隨著數(shù)字產(chǎn)業(yè)化與產(chǎn)業(yè)數(shù)字化的發(fā)展,等保2.0的等級保護對象,在包括基礎信息網(wǎng)絡的基礎上,通過擴展要求和附錄的形式,增加了云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、大數(shù)據(jù)五大新興應用場景的覆蓋。同時,從防御方式上由傳統(tǒng)的被動防護轉變?yōu)榫W(wǎng)絡空間主動防御體系建設,關注全方位主動防御、安全可信、動態(tài)感知和全面審計。
工業(yè)控制系統(tǒng)如何應對等保2.0的“合規(guī)”?這一篇,我們來談一談等保2.0的主要變化以及針對工業(yè)控制系統(tǒng)的安全擴展內容和要求。
1
工業(yè)控制系統(tǒng)應用場景
(1)工業(yè)控制系統(tǒng)的概念和定義
工業(yè)控制系統(tǒng)(ICS)是幾種類型控制系統(tǒng)的總稱,包括數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(SCADA)系統(tǒng)、集散控制系統(tǒng)(DCS)、可編程邏輯控制器(PLC)和其它控制系統(tǒng)。工業(yè)控制系統(tǒng)通常用于諸如電力、石油化工、軌道交通、煙草、市政、以及離散制造(如汽車、航空航天和耐用品)等行業(yè)。
工業(yè)控制系統(tǒng)主要由過程級、操作級以及各級之間和內部的通信網(wǎng)絡構成,對于大規(guī)模的控制系統(tǒng),也包括管理級。過程級包括被控對象、現(xiàn)場控制設備和測量儀表等,操作級包括工程師和操作員站、人機界面和組態(tài)軟件、控制服務器等,管理級包括生產(chǎn)管理系統(tǒng)和企業(yè)資源系統(tǒng)等,通信網(wǎng)絡包括商用以太網(wǎng)、工業(yè)以太網(wǎng)、現(xiàn)場總線等。
(2)工業(yè)控制系統(tǒng)層次結構模型劃分
參考標準IEC 62264-1的層次結構模型劃分,同時將SCADA系統(tǒng)、DCS系統(tǒng)和PLC系統(tǒng)等模型的共性進行抽象,我們可以將工業(yè)控制系統(tǒng)進行如下分層:
工業(yè)控制系統(tǒng)各層資產(chǎn)梳理,在與生產(chǎn)相關0-3層,各層覆蓋的資產(chǎn)如下:
•生產(chǎn)管理層:與生產(chǎn)制造相關的倉儲管理、先進控制、工藝管理等系統(tǒng)的軟件和數(shù)據(jù)資產(chǎn)、硬件設施。
•過程監(jiān)控層:各個操作員站、工程師站、OPC服務器等物理資產(chǎn),及運行的軟件和數(shù)據(jù)資產(chǎn)。
•現(xiàn)場控制層:各類控制器、控制單元、記錄裝置,以及控制程序或組態(tài)信息。
•現(xiàn)場設備層:各類變送器、執(zhí)行機構、保護裝置。
2
等保2.0對工業(yè)控制系統(tǒng)的安全擴展要求
(1)擴展要求框架
除了安全通用要求,針對工業(yè)控制系統(tǒng)專門擴充了安全擴展要求內容,首次明確了區(qū)別于傳統(tǒng)網(wǎng)絡的工業(yè)控制系統(tǒng)在特殊的應用場景下,如何對等級保護建設提出要求。
(2)擴展要求新增內容
工業(yè)控制系統(tǒng)安全擴展要求中,針對每一部分要求,我們梳理如下(以三級為例):
3
等保2.0下的工業(yè)控制系統(tǒng)安全解決方案
等保2.0關于工業(yè)控制系統(tǒng)安全要求的三個重點,一個中心,三重防護,一個中心指“安全管理中心”,三重防護指“安全計算環(huán)境、安全區(qū)域邊界、安全網(wǎng)絡通信”,也是工業(yè)企業(yè)安全建設的三個痛點。
安恒信息依托多年在工業(yè)控制領域的積累和實踐,針對等保2.0的技術要求變化,重點布局工業(yè)控制系統(tǒng)在安全通信網(wǎng)絡、區(qū)域區(qū)域邊界、安全計算環(huán)境、安全管理中心及安全運維管理等多方面的防護能力,提出了一體化的解決方案。
方案完整覆蓋工控網(wǎng)絡的安全防護、安全監(jiān)測、安全運維、安全檢查及安全管理,助力工業(yè)控制系統(tǒng)盡快落地等保2.0的合規(guī)要求,如下圖所示。
工控安全防護
邊界防護:采用工業(yè)防火墻,識別工控網(wǎng)絡中已知的安全威脅,也能根據(jù)用戶定義的安全策略,對工控網(wǎng)絡中的行為進行細粒度的控制,有效的阻止網(wǎng)絡攻擊向關鍵區(qū)域、關鍵設備蔓延。
主機防護:采用專門為工控環(huán)境工作站主機打造的工控安全主機衛(wèi)士,只允許系統(tǒng)操作或運行受信任的對象,對特定的對象(關鍵文件目錄及應用程序、動態(tài)鏈接庫、驅動文件等)提供保護,有效阻止惡意程序對關鍵對象的攻擊。
工控安全監(jiān)測
流量審計:采用工控安全監(jiān)測審計平臺,通過識別多種工業(yè)控制協(xié)議,實時監(jiān)測生產(chǎn)過程中產(chǎn)生的所有流量,針對工業(yè)控制系統(tǒng)進行審計和威脅監(jiān)測。
日志審計:采用明御綜合日志審計平臺,實現(xiàn)信息資產(chǎn)的統(tǒng)一管理、監(jiān)控資產(chǎn)的運行狀況,協(xié)助全面審計工控系統(tǒng)整體安全狀況。
入侵檢測:采用明御APT攻擊預警平臺,提供更深層次的威脅分析能力,實現(xiàn)文件層面APT攻擊檢測、木馬回連行為分析等方面的攻擊檢測。
工控安全運維
設備安全:采用工控漏洞掃描平臺,針對工業(yè)控制系統(tǒng)中的設備進行漏洞檢測,實現(xiàn)對重點區(qū)域或者高危區(qū)域進行有針對性的重點整治的目的。
運維審計:采用明御運維審計與風險控制系統(tǒng),對工業(yè)控制系統(tǒng)提供4A統(tǒng)一安全管理方案,增強企業(yè)工控系統(tǒng)的運維管理安全性。
工控安全管理
管理平臺:采用工業(yè)安全管控平臺,實現(xiàn)對生產(chǎn)網(wǎng)中部署的工控安全設備進行監(jiān)控、配置和運維。
態(tài)勢感知:采用工控安全態(tài)勢感知平臺,提供對工控系統(tǒng)網(wǎng)絡安全要素分析、安全威脅事件聯(lián)動分析、異常行為快速發(fā)現(xiàn)的能力,實現(xiàn)工控網(wǎng)絡的安全態(tài)勢可視化和整體網(wǎng)絡環(huán)境安保能力綜合評估。
4
工業(yè)控制系統(tǒng)等級保護檢查
隨著網(wǎng)絡安全等級保護2.0的即將發(fā)布和實施,各監(jiān)管部門將著手開展針對工業(yè)控制系統(tǒng)的等級保護檢查工作,而工控系統(tǒng)大部門為關鍵信息基礎設施,是檢查工作的重點對象。安恒信息明鑒工業(yè)控制系統(tǒng)安全檢查工具箱是立足等保2.0專門用于工業(yè)控制系統(tǒng)安全檢查的專業(yè)設備。
基于工業(yè)控制系統(tǒng)各層的安全項要求及檢查點如下:
等保2.0系列解讀直通車
關鍵信息基礎設施運營單位,這些等保合規(guī)要求,你都知道嗎?
物聯(lián)網(wǎng)如何過“等保關”?這些招數(shù)可以用!(附視頻)
等保2.0新增重點內容,如何化難為易?(下)
等保2.0解讀 | 你和云等保之間,可能還差一個它…
等保2.0關鍵信息基礎設施安全,如何實現(xiàn)監(jiān)管閉環(huán)?
等保2.0的落地和落實,監(jiān)管、測評、運營部門可以這么干
AiLPHA大數(shù)據(jù)實驗室解讀:等保2.0新增重點內容(上)
(本文屬知識庫及科普性質,資料來源互聯(lián)網(wǎng),版權歸原作者所有)
