安全資訊

網(wǎng)絡(luò )安全等級保護是國家網(wǎng)絡(luò )安全保障的基本制度基本策略和基本方法。2019年5月13日等保2.0正式發(fā)布，這是繼2008年發(fā)布等保1.0十余年來(lái)繼網(wǎng)絡(luò )安全法實(shí)施后的一次重大升級。等保2.0在等保1.0的基礎上，更加注重全方位主動(dòng)防御、安全可信、動(dòng)態(tài)感知和全面審計。    

工控角度等保2.0有哪些變化呢？

等保2.0與工控安全

01

總體結構上的區別

結構上由原來(lái)的安全要求變到現在的安全通用要求加安全擴展要求。

02

等保對象變化

等保對象由原來(lái)的信息系統過(guò)渡到現在的網(wǎng)絡(luò )和信息系統，統稱(chēng)為等級保護對象。

03

控制層面變化

由傳統的IT防護到2.0的體系化防護

04

控制項變化

部分控制項在合并刪除新增之后，整體數量降低，由原來(lái)的290項到現在的通用要求211項，同時(shí)伴隨著(zhù)新增的21項工控安全擴展要求，總共工業(yè)控制系統安全要求控制項達到了232項。

除此之外，等級保護的合格線(xiàn)也從60分提升到現在的75分，這對于等保建設來(lái)說(shuō)要求變得越來(lái)越嚴格。

根據等保2.0的要求，工業(yè)控制系統需要同時(shí)滿(mǎn)足通用要求和擴展要求兩部分。在通用要求里面，除了新增了可信認證的相關(guān)要求之外還需要關(guān)注以下幾點(diǎn)：

1. 在邊界控制訪(fǎng)問(wèn)策略以及新型攻擊行為檢測方面作出了新的要求；

2. 針對漏洞修補，明確要求需要經(jīng)過(guò)充分的認證和測試；

3. 提出了安全管理中心的概念。

要求安全管理中心滿(mǎn)足系統集中管理、審計日志分析、安全策略、集中管理運行狀態(tài)監控等要求，對于工業(yè)控制系統來(lái)說(shuō)也是一個(gè)新的挑戰。

在工業(yè)控制系統的安全擴展要求里面，我們還需要關(guān)注以下幾點(diǎn)：

1、明確了工業(yè)控制系統在對外邊界處需要采用單向隔離技術(shù)，禁止E-mail web Telnet 等通用網(wǎng)絡(luò )服務(wù)穿過(guò)對外的邊界，對實(shí)時(shí)性要求較高的網(wǎng)絡(luò )應獨立組網(wǎng)，并且與其他網(wǎng)絡(luò )實(shí)現物理隔離。

2、安全區域邊界處增加了撥號訪(fǎng)問(wèn)和無(wú)線(xiàn)使用的相關(guān)要求，對工業(yè)控制設備上線(xiàn)前要求進(jìn)行安全檢測。理論上能要求工業(yè)控制設備再滿(mǎn)足通用要求的身份鑒別訪(fǎng)問(wèn)控制和安全審計等等要求內容。在控制設備條件受限時(shí)，可以由其上位機或者管理設備替代滿(mǎn)足相關(guān)要求。

三重防護

在邊界上建議通過(guò)單向隔離和防火墻技術(shù)實(shí)現邊界的隔離和訪(fǎng)問(wèn)控制

在核心區域的核心節點(diǎn)上建議通過(guò)審計和檢測技術(shù)實(shí)現對外部入侵特別是新型攻擊的防范

針對控制設備，我們建議通過(guò)風(fēng)險檢測技術(shù)，在控制設備上線(xiàn)前以及運行過(guò)程中對其漏洞進(jìn)行監測，

最后對于控制設備相連的上位機建議通過(guò)終端管控技術(shù)實(shí)現對運行環(huán)境的監控，特別是在控制設備實(shí)際上無(wú)法滿(mǎn)足相關(guān)的身份鑒別反應訪(fǎng)問(wèn)控制等要求的情況下，需要上位主機替代控制器實(shí)現相應的安全要求。

一個(gè)中心

安全管理中心需要對內滿(mǎn)足集中策略管理運行監控系統管理等功能，對外我們需要實(shí)現安全事件安全風(fēng)險的識別告警和分析功能，最終達到協(xié)同防護的目的。