一看就懂,等保2.0下,工控等保怎么做!
随着数字产业化与产业数字化的发展,等保2.0的等级保护对象,在包括基础信息网络的基础上,通过扩展要求和附录的形式,增加了云计算、移动互联、物联网、工业控制系统、大数据五大新兴应用场景的覆盖。同时,从防御方式上由传统的被动防护转变为网络空间主动防御体系建设,关注全方位主动防御、安全可信、动态感知和全面审计。
工业控制系统如何应对等保2.0的“合规”?这一篇,我们来谈一谈等保2.0的主要变化以及针对工业控制系统的安全扩展内容和要求。
工业控制系统应用场景
(1)工业控制系统的概念和定义
工业控制系统(ICS)是几种类型控制系统的总称,包括数据采集与监视控制系统(SCADA)系统、集散控制系统(DCS)、可编程逻辑控制器(PLC)和其它控制系统。工业控制系统通常用于诸如电力、石油化工、轨道交通、烟草、市政、以及离散制造(如汽车、航空航天和耐用品)等行业。
工业控制系统主要由过程级、操作级以及各级之间和内部的通信网络构成,对于大规模的控制系统,也包括管理级。过程级包括被控对象、现场控制设备和测量仪表等,操作级包括工程师和操作员站、人机界面和组态软件、控制服务器等,管理级包括生产管理系统和企业资源系统等,通信网络包括商用以太网、工业以太网、现场总线等。
(2)工业控制系统层次结构模型划分
参考标准IEC 62264-1的层次结构模型划分,同时将SCADA系统、DCS系统和PLC系统等模型的共性进行抽象,我们可以将工业控制系统进行如下分层:
工业控制系统各层资产梳理,在与生产相关0-3层,各层覆盖的资产如下:
•生产管理层:与生产制造相关的仓储管理、先进控制、工艺管理等系统的软件和数据资产、硬件设施。
•过程监控层:各个操作员站、工程师站、OPC服务器等物理资产,及运行的软件和数据资产。
•现场控制层:各类控制器、控制单元、记录装置,以及控制程序或组态信息。
•现场设备层:各类变送器、执行机构、保护装置。
2
等保2.0对工业控制系统的安全扩展要求
(1)扩展要求框架
除了安全通用要求,针对工业控制系统专门扩充了安全扩展要求内容,首次明确了区别于传统网络的工业控制系统在特殊的应用场景下,如何对等级保护建设提出要求。
(2)扩展要求新增内容
工业控制系统安全扩展要求中,针对每一部分要求,我们梳理如下(以三级为例):
安全物理环境 | 增加了对室外控制设备的安全防护要求,如放置控制设备的箱体或装置以及控制设备周围的环境。 |
安全通信网络 | 增加了适配于工业控制系统网络环境的网络架构、通信传输安全防护要求,增加了拨号使用控制和无线使用控制的要求。 |
安全区域边界 | 增加了针对工业控制系统的访问控制,禁止通用网络服务穿越边界;增加了拨号适用控制、无线使用控制的要求,要求采取身份鉴别及访问控制等措施进行控制。 |
安全计算环境 | 增加了对控制设备的安全要求,控制设备主要是应用到工业控制系统当中执行控制逻辑和数据采集功能的实时控制器设备,如PLC、DCS控制器等。 |
安全建设管理 | 增加了产品采购和使用和软件外包方面的要求,主要针对工控设备和工控专用信息安全产品的要求,以及工业控制系统软件外包时有关保密和专业性的要求。 |
3
等保2.0下的工业控制系统安全解决方案
等保2.0关于工业控制系统安全要求的三个重点,一个中心,三重防护,一个中心指“安全管理中心”,三重防护指“安全计算环境、安全区域边界、安全网络通信”,也是工业企业安全建设的三个痛点。
安恒信息依托多年在工业控制领域的积累和实践,针对等保2.0的技术要求变化,重点布局工业控制系统在安全通信网络、区域区域边界、安全计算环境、安全管理中心及安全运维管理等多方面的防护能力,提出了一体化的解决方案。
方案完整覆盖工控网络的安全防护、安全监测、安全运维、安全检查及安全管理,助力工业控制系统尽快落地等保2.0的合规要求,如下图所示。
工控安全防护
边界防护:采用工业防火墙,识别工控网络中已知的安全威胁,也能根据用户定义的安全策略,对工控网络中的行为进行细粒度的控制,有效的阻止网络攻击向关键区域、关键设备蔓延。
主机防护:采用专门为工控环境工作站主机打造的工控安全主机卫士,只允许系统操作或运行受信任的对象,对特定的对象(关键文件目录及应用程序、动态链接库、驱动文件等)提供保护,有效阻止恶意程序对关键对象的攻击。
工控安全监测
流量审计:采用工控安全监测审计平台,通过识别多种工业控制协议,实时监测生产过程中产生的所有流量,针对工业控制系统进行审计和威胁监测。
日志审计:采用明御综合日志审计平台,实现信息资产的统一管理、监控资产的运行状况,协助全面审计工控系统整体安全状况。
入侵检测:采用明御APT攻击预警平台,提供更深层次的威胁分析能力,实现文件层面APT攻击检测、木马回连行为分析等方面的攻击检测。
工控安全运维
设备安全:采用工控漏洞扫描平台,针对工业控制系统中的设备进行漏洞检测,实现对重点区域或者高危区域进行有针对性的重点整治的目的。
运维审计:采用明御运维审计与风险控制系统,对工业控制系统提供4A统一安全管理方案,增强企业工控系统的运维管理安全性。
工控安全管理
管理平台:采用工业安全管控平台,实现对生产网中部署的工控安全设备进行监控、配置和运维。
态势感知:采用工控安全态势感知平台,提供对工控系统网络安全要素分析、安全威胁事件联动分析、异常行为快速发现的能力,实现工控网络的安全态势可视化和整体网络环境安保能力综合评估。
4
工业控制系统等级保护检查
随着网络安全等级保护2.0的即将发布和实施,各监管部门将着手开展针对工业控制系统的等级保护检查工作,而工控系统大部门为关键信息基础设施,是检查工作的重点对象。安恒信息明鉴工业控制系统安全检查工具箱是立足等保2.0专门用于工业控制系统安全检查的专业设备。
基于工业控制系统各层的安全项要求及检查点如下:
等保2.0系列解读直通车