隨著我國(guó)“互聯(lián)網(wǎng)+”戰(zhàn)略的逐步落地，產(chǎn)業(yè)互聯(lián)網(wǎng)將成為未來(lái)國(guó)家最重要的基礎(chǔ)設(shè)施之一。云計(jì)算、大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)等新技術(shù)在關(guān)鍵信息基礎(chǔ)設(shè)施中廣泛應(yīng)用，網(wǎng)絡(luò)安全形勢(shì)與需求發(fā)生快速變化，使得等保1.0，即2008年發(fā)布的《GB/T22239-2008 信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求 》及其配套政策文件和標(biāo)準(zhǔn)，已經(jīng)不再符合新技術(shù)、新業(yè)務(wù)場(chǎng)景下的網(wǎng)絡(luò)安全保護(hù)要求。

    等保2.0擴(kuò)展了網(wǎng)絡(luò)安全保護(hù)的范圍，提高了對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行等級(jí)保護(hù)的要求，并且針對(duì)不同保護(hù)對(duì)象的安全目標(biāo)、技術(shù)特點(diǎn)、應(yīng)用場(chǎng)景的差異，采用了安全通用要求與安全擴(kuò)展要求結(jié)合的方式，以更好地滿足安全保護(hù)共性化與個(gè)性化要求，提升了等級(jí)保護(hù)的普適性與可操作性，為《網(wǎng)絡(luò)安全法》的實(shí)施執(zhí)行提供了有力的技術(shù)保障。

    除了安全通用要求，等保2.0對(duì)工業(yè)控制系統(tǒng)提出了安全擴(kuò)展要求，以適用工業(yè)控制的特有技術(shù)和應(yīng)用場(chǎng)景特點(diǎn)。

其中，安全擴(kuò)展的特殊要求包括：

物理和環(huán)境安全：增加了對(duì)室外控制設(shè)備的安全防護(hù)要求，如放置控制設(shè)備的箱體或裝置以及控制設(shè)備周圍的環(huán)境；

網(wǎng)絡(luò)和通信安全：增加了適配于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)架構(gòu)安全防護(hù)要求、通信傳輸要求以及訪問(wèn)控制要求，增加了撥號(hào)使用控制和無(wú)線使用控制的要求；

設(shè)備和計(jì)算安全：增加了對(duì)控制設(shè)備的安全要求，控制設(shè)備主要是應(yīng)用到工業(yè)控制系統(tǒng)當(dāng)中執(zhí)行控制邏輯和數(shù)據(jù)采集功能的實(shí)時(shí)控制器設(shè)備，如PLC、DCS控制器等；

安全建設(shè)管理：增加了產(chǎn)品采購(gòu)和使用和軟件外包方面的要求，主要針對(duì)工控設(shè)備和工控專用信息安全產(chǎn)品的要求，以及工業(yè)控制系統(tǒng)軟件外包時(shí)有關(guān)保密和專業(yè)性的要求；

安全運(yùn)維管理：調(diào)整了漏洞和風(fēng)險(xiǎn)管理、惡意代碼防范管理和安全事件處置方面的需求，更加適配工業(yè)場(chǎng)景應(yīng)用和工業(yè)控制系統(tǒng)。

    綜合等保2.0對(duì)工業(yè)控制系統(tǒng)安全的通用要求和擴(kuò)展要求，可以看出工業(yè)安全防護(hù)的重點(diǎn)在工業(yè)主機(jī)安全、邊界安全和工業(yè)安全管理三個(gè)領(lǐng)域。

1.工業(yè)主機(jī)安全要求

• 8.1.4.5 惡意代碼防范

應(yīng)采用免受惡意代碼攻擊的技術(shù)措施或主動(dòng)免疫可信驗(yàn)證機(jī)制及時(shí)識(shí)別入侵和病毒行為，并將其有效阻斷。

• 8.5.4.1 控制設(shè)備安全

b) 應(yīng)在經(jīng)過(guò)充分測(cè)試評(píng)估后，在不影響系統(tǒng)安全穩(wěn)定運(yùn)行的情況下對(duì)控制設(shè)備進(jìn)行補(bǔ)丁更新、固件更新等工作；

c) 應(yīng)關(guān)閉或拆除控制設(shè)備的軟盤(pán)驅(qū)動(dòng)、光盤(pán)驅(qū)動(dòng)、USB接口、串行口或多余網(wǎng)口等，確需保留的必須通過(guò)相關(guān)的技術(shù)措施實(shí)施嚴(yán)格的監(jiān)控管理；

2.工業(yè)安全邊界安全要求

• 8.1.3.1 邊界防護(hù)

a) 應(yīng)保證跨越邊界的訪問(wèn)和數(shù)據(jù)流通過(guò)邊界設(shè)備提供的受控接口進(jìn)行通信；

b) 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制；

c) 應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制；

d) 應(yīng)限制無(wú)線網(wǎng)絡(luò)的使用，保證無(wú)線網(wǎng)絡(luò)通過(guò)受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò)

• 8.5.2.1 網(wǎng)絡(luò)架構(gòu)

a) 工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應(yīng)劃分為兩個(gè)區(qū)域，區(qū)域間應(yīng)采用單向的技術(shù)隔離手段；

b) 工業(yè)控制系統(tǒng)內(nèi)部應(yīng)根據(jù)業(yè)務(wù)特點(diǎn)劃分為不同的安全域，安全域之間應(yīng)采用技術(shù)隔離手段；

• 8.5.3.1 訪問(wèn)控制

a) 應(yīng)在工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間部署訪問(wèn)控制設(shè)備，配置訪問(wèn)控制策略，禁止任何穿越區(qū)域邊界的E-Mail、Web、Telnet、Rlogin、FTP等通用網(wǎng)絡(luò)服務(wù)

3.工業(yè)安全管理要求

• 8.1.5.4 集中管控

a) 應(yīng)劃分出特定的管理區(qū)域，對(duì)分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管控；

b) 應(yīng)能夠建立一條安全的信息傳輸路徑，對(duì)網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管理；

c) 應(yīng)對(duì)網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行集中監(jiān)測(cè)；

d) 應(yīng)對(duì)分散在各個(gè)設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析，并保證審計(jì)記錄的留存時(shí)間符合法律法規(guī)要求；

e) 應(yīng)對(duì)安全策略、惡意代碼、補(bǔ)丁升級(jí)等安全相關(guān)事項(xiàng)進(jìn)行集中管理；

f) 應(yīng)能對(duì)網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識(shí)別、報(bào)警和分析

    等保2.0關(guān)于工業(yè)控制系統(tǒng)安全要求的三個(gè)重點(diǎn)，也是工業(yè)企業(yè)安全建設(shè)的三個(gè)痛點(diǎn)，奇安信經(jīng)過(guò)多年的工業(yè)安全技術(shù)研究和客戶服務(wù)實(shí)踐，提出了一體化的解決方案，如下圖所示。

    方案完整覆蓋工控網(wǎng)絡(luò)的防護(hù)、監(jiān)測(cè)及集中管理，包含4款產(chǎn)品：工業(yè)主機(jī)安全防護(hù)系統(tǒng)、工業(yè)控制安全網(wǎng)關(guān)（工業(yè)防火墻）、工業(yè)安全監(jiān)測(cè)系統(tǒng)（含控制平臺(tái)）、工業(yè)安全隔離與信息交換系統(tǒng)（工業(yè)網(wǎng)閘）。

工業(yè)主機(jī)安全防護(hù)系統(tǒng)是一款軟件產(chǎn)品，安裝在工控上位機(jī)和工業(yè)服務(wù)器上，基于白名單智能匹配技術(shù)和“入口-運(yùn)行-擴(kuò)散”三重關(guān)卡式攔截技術(shù)，防止病毒與惡意程序入侵攻擊，控制USB移動(dòng)設(shè)備非法接入，為工業(yè)軟件提供安全、干凈的運(yùn)行白環(huán)境。

工業(yè)控制安全網(wǎng)關(guān)系統(tǒng)（工業(yè)防火墻）是專為工業(yè)環(huán)境打造的一款邊界安全防護(hù)產(chǎn)品，為工控網(wǎng)與企業(yè)網(wǎng)的連接、工控網(wǎng)內(nèi)部各區(qū)域的連接提供安全隔離。產(chǎn)品采用四重白名單的安全策略，過(guò)濾非法訪問(wèn)，保證只有可信任的設(shè)備接入工控網(wǎng)絡(luò)，保證可信任的流量在網(wǎng)絡(luò)上傳輸。

工業(yè)安全監(jiān)測(cè)系統(tǒng)（ISD）對(duì)工控系統(tǒng)的運(yùn)行數(shù)據(jù)進(jìn)行被動(dòng)無(wú)損采集，自動(dòng)發(fā)現(xiàn)工業(yè)資產(chǎn)，監(jiān)測(cè)非法接入設(shè)備，實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)入侵行為，監(jiān)控工控設(shè)備異常操作，并實(shí)時(shí)將各類攻擊與異常信息上傳到工業(yè)安全監(jiān)測(cè)控制平臺(tái)（ISDC）。ISDC匯總所有安全監(jiān)測(cè)設(shè)備的日志，以及工業(yè)主機(jī)安全防護(hù)、工業(yè)防火墻、工業(yè)網(wǎng)閘的日志，集中存儲(chǔ)，統(tǒng)一分析，幫助安全運(yùn)營(yíng)人員及時(shí)了解工業(yè)網(wǎng)絡(luò)全網(wǎng)安全態(tài)勢(shì)與威脅動(dòng)態(tài)。

工業(yè)安全隔離與信息交換系統(tǒng)（工業(yè)網(wǎng)閘）用于工控網(wǎng)絡(luò)不同安全級(jí)別網(wǎng)絡(luò)間進(jìn)行安全數(shù)據(jù)交換。通過(guò)鏈路阻斷、協(xié)議轉(zhuǎn)換的方式實(shí)現(xiàn)信息擺渡，可深度解析多種工業(yè)協(xié)議（OPC、ModBus、S7、DNP3、IEC104等），集安全隔離、實(shí)時(shí)信息交換、協(xié)議分析、內(nèi)容檢測(cè)、訪問(wèn)控制、安全防護(hù)等多種功能于一體，在實(shí)現(xiàn)網(wǎng)絡(luò)安全隔離的同時(shí)，提供高速、安全的數(shù)據(jù)交換能力和可靠的信息交換服務(wù)