等級(jí)保護(hù)2.0工業(yè)控制系統(tǒng)安全
2008年發(fā)布的《GB/T22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求 》及其配套政策文件和標(biāo)準(zhǔn)統(tǒng)稱為等保1.0。等保1.0在經(jīng)歷了多年的試點(diǎn)、推廣、行業(yè)標(biāo)準(zhǔn)制定、落實(shí)工作后,由于新技術(shù)、新應(yīng)用、新業(yè)務(wù)形態(tài)的大量出現(xiàn),尤其是人工智能、大數(shù)據(jù)、物聯(lián)網(wǎng)、云計(jì)算、全數(shù)字化儀控系統(tǒng)等的快速發(fā)展,安全趨勢(shì)和形勢(shì)的急速變化,原來(lái)發(fā)布的標(biāo)準(zhǔn)已經(jīng)不再適用于當(dāng)前安全要求,從2015年開(kāi)始,等級(jí)保護(hù)的安全要求逐步開(kāi)始制定2.0標(biāo)準(zhǔn),包括5個(gè)部分:安全通用要求、云計(jì)算安全擴(kuò)展要求、移動(dòng)互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求、工業(yè)控制安全擴(kuò)展要求,豐富了防護(hù)內(nèi)容和要求,通用要求中精簡(jiǎn)了多余或者不適用的內(nèi)容,增加了無(wú)線網(wǎng)絡(luò)、網(wǎng)絡(luò)集中監(jiān)控等的要求。2017年8月,公安部評(píng)估中心根據(jù)網(wǎng)信辦和安標(biāo)委的意見(jiàn)將等級(jí)保護(hù)在編的5個(gè)基本要求分冊(cè)標(biāo)準(zhǔn)進(jìn)行了合并形成《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》一個(gè)標(biāo)準(zhǔn)。本文主要參考《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(送審稿)(以下簡(jiǎn)稱“該標(biāo)準(zhǔn)”)分析等保2.0的主要變化以及針對(duì)工業(yè)控制系統(tǒng)的安全擴(kuò)展內(nèi)容和要求。
等保2.0的主要變化
為適應(yīng)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》,配合落實(shí)“網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”,該標(biāo)準(zhǔn)的名稱由“信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求”變更為“信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求”。
該標(biāo)準(zhǔn)主要從技術(shù)和管理兩個(gè)方面提出要求,技術(shù)要求由原來(lái)的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)調(diào)整分類為物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全;管理要求由原來(lái)的安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理調(diào)整分類為安全策略和管理制度、安全管理機(jī)構(gòu)和人員、安全建設(shè)管理、安全運(yùn)維管理。
為了適應(yīng)新技術(shù)、新業(yè)務(wù)、新應(yīng)用,該標(biāo)準(zhǔn)對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)分別提出相應(yīng)的要求,內(nèi)容結(jié)構(gòu)調(diào)整各個(gè)級(jí)別的安全要求為安全通用要求、云計(jì)算安全擴(kuò)展要求、移動(dòng)互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求和工業(yè)控制系統(tǒng)安全擴(kuò)展要求;
控制項(xiàng)的變化:
該標(biāo)準(zhǔn)取消了原來(lái)安全控制點(diǎn)的S、A、G標(biāo)注,增加一個(gè)附錄A描述等級(jí)保護(hù)對(duì)象的定級(jí)結(jié)果和安全要求之間的關(guān)系,說(shuō)明如何根據(jù)定級(jí)的S、A結(jié)果選擇安全要求。
工業(yè)控制系統(tǒng)安全擴(kuò)展要求
物理和環(huán)境安全:增加了對(duì)室外控制設(shè)備的安全防護(hù)要求,如放置控制設(shè)備的箱體或裝置以及控制設(shè)備周圍的環(huán)境;
網(wǎng)絡(luò)和通信安全:增加了適配于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)架構(gòu)安全防護(hù)要求、通信傳輸要求以及訪問(wèn)控制要求,增加了撥號(hào)使用控制和無(wú)線使用控制的要求;
設(shè)備和計(jì)算安全:增加了對(duì)控制設(shè)備的安全要求,控制設(shè)備主要是應(yīng)用到工業(yè)控制系統(tǒng)當(dāng)中執(zhí)行控制邏輯和數(shù)據(jù)采集功能的實(shí)時(shí)控制器設(shè)備,如PLC、DCS控制器等;
安全建設(shè)管理:增加了產(chǎn)品采購(gòu)和使用和軟件外包方面的要求,主要針對(duì)工控設(shè)備和工控專用信息安全產(chǎn)品的要求,以及工業(yè)控制系統(tǒng)軟件外包時(shí)有關(guān)保密和專業(yè)性的要求;
安全運(yùn)維管理:調(diào)整了漏洞和風(fēng)險(xiǎn)管理、惡意代碼防范管理和安全事件處置方面的需求,更加適配工業(yè)場(chǎng)景應(yīng)用和工業(yè)控制系統(tǒng)。
工業(yè)控制系統(tǒng)應(yīng)用場(chǎng)景
工業(yè)控制系統(tǒng)的概念和定義
工業(yè)控制系統(tǒng)(ICS)是幾種類型控制系統(tǒng)的總稱,包括數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(SCADA)系統(tǒng)、集散控制系統(tǒng)(DCS)和其它控制系統(tǒng),如在工業(yè)部門和關(guān)鍵基礎(chǔ)設(shè)施中經(jīng)常使用的可編程邏輯控制器(PLC)。工業(yè)控制系統(tǒng)通常用于諸如電力、水和污水處理、石油和天然氣、化工、交通運(yùn)輸、制藥、紙漿和造紙、食品和飲料以及離散制造(如汽車、航空航天和耐用品)等行業(yè)。工業(yè)控制系統(tǒng)主要由過(guò)程級(jí)、操作級(jí)以及各級(jí)之間和內(nèi)部的通信網(wǎng)絡(luò)構(gòu)成,對(duì)于大規(guī)模的控制系統(tǒng),也包括管理級(jí)。過(guò)程級(jí)包括被控對(duì)象、現(xiàn)場(chǎng)控制設(shè)備和測(cè)量?jī)x表等,操作級(jí)包括工程師和操作員站、人機(jī)界面和組態(tài)軟件、控制服務(wù)器等,管理級(jí)包括生產(chǎn)管理系統(tǒng)和企業(yè)資源系統(tǒng)等,通信網(wǎng)絡(luò)包括商用以太網(wǎng)、工業(yè)以太網(wǎng)、現(xiàn)場(chǎng)總線等。
工業(yè)控制系統(tǒng)分層模型
該標(biāo)準(zhǔn)參考IEC 62264-1的層次結(jié)構(gòu)模型劃分,同時(shí)將SCADA系統(tǒng)、DCS系統(tǒng)和PLC系統(tǒng)等模型的共性進(jìn)行抽象, 形成了如圖二的分層架構(gòu)模型,從上到下共分為5個(gè)層級(jí),依次為企業(yè)資源層、生產(chǎn)管理層、過(guò)程監(jiān)控層、現(xiàn)場(chǎng)控制層和現(xiàn)場(chǎng)設(shè)備層,不同層級(jí)的實(shí)時(shí)性要求不同。企業(yè)資源層主要包括ERP系統(tǒng)功能單元,用于為企業(yè)決策層員工提供決策運(yùn)行手段;生產(chǎn)管理層主要包括MES系統(tǒng)功能單元,用于對(duì)生產(chǎn)過(guò)程進(jìn)行管理,如制造數(shù)據(jù)管理、生產(chǎn)調(diào)度管理等;過(guò)程監(jiān)控層主要包括監(jiān)控服務(wù)器與HMI系統(tǒng)功能單元,用于對(duì)生產(chǎn)過(guò)程數(shù)據(jù)進(jìn)行采集與監(jiān)控,并利用HMI系統(tǒng)實(shí)現(xiàn)人機(jī)交互;現(xiàn)場(chǎng)控制層主要包括各類控制器單元,如PLC、DCS控制單元等,用于對(duì)各執(zhí)行設(shè)備進(jìn)行控制;現(xiàn)場(chǎng)設(shè)備層主要包括各類過(guò)程傳感設(shè)備與執(zhí)行設(shè)備單元,用于對(duì)生產(chǎn)過(guò)程進(jìn)行感知與操作。
根據(jù)工業(yè)控制系統(tǒng)的架構(gòu)模型不同層次的業(yè)務(wù)應(yīng)用、實(shí)時(shí)性要求以及不同層次之間的通信協(xié)議不同,需要部署的工控安全產(chǎn)品或解決方案有所差異,尤其是涉及工控協(xié)議通信的邊界需要部署工控安全產(chǎn)品進(jìn)行防護(hù),不僅支持對(duì)工控協(xié)議細(xì)粒度的訪問(wèn)控制,同時(shí)滿足各層次對(duì)實(shí)時(shí)性的要求。
同時(shí),該標(biāo)準(zhǔn)專門標(biāo)注了隨著工業(yè)4.0、信息物理系統(tǒng)的發(fā)展,上述分層架構(gòu)已不能完全適用,因此對(duì)于不同的行業(yè)企業(yè)實(shí)際發(fā)展情況,允許部分層級(jí)合并,可以根據(jù)用戶的實(shí)際場(chǎng)景進(jìn)行判斷。
考慮到工業(yè)控制系統(tǒng)構(gòu)成的復(fù)雜性,組網(wǎng)的多樣性,以及等級(jí)保護(hù)對(duì)象劃分的靈活性,給安全等級(jí)保護(hù)基本要求的使用帶來(lái)了選擇的需求。該標(biāo)準(zhǔn)給出了各個(gè)層次使用本標(biāo)準(zhǔn)相關(guān)內(nèi)容的映射關(guān)系,可以在實(shí)際應(yīng)用中參考:
約束條件
工業(yè)控制系統(tǒng)通常對(duì)可靠性、可用性要求非常高,所以在對(duì)工業(yè)控制系統(tǒng)依照等級(jí)保護(hù)進(jìn)行防護(hù)的時(shí)候要滿足以下約束條件:
原則上安全措施不應(yīng)對(duì)高可用性的工業(yè)控制系統(tǒng)基本功能產(chǎn)生不利影響。例如用于基本功能的賬戶不應(yīng)被鎖定,甚至短暫的也不行;
安全措施的部署不應(yīng)顯著增加延遲而影響系統(tǒng)響應(yīng)時(shí)間;
對(duì)于高可用性的控制系統(tǒng),安全措施失效不應(yīng)中斷基本功能等。
經(jīng)評(píng)估對(duì)可用性有較大影響而無(wú)法實(shí)施和落實(shí)安全等級(jí)保護(hù)要求的相關(guān)條款時(shí),應(yīng)進(jìn)行安全聲明,分析和說(shuō)明此條款實(shí)施可能產(chǎn)生的影響和后果,以及使用的補(bǔ)償措施。
工業(yè)控制系統(tǒng)等級(jí)保護(hù)檢查
隨著網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0的即將發(fā)布和實(shí)施,公安部門會(huì)著手開(kāi)展針對(duì)工業(yè)控制系統(tǒng)的等級(jí)保護(hù)檢查工作,我們的工業(yè)控制系統(tǒng)等級(jí)保護(hù)檢查工具合格研發(fā)單位,等待公安部組織的統(tǒng)一測(cè)試后進(jìn)行列裝主要面向公安客戶進(jìn)行工控系統(tǒng)等級(jí)保護(hù)執(zhí)法檢查工作,屆時(shí)會(huì)發(fā)布列裝通告。
同時(shí),針對(duì)非公安客戶,我公司已經(jīng)在2018年7月26日上市發(fā)布了工業(yè)網(wǎng)絡(luò)安全合規(guī)評(píng)估工具,用于上級(jí)檢查和關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)企業(yè)安全自查。工業(yè)網(wǎng)絡(luò)安全合規(guī)評(píng)估工具配置一體化便攜式、高性能專用硬件裝備,集信息收集(對(duì)象、資產(chǎn)、流量)、合規(guī)評(píng)估、資產(chǎn)信息管理、資產(chǎn)統(tǒng)計(jì)分析、資產(chǎn)安全評(píng)估、網(wǎng)絡(luò)異常行為審計(jì)、無(wú)線WiFi評(píng)估、通信流量診斷(流量統(tǒng)計(jì)、工控協(xié)議合規(guī)性分析、數(shù)據(jù)包分布統(tǒng)計(jì)、診斷數(shù)據(jù)統(tǒng)計(jì)、IP流量統(tǒng)計(jì))、視頻監(jiān)控設(shè)備評(píng)估、主機(jī)惡意代碼評(píng)估于一體的綜合評(píng)估工具集,為用戶提供標(biāo)準(zhǔn)、專業(yè)的檢查指導(dǎo),并支持對(duì)評(píng)估結(jié)果數(shù)據(jù)的關(guān)聯(lián)分析、統(tǒng)計(jì)對(duì)比,可幫助用戶快速分析展示合規(guī)現(xiàn)狀,定位工業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。