等保20時(shí)代智能工控安全建設(shè)方案

1、 等保2.0時(shí)代智能工控安全建設(shè)方案目 錄 TOC o 1-3 h z u HYPERLINK l _Toc13032761 1. 概述 PAGEREF _Toc13032761 h 3 HYPERLINK l _Toc13032762 2. 什么是工業(yè)控制系統(tǒng) PAGEREF _Toc13032762 h 3 HYPERLINK l _Toc13032763 3. 等保2.0之工控安全要求解讀 PAGEREF _Toc13032763 h 5 HYPERLINK l _Toc13032764 4. 小結(jié) PAGEREF _Toc13032764 h 101. 概述網(wǎng)絡(luò)安全等級保護(hù)（以下簡稱，

2、等保2.0）相較于等保1.0GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求，一個(gè)主要變化是將原來的基本安全要求升級為通用安全要求和安全擴(kuò)展要求，其中，安全擴(kuò)展要求針對個(gè)性化保護(hù)需求提出，需要根據(jù)安全保護(hù)等級和使用的特定技術(shù)或特定的應(yīng)用場景選擇性實(shí)現(xiàn)安全擴(kuò)展要求，而工業(yè)控制系統(tǒng)擴(kuò)展要求為五大擴(kuò)展要求的重要組成部分。2. 什么是工業(yè)控制系統(tǒng)根據(jù)GB/T 32919-2016 信息安全技術(shù) 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南定義，工業(yè)控制系統(tǒng)（ICS）是一個(gè)通用術(shù)語，它包括多種工業(yè)生成中使用的控制系統(tǒng)，包括監(jiān)控和數(shù)據(jù)采集系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）和其他較小的控

3、制系統(tǒng)，如可編程邏輯控制器（PLC），典型系統(tǒng)示意圖見圖1所示，現(xiàn)已廣泛應(yīng)用在電力、能源、化工、水利、制藥、污水處理、石油天然氣、交通運(yùn)輸以及航空航天等工業(yè)領(lǐng)域和關(guān)鍵基礎(chǔ)設(shè)施中。注：上圖摘自NIST SP 800-82r2 Guide to Industrial Control Systems (ICS) Security圖1 工業(yè)控制系統(tǒng)示意圖工業(yè)控制系統(tǒng)有著許多區(qū)別于傳統(tǒng)IT系統(tǒng)的特點(diǎn)，本文通過圖2及表1簡要說明二者之間的差別。首先是圖2所示的信息安全CIA三原則優(yōu)先級的差異：圖2CIA三原則優(yōu)先級對比其次，在其他管理維度也存在著諸多差異：注：上圖摘自NIST SP 800-82r2 Gu

4、ide to Industrial Control Systems (ICS) Security表1IT系統(tǒng)和ICS的差異梳理由于工業(yè)控制系統(tǒng)與IT系統(tǒng)之間的上述差異， IT系統(tǒng)的通用安全要求無法直接滿足工業(yè)控制系統(tǒng)，因此，等保2.0針對工業(yè)控制系統(tǒng)的擴(kuò)展要求即是結(jié)合工業(yè)控制系統(tǒng)的特定場景提出的有針對性的要求。3. 等保2.0之工控安全要求解讀根據(jù)等保2.0附錄G，工業(yè)控制系統(tǒng)主要分為5個(gè)層次：現(xiàn)場設(shè)備層、現(xiàn)場控制層、過程監(jiān)控層、生產(chǎn)管理層以及企業(yè)資源層，如圖3所示。注：上圖摘自GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求圖3工業(yè)控制系統(tǒng)功能層次模型工業(yè)控制系統(tǒng)安全擴(kuò)

5、展要求則主要針對現(xiàn)場設(shè)備層和現(xiàn)場控制層提出網(wǎng)絡(luò)安全要求，具體包括5個(gè)控制域和9個(gè)控制點(diǎn)，表2為 工業(yè)控制系統(tǒng)安全擴(kuò)展要求概況。注：信息系統(tǒng)安全等級保護(hù)定級方法請參考GB 22240-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)定級指南表2 工業(yè)控制系統(tǒng)安全擴(kuò)展要求概況本文摘選三級技術(shù)安全控制點(diǎn)進(jìn)行簡要的分析如下：01 室外控制設(shè)備物理防護(hù)a）室外控制設(shè)備應(yīng)放置于采用鐵板或其他防火材料制作的箱體或者裝置中并緊固；箱體或裝置具有透風(fēng)、散熱、防盜、防雨和防火能力等；b）室外控制設(shè)備放置應(yīng)遠(yuǎn)離強(qiáng)電磁干擾、強(qiáng)熱源等環(huán)境，如無法避免應(yīng)及時(shí)做好應(yīng)急處置及檢修，保證設(shè)備正常運(yùn)行。該項(xiàng)要求為物理安全要求，實(shí)踐中

6、發(fā)現(xiàn)各企業(yè)基本能夠做到物理安全。02 網(wǎng)絡(luò)架構(gòu)a）工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應(yīng)劃分為兩個(gè)區(qū)域，區(qū)域間應(yīng)采用符合國家或行業(yè)規(guī)定的專用產(chǎn)品實(shí)現(xiàn)單向安全隔離；b）工業(yè)控制系統(tǒng)內(nèi)部應(yīng)根據(jù)業(yè)務(wù)特點(diǎn)劃分為不同的安全域，安全域之間應(yīng)采用技術(shù) 隔離手段；c）涉及實(shí)時(shí)控制和數(shù)據(jù)傳輸?shù)墓I(yè)控制系統(tǒng)，應(yīng)使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，在物理層面上實(shí)現(xiàn)與其他數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。該項(xiàng)要求亦即網(wǎng)絡(luò)隔離要求，實(shí)踐中我們注意到各企業(yè)的隔離方式差別較大，存在較大的改進(jìn)空間，建議遵照NIST SP 800-82 R2等推薦的網(wǎng)絡(luò)架構(gòu)進(jìn)行設(shè)計(jì)、部署或者完善，如建立DMZ區(qū)、在工業(yè)控制系統(tǒng)內(nèi)部進(jìn)行合理的安全功能分區(qū)及對防火

7、墻等邊界防護(hù)設(shè)備進(jìn)行合理配置等，以確保隔離的有效性。03 通信傳輸在工業(yè)控制系統(tǒng)內(nèi)使用廣域網(wǎng)進(jìn)行控制指令或相關(guān)數(shù)據(jù)交換時(shí)，應(yīng)采用加密認(rèn)證技術(shù)手段實(shí)現(xiàn)身份認(rèn)證、訪問控制和數(shù)據(jù)加密傳輸。該場景更多地應(yīng)用于能源、電力等關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域，可通過縱向加密認(rèn)證裝置為廣域網(wǎng)提供認(rèn)證與加密功能。04 訪問控制a）應(yīng)在工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間，部署訪問控制設(shè)備，配置訪問控制策略，禁止任何穿越區(qū)域邊界的E-Mail、Web、Telnet、Rlogin、FTP等通用網(wǎng)絡(luò)服務(wù)；b）應(yīng)在工業(yè)控制系統(tǒng)內(nèi)安全域和安全域之間的邊界防護(hù)機(jī)制失效時(shí)，及時(shí)進(jìn)行報(bào)警。該要求對訪問控制及監(jiān)控、日志記錄和審計(jì)提出了要求，實(shí)踐中企業(yè)

8、通過部署防火墻等安全產(chǎn)品，實(shí)現(xiàn)了訪問控制，而進(jìn)一步的監(jiān)控和審計(jì)措施則多有欠缺，可以通過部署日志審計(jì)平臺，根據(jù)企業(yè)自身情況，對相關(guān)事件進(jìn)行實(shí)時(shí)監(jiān)控、預(yù)警并及時(shí)處理。05 撥號使用控制a）工業(yè)控制系統(tǒng)確需要使用撥號訪問服務(wù)的，應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量，并采取用戶身份鑒別和訪問控制等措施；b）撥號服務(wù)器和客戶端均應(yīng)使用經(jīng)安全加固的操作系統(tǒng)，并采取數(shù)字證書認(rèn)證、傳輸加密和訪問控制等措施。該要求為遠(yuǎn)程訪問控制要求，實(shí)踐中我們注意到各企業(yè)的遠(yuǎn)程訪問控制措施差別較大，存在較大的改進(jìn)空間，建議企業(yè)部署主機(jī)加固軟件以及遠(yuǎn)程控制軟件實(shí)現(xiàn)對遠(yuǎn)程訪問的控制，針對撥號訪問服務(wù)，可以考慮使用回調(diào)系統(tǒng)。更優(yōu)的方式則

9、是通過堡壘機(jī)或者虛擬專用網(wǎng)絡(luò)（VPN）等方式實(shí)現(xiàn)遠(yuǎn)程訪問。06 無限使用控制a）應(yīng)對所有參與無線通信的用戶（人員、軟件進(jìn)程或設(shè)備）提供唯一性標(biāo)識和鑒別；b）應(yīng)對所有參與無線通信的用戶（人員、軟件進(jìn)程或設(shè)備）進(jìn)行授權(quán)以及執(zhí)行使用進(jìn)行限制；c）應(yīng)對無線通信采取傳輸加密的安全措施，實(shí)現(xiàn)傳輸報(bào)文的機(jī)密性保護(hù)；d）對采用無線通信技術(shù)進(jìn)行控制的工業(yè)控制系統(tǒng)，應(yīng)能識別其物理環(huán)境中發(fā)射的未經(jīng)授權(quán)的無線設(shè)備，報(bào)告未經(jīng)授權(quán)試圖接入或干擾控制系統(tǒng)的行為。該要求為等保2.0中新增要求，建議企業(yè)根據(jù)等保2.0要求進(jìn)行配置，同時(shí)，在部署無線網(wǎng)絡(luò)時(shí)應(yīng)盡量減少無線網(wǎng)絡(luò)的暴露，且無線接入點(diǎn)和服務(wù)器應(yīng)部署在與工業(yè)控制網(wǎng)絡(luò)隔離的網(wǎng)

10、絡(luò)上。07 控制設(shè)備安全a）控制設(shè)備自身應(yīng)實(shí)現(xiàn)相應(yīng)級別安全通用要求提出的身份鑒別、訪問控制和安全審計(jì)等安全要求，如受條件限制控制設(shè)備無法實(shí)現(xiàn)上述要求，應(yīng)由其上位控制或管理設(shè)備實(shí)現(xiàn)同等功能或通過管理手段控制；b）應(yīng)在經(jīng)過充分測試評估后，在不影響系統(tǒng)安全穩(wěn)定運(yùn)行的情況下對控制設(shè)備進(jìn)行補(bǔ)丁更新、固件更新等工作；c）應(yīng)關(guān)閉或拆除控制設(shè)備的軟盤驅(qū)動、光盤驅(qū)動、USB接口、串行口或多余網(wǎng)口等，確需保留的，應(yīng)該通過相關(guān)的技術(shù)措施實(shí)施嚴(yán)格的監(jiān)控管理；d）應(yīng)使用專用設(shè)備和專用軟件對控制設(shè)備進(jìn)行更新；e）應(yīng)保證控制設(shè)備在上線前經(jīng)過安全性檢測，避免控制設(shè)備固件中存在惡意代碼程序。該要求對設(shè)備諸多方面提出了較全面要求

11、，但由于工控設(shè)備與傳統(tǒng)IT設(shè)備不同的風(fēng)險(xiǎn)情況，如對人身健康和生命安全的重大風(fēng)險(xiǎn)等，因此企業(yè)針對已經(jīng)部署的控制設(shè)備的改動非常謹(jǐn)慎，建議可以從改動風(fēng)險(xiǎn)較小且容易實(shí)現(xiàn)的措施入手，如應(yīng)關(guān)閉或拆除控制設(shè)備的軟盤驅(qū)動、光盤驅(qū)動、USB接口、串行口或多余網(wǎng)口，進(jìn)行設(shè)備上線前的安全檢測等，逐漸提升控制設(shè)備安全水平。08 產(chǎn)品采購和使用工業(yè)控制系統(tǒng)重要設(shè)備應(yīng)通過專業(yè)機(jī)構(gòu)的安全性檢測后方可采購使用。實(shí)踐中我們注意到較少有企業(yè)對設(shè)備特別是工控設(shè)備的采購提出網(wǎng)絡(luò)安全要求，只能通過后期“打補(bǔ)丁”方式進(jìn)行完善。因此，建議企業(yè)在設(shè)備采購前擬定針對采購設(shè)備的網(wǎng)絡(luò)安全采購要求，且設(shè)備須通過專業(yè)機(jī)構(gòu)安全檢測后方可驗(yàn)收和使用。09 外包軟件開發(fā)應(yīng)在外包開發(fā)合同中規(guī)定針對開發(fā)單位、供應(yīng)商的約束條款，包括設(shè)備及系統(tǒng)在生命周期內(nèi)有關(guān)保密、禁止關(guān)鍵技術(shù)擴(kuò)散和設(shè)備行業(yè)專用等方面的內(nèi)容。實(shí)踐中我們發(fā)現(xiàn)外包軟件是一個(gè)較大的風(fēng)險(xiǎn)點(diǎn)，建議企業(yè)除了按照等保2.0要求執(zhí)行外包合同的管理，還應(yīng)對外包商的安全管理和運(yùn)維狀況進(jìn)行評估，加強(qiáng)對外包開發(fā)人員的安全意識和技能培訓(xùn)，對外包開發(fā)的代碼進(jìn)行安全審計(jì)，并建立完善的軟件安全測試機(jī)制。以上是針對等保2.0工業(yè)控制系統(tǒng)安全擴(kuò)展要求的初步解讀，由于工業(yè)控制系統(tǒng)通常是對可用性要求較高的等級保護(hù)對象，若對其實(shí)施特定