0531-67800866

等保2.0:工控系统安全如何应对新要求

发布时间:2020-09-01    浏览:0

等保2.0扩展了网络安全保护的范围,提高了对关键信息基础设施进行等级保护的要求,并且针对不同保护对象的安全目标、技术特点、应用场景的差异,采用了安全通用要求与安全扩展要求结合的方式,以更好地满足安全保护共性化与个性化要求,提升了等级保护的普适性与可操作性,为《网络安全法》的实施执行提供了有力的技术保障。


一、等保2.0对工业控制系统的安全扩展要求

除了安全通用要求,等保2.0对工业控制系统提出了安全扩展要求,以适用工业控制的特有技术和应用场景特点,如下图。

image.png

其中,安全扩展的特殊要求包括:

物理和环境安全:增加了对室外控制设备的安全防护要求,如放置控制设备的箱体或装置以及控制设备周围的环境;


网络和通信安全:增加了适配于工业控制系统网络环境的网络架构安全防护要求、通信传输要求以及访问控制要求,增加了拨号使用控制和无线使用控制的要求;


设备和计算安全:增加了对控制设备的安全要求,控制设备主要是应用到工业控制系统当中执行控制逻辑和数据采集功能的实时控制器设备,如PLC、DCS控制器等;


安全建设管理:增加了产品采购和使用和软件外包方面的要求,主要针对工控设备和工控专用信息安全产品的要求,以及工业控制系统软件外包时有关保密和专业性的要求;


安全运维管理:调整了漏洞和风险管理、恶意代码防范管理和安全事件处置方面的需求,更加适配工业场景应用和工业控制系统。


二、工业控制系统安全的重点要求解读

综合等保2.0对工业控制系统安全的通用要求和扩展要求,可以看出工业安全防护的重点在工业主机安全、边界安全和工业安全管理三个领域。

1.工业主机安全要求

  • 8.1.4.5 恶意代码防范

应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。

  • 8.5.4.1 控制设备安全

b) 应在经过充分测试评估后,在不影响系统安全稳定运行的情况下对控制设备进行补丁更新、固件更新等工作;

c) 应关闭或拆除控制设备的软盘驱动、光盘驱动、USB接口、串行口或多余网口等,确需保留的必须通过相关的技术措施实施严格的监控管理;

解读:连续性是工业生产的基本要求,因此无论是生产设备,还是设备的控制系统,都需要长期连续运行,很难做到及时更新补丁。实践中,对此类系统通常采用“白名单”方式进行安全保护,即只有白名单内的软件才可以运行,其它进程都被阻止,以此防止病毒、木马、恶意软件的攻击。再者,随着技术的进步,U盘成为信息交换最便捷的媒介,但通过U盘传播病毒、恶意软件的风险极高,有必要对USB接口的使用进行严格管理。因此,在控制系统的上位机上安装工业主机防护系统是最普遍而又有效的手段。业内优秀的工业主机防护产品通常都具备USB安全管理能力,通过“注册-授权-审计”等典型安全措施,对U盘的使用全程管理,严防非授权U盘引入病毒。工业主机安全防护系统是解决工业主机安全痛点的首选。


2.工业安全边界安全要求

  • 8.1.3.1 边界防护

a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;

b) 应能够对非授权设备私自联到内部网络的行为进行检查或限制;

c) 应能够对内部用户非授权联到外部网络的行为进行检查或限制;

d) 应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络

  • 8.5.2.1 网络架构

a) 工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用单向的技术隔离手段;

b) 工业控制系统内部应根据业务特点划分为不同的安全域,安全域之间应采用技术隔离手段;

  • 8.5.3.1 访问控制

a) 应在工业控制系统与企业其他系统之间部署访问控制设备,配置访问控制策略,禁止任何穿越区域边界的E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务

解读:工控网络通常与企业资源网络(办公网络)物理隔离,但随着工业化与信息化的深度融合,越来越多的设备将实现联网。工业生产环境信息化、数字化、智能化的趋势不断发展,为了保护工业核心生产系统不受外来网络攻击,同时实时地把生产数据传输给管理系统,需要在工控网与资源网之间部署网络隔离与信息交换设备,满足此类要求的典型设备是工业网闸。同时,工业控制网络需要进行安全域划分,在安全域之间采取隔离手段保障安全;另外,工控网络通常使用工业专有协议和专有应用系统,而E-Mail、Telnet、Rlogin等通用应用和协议是网络攻击最常用的载体,应该拒绝此类流量进入工控网络,通常在工控网络的边界部署工业防火墙实现防护功能。因此,解决工业边界安全痛点,应重点考虑采用工业网闸和工业防火墙设备。


3.工业安全管理要求

  • 8.1.5.4 集中管控

a) 应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;

b) 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理;

c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;

d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求;

e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;

f) 应能对网络中发生的各类安全事件进行识别、报警和分析

解读:工业网络安全建设起步晚,底子薄,缺少有效的管理抓手。通过解决边界和主机安全痛点,只是在单点上解决安全问题,更大的要求是针对整个工业网络的安全状态的感知、数据的采集、分析以及针对工业网络的安全监测,及时识别异常操作、及时报警非法行为,通过可视化的集中管理界面,清晰的展示工业网络内各种安全问题,准确的定位、管理可能因网络安全问题导致的故障。因此“看清、看透、看全工业生产中的威胁,是保障工业网络安全的基础和前提”。基于此,工业安全监测系统以及控制中心,可以技术平台的方式,进行工业网络安全的统一管理,作为工业网络安全管理中心,满足等保2.0对工业控制系统的三级要求。


三、工业安全痛点解决应对

等保2.0关于工业控制系统安全要求的三个重点,也是工业企业安全建设的三个痛点,奇安信经过多年的工业安全技术研究和客户服务实践,提出了一体化的解决方案,如下图所示。

方案完整覆盖工控网络的防护、监测及集中管理,包含4款产品:工业主机安全防护系统、工业控制安全网关(工业防火墙)、工业安全监测系统(含控制平台)、工业安全隔离与信息交换系统(工业网闸)。

                                                        image.png

工业主机安全防护系统是一款软件产品,安装在工控上位机和工业服务器上,基于白名单智能匹配技术和“入口-运行-扩散”三重关卡式拦截技术,防止病毒与恶意程序入侵攻击,控制USB移动设备非法接入,为工业软件提供安全、干净的运行白环境。

工业控制安全网关系统(工业防火墙)是专为工业环境打造的一款边界安全防护产品,为工控网与企业网的连接、工控网内部各区域的连接提供安全隔离。产品采用四重白名单的安全策略,过滤非法访问,保证只有可信任的设备接入工控网络,保证可信任的流量在网络上传输。

工业安全监测系统(ISD)对工控系统的运行数据进行被动无损采集,自动发现工业资产,监测非法接入设备,实时检测网络入侵行为,监控工控设备异常操作,并实时将各类攻击与异常信息上传到工业安全监测控制平台(ISDC)。ISDC汇总所有安全监测设备的日志,以及工业主机安全防护、工业防火墙、工业网闸的日志,集中存储,统一分析,帮助安全运营人员及时了解工业网络全网安全态势与威胁动态。

工业安全隔离与信息交换系统(工业网闸)用于工控网络不同安全级别网络间进行安全数据交换。通过链路阻断、协议转换的方式实现信息摆渡,可深度解析多种工业协议(OPC、ModBus、S7、DNP3、IEC104等),集安全隔离、实时信息交换、协议分析、内容检测、访问控制、安全防护等多种功能于一体,在实现网络安全隔离的同时,提供高速、安全的数据交换能力和可靠的信息交换服务。