等保2.0擴(kuò)展了網(wǎng)絡(luò)安全保護(hù)的范圍,提高了對關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行等級保護(hù)的要求��,并且針對不同保護(hù)對象的安全目標(biāo)��、技術(shù)特點(diǎn)�����、應(yīng)用場景的差異�,采用了安全通用要求與安全擴(kuò)展要求結(jié)合的方式,以更好地滿足安全保護(hù)共性化與個性化要求�����,提升了等級保護(hù)的普適性與可操作性�,為《網(wǎng)絡(luò)安全法》的實(shí)施執(zhí)行提供了有力的技術(shù)保障。
一��、等保2.0對工業(yè)控制系統(tǒng)的安全擴(kuò)展要求
除了安全通用要求�,等保2.0對工業(yè)控制系統(tǒng)提出了安全擴(kuò)展要求,以適用工業(yè)控制的特有技術(shù)和應(yīng)用場景特點(diǎn)���,如下圖��。
其中�����,安全擴(kuò)展的特殊要求包括:
物理和環(huán)境安全:增加了對室外控制設(shè)備的安全防護(hù)要求�����,如放置控制設(shè)備的箱體或裝置以及控制設(shè)備周圍的環(huán)境�;
網(wǎng)絡(luò)和通信安全:增加了適配于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)架構(gòu)安全防護(hù)要求、通信傳輸要求以及訪問控制要求�,增加了撥號使用控制和無線使用控制的要求;
設(shè)備和計(jì)算安全:增加了對控制設(shè)備的安全要求���,控制設(shè)備主要是應(yīng)用到工業(yè)控制系統(tǒng)當(dāng)中執(zhí)行控制邏輯和數(shù)據(jù)采集功能的實(shí)時控制器設(shè)備��,如PLC����、DCS控制器等���;
安全建設(shè)管理:增加了產(chǎn)品采購和使用和軟件外包方面的要求��,主要針對工控設(shè)備和工控專用信息安全產(chǎn)品的要求����,以及工業(yè)控制系統(tǒng)軟件外包時有關(guān)保密和專業(yè)性的要求;
安全運(yùn)維管理:調(diào)整了漏洞和風(fēng)險管理���、惡意代碼防范管理和安全事件處置方面的需求,更加適配工業(yè)場景應(yīng)用和工業(yè)控制系統(tǒng)�。
二、工業(yè)控制系統(tǒng)安全的重點(diǎn)要求解讀
綜合等保2.0對工業(yè)控制系統(tǒng)安全的通用要求和擴(kuò)展要求���,可以看出工業(yè)安全防護(hù)的重點(diǎn)在工業(yè)主機(jī)安全����、邊界安全和工業(yè)安全管理三個領(lǐng)域�。
1.工業(yè)主機(jī)安全要求
應(yīng)采用免受惡意代碼攻擊的技術(shù)措施或主動免疫可信驗(yàn)證機(jī)制及時識別入侵和病毒行為,并將其有效阻斷���。
b) 應(yīng)在經(jīng)過充分測試評估后���,在不影響系統(tǒng)安全穩(wěn)定運(yùn)行的情況下對控制設(shè)備進(jìn)行補(bǔ)丁更新、固件更新等工作���;
c) 應(yīng)關(guān)閉或拆除控制設(shè)備的軟盤驅(qū)動����、光盤驅(qū)動、USB接口�、串行口或多余網(wǎng)口等,確需保留的必須通過相關(guān)的技術(shù)措施實(shí)施嚴(yán)格的監(jiān)控管理��;
解讀:連續(xù)性是工業(yè)生產(chǎn)的基本要求���,因此無論是生產(chǎn)設(shè)備����,還是設(shè)備的控制系統(tǒng)�,都需要長期連續(xù)運(yùn)行,很難做到及時更新補(bǔ)丁����。實(shí)踐中,對此類系統(tǒng)通常采用“白名單”方式進(jìn)行安全保護(hù)�����,即只有白名單內(nèi)的軟件才可以運(yùn)行���,其它進(jìn)程都被阻止���,以此防止病毒���、木馬、惡意軟件的攻擊��。再者��,隨著技術(shù)的進(jìn)步�,U盤成為信息交換最便捷的媒介��,但通過U盤傳播病毒�����、惡意軟件的風(fēng)險極高���,有必要對USB接口的使用進(jìn)行嚴(yán)格管理�。因此�,在控制系統(tǒng)的上位機(jī)上安裝工業(yè)主機(jī)防護(hù)系統(tǒng)是最普遍而又有效的手段。業(yè)內(nèi)優(yōu)秀的工業(yè)主機(jī)防護(hù)產(chǎn)品通常都具備USB安全管理能力���,通過“注冊-授權(quán)-審計(jì)”等典型安全措施��,對U盤的使用全程管理��,嚴(yán)防非授權(quán)U盤引入病毒����。工業(yè)主機(jī)安全防護(hù)系統(tǒng)是解決工業(yè)主機(jī)安全痛點(diǎn)的首選。
2.工業(yè)安全邊界安全要求
a) 應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進(jìn)行通信����;
b) 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制;
c) 應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制���;
d) 應(yīng)限制無線網(wǎng)絡(luò)的使用��,保證無線網(wǎng)絡(luò)通過受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò)
a) 工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應(yīng)劃分為兩個區(qū)域�,區(qū)域間應(yīng)采用單向的技術(shù)隔離手段���;
b) 工業(yè)控制系統(tǒng)內(nèi)部應(yīng)根據(jù)業(yè)務(wù)特點(diǎn)劃分為不同的安全域���,安全域之間應(yīng)采用技術(shù)隔離手段;
a) 應(yīng)在工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間部署訪問控制設(shè)備�����,配置訪問控制策略,禁止任何穿越區(qū)域邊界的E-Mail���、Web����、Telnet���、Rlogin�����、FTP等通用網(wǎng)絡(luò)服務(wù)
解讀:工控網(wǎng)絡(luò)通常與企業(yè)資源網(wǎng)絡(luò)(辦公網(wǎng)絡(luò))物理隔離,但隨著工業(yè)化與信息化的深度融合���,越來越多的設(shè)備將實(shí)現(xiàn)聯(lián)網(wǎng)��。工業(yè)生產(chǎn)環(huán)境信息化�、數(shù)字化����、智能化的趨勢不斷發(fā)展,為了保護(hù)工業(yè)核心生產(chǎn)系統(tǒng)不受外來網(wǎng)絡(luò)攻擊��,同時實(shí)時地把生產(chǎn)數(shù)據(jù)傳輸給管理系統(tǒng),需要在工控網(wǎng)與資源網(wǎng)之間部署網(wǎng)絡(luò)隔離與信息交換設(shè)備��,滿足此類要求的典型設(shè)備是工業(yè)網(wǎng)閘��。同時���,工業(yè)控制網(wǎng)絡(luò)需要進(jìn)行安全域劃分�����,在安全域之間采取隔離手段保障安全�;另外��,工控網(wǎng)絡(luò)通常使用工業(yè)專有協(xié)議和專有應(yīng)用系統(tǒng)�,而E-Mail、Telnet�、Rlogin等通用應(yīng)用和協(xié)議是網(wǎng)絡(luò)攻擊最常用的載體,應(yīng)該拒絕此類流量進(jìn)入工控網(wǎng)絡(luò)���,通常在工控網(wǎng)絡(luò)的邊界部署工業(yè)防火墻實(shí)現(xiàn)防護(hù)功能�����。因此��,解決工業(yè)邊界安全痛點(diǎn)����,應(yīng)重點(diǎn)考慮采用工業(yè)網(wǎng)閘和工業(yè)防火墻設(shè)備。
3.工業(yè)安全管理要求
a) 應(yīng)劃分出特定的管理區(qū)域�����,對分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管控���;
b) 應(yīng)能夠建立一條安全的信息傳輸路徑���,對網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管理;
c) 應(yīng)對網(wǎng)絡(luò)鏈路�����、安全設(shè)備�、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行集中監(jiān)測�����;
d) 應(yīng)對分散在各個設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析�����,并保證審計(jì)記錄的留存時間符合法律法規(guī)要求;
e) 應(yīng)對安全策略�����、惡意代碼����、補(bǔ)丁升級等安全相關(guān)事項(xiàng)進(jìn)行集中管理;
f) 應(yīng)能對網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識別��、報警和分析
解讀:工業(yè)網(wǎng)絡(luò)安全建設(shè)起步晚��,底子薄����,缺少有效的管理抓手。通過解決邊界和主機(jī)安全痛點(diǎn)��,只是在單點(diǎn)上解決安全問題��,更大的要求是針對整個工業(yè)網(wǎng)絡(luò)的安全狀態(tài)的感知�、數(shù)據(jù)的采集、分析以及針對工業(yè)網(wǎng)絡(luò)的安全監(jiān)測,及時識別異常操作����、及時報警非法行為,通過可視化的集中管理界面����,清晰的展示工業(yè)網(wǎng)絡(luò)內(nèi)各種安全問題,準(zhǔn)確的定位��、管理可能因網(wǎng)絡(luò)安全問題導(dǎo)致的故障����。因此“看清、看透�����、看全工業(yè)生產(chǎn)中的威脅��,是保障工業(yè)網(wǎng)絡(luò)安全的基礎(chǔ)和前提”���。基于此��,工業(yè)安全監(jiān)測系統(tǒng)以及控制中心���,可以技術(shù)平臺的方式�����,進(jìn)行工業(yè)網(wǎng)絡(luò)安全的統(tǒng)一管理��,作為工業(yè)網(wǎng)絡(luò)安全管理中心�����,滿足等保2.0對工業(yè)控制系統(tǒng)的三級要求����。
三、工業(yè)安全痛點(diǎn)解決應(yīng)對
等保2.0關(guān)于工業(yè)控制系統(tǒng)安全要求的三個重點(diǎn)�,也是工業(yè)企業(yè)安全建設(shè)的三個痛點(diǎn),奇安信經(jīng)過多年的工業(yè)安全技術(shù)研究和客戶服務(wù)實(shí)踐�,提出了一體化的解決方案,如下圖所示�。
方案完整覆蓋工控網(wǎng)絡(luò)的防護(hù)、監(jiān)測及集中管理���,包含4款產(chǎn)品:工業(yè)主機(jī)安全防護(hù)系統(tǒng)����、工業(yè)控制安全網(wǎng)關(guān)(工業(yè)防火墻)、工業(yè)安全監(jiān)測系統(tǒng)(含控制平臺)�����、工業(yè)安全隔離與信息交換系統(tǒng)(工業(yè)網(wǎng)閘)�。
工業(yè)主機(jī)安全防護(hù)系統(tǒng)是一款軟件產(chǎn)品,安裝在工控上位機(jī)和工業(yè)服務(wù)器上����,基于白名單智能匹配技術(shù)和“入口-運(yùn)行-擴(kuò)散”三重關(guān)卡式攔截技術(shù),防止病毒與惡意程序入侵攻擊�����,控制USB移動設(shè)備非法接入�,為工業(yè)軟件提供安全、干凈的運(yùn)行白環(huán)境���。
工業(yè)控制安全網(wǎng)關(guān)系統(tǒng)(工業(yè)防火墻)是專為工業(yè)環(huán)境打造的一款邊界安全防護(hù)產(chǎn)品���,為工控網(wǎng)與企業(yè)網(wǎng)的連接、工控網(wǎng)內(nèi)部各區(qū)域的連接提供安全隔離��。產(chǎn)品采用四重白名單的安全策略�,過濾非法訪問,保證只有可信任的設(shè)備接入工控網(wǎng)絡(luò)���,保證可信任的流量在網(wǎng)絡(luò)上傳輸�。
工業(yè)安全監(jiān)測系統(tǒng)(ISD)對工控系統(tǒng)的運(yùn)行數(shù)據(jù)進(jìn)行被動無損采集�����,自動發(fā)現(xiàn)工業(yè)資產(chǎn)���,監(jiān)測非法接入設(shè)備�,實(shí)時檢測網(wǎng)絡(luò)入侵行為���,監(jiān)控工控設(shè)備異常操作�,并實(shí)時將各類攻擊與異常信息上傳到工業(yè)安全監(jiān)測控制平臺(ISDC)����。ISDC匯總所有安全監(jiān)測設(shè)備的日志,以及工業(yè)主機(jī)安全防護(hù)�、工業(yè)防火墻、工業(yè)網(wǎng)閘的日志���,集中存儲��,統(tǒng)一分析�,幫助安全運(yùn)營人員及時了解工業(yè)網(wǎng)絡(luò)全網(wǎng)安全態(tài)勢與威脅動態(tài)。
工業(yè)安全隔離與信息交換系統(tǒng)(工業(yè)網(wǎng)閘)用于工控網(wǎng)絡(luò)不同安全級別網(wǎng)絡(luò)間進(jìn)行安全數(shù)據(jù)交換����。通過鏈路阻斷、協(xié)議轉(zhuǎn)換的方式實(shí)現(xiàn)信息擺渡���,可深度解析多種工業(yè)協(xié)議(OPC���、ModBus、S7���、DNP3����、IEC104等)����,集安全隔離、實(shí)時信息交換�、協(xié)議分析����、內(nèi)容檢測�、訪問控制、安全防護(hù)等多種功能于一體�,在實(shí)現(xiàn)網(wǎng)絡(luò)安全隔離的同時��,提供高速��、安全的數(shù)據(jù)交換能力和可靠的信息交換服務(wù)����。
0531-67800866