等保2.0工業控制系統安全擴展要求解讀
作者:啟明星辰
2020-08-26
引言
為應對新時期工控安全形勢����,提升工業企業工控安全防護水平����,工業和信息化部先后發布《工業控制系統信息安全防護指南》���、《工業控制系統信息安全行動計劃(2018—2020年)》等一系列政策文件����。最新發布的等保2.0標準在原有標準的基礎上進行了細化�、分類和加強����,把控工控技術的發展方向���,將工業環境與政策完美結合�����,形成更加完善�、健全�、有效的工控信息安全體系����。
概要
等保2.0明確了工業適用范圍�,涉及電力�、水和污水處理�����、石油和天然氣���、化工�、交通運輸��、制藥����、紙漿和造紙�����、食品和飲料以及離散制造(如汽車���、航空航天和耐用品)等多個行業�。
同時��,等保2.0在工業領域的落地�,需要工業信息系統領域符合等保2.0的通用要求和工業控制系統擴展要求兩部分要求�����。這兩部分均以實施攻擊侵害主體的規模�,以及工業信息系統遭受侵害和造成的影響來分級�����,共分為五個級別的要求�。
工業控制系統安全擴展要求
等保2.0是以安全等級為主線��,分別以不同業務場景的安全擴展進行闡述����,包含5部分:安全通用要求����、云計算安全擴展要求��、移動互聯安全擴展要求���、物聯網安全擴展要求和工業控制系統安全擴展要求�。其中���,工業控制系統安全擴展要求就是按照此主線在安全通用要求的基礎上��,擴展相應的安全要求�。
以等保三級為例�����,安全通用要求從安全物理環境�����、安全通信網絡����、安全區域邊界�、安全計算環境��、安全管理中心�����、安全管理制度�����、安全管理機構�、安全管理人員����、安全建設管理���、安全運維管理等方面提出要求����,而工業控制系統安全擴展要求則進一步從安全物理環境����、安全通信網絡��、安全區域邊界��、安全計算環境���、安全建設管理提出針對工控系統的安全擴展要求��。
安全物理環境:增加了室外控制設備物理防護�����,如放置控制設備的箱體或裝置以及控制設備周圍的環境���;
安全通信網絡:增加了適配于工業控制系統網絡環境的網絡架構安全防護要求和通信傳輸要求��,如工控系統與其他系統之間采用單向技術隔離手段�����;
安全區域邊界:增加了適配與工業控制系統的訪問控制要求��、撥號使用控制和無線使用控制的要求���;
安全計算環境:增加了對控制設備的安全要求���,控制設備主要是應用到工業控制系統當中執行控制邏輯和數據采集功能的實時控制器設備�����,如PLC��、DCS控制器等�;
安全建設管理:增加了產品采購和使用軟件外包方面的要求�,主要針對工控設備和工控專用信息安全產品的要求�,以及工業控制系統軟件外包時有關保密和專業性的要求��。
工業控制系統等級保護安全設計框架
在等保2.0中����,不僅明確了工業控制系統所參照的模型�����,以及模型中各層級所遵循的等級保護基本要求�,同時還規劃出工業控制系統等級保護安全技術設計的整體框架�。
工業控制系統安全設計框架采用通用等級保護安全技術設計的特點�,整個框架構建在安全管理中心支持下的計算環境�����、區域邊界���、通信網絡三重防御體系下����,采用分層���、分區的架構����,同時結合工業控制系統總線協議復雜多樣��、實時性要求強����、節點計算資源有限�����、設備可靠性要求高����、故障恢復時間短�����、安全機制不能影響實時性等特點進行設計�����,以實現可信�、可控����、可管的系統安全互聯�、區域邊界安全防護和計算環境安全�����。
如圖所示�����,工業控制系統第0到3層都屬于設計框架覆蓋的區域�,對于安全域的劃分�����,可根據設備功能����、重要性���、物理位置等屬性����,形成不同的安全防護區域���,具體分區以工業現場實際情況為準�����,如:現場設備層和現場控制層組成一個安全域��,現場設備層���、現場控制層�����、過程監控層組成一個安全域���。
工業控制系統等級保護建設模型
針對工控系統的復雜性���,組網的多樣性��,等保2.0參考國際標準IEC62264-1中的工業控制系統經典層級模型���,將典型工控系統按照功能從上到下劃分為五個層次�����,依次為:企業資源層����、生產管理層��、過程監控層�����、現場控制層和現場設備層�。由于每個層次等級保護對象的不同���,所對應的等級保護基本要求也有所差異����。
標準中明確指出隨著工業4.0�、信息物理系統的發展���,上述分層架構已不能完全適用�,因此對于不同的行業企業實際發展情況��,允許部分層級合并����,可以根據用戶的實際場景進行判斷����。
其中�,層次模型的第0���、1����、2�、3在安全通用要求的基礎上����,還采用了工業控制系統的擴展要求��,企業資源層主要用于企業決策運行����,采用等級保護基本要求的安全通用要求�,并未做任何擴展��。生產管理層和過程監控層���,涉及生產過程管理調度及生產數據監控��,采用了工業控制系統安全擴展要求的安全通信網絡和安全區域邊界?����,F場控制層和現場設備層的設備部署在現場�����,涉及數據存儲���、交互�����、計算�,采用了工業控制系統安全擴展要求的安全物理環境����、安全通信網絡���、安全區域邊界����、安全計算環境�����。
總結
新發布的等保2.0�,充分吸收其他工業控制信息安全防護的相關標準和要求��,考慮了工業控制系統的應用環境和場景�,結合工業控制系統的經典模型��,在配合《中華人民共和國網絡安全法》實施的同時��,便于工業控制系統網絡安全等級保護工作的開展�����,為中國制造2025�、制造業與互聯網融合發展提供基礎保障����,為我國工業信息安全防護水平的全面提升提供支撐���。
京公網安備11010802024551號