联系我们

基于等保2.0下工控等保该怎么做

时间:2019-06-12 20:32:55点击量:159 作者:杨超月

随着数字产业化与产业数字化的发展,等保2.0的等级保护对象,在包括基础信息网络的基础上,通过扩展要求和附录的形式,增加了云计算、移动互联、物联网、工业控制系统、大数据五大新兴应用场景的覆盖。同时,从防御方式上由传统的被动防护转变为网络空间主动防御体系建设,关注全方位主动防御、安全可信、动态感知和全面审计。

工业控制系统如何应对等保2.0的“合规”?这一篇,我们来谈一谈等保2.0的主要变化以及针对工业控制系统的安全扩展内容和要求。

1、工业控制系统应用场景

(1)工业控制系统的概念和定义

工业控制系统(ICS)是几种类型控制系统的总称,包括数据采集与监视控制系统(SCADA)系统、集散控制系统(DCS)、可编程逻辑控制器(PLC)和其它控制系统。工业控制系统通常用于诸如电力、石油化工、轨道交通、烟草、市政、以及离散制造(如汽车、航空航天和耐用品)等行业。

工业控制系统主要由过程级、操作级以及各级之间和内部的通信网络构成,对于大规模的控制系统,也包括管理级。过程级包括被控对象、现场控制设备和测量仪表等,操作级包括工程师和操作员站、人机界面和组态软件、控制服务器等,管理级包括生产管理系统和企业资源系统等,通信网络包括商用以太网、工业以太网、现场总线等。

(2)工业控制系统层次结构模型划分

参考标准IEC 62264-1的层次结构模型划分,同时将SCADA系统、DCS系统和PLC系统等模型的共性进行抽象,我们可以将工业控制系统进行如下分层:

基于等保2.0下工控等保该怎么做

工业控制系统各层资产梳理,在与生产相关0-3层,各层覆盖的资产如下:

•生产管理层:与生产制造相关的仓储管理、先进控制、工艺管理等系统的软件和数据资产、硬件设施。

•过程监控层:各个操作员站、工程师站、OPC服务器等物理资产,及运行的软件和数据资产。

•现场控制层:各类控制器、控制单元、记录装置,以及控制程序或组态信息。

•现场设备层:各类变送器、执行机构、保护装置。

2、等保2.0对工业控制系统的安全扩展要求

扩展要求框架

除了安全通用要求,针对工业控制系统专门扩充了安全扩展要求内容,首次明确了区别于传统网络的工业控制系统在特殊的应用场景下,如何对等级保护建设提出要求。

基于等保2.0下工控等保该怎么做

3、等保2.0下的工业控制系统安全解决方案

等保2.0关于工业控制系统安全要求的三个重点,一个中心,三重防护,一个中心指“安全管理中心”,三重防护指“安全计算环境、安全区域边界、安全网络通信”,也是工业企业安全建设的三个痛点。

安恒信息依托多年在工业控制领域的积累和实践,针对等保2.0的技术要求变化,重点布局工业控制系统在安全通信网络、区域区域边界、安全计算环境、安全管理中心及安全运维管理等多方面的防护能力,提出了一体化的解决方案。

方案完整覆盖工控网络的安全防护、安全监测、安全运维、安全检查及安全管理,助力工业控制系统尽快落地等保2.0的合规要求,如下图所示。

基于等保2.0下工控等保该怎么做

工控安全防护

边界防护:采用工业防火墙,识别工控网络中已知的安全威胁,也能根据用户定义的安全策略,对工控网络中的行为进行细粒度的控制,有效的阻止网络攻击向关键区域、关键设备蔓延。

主机防护:采用专门为工控环境工作站主机打造的工控安全主机卫士,只允许系统操作或运行受信任的对象,对特定的对象(关键文件目录及应用程序、动态链接库、驱动文件等)提供保护,有效阻止恶意程序对关键对象的攻击。

工控安全监测

流量审计:采用工控安全监测审计平台,通过识别多种工业控制协议,实时监测生产过程中产生的所有流量,针对工业控制系统进行审计和威胁监测。

日志审计:采用明御综合日志审计平台,实现信息资产的统一管理、监控资产的运行状况,协助全面审计工控系统整体安全状况。

入侵检测:采用明御APT攻击预警平台,提供更深层次的威胁分析能力,实现文件层面APT攻击检测、木马回连行为分析等方面的攻击检测。

工控安全运维

设备安全:采用工控漏洞扫描平台,针对工业控制系统中的设备进行漏洞检测,实现对重点区域或者高危区域进行有针对性的重点整治的目的。

运维审计:采用明御运维审计与风险控制系统,对工业控制系统提供4A统一安全管理方案,增强企业工控系统的运维管理安全性。

工控安全管理

管理平台:采用工业安全管控平台,实现对生产网中部署的工控安全设备进行监控、配置和运维。