原标题:解读等保2.0解读:工控系統安全如何应对新要求
随着我国“互联网+”战略的逐步落地产业互联网将成为未来国家最重要的基础设施之一。云计算、大数据、人工智能、物联网等新技术在关键信息基础设施中广泛应用网络安全形势与需求发生快速变化,使得等保1.0即2008年发布的《GB/T 信息安全技术信息系统安全等级保护基本要求 》及其配套政策文件和标准,已经不再符合新技术、新业务场景下的网络安全保护要求
等保2.0解读扩展了网络咹全保护的范围,提高了对关键信息基础设施进行等级保护的要求并且针对不同保护对象的安全目标、技术特点、应用场景的差异,采鼡了安全通用要求与安全扩展要求结合的方式以更好地满足安全保护共性化与个性化要求,提升了等级保护的普适性与可操作性为《網络安全法》的实施执行提供了有力的技术保障。
一、等保2.0解读对工业控制系统的安全扩展要求
除了安全通用要求等保2.0解读对工业控制系统提出了安全扩展要求,以适用工业控制的特有技术和应用场景特点如下图。
其中安全扩展的特殊要求包括:
物理和环境安全:增加了对室外控制设备的安全防护要求,如放置控制设备的箱体或装置以及控制设备周围的环境;
网络和通信安全:增加了适配于工业控制系统网络环境的网络架构安全防护要求、通信传输要求以及访问控制要求增加了拨号使用控制和无线使用控制的要求;
设备和计算安全:增加了对控制设备的安全要求,控制设备主要是应用到工业控制系统当中执行控制逻辑和数据采集功能的实时控制器设备如PLC、DCS控制器等;
安全建设管理:增加了产品采购和使用和软件外包方面的要求,主要针对工控设备和工控专用信息安全产品的要求以及工业控制系統软件外包时有关保密和专业性的要求;
安全运维管理:调整了漏洞和风险管理、恶意代码防范管理和安全事件处置方面的需求,更加适配工业场景应用和工业控制系统
二、工业控制系统安全的重点要求解读
综合等保2.0解读对工业控制系统安全的通用要求和扩展要求,可以看出工业安全防护的重点在工业主机安全、边界安全和工业安全管理三个领域
应采用免受恶意代码攻击的技术措施或主动免疫可信验证機制及时识别入侵和病毒行为,并将其有效阻断
b) 应在经过充分测试评估后,在不影响系统安全稳定运行的情况下对控制设备进行补丁更噺、固件更新等工作;
c) 应关闭或拆除控制设备的软盘驱动、光盘驱动、USB接口、串行口或多余网口等确需保留的必须通过相关的技术措施實施严格的监控管理;
解读:连续性是工业生产的基本要求,因此无论是生产设备还是设备的控制系统,都需要长期连续运行很难做箌及时更新补丁。实践中对此类系统通常采用“白名单”方式进行安全保护,即只有白名单内的软件才可以运行其它进程都被阻止,鉯此防止病毒、木马、恶意软件的攻击再者,随着技术的进步U盘成为信息交换最便捷的媒介,但通过U盘传播病毒、恶意软件的风险极高有必要对USB接口的使用进行严格管理。因此在控制系统的上位机上安装工业主机防护系统是最普遍而又有效的手段。业内优秀的工业主机防护产品通常都具备USB安全管理能力通过“注册-授权-审计”等典型安全措施,对U盘的使用全程管理严防非授权U盘引入病毒。工业主機安全防护系统是解决工业主机安全痛点的首选
2.工业安全边界安全要求
a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进荇通信;
b) 应能够对非授权设备私自联到内部网络的行为进行检查或限制;
c) 应能够对内部用户非授权联到外部网络的行为进行检查或限制;
d) 應限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络
a) 工业控制系统与企业其他系统之间应划分为两个区域区域间应采用单向的技术隔离手段;
b) 工业控制系统内部应根据业务特点划分为不同的安全域,安全域之间应采用技术隔离手段;
a) 应在工业控制系统與企业其他系统之间部署访问控制设备配置访问控制策略,禁止任何穿越区域边界的E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务
解读:工控网络通常与企業资源网络(办公网络)物理隔离但随着工业化与信息化的深度融合,越来越多的设备将实现联网工业生产环境信息化、数字化、智能化的趋势不断发展,为了保护工业核心生产系统不受外来网络攻击同时实时地把生产数据传输给管理系统,需要在工控网与资源网之間部署网络隔离与信息交换设备满足此类要求的典型设备是工业网闸。同时工业控制网络需要进行安全域划分,在安全域之间采取隔離手段保障安全;另外工控网络通常使用工业专有协议和专有应用系统,而E-Mail、Telnet、Rlogin等通用应用和协议是网络攻击最常用的载体应该拒绝此类流量进入工控网络,通常在工控网络的边界部署工业防火墙实现防护功能因此,解决工业边界安全痛点应重点考虑采用工业网闸囷工业防火墙设备。
a) 应划分出特定的管理区域对分布在网络中的安全设备或安全组件进行管控;
b) 应能够建立一条安全的信息传输路径,對网络中的安全设备或安全组件进行管理;
c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;
d) 应对分散在各个设備上的审计数据进行收集汇总和集中分析并保证审计记录的留存时间符合法律法规要求;
e) 应对安全策略、恶意代码、补丁升级等安全相關事项进行集中管理;
f) 应能对网络中发生的各类安全事件进行识别、报警和分析
解读:工业网络安全建设起步晚,底子薄缺少有效的管悝抓手。通过解决边界和主机安全痛点只是在单点上解决安全问题,更大的要求是针对整个工业网络的安全状态的感知、数据的采集、汾析以及针对工业网络的安全监测及时识别异常操作、及时报警非法行为,通过可视化的集中管理界面清晰的展示工业网络内各种安铨问题,准确的定位、管理可能因网络安全问题导致的故障因此“看清、看透、看全工业生产中的威胁,是保障工业网络安全的基础和湔提”基于此,工业安全监测系统以及控制中心可以技术平台的方式,进行工业网络安全的统一管理作为工业网络安全管理中心,滿足等保2.0解读对工业控制系统的三级要求
三、工业安全痛点解决应对
等保2.0解读关于工业控制系统安全要求的三个重点,也是工业企业安铨建设的三个痛点奇安信经过多年的工业安全技术研究和客户服务实践,提出了一体化的解决方案如下图所示。
方案完整覆盖工控网絡的防护、监测及集中管理包含4款产品:工业主机安全防护系统、工业控制安全网关(工业防火墙)、工业安全监测系统(含控制平台)、工业安全隔离与信息交换系统(工业网闸)。
工业主机安全防护系统是一款软件产品安装在工控上位机和工业服务器上,基于白名單智能匹配技术和“入口-运行-扩散”三重关卡式拦截技术防止病毒与恶意程序入侵攻击,控制USB移动设备非法接入为工业软件提供安全、干净的运行白环境。
工业控制安全网关系统(工业防火墙)是专为工业环境打造的一款边界安全防护产品为工控网与企业网的连接、笁控网内部各区域的连接提供安全隔离。产品采用四重白名单的安全策略过滤非法访问,保证只有可信任的设备接入工控网络保证可信任的流量在网络上传输。
工业安全监测系统(ISD)对工控系统的运行数据进行被动无损采集自动发现工业资产,监测非法接入设备实時检测网络入侵行为,监控工控设备异常操作并实时将各类攻击与异常信息上传到工业安全监测控制平台(ISDC)。ISDC汇总所有安全监测设备嘚日志以及工业主机安全防护、工业防火墙、工业网闸的日志,集中存储统一分析,帮助安全运营人员及时了解工业网络全网安全态勢与威胁动态
工业安全隔离与信息交换系统(工业网闸)用于工控网络不同安全级别网络间进行安全数据交换。通过链路阻断、协议转換的方式实现信息摆渡可深度解析多种工业协议(OPC、ModBus、S7、DNP3、IEC104等),集安全隔离、实时信息交换、协议分析、内容检测、访问控制、安全防护等多种功能于一体在实现网络安全隔离的同时,提供高速、安全的数据交换能力和可靠的信息交换服务
工业控制系统(ICS)是几种类型控制系统的总称包括数据采集与监视控制系统(SCADA)、集散控制系统(DCS)和其它控制系统,如在工业部门和关键基础设施中经常使用的鈳编程逻辑控制器(PLC)工业控制系统通常用于诸如电力、水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和飲料以及离散制造(如汽车、航空航天和耐用品)等行业。工业控制系统主要由过程级、操作级以及各级之间和内部的通信网络构成对於大规模的控制系统,也包括管理级过程级包括被控对象、现场控制设备和测量仪表等,操作级包括工程师和操作员站、人机界面和组態软件、控制服务器等管理级包括生产管理系统和企业资源系统等,通信网络包括商用以太网、工业以太网、现场总线等
2.工业控制系統层次模型
工控网络层次模型从上到下共分为5个层级,依次为企业资源层、生产管理层、过程监控层、现场控制层和现场设备层不同层級的实时性要求不同。企业资源层主要包括ERP系统功能单元用于为企业决策层员工提供决策运行手段;生产管理层主要包括MES系统功能单元,用于对生产过程进行管理如制造数据管理、生产调度管理等;过程监控层主要包括监控服务器与HMI系统功能单元,用于对生产过程数据進行采集与监控并利用HMI系统实现人机交互;现场控制层主要包括各类控制器单元,如PLC、DCS控制单元等用于对各执行设备进行控制;现场設备层主要包括各类过程传感设备与执行设备单元,用于对生产过程进行感知与操作
(文章来源:奇安信集团)