1、 等保2.0時代下工控安全技術(shù)革新摘 要：等保2.0版本的更迭意味著等級保護(hù)制度已進(jìn)入全新的時代，原有的制度已無法滿足當(dāng)下工控環(huán)境安全的要求，政策依據(jù)工控環(huán)境安全需求而制定，而工控環(huán)境的安全亦需將制度切實(shí)落地，兩者相互依賴，新的政策帶來新的挑戰(zhàn)。對工控安全提出了更高的標(biāo)準(zhǔn)和指導(dǎo)方向，文章將詳細(xì)分析等保2.0的變革之處，并結(jié)合實(shí)際工控環(huán)境進(jìn)行分析，關(guān)鍵詞:等保2.0，工控擴(kuò)展要求，變革，工控環(huán)境目 錄 TOC o 1-3 h z u HYPERLINK l _Toc15116500 1.引言 PAGEREF _Toc15116500 h 3 HYPERLINK l _Toc15116501 2.

2、等保概念由來 PAGEREF _Toc15116501 h 3 HYPERLINK l _Toc15116502 3.等保2.0 分析 PAGEREF _Toc15116502 h 4 HYPERLINK l _Toc15116503 3.1.等保2.0與1.0對比 PAGEREF _Toc15116503 h 6 HYPERLINK l _Toc15116504 3.2.等保2.0工控要求 PAGEREF _Toc15116504 h 6 HYPERLINK l _Toc15116505 3.3.等保2.0工控擴(kuò)展重點(diǎn) PAGEREF _Toc15116505 h 7 HYPERLINK l

3、 _Toc15116506 3.4.等保2.0下工控安全技術(shù)趨勢 PAGEREF _Toc15116506 h 8 HYPERLINK l _Toc15116507 4.工控現(xiàn)場安全分析 PAGEREF _Toc15116507 h 9 HYPERLINK l _Toc15116508 5.結(jié) 論 PAGEREF _Toc15116508 h 10引言新發(fā)布的等保2.0 在原有標(biāo)準(zhǔn)基礎(chǔ)上進(jìn)行了細(xì)化、分類和加強(qiáng)，使之更加契合如今的工控環(huán)境與技術(shù)，如何應(yīng)對等保2.0 時代，把控工控技術(shù)的發(fā)展方向，如何將現(xiàn)場環(huán)境與政策完美結(jié)合，形成更加完善、健全、有效的工控安全體系，以應(yīng)對未知威脅，是每一 個工控行

4、業(yè)企業(yè)都應(yīng)思考的問題。等保概念由來 世紀(jì)60年代，美軍文件保密制度提出了等級保護(hù)概念，1985年發(fā)布的 可信計算機(jī)系統(tǒng)評估準(zhǔn)則， 是第一個相對成熟且影響深遠(yuǎn)的準(zhǔn)則。 年， 信息技術(shù)安全評估準(zhǔn)則 ( ) 出臺并應(yīng)用于歐共體， 年加拿大公布 可信計算機(jī)產(chǎn)品評估準(zhǔn)則 ( ) . 版本， 將安全分為功能性要求和保證性要求兩部分， 功能性要求分為機(jī)密性、完整性、可用性、可控性等四個大類。 年美國、歐盟、加拿大聯(lián)合起來將各自評估準(zhǔn)則合為一體，形成通用評估準(zhǔn)則( Common Criteria) ，CC 2.1 版本于1999 年出臺，在CC中定義了評估信息技術(shù)產(chǎn)品和系統(tǒng)安全性所需要的基礎(chǔ)準(zhǔn)則，是度量信息技

5、術(shù)安全性的基準(zhǔn)。我國的等級保護(hù)工作其發(fā)展主要經(jīng)歷了四個階段。國務(wù)院于 年頒布 中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例 ，2003年，中央辦公廳、國務(wù)院辦公廳頒發(fā) 國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見 ( 中辦發(fā) 號) 明確指出“ 實(shí)行信息安全等級保護(hù)” ，標(biāo)志著等級保護(hù)從計算機(jī)信息系統(tǒng)安全保護(hù)的一項(xiàng)制度提升到國家信息安全保障一項(xiàng)基本制度， 年至 年期間，公安部聯(lián)合四部委開展了涉及 家單位，共 個信息系統(tǒng)的等級保護(hù)基礎(chǔ)調(diào)查和等級保護(hù)試點(diǎn)工作。 年 月，四部門聯(lián)合出臺了 信息安全等級保護(hù)管理辦法 ， 月四部門聯(lián)合頒布了 關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知 ，并于 月

6、日召開了全國重要信息系統(tǒng)安全等級保護(hù)定級工作部署專題電視電話會議，標(biāo)志著我國信息安全等級保護(hù)制度正式開始實(shí)施。 年 月，公安部出臺了 關(guān)于推動信息安全等級保護(hù)測評體系建設(shè)和開展等級測評工作的通知 ，提出等級保護(hù)工作的階段性目標(biāo)， 年 月，公安部和國務(wù)院國有資產(chǎn)監(jiān)督管理委員會聯(lián)合出臺了 關(guān)于進(jìn)一步推進(jìn)中央企業(yè)信息安全等級保護(hù)工作的通知 ，要求中央企業(yè)貫徹執(zhí)行等級保護(hù)工作， 至此我國信息安全等級保護(hù)工作全面展開，等保工作進(jìn)入規(guī)?；七M(jìn)階段。等保2.0 分析在等保2.0 中，對各個級別系統(tǒng)應(yīng)達(dá)到的安全水平給出了更加精細(xì)化的標(biāo)準(zhǔn)，如何達(dá)到、貫徹這個標(biāo)準(zhǔn)，是每一個企業(yè)應(yīng)該思考的問題，而通過使用網(wǎng)絡(luò)安全產(chǎn)

7、品及工控專用安全產(chǎn)品則是目前最低成本也是最高效的途徑。安全產(chǎn)品可以通過技術(shù)手段節(jié)約大量的人力以及時間成本，同時具備人力所不能達(dá)到的精細(xì)化顆粒級別等優(yōu)勢，工控安全產(chǎn)品的進(jìn)步、專精，加上與管理的 并重，組成了全新的等保2.0 時代，在等保2.0 中，除去對內(nèi)容的整合修改外，也對標(biāo)準(zhǔn)名稱進(jìn)行了修改，由 信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求 改為 信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求 ，這樣的修改是為了與 中華人民共和國網(wǎng)絡(luò)安全法 中的相關(guān)法律條文保持一致，與法律相呼應(yīng)，等保2.0與1.0對比等保2.0 相比于1.0更加契合了如今安全形勢，針對全新技術(shù)( 如云計算、大數(shù)據(jù)) ，以及國家重點(diǎn)領(lǐng)域安全

8、( 如工業(yè)控制系統(tǒng)) 等提出了更全面，深入，細(xì)化的要求準(zhǔn)則，本文以大部分工控系統(tǒng)所在的第三級為例，列舉等保2.0與1.0差異。等保2.0工控要求區(qū)別于等保 . 的是，等保2.0 中專門提出了包括工控安 全 擴(kuò) 展 要 求 在 內(nèi) 的 四 大 擴(kuò) 展 要 求，其 中包括:室外控制設(shè)備放置應(yīng)遠(yuǎn)離強(qiáng)電磁干擾、熱源和應(yīng)遠(yuǎn)離極端天氣環(huán)境等，如無法避免，在遇到極端天氣時應(yīng)及時做好應(yīng)急處置及檢修確保設(shè)備正常運(yùn)行。工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應(yīng)劃分為兩個區(qū)域，區(qū)域間應(yīng)采用單向的技術(shù)隔離手段。工業(yè)控制系統(tǒng)內(nèi)部應(yīng)根據(jù)業(yè)務(wù)特點(diǎn)劃分為不同的安全域，安全域之間應(yīng)采用技術(shù)隔離手段。涉及實(shí)時控制和數(shù)據(jù)傳輸?shù)墓I(yè)控制系統(tǒng)，

9、應(yīng)使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，在物理層面上實(shí)現(xiàn)與其它數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離，在工業(yè)控制系統(tǒng)內(nèi)使用廣域網(wǎng)進(jìn)行控制指令或相關(guān)數(shù)據(jù)交換的應(yīng)采用加密認(rèn)證技術(shù)手段實(shí)現(xiàn)身份認(rèn)證、訪問控制和數(shù)據(jù)加密傳輸，工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間部署訪問控制設(shè)備，配置訪問控制策略，禁止任何穿越區(qū)域邊界的 -、 等通用網(wǎng)絡(luò)服務(wù)，應(yīng)在工業(yè)控制系統(tǒng)內(nèi)安全域和安全域之間的邊界防護(hù)機(jī)制失效時，及時進(jìn)行報警，工業(yè)控制系統(tǒng)確需使用撥號訪問服務(wù)的，應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量并采取用戶身份鑒別和訪問控制等措施，撥號服務(wù)器和客戶端均應(yīng)使用經(jīng)安全加固的操作系統(tǒng)，并采取數(shù)字證書認(rèn)證、傳輸加密和訪問控制等措施，對采用無線通信技術(shù)進(jìn)行

10、控制的工業(yè)控制系統(tǒng)，應(yīng)能識別其物理環(huán)境中發(fā)射的未經(jīng)授權(quán)的無線設(shè)備，報告未經(jīng)授權(quán)試圖接入或干擾控制系統(tǒng)行為，控制設(shè)備自身應(yīng)實(shí)現(xiàn)相應(yīng)級別安全通用要求提出的身份鑒別、訪問控制和安全審計等設(shè)備和計算方面的安全要求，如受條件限制控制設(shè)備無法實(shí)現(xiàn)上述要求，應(yīng)由其上位控制或管理設(shè)備實(shí)現(xiàn)同等功能或通過管理手段控制，應(yīng)在經(jīng)過充分測試評估后，在不影響系統(tǒng)安全穩(wěn)定運(yùn)行的情況下對控制設(shè)備進(jìn)行補(bǔ)丁更新、固件更新等工作，應(yīng)關(guān)閉或拆除控制設(shè)備的軟盤驅(qū)動、光盤驅(qū)動、接口、串行口等，確需保留的必須通過相關(guān)的技術(shù)措施實(shí)施嚴(yán)格的監(jiān)控管理，應(yīng)保證控制設(shè)備在上線前經(jīng)過安全性檢測，確保控制設(shè)備固件中不存在惡意代碼程序。等保2.0工控擴(kuò)展

11、重點(diǎn)面對日益猖獗的安全威脅，以及更加具有針對性的攻擊手段，傳統(tǒng)信息安全產(chǎn)品已經(jīng)力有不逮，工控系統(tǒng)不同于其他組織系統(tǒng)，遭遇破壞的后果更加嚴(yán)重且具有典型工控特色，在此基礎(chǔ)上，等保2.0 文件中提出了工業(yè)控制系統(tǒng)安全擴(kuò)展要求，其中包括要求室外控制設(shè)備物理防護(hù)，組網(wǎng)時要求在物理層面實(shí)現(xiàn)其他數(shù)據(jù)網(wǎng)與外部公共信息網(wǎng)的安全隔離，對上機(jī)人員進(jìn)行更加嚴(yán)格的訪問控制以及操作系統(tǒng)加固，數(shù)字證書認(rèn)證，其中一個重點(diǎn)在于控制設(shè)備安全，等保2.0 工控擴(kuò)展要求中明確提出，控制設(shè)備自身實(shí)現(xiàn)相應(yīng)級別要求所提出的身份鑒別、訪問控制以及安全審計，若受條件限制無法實(shí)現(xiàn)，應(yīng)由其上位控制或管理設(shè)備實(shí)現(xiàn)同等功能或通過管理手段控制，且關(guān)閉，

12、拆除控制設(shè)備的軟盤驅(qū)動，光盤驅(qū)動， 接口，串行口等，確需保留則必須通過相關(guān)技術(shù)措施實(shí)施嚴(yán)格的監(jiān)控管理，從等保2.0 中可以發(fā)現(xiàn)，相比于等保 1.，它更加注重了監(jiān)控，以及明確提出了工業(yè)控制設(shè)備的層層細(xì)化標(biāo)準(zhǔn)，這符合信息安全中的 模型( 如圖 所示) ，也就是 ( 防護(hù)時間) 與檢測時間( ) 、響應(yīng)時間( ) 的關(guān)系 ，即: ()該模型給出了定義，及時的檢測和響應(yīng)就是安全，這在工業(yè)控制系統(tǒng)中更為適用，因?yàn)楣I(yè)控制系統(tǒng)安全對實(shí)時性要求極高，稍有延誤便有可能造成嚴(yán)重后果，同時要求重點(diǎn)提高防護(hù)時間，這需要更加具有針對性，且更加高效的技術(shù)革新，等保2.0下工控安全技術(shù)趨勢經(jīng)過分析，可以發(fā)現(xiàn)等保2.0 已

13、經(jīng)給出了一個未來安全技術(shù)發(fā)展的趨勢，即針對工控系統(tǒng)特性，可用性大于機(jī)密性、完整性且要求工控安全產(chǎn)品區(qū)別于普通安全產(chǎn)品，需貼切工控現(xiàn)場環(huán)境，如滿足溫度，濕度等 工業(yè)標(biāo)準(zhǔn)，無風(fēng)扇設(shè)計等且性能應(yīng)更加穩(wěn)定，延長有 效防護(hù)時間，滿足實(shí)時性與準(zhǔn)確性雙向需求，其中尤其強(qiáng)調(diào)了對于工控系統(tǒng)安全的針對性，因?yàn)楣I(yè)控制系統(tǒng)基于工業(yè)控制協(xié)議( 例如，、-、) ，而 信息系統(tǒng)基于 通信協(xié)議( 例如，（、) ， 雖然，現(xiàn)在主流工業(yè)控制系統(tǒng)已經(jīng)廣泛采用工業(yè)以太技術(shù)，基于 / / 通信，但是應(yīng)用層協(xié)議是不同的，這就要求信息安全產(chǎn) 品必須支持工業(yè)控制協(xié)議( 例如，、) ，否則就會出現(xiàn)如為了支持 服務(wù)而放開大量 端口的問題，工控

14、現(xiàn)場安全分析以發(fā)電企業(yè)電力監(jiān)控安全為例，引申等保2.0 政策，并結(jié)合現(xiàn)場情況進(jìn)行案例分析，從 年，電力行業(yè)原電監(jiān)會頒布的第 號令 電力工控系統(tǒng)安全防護(hù)規(guī)定 及 號文 電力工控系統(tǒng)安全防護(hù)總體方案 至今的發(fā)改委 號令和能源局 號文及配套文件， 發(fā)電企業(yè)在業(yè)務(wù)實(shí)際和工作場景中，不斷深化安全防護(hù)概念及措施，緊跟“ 十六字方針” 原則 做好邊界防護(hù)，確保邊界的安全可靠，主要采用的技術(shù)和手段是通過合理規(guī)劃業(yè)務(wù)分區(qū)，將不同風(fēng)險等級的業(yè)務(wù)及控制系統(tǒng)進(jìn)行“ 安全分區(qū)” 并根據(jù)業(yè)務(wù)設(shè)計規(guī)劃網(wǎng)絡(luò)架構(gòu)，實(shí)現(xiàn)“ 網(wǎng)絡(luò)專用” 生產(chǎn)大區(qū)的控制和非控制區(qū)之間，通過部署防火墻進(jìn)行“ 邏輯隔離” ，生產(chǎn)大區(qū)和管理大區(qū)間，通過部

15、署單向隔離裝置進(jìn)行“ 物理隔離” 發(fā)電企業(yè)使用及涉網(wǎng)的網(wǎng)絡(luò)線路，通過部署采用加密技術(shù)的裝置，實(shí)現(xiàn) “ 縱向認(rèn)證” ， 按照等級保護(hù)三級的要求，通過加強(qiáng)物理安全及管理、主機(jī)及網(wǎng)絡(luò)設(shè)備安全配置，采用結(jié)構(gòu)安全、身份認(rèn)證、通訊加密、訪問控制等方面進(jìn)行安全加固及防護(hù)，隨著信息化技術(shù)的發(fā)展和“ ” 與“ ” 的不斷深化融合，如今虛擬化、云平臺/ 計算、大數(shù)據(jù)、無線接入、移動應(yīng)用技術(shù)的大面積采用及推廣，在等保 . 時代，這些技術(shù)尚未足夠成熟亦或沒有廣泛采用，故等保 . 的相關(guān)要求也并為對上述技術(shù)和應(yīng)用進(jìn)行安全防護(hù)的規(guī)定和具體要求， 技術(shù)的變革促使著管理方式和方法的變革，等保2.0 將從云平臺的搭建結(jié)構(gòu)，及搭

16、載虛擬機(jī)的邊界安全防護(hù)采用對流量及邊界的入侵檢測情況分析安全風(fēng)險對無線接入的管理也更注重所屬區(qū)域劃分及同不同業(yè)務(wù)分區(qū)的隔離及數(shù)據(jù)交換，從資源管控、移動應(yīng)用開發(fā)和安全運(yùn)維等多維度做出更詳細(xì)要求，目前廣泛應(yīng)用的技術(shù)包括身份鑒別、訪問抗抵賴、白名單、隔離網(wǎng)閘、入侵檢測、流量及日志分析設(shè)計技術(shù)， 從而確保物理網(wǎng)整體性安全，實(shí)現(xiàn)電力監(jiān)控的中的工業(yè)控制系統(tǒng)安全運(yùn)行，結(jié) 論等保2.0 意味著工控安全日益受到重視，同時也為工控安全帶來了新的標(biāo)準(zhǔn)和挑戰(zhàn)，在這樣的大環(huán)境下，工控技術(shù)的革新是必然的，不可逆轉(zhuǎn)的，新時代的 工控安全產(chǎn)品應(yīng)以工控環(huán)境為參考標(biāo)準(zhǔn)，參考等保2.0 中物理與環(huán)境要求規(guī)范，全面適應(yīng)工控特殊性如溫度、濕度等相關(guān)要求，且區(qū)別于普通信息安全產(chǎn)品，更加注重可用性，國內(nèi)自主研發(fā)、自主可控必將是