原标题：解读等保2.0解读：工控系統安全如何应对新要求

随着我国“互联网+”战略的逐步落地产业互联网将成为未来国家最重要的基础设施之一。云计算、大数据、人工智能、物联网等新技术在关键信息基础设施中广泛应用网络安全形势与需求发生快速变化，使得等保1.0即2008年发布的《GB/T 信息安全技术信息系统安全等级保护基本要求 》及其配套政策文件和标准，已经不再符合新技术、新业务场景下的网络安全保护要求

等保2.0解读扩展了网络咹全保护的范围，提高了对关键信息基础设施进行等级保护的要求并且针对不同保护对象的安全目标、技术特点、应用场景的差异，采鼡了安全通用要求与安全扩展要求结合的方式以更好地满足安全保护共性化与个性化要求，提升了等级保护的普适性与可操作性为《網络安全法》的实施执行提供了有力的技术保障。

一、等保2.0解读对工业控制系统的安全扩展要求

除了安全通用要求等保2.0解读对工业控制系统提出了安全扩展要求，以适用工业控制的特有技术和应用场景特点如下图。

其中安全扩展的特殊要求包括：

物理和环境安全：增加了对室外控制设备的安全防护要求，如放置控制设备的箱体或装置以及控制设备周围的环境；

网络和通信安全：增加了适配于工业控制系统网络环境的网络架构安全防护要求、通信传输要求以及访问控制要求增加了拨号使用控制和无线使用控制的要求；

设备和计算安全：增加了对控制设备的安全要求，控制设备主要是应用到工业控制系统当中执行控制逻辑和数据采集功能的实时控制器设备如PLC、DCS控制器等；

安全建设管理：增加了产品采购和使用和软件外包方面的要求，主要针对工控设备和工控专用信息安全产品的要求以及工业控制系統软件外包时有关保密和专业性的要求；

安全运维管理：调整了漏洞和风险管理、恶意代码防范管理和安全事件处置方面的需求，更加适配工业场景应用和工业控制系统

二、工业控制系统安全的重点要求解读

综合等保2.0解读对工业控制系统安全的通用要求和扩展要求，可以看出工业安全防护的重点在工业主机安全、边界安全和工业安全管理三个领域

应采用免受恶意代码攻击的技术措施或主动免疫可信验证機制及时识别入侵和病毒行为，并将其有效阻断

b) 应在经过充分测试评估后，在不影响系统安全稳定运行的情况下对控制设备进行补丁更噺、固件更新等工作；

c) 应关闭或拆除控制设备的软盘驱动、光盘驱动、USB接口、串行口或多余网口等确需保留的必须通过相关的技术措施實施严格的监控管理；

解读：连续性是工业生产的基本要求，因此无论是生产设备还是设备的控制系统，都需要长期连续运行很难做箌及时更新补丁。实践中对此类系统通常采用“白名单”方式进行安全保护，即只有白名单内的软件才可以运行其它进程都被阻止，鉯此防止病毒、木马、恶意软件的攻击再者，随着技术的进步U盘成为信息交换最便捷的媒介，但通过U盘传播病毒、恶意软件的风险极高有必要对USB接口的使用进行严格管理。因此在控制系统的上位机上安装工业主机防护系统是最普遍而又有效的手段。业内优秀的工业主机防护产品通常都具备USB安全管理能力通过“注册-授权-审计”等典型安全措施，对U盘的使用全程管理严防非授权U盘引入病毒。工业主機安全防护系统是解决工业主机安全痛点的首选

2.工业安全边界安全要求

a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进荇通信；

b) 应能够对非授权设备私自联到内部网络的行为进行检查或限制；

c) 应能够对内部用户非授权联到外部网络的行为进行检查或限制；

d) 應限制无线网络的使用，保证无线网络通过受控的边界设备接入内部网络

a) 工业控制系统与企业其他系统之间应划分为两个区域区域间应采用单向的技术隔离手段；

b) 工业控制系统内部应根据业务特点划分为不同的安全域，安全域之间应采用技术隔离手段；

a) 应在工业控制系统與企业其他系统之间部署访问控制设备配置访问控制策略，禁止任何穿越区域边界的E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务

解读：工控网络通常与企業资源网络（办公网络）物理隔离但随着工业化与信息化的深度融合，越来越多的设备将实现联网工业生产环境信息化、数字化、智能化的趋势不断发展，为了保护工业核心生产系统不受外来网络攻击同时实时地把生产数据传输给管理系统，需要在工控网与资源网之間部署网络隔离与信息交换设备满足此类要求的典型设备是工业网闸。同时工业控制网络需要进行安全域划分，在安全域之间采取隔離手段保障安全；另外工控网络通常使用工业专有协议和专有应用系统，而E-Mail、Telnet、Rlogin等通用应用和协议是网络攻击最常用的载体应该拒绝此类流量进入工控网络，通常在工控网络的边界部署工业防火墙实现防护功能因此，解决工业边界安全痛点应重点考虑采用工业网闸囷工业防火墙设备。

a) 应划分出特定的管理区域对分布在网络中的安全设备或安全组件进行管控；

b) 应能够建立一条安全的信息传输路径，對网络中的安全设备或安全组件进行管理；

c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测；

d) 应对分散在各个设備上的审计数据进行收集汇总和集中分析并保证审计记录的留存时间符合法律法规要求；

e) 应对安全策略、恶意代码、补丁升级等安全相關事项进行集中管理；

f) 应能对网络中发生的各类安全事件进行识别、报警和分析

解读：工业网络安全建设起步晚，底子薄缺少有效的管悝抓手。通过解决边界和主机安全痛点只是在单点上解决安全问题，更大的要求是针对整个工业网络的安全状态的感知、数据的采集、汾析以及针对工业网络的安全监测及时识别异常操作、及时报警非法行为，通过可视化的集中管理界面清晰的展示工业网络内各种安铨问题，准确的定位、管理可能因网络安全问题导致的故障因此“看清、看透、看全工业生产中的威胁，是保障工业网络安全的基础和湔提”基于此，工业安全监测系统以及控制中心可以技术平台的方式，进行工业网络安全的统一管理作为工业网络安全管理中心，滿足等保2.0解读对工业控制系统的三级要求

三、工业安全痛点解决应对

等保2.0解读关于工业控制系统安全要求的三个重点，也是工业企业安铨建设的三个痛点奇安信经过多年的工业安全技术研究和客户服务实践，提出了一体化的解决方案如下图所示。

方案完整覆盖工控网絡的防护、监测及集中管理包含4款产品：工业主机安全防护系统、工业控制安全网关（工业防火墙）、工业安全监测系统（含控制平台）、工业安全隔离与信息交换系统（工业网闸）。

工业主机安全防护系统是一款软件产品安装在工控上位机和工业服务器上，基于白名單智能匹配技术和“入口-运行-扩散”三重关卡式拦截技术防止病毒与恶意程序入侵攻击，控制USB移动设备非法接入为工业软件提供安全、干净的运行白环境。

工业控制安全网关系统（工业防火墙）是专为工业环境打造的一款边界安全防护产品为工控网与企业网的连接、笁控网内部各区域的连接提供安全隔离。产品采用四重白名单的安全策略过滤非法访问，保证只有可信任的设备接入工控网络保证可信任的流量在网络上传输。

工业安全监测系统（ISD）对工控系统的运行数据进行被动无损采集自动发现工业资产，监测非法接入设备实時检测网络入侵行为，监控工控设备异常操作并实时将各类攻击与异常信息上传到工业安全监测控制平台（ISDC）。ISDC汇总所有安全监测设备嘚日志以及工业主机安全防护、工业防火墙、工业网闸的日志，集中存储统一分析，帮助安全运营人员及时了解工业网络全网安全态勢与威胁动态

工业安全隔离与信息交换系统（工业网闸）用于工控网络不同安全级别网络间进行安全数据交换。通过链路阻断、协议转換的方式实现信息摆渡可深度解析多种工业协议（OPC、ModBus、S7、DNP3、IEC104等），集安全隔离、实时信息交换、协议分析、内容检测、访问控制、安全防护等多种功能于一体在实现网络安全隔离的同时，提供高速、安全的数据交换能力和可靠的信息交换服务

工业控制系统（ICS）是几种类型控制系统的总称包括数据采集与监视控制系统（SCADA）、集散控制系统（DCS）和其它控制系统，如在工业部门和关键基础设施中经常使用的鈳编程逻辑控制器（PLC）工业控制系统通常用于诸如电力、水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和飲料以及离散制造（如汽车、航空航天和耐用品）等行业。工业控制系统主要由过程级、操作级以及各级之间和内部的通信网络构成对於大规模的控制系统，也包括管理级过程级包括被控对象、现场控制设备和测量仪表等，操作级包括工程师和操作员站、人机界面和组態软件、控制服务器等管理级包括生产管理系统和企业资源系统等，通信网络包括商用以太网、工业以太网、现场总线等

2.工业控制系統层次模型

工控网络层次模型从上到下共分为5个层级，依次为企业资源层、生产管理层、过程监控层、现场控制层和现场设备层不同层級的实时性要求不同。企业资源层主要包括ERP系统功能单元用于为企业决策层员工提供决策运行手段；生产管理层主要包括MES系统功能单元，用于对生产过程进行管理如制造数据管理、生产调度管理等；过程监控层主要包括监控服务器与HMI系统功能单元，用于对生产过程数据進行采集与监控并利用HMI系统实现人机交互；现场控制层主要包括各类控制器单元，如PLC、DCS控制单元等用于对各执行设备进行控制；现场設备层主要包括各类过程传感设备与执行设备单元，用于对生产过程进行感知与操作

(文章来源：奇安信集团)

原标题：等保2.0解读 向目标更进一步

2014年全国安标委秘书处下达对《信息安全技术 信息系统等级保护基本要求》（GB/T 22239—2008）进行修订的任务修订工作由公安部第三研究所（公安蔀信息安全等级保护评估中心）主要承担，从此拉开了等保2.0解读的序幕经过三次专家评审和多次意见修改，形成了最新版本的标准送审稿2017年10月16日，全国信息安全标准化技术委员会2017年第二次会议周在厦门召开期间威努特作为WG5工作组成员单位，深度参与了公安部三所马力咾师对《信息安全技术 网络安全等级保护基本要求》（ GB/T 22239—XXXX 代替 GB/T ）送审稿的解读本次解读的送审稿与2016年9月的征求意见稿比较发生了哪些变囮，这些变化对工业控制系统网络安全规划、设计、建设、运维和评估产生哪些影响接下来小威和您一起探究新标准的新变化。

1.标准整體变化：分册合五为一

2017年8月公安部评估中心根据网信办和安标委的意见将等级保护在编的5个基本要求分册进行整合编写，形成《信息安铨 网络安全等级保护基本要求》1个标准文档

同样，针对设计要求（GB/T 25070）与测评要求（GB/T 28448）也由5个分册分别整合成一册

由于业务目标的不同、使用技术的不同、应用场景的不同等因素，不同的等级保护对象会以不同的形态出现为了便于实现对不同级别和不同形态的等级保护對象的共性化和个性化保护，等级保护要求分为安全通用要求和安全扩展要求

安全通用要求：牵头单位公安部信息安全等级保护评估中惢

云计算安全扩展要求：牵头单位公安部信息安全等级保护评估中心

移动互联安全扩展要求：牵头单位北京鼎普科技股份有限公司

物联网咹全扩展要求：牵头单位公安部第一研究所

工业控制系统安全扩展要求：牵头单位浙江大学

2.工业控制系统安全扩展要求变化

工业控制系统咹全扩展要求之前的版本是以工业控制系统为主线，再按照安全等级划分技术要求和管理要求进行阐述技术要求由物理和环境安全、边堺防护、集中管控以及各业务层（生产管理层、过程监控层、现场控制层和现场设备层）的安全要求组成，新版本以安全等级为主线分别鉯不同业务场景的安全扩展进行阐述工业控制系统安全扩展不再按业务层次划分，而是在安全通用要求的基础上扩展相应的安全要求。以第三级基本安全要求为例对比新旧版本针对工业控制系统安全扩展要求的描述结构变化。

2.2 物理和环境安全变化

增加室外控制设备物悝防护之前的版本仅参考安全通用要求，没有体现工业控制系统的特殊性由于工业控制系统网络设备的应用环境与具体业务应用场景楿关，所以室外环境安装控制设备、网络设备和安全设备的场景较多新版本充分考虑工业环境的特殊性，专门针对室外设备的物理环境咹全做扩展要求和说明

2.3 网络和通信安全变化

明确单向技术隔离手段：在网络架构方面，旧版本标准要求在控制区域边界进行监视和控制通信而新版本则具体要求工业控制系统与企业其他系统之间采用单向技术隔离手段，明确了技术手段使得企业在参考该标准进行网络咹全建设和整改时技术措施更明确。

增加拨号使用控制：旧版本未体现拨号服务如何进行控制和保护新版本中充分考虑了部分工业控制系统使用拨号服务的现实情况，将拨号使用控制作为专门的控制点进行要求描述包括限制用户数量、身份鉴别、访问控制、操作系统加凅、传输加密等技术要求。

细化无线使用控制：旧版本中已经提出针对无线通信用户提供唯一性标识和鉴别提供授权、监视以及执行使鼡进行限制，新版本在此基础上继续细化了传输报文的机密性保护、识别物理环境中发射的未经授权的无线设备、报告未经授权试图接入戓干扰控制系统行为等技术要求不仅从软件逻辑上进行技术保护，更考虑了物理环境方面需要提供技术防护措施的要求使得无线使用對于工业控制系统变得更安全可靠。

2.4 设备和计算安全变化

控制设备安全扩展：旧版本的描述内容是基于安全通用要求的主机安全方面在工控系统环境的应用进行了适应性修改而新版本在安全通用要求的基础上，针对控制设备细化了外设端口的管控要求包括软盘驱动、光盤驱动、USB接口、串行口外设技术管控，明确了控制设备上线运行前进行安全性检测的必要性强调了更新工具需要专人专用等措施以确保控制设备自身的安全性。

2.5 应用和数据安全扩展已删除

旧版本标准中，参考安全通用要求部分的应用和数据安全结合工控系统的使用环境进行适应性描述，包括身份鉴别、访问控制、安全审计等新版本中在工业控制系统安全扩展要求部分删除该项扩展要求，全部基于安铨通用要求进行技术防护简化了标准文档的描述架构，清晰简洁

2.6 安全建设管理扩展，新增加

旧版本标准中工业控制系统的安全建设管理要求全部采用安全通用要求中的管理要求内容，没有针对工业控制系统的安全建设进行细化和明确新版本针对工业控制系统的特点對安全建设管理进行细化和明确，主要增加了如下内容：

产品采购和使用：控制设备和专业信息安全产品需经过安全性检测、电磁兼容性檢测后方可采购使用尤其是对电磁兼容性检测要求是工业控制系统应用环境与传统信息产品应用环境不同的显著体现。

外包软件开发：茬安全通用要求的基础上专门提出了设备及系统在生命周期内有关保密、禁止关键技术扩散和设备行业专用等方面的约束要求。安全管悝从设备交付延伸到全生命周期的管理符合工业控制系统全生命周期运行的业务特点。

2.7 安全运维管理扩展新增加

旧版本标准中，工业控制系统的安全运维管理要求全部采用安全通用要求中的管理要求内容没有针对工业控制系统的安全运维管理进行细化和明确，新版本針对工业控制系统的特点对安全运维管理进行细化和明确主要增加了如下内容：

漏洞和风险管理：明确按工业控制系统类别建立工控设備的漏洞库，从传统的主机服务器扩展到控制设备的漏洞管理并要求对漏洞库进行定期更新；针对工业控制系统特点提出漏洞验证机制囷不影响生产的漏洞修补机制，同时充分考虑工业控制系统环境中部分漏洞无法修复的现实情况对不能修复的漏洞采取补偿措施的管理偠求。

恶意代码防范管理：在安全通用要求的基础上结合工业控制系统业务流程的可靠性要求，新版本的扩展要求中强调更新样本库的離线测试、离线更新、专人负责、保留记录等管理要求

安全事件处置：在安全通用要求的基础上，考虑工业控制系统业务模型的一致性囷关联性新版本的扩展要求中增加了联合防护应急机制和跨单位处置的管理要求，保障处置工业控制系统安全事件时能够协调联动，囲同应对

新标准更懂工业控制系统

新版本的工业控制系统扩展要求，充分考虑了工业控制系统的应用环境和场景结合工业控制相关业務模型，新增、细化了相关技术要求和管理要求草案稿中针对工业控制系统扩展要求的表述方式和语言更符合工业场景。

新版本的工业控制系统扩展要求充分吸收了其他工业控制系统信息安全防护的相关规范和要求，包括电力行业的相关安全防护方案在技术描述方面哽符合工业控制系统的实际需求，变更或删除不适应工业控制系统的条款使得标准的技术要求和管理要求更清晰明确，便于工业控制系統的运营者规划网络安全需求更具有针对性便于工业控制系统网络安全厂商设计可执行易落地的网络安全技术方案和管理方案，便于网絡安全评估单位更准确的评估工业控制系统的安全防护水平