引言
为应对新时期工控安全形势,提升工业企业工控安全防护水平,工业和信息化部先后发布《工业控制系统信息安全防护指南》、《工业控制系统信息安全行动计划(2018—2020年)》等一系列政策文件。最新发布的等保2.0标准在原有标准的基础上进行了细化、分类和加强,把控工控技术的发展方向,将工业环境与政策完美结合,形成更加完善、健全、有效的工控信息安全体系。
概要
等保2.0明确了工业适用范围,涉及电力、水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和饮料以及离散制造(如汽车、航空航天和耐用品)等多个行业。
同时,等保2.0在工业领域的落地,需要工业信息系统领域符合等保2.0的通用要求和工业控制系统扩展要求两部分要求。这两部分均以实施攻击侵害主体的规模,以及工业信息系统遭受侵害和造成的影响来分级,共分为五个级别的要求。
工业控制系统安全扩展要求
等保2.0是以安全等级为主线,分别以不同业务场景的安全扩展进行阐述,包含5部分:安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。其中,工业控制系统安全扩展要求就是按照此主线在安全通用要求的基础上,扩展相应的安全要求。
以等保三级为例,安全通用要求从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面提出要求,而工业控制系统安全扩展要求则进一步从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全建设管理提出针对工控系统的安全扩展要求。
安全物理环境:增加了室外控制设备物理防护,如放置控制设备的箱体或装置以及控制设备周围的环境;
安全通信网络:增加了适配于工业控制系统网络环境的网络架构安全防护要求和通信传输要求,如工控系统与其他系统之间采用单向技术隔离手段;
安全区域边界:增加了适配与工业控制系统的访问控制要求、拨号使用控制和无线使用控制的要求;
安全计算环境:增加了对控制设备的安全要求,控制设备主要是应用到工业控制系统当中执行控制逻辑和数据采集功能的实时控制器设备,如PLC、DCS控制器等;
安全建设管理:增加了产品采购和使用软件外包方面的要求,主要针对工控设备和工控专用信息安全产品的要求,以及工业控制系统软件外包时有关保密和专业性的要求。
工业控制系统等级保护安全设计框架
在等保2.0中,不仅明确了工业控制系统所参照的模型,以及模型中各层级所遵循的等级保护基本要求,同时还规划出工业控制系统等级保护安全技术设计的整体框架。
工业控制系统安全设计框架采用通用等级保护安全技术设计的特点,整个框架构建在安全管理中心支持下的计算环境、区域边界、通信网络三重防御体系下,采用分层、分区的架构,同时结合工业控制系统总线协议复杂多样、实时性要求强、节点计算资源有限、设备可靠性要求高、故障恢复时间短、安全机制不能影响实时性等特点进行设计,以实现可信、可控、可管的系统安全互联、区域边界安全防护和计算环境安全。
如图所示,工业控制系统第0到3层都属于设计框架覆盖的区域,对于安全域的划分,可根据设备功能、重要性、物理位置等属性,形成不同的安全防护区域,具体分区以工业现场实际情况为准,如:现场设备层和现场控制层组成一个安全域,现场设备层、现场控制层、过程监控层组成一个安全域。
工业控制系统等级保护建设模型
针对工控系统的复杂性,组网的多样性,等保2.0参考国际标准IEC62264-1中的工业控制系统经典层级模型,将典型工控系统按照功能从上到下划分为五个层次,依次为:企业资源层、生产管理层、过程监控层、现场控制层和现场设备层。由于每个层次等级保护对象的不同,所对应的等级保护基本要求也有所差异。
标准中明确指出随着工业4.0、信息物理系统的发展,上述分层架构已不能完全适用,因此对于不同的行业企业实际发展情况,允许部分层级合并,可以根据用户的实际场景进行判断。
其中,层次模型的第0、1、2、3在安全通用要求的基础上,还采用了工业控制系统的扩展要求,企业资源层主要用于企业决策运行,采用等级保护基本要求的安全通用要求,并未做任何扩展。生产管理层和过程监控层,涉及生产过程管理调度及生产数据监控,采用了工业控制系统安全扩展要求的安全通信网络和安全区域边界。现场控制层和现场设备层的设备部署在现场,涉及数据存储、交互、计算,采用了工业控制系统安全扩展要求的安全物理环境、安全通信网络、安全区域边界、安全计算环境。
总结
新发布的等保2.0,充分吸收其他工业控制信息安全防护的相关标准和要求,考虑了工业控制系统的应用环境和场景,结合工业控制系统的经典模型,在配合《中华人民共和国网络安全法》实施的同时,便于工业控制系统网络安全等级保护工作的开展,为中国制造2025、制造业与互联网融合发展提供基础保障,为我国工业信息安全防护水平的全面提升提供支撑。
Copyright © 启明星辰 版权所有 京ICP备05032414号 
京公网安备11010802024551号
