安全資訊

  2008年發(fā)布的《GB/T22239-2008 信息安全技術(shù) 信息系統安全等級保護基本要求 》及其配套政策文件和標準統稱(chēng)為等保1.0。等保1.0在經(jīng)歷了多年的試點(diǎn)、推廣、行業(yè)標準制定、落實(shí)工作后，由于新技術(shù)、新應用、新業(yè)務(wù)形態(tài)的大量出現，尤其是人工智能、大數據、物聯(lián)網(wǎng)、云計算、全數字化儀控系統等的快速發(fā)展，安全趨勢和形勢的急速變化，原來(lái)發(fā)布的標準已經(jīng)不再適用于當前安全要求，從2015年開(kāi)始，等級保護的安全要求逐步開(kāi)始制定2.0標準，包括5個(gè)部分：安全通用要求、云計算安全擴展要求、移動(dòng)互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求、工業(yè)控制安全擴展要求，豐富了防護內容和要求，通用要求中精簡(jiǎn)了多余或者不適用的內容，增加了無(wú)線(xiàn)網(wǎng)絡(luò )、網(wǎng)絡(luò )集中監控等的要求。2017年8月，公安部評估中心根據網(wǎng)信辦和安標委的意見(jiàn)將等級保護在編的5個(gè)基本要求分冊標準進(jìn)行了合并形成《網(wǎng)絡(luò )安全等級保護基本要求》一個(gè)標準。本文主要參考《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護基本要求》(送審稿)(以下簡(jiǎn)稱(chēng)“該標準”)分析等保2.0的主要變化以及針對工業(yè)控制系統的安全擴展內容和要求。

  等保2.0的主要變化

  為適應《中華人民共和國網(wǎng)絡(luò )安全法》，配合落實(shí)“網(wǎng)絡(luò )安全等級保護制度”，該標準的名稱(chēng)由“信息安全技術(shù) 信息系統安全等級保護基本要求”變更為“信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護基本要求”。

  該標準主要從技術(shù)和管理兩個(gè)方面提出要求，技術(shù)要求由原來(lái)的物理安全、網(wǎng)絡(luò )安全、主機安全、應用安全和數據安全及備份恢復調整分類(lèi)為物理和環(huán)境安全、網(wǎng)絡(luò )和通信安全、設備和計算安全、應用和數據安全;管理要求由原來(lái)的安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理調整分類(lèi)為安全策略和管理制度、安全管理機構和人員、安全建設管理、安全運維管理。

  為了適應新技術(shù)、新業(yè)務(wù)、新應用，該標準對云計算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統分別提出相應的要求，內容結構調整各個(gè)級別的安全要求為安全通用要求、云計算安全擴展要求、移動(dòng)互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求和工業(yè)控制系統安全擴展要求;

  控制項的變化：

  該標準取消了原來(lái)安全控制點(diǎn)的S、A、G標注，增加一個(gè)附錄A描述等級保護對象的定級結果和安全要求之間的關(guān)系，說(shuō)明如何根據定級的S、A結果選擇安全要求。

  工業(yè)控制系統安全擴展要求

  物理和環(huán)境安全：增加了對室外控制設備的安全防護要求，如放置控制設備的箱體或裝置以及控制設備周?chē)沫h(huán)境;

  網(wǎng)絡(luò )和通信安全：增加了適配于工業(yè)控制系統網(wǎng)絡(luò )環(huán)境的網(wǎng)絡(luò )架構安全防護要求、通信傳輸要求以及訪(fǎng)問(wèn)控制要求，增加了撥號使用控制和無(wú)線(xiàn)使用控制的要求;

  設備和計算安全：增加了對控制設備的安全要求，控制設備主要是應用到工業(yè)控制系統當中執行控制邏輯和數據采集功能的實(shí)時(shí)控制器設備，如PLC、DCS控制器等;

  安全建設管理：增加了產(chǎn)品采購和使用和軟件外包方面的要求，主要針對工控設備和工控專(zhuān)用信息安全產(chǎn)品的要求，以及工業(yè)控制系統軟件外包時(shí)有關(guān)保密和專(zhuān)業(yè)性的要求;

  安全運維管理：調整了漏洞和風(fēng)險管理、惡意代碼防范管理和安全事件處置方面的需求，更加適配工業(yè)場(chǎng)景應用和工業(yè)控制系統。

  工業(yè)控制系統應用場(chǎng)景

  工業(yè)控制系統的概念和定義

  工業(yè)控制系統(ICS)是幾種類(lèi)型控制系統的總稱(chēng)，包括數據采集與監視控制系統(SCADA)系統、集散控制系統(DCS)和其它控制系統，如在工業(yè)部門(mén)和關(guān)鍵基礎設施中經(jīng)常使用的可編程邏輯控制器(PLC)。工業(yè)控制系統通常用于諸如電力、水和污水處理、石油和天然氣、化工、交通運輸、制藥、紙漿和造紙、食品和飲料以及離散制造(如汽車(chē)、航空航天和耐用品)等行業(yè)。工業(yè)控制系統主要由過(guò)程級、操作級以及各級之間和內部的通信網(wǎng)絡(luò )構成，對于大規模的控制系統，也包括管理級。過(guò)程級包括被控對象、現場(chǎng)控制設備和測量?jì)x表等，操作級包括工程師和操作員站、人機界面和組態(tài)軟件、控制服務(wù)器等，管理級包括生產(chǎn)管理系統和企業(yè)資源系統等，通信網(wǎng)絡(luò )包括商用以太網(wǎng)、工業(yè)以太網(wǎng)、現場(chǎng)總線(xiàn)等。

  工業(yè)控制系統分層模型

  該標準參考IEC 62264-1的層次結構模型劃分，同時(shí)將SCADA系統、DCS系統和PLC系統等模型的共性進(jìn)行抽象， 形成了如圖二的分層架構模型，從上到下共分為5個(gè)層級，依次為企業(yè)資源層、生產(chǎn)管理層、過(guò)程監控層、現場(chǎng)控制層和現場(chǎng)設備層，不同層級的實(shí)時(shí)性要求不同。企業(yè)資源層主要包括ERP系統功能單元，用于為企業(yè)決策層員工提供決策運行手段;生產(chǎn)管理層主要包括MES系統功能單元，用于對生產(chǎn)過(guò)程進(jìn)行管理，如制造數據管理、生產(chǎn)調度管理等;過(guò)程監控層主要包括監控服務(wù)器與HMI系統功能單元，用于對生產(chǎn)過(guò)程數據進(jìn)行采集與監控，并利用HMI系統實(shí)現人機交互;現場(chǎng)控制層主要包括各類(lèi)控制器單元，如PLC、DCS控制單元等，用于對各執行設備進(jìn)行控制;現場(chǎng)設備層主要包括各類(lèi)過(guò)程傳感設備與執行設備單元，用于對生產(chǎn)過(guò)程進(jìn)行感知與操作。

  根據工業(yè)控制系統的架構模型不同層次的業(yè)務(wù)應用、實(shí)時(shí)性要求以及不同層次之間的通信協(xié)議不同，需要部署的工控安全產(chǎn)品或解決方案有所差異，尤其是涉及工控協(xié)議通信的邊界需要部署工控安全產(chǎn)品進(jìn)行防護，不僅支持對工控協(xié)議細粒度的訪(fǎng)問(wèn)控制，同時(shí)滿(mǎn)足各層次對實(shí)時(shí)性的要求。

  同時(shí)，該標準專(zhuān)門(mén)標注了隨著(zhù)工業(yè)4.0、信息物理系統的發(fā)展，上述分層架構已不能完全適用，因此對于不同的行業(yè)企業(yè)實(shí)際發(fā)展情況，允許部分層級合并，可以根據用戶(hù)的實(shí)際場(chǎng)景進(jìn)行判斷。

  考慮到工業(yè)控制系統構成的復雜性，組網(wǎng)的多樣性，以及等級保護對象劃分的靈活性，給安全等級保護基本要求的使用帶來(lái)了選擇的需求。該標準給出了各個(gè)層次使用本標準相關(guān)內容的映射關(guān)系，可以在實(shí)際應用中參考：

  約束條件

  工業(yè)控制系統通常對可靠性、可用性要求非常高，所以在對工業(yè)控制系統依照等級保護進(jìn)行防護的時(shí)候要滿(mǎn)足以下約束條件:

  原則上安全措施不應對高可用性的工業(yè)控制系統基本功能產(chǎn)生不利影響。例如用于基本功能的賬戶(hù)不應被鎖定，甚至短暫的也不行;

  安全措施的部署不應顯著(zhù)增加延遲而影響系統響應時(shí)間;

  對于高可用性的控制系統，安全措施失效不應中斷基本功能等。

  經(jīng)評估對可用性有較大影響而無(wú)法實(shí)施和落實(shí)安全等級保護要求的相關(guān)條款時(shí)，應進(jìn)行安全聲明，分析和說(shuō)明此條款實(shí)施可能產(chǎn)生的影響和后果，以及使用的補償措施。

  工業(yè)控制系統等級保護檢查

  隨著(zhù)網(wǎng)絡(luò )安全等級保護2.0的即將發(fā)布和實(shí)施，公安部門(mén)會(huì )著(zhù)手開(kāi)展針對工業(yè)控制系統的等級保護檢查工作，我們的工業(yè)控制系統等級保護檢查工具合格研發(fā)單位，等待公安部組織的統一測試后進(jìn)行列裝主要面向公安客戶(hù)進(jìn)行工控系統等級保護執法檢查工作，屆時(shí)會(huì )發(fā)布列裝通告。

  同時(shí)，針對非公安客戶(hù)，我公司已經(jīng)在2018年7月26日上市發(fā)布了工業(yè)網(wǎng)絡(luò )安全合規評估工具，用于上級檢查和關(guān)鍵基礎設施運營(yíng)企業(yè)安全自查。工業(yè)網(wǎng)絡(luò )安全合規評估工具配置一體化便攜式、高性能專(zhuān)用硬件裝備，集信息收集(對象、資產(chǎn)、流量)、合規評估、資產(chǎn)信息管理、資產(chǎn)統計分析、資產(chǎn)安全評估、網(wǎng)絡(luò )異常行為審計、無(wú)線(xiàn)WiFi評估、通信流量診斷(流量統計、工控協(xié)議合規性分析、數據包分布統計、診斷數據統計、IP流量統計)、視頻監控設備評估、主機惡意代碼評估于一體的綜合評估工具集，為用戶(hù)提供標準、專(zhuān)業(yè)的檢查指導，并支持對評估結果數據的關(guān)聯(lián)分析、統計對比，可幫助用戶(hù)快速分析展示合規現狀，定位工業(yè)網(wǎng)絡(luò )安全風(fēng)險。