網(wǎng)絡(luò)安全等級保護是國家網(wǎng)絡(luò)安全保障的基本制度基本策略和基本方法。2019年5月13日等保2.0正式發(fā)布，這是繼2008年發(fā)布等保1.0十余年來繼網(wǎng)絡(luò)安全法實施后的一次重大升級。等保2.0在等保1.0的基礎(chǔ)上，更加注重全方位主動防御、安全可信、動態(tài)感知和全面審計。    

工控角度等保2.0有哪些變化呢？

等保2.0與工控安全

01

總體結(jié)構(gòu)上的區(qū)別

結(jié)構(gòu)上由原來的安全要求變到現(xiàn)在的安全通用要求加安全擴展要求。

02

等保對象變化

等保對象由原來的信息系統(tǒng)過渡到現(xiàn)在的網(wǎng)絡(luò)和信息系統(tǒng)，統(tǒng)稱為等級保護對象。

03

控制層面變化

由傳統(tǒng)的IT防護到2.0的體系化防護

04

控制項變化

部分控制項在合并刪除新增之后，整體數(shù)量降低，由原來的290項到現(xiàn)在的通用要求211項，同時伴隨著新增的21項工控安全擴展要求，總共工業(yè)控制系統(tǒng)安全要求控制項達到了232項。

除此之外，等級保護的合格線也從60分提升到現(xiàn)在的75分，這對于等保建設(shè)來說要求變得越來越嚴格。

根據(jù)等保2.0的要求，工業(yè)控制系統(tǒng)需要同時滿足通用要求和擴展要求兩部分。在通用要求里面，除了新增了可信認證的相關(guān)要求之外還需要關(guān)注以下幾點：

1. 在邊界控制訪問策略以及新型攻擊行為檢測方面作出了新的要求；

2. 針對漏洞修補，明確要求需要經(jīng)過充分的認證和測試；

3. 提出了安全管理中心的概念。

要求安全管理中心滿足系統(tǒng)集中管理、審計日志分析、安全策略、集中管理運行狀態(tài)監(jiān)控等要求，對于工業(yè)控制系統(tǒng)來說也是一個新的挑戰(zhàn)。

在工業(yè)控制系統(tǒng)的安全擴展要求里面，我們還需要關(guān)注以下幾點：

1、明確了工業(yè)控制系統(tǒng)在對外邊界處需要采用單向隔離技術(shù)，禁止E-mail web Telnet 等通用網(wǎng)絡(luò)服務(wù)穿過對外的邊界，對實時性要求較高的網(wǎng)絡(luò)應(yīng)獨立組網(wǎng)，并且與其他網(wǎng)絡(luò)實現(xiàn)物理隔離。

2、安全區(qū)域邊界處增加了撥號訪問和無線使用的相關(guān)要求，對工業(yè)控制設(shè)備上線前要求進行安全檢測。理論上能要求工業(yè)控制設(shè)備再滿足通用要求的身份鑒別訪問控制和安全審計等等要求內(nèi)容。在控制設(shè)備條件受限時，可以由其上位機或者管理設(shè)備替代滿足相關(guān)要求。

三重防護

在邊界上建議通過單向隔離和防火墻技術(shù)實現(xiàn)邊界的隔離和訪問控制

在核心區(qū)域的核心節(jié)點上建議通過審計和檢測技術(shù)實現(xiàn)對外部入侵特別是新型攻擊的防范

針對控制設(shè)備，我們建議通過風險檢測技術(shù)，在控制設(shè)備上線前以及運行過程中對其漏洞進行監(jiān)測，

最后對于控制設(shè)備相連的上位機建議通過終端管控技術(shù)實現(xiàn)對運行環(huán)境的監(jiān)控，特別是在控制設(shè)備實際上無法滿足相關(guān)的身份鑒別反應(yīng)訪問控制等要求的情況下，需要上位主機替代控制器實現(xiàn)相應(yīng)的安全要求。

一個中心

安全管理中心需要對內(nèi)滿足集中策略管理運行監(jiān)控系統(tǒng)管理等功能，對外我們需要實現(xiàn)安全事件安全風險的識別告警和分析功能，最終達到協(xié)同防護的目的。