網絡安全等級保護是國家網絡安全保障的基本制度基本策略和基本方法。2019年5月13日等保2.0正式發佈,這是繼2008年發佈等保1.0十餘年來繼網絡安全法實施後的一次重大升級。等保2.0在等保1.0的基礎上,更加註重全方位主動防禦、安全可信、動態感知和全面審計。
工控角度等保2.0有哪些變化呢?
01、總體結構上的區別
結構上由原來的安全要求變到現在的安全通用要求加安全擴展要求。
02、等保對象變化
等保對象由原來的信息系統過渡到現在的網絡和信息系統,統稱爲等級保護對象。
03、控制層面變化
由傳統的IT防護到2.0的體系化防護
04、控制項變化
部分控制項在合併刪除新增之後,整體數量降低,由原來的290項到現在的通用要求211項,同時伴隨着新增的21項工控安全擴展要求,總共工業控制系統安全要求控制項達到了232項。
除此之外,等級保護的合格線也從60分提升到現在的75分,這對於等保建設來說要求變得越來越嚴格。
根據等保2.0的要求,工業控制系統需要同時滿足通用要求和擴展要求兩部分。在通用要求裏面,除了新增了可信認證的相關要求之外還需要關注以下幾點:
-
在邊界控制訪問策略以及新型攻擊行爲檢測方面作出了新的要求;
-
針對漏洞修補,明確要求需要經過充分的認證和測試;
-
提出了安全管理中心的概念。
要求安全管理中心滿足系統集中管理、審計日誌分析、安全策略、集中管理運行狀態監控等要求,對於工業控制系統來說也是一個新的挑戰。
在工業控制系統的安全擴展要求裏面,我們還需要關注以下幾點:
1、明確了工業控制系統在對外邊界處需要採用單向隔離技術,禁止E-mail web Telnet 等通用網絡服務穿過對外的邊界,對實時性要求較高的網絡應獨立組網,並且與其他網絡實現物理隔離。
2、安全區域邊界處增加了撥號訪問和無線使用的相關要求,對工業控制設備上線前要求進行安全檢測。理論上能要求工業控制設備再滿足通用要求的身份鑑別訪問控制和安全審計等等要求內容。在控制設備條件受限時,可以由其上位機或者管理設備替代滿足相關要求。
三重防護
在邊界上建議通過單向隔離和防火牆技術實現邊界的隔離和訪問控制
在覈心區域的核心節點上建議通過審計和檢測技術實現對外部入侵特別是新型攻擊的防範
針對控制設備,我們建議通過風險檢測技術,在控制設備上線前以及運行過程中對其漏洞進行監測,
最後對於控制設備相連的上位機建議通過終端管控技術實現對運行環境的監控,特別是在控制設備實際上無法滿足相關的身份鑑別反應訪問控制等要求的情況下,需要上位主機替代控制器實現相應的安全要求。
一箇中心
安全管理中心需要對內滿足集中策略管理運行監控系統管理等功能,對外我們需要實現安全事件安全風險的識別告警和分析功能,最終達到協同防護的目的。