
a) 工業控制系統與企業其他系統之間應劃分為兩個區域,區域間應采用單向的技術隔離手段;
b) 工業控制系統內部應根據業務特點劃分為不同的安全域,安全域之間應采用技術隔離手段;
-
8.5.3.1 訪問控制
a) 應在工業控制系統與企業其他系統之間部署訪問控制設備,配置訪問控制策略,禁止任何穿越區域邊界的E-Mail、Web、Telnet、Rlogin、FTP等通用網絡服務
3.工業安全管理要求
-
8.1.5.4 集中管控
a) 應劃分出特定的管理區域,對分布在網絡中的安全設備或安全組件進行管控;
b) 應能夠建立一條安全的信息傳輸路徑,對網絡中的安全設備或安全組件進行管理;
c) 應對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測;
d) 應對分散在各個設備上的審計數據進行收集匯總和集中分析,并保證審計記錄的留存時間符合法律法規要求;
e) 應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理;
f) 應能對網絡中發生的各類安全事件進行識別、報警和分析
三、工業安全痛點解決應對
等保2.0關于工業控制系統安全要求的三個重點,也是工業企業安全建設的三個痛點,奇安信經過多年的工業安全技術研究和客戶服務實踐,提出了一體化的解決方案,如下圖所示。
方案完整覆蓋工控網絡的防護、監測及集中管理,包含4款產品:工業主機安全防護系統、工業控制安全網關(工業防火墻)、工業安全監測系統(含控制平臺)、工業安全隔離與信息交換系統(工業網閘)。
工業主機安全防護系統是一款軟件產品,安裝在工控上位機和工業服務器上,基于白名單智能匹配技術和“入口-運行-擴散”三重關卡式攔截技術,防止病毒與惡意程序入侵攻擊,控制USB移動設備非法接入,為工業軟件提供安全、干凈的運行白環境。
工業控制安全網關系統(工業防火墻)是專為工業環境打造的一款邊界安全防護產品,為工控網與企業網的連接、工控網內部各區域的連接提供安全隔離。產品采用四重白名單的安全策略,過濾非法訪問,保證只有可信任的設備接入工控網絡,保證可信任的流量在網絡上傳輸。
工業安全監測系統(ISD)對工控系統的運行數據進行被動無損采集,自動發現工業資產,監測非法接入設備,實時檢測網絡入侵行為,監控工控設備異常操作,并實時將各類攻擊與異常信息上傳到工業安全監測控制平臺(ISDC)。ISDC匯總所有安全監測設備的日志,以及工業主機安全防護、工業防火墻、工業網閘的日志,集中存儲,統一分析,幫助安全運營人員及時了解工業網絡全網安全態勢與威脅動態。
工業安全隔離與信息交換系統(工業網閘)用于工控網絡不同安全級別網絡間進行安全數據交換。通過鏈路阻斷、協議轉換的方式實現信息擺渡,可深度解析多種工業協議(OPC、ModBus、S7、DNP3、IEC104等),集安全隔離、實時信息交換、協議分析、內容檢測、訪問控制、安全防護等多種功能于一體,在實現網絡安全隔離的同時,提供高速、安全的數據交換能力和可靠的信息交換服務
附:工業控制系統簡介
1.工業控制系統概述
工業控制系統(ICS)是幾種類型控制系統的總稱,包括數據采集與監視控制系統(SCADA)、集散控制系統(DCS)和其它控制系統,如在工業部門和關鍵基礎設施中經常使用的可編程邏輯控制器(PLC)。工業控制系統通常用于諸如電力、水和污水處理、石油和天然氣、化工、交通運輸、制藥、紙漿和造紙、食品和飲料以及離散制造(如汽車、航空航天和耐用品)等行業。工業控制系統主要由過程級、操作級以及各級之間和內部的通信網絡構成,對于大規模的控制系統,也包括管理級。過程級包括被控對象、現場控制設備和測量儀表等,操作級包括工程師和操作員站、人機界面和組態軟件、控制服務器等,管理級包括生產管理系統和企業資源系統等,通信網絡包括商用以太網、工業以太網、現場總線等。
2.工業控制系統層次模型
工控網絡層次模型從上到下共分為5個層級,依次為企業資源層、生產管理層、過程監控層、現場控制層和現場設備層,不同層級的實時性要求不同。企業資源層主要包括ERP系統功能單元,用于為企業決策層員工提供決策運行手段;生產管理層主要包括MES系統功能單元,用于對生產過程進行管理,如制造數據管理、生產調度管理等;過程監控層主要包括監控服務器與HMI系統功能單元,用于對生產過程數據進行采集與監控,并利用HMI系統實現人機交互;現場控制層主要包括各類控制器單元,如PLC、DCS控制單元等,用于對各執行設備進行控制;現場設備層主要包括各類過程傳感設備與執行設備單元,用于對生產過程進行感知與操作。