工控系统等级保护2.0解决方案

工控系统等级保护2.0解决方案

2021-01-21 13:39:51

 一、为什么要做工控系统等保

1. 网络安全等级保护制度上升到法律

首先网络安全等级保护制度上升到法律层面。网络安全法第二十一条明确规定国家实行网络安全等级保护制度以及第三十一条的网络安全等级保护制度的基础上,实行重点保护。

网络安全法

【第二十一条】:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改;

【第三十一条】:国家对一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。

关键信息基础设施保护条例

【第六条】:关键信息基础设施在网络安全等级保护制度基础上,实行重点保护;

【第二十三条】:运营者应当按照网络安全等级保护制度的要求,履行下列保护义务。

2. 网络安全等级保护政策标准体系

等保2.0定级另外还有一个重点,是等保定级方式的改变,就是等级保护2.0的定级并不是用户自主定级,而是要参照定级指南进行定级,这是各单位需要特别注意的一点。

二、谁需要做工控系统等保

1. 工业控制系统定义

工业控制系统 ( Industrial Control System 简称:ICS)是一个通用术语,它包括多种工业生产中使用的控制系统,包括监控和数据采集系统(SCADA)、分布式控制系统(DCS)和其他较小的控制系统,可编程逻辑控制器(PLC),现已广泛应用在工业部门和关键基础设施中。

等保基本要求描述
 

附录G:G.1工业控制系统概述

工业控制系统通常用于诸如电力、水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和饮料以及离散制造(如汽车、航空航天和耐用品)等行业。

2. 复杂工控系统等级保护框架


第0层:
传感和操作生产过程

主要资产为各种执行机构、传感器、就地采集仪表等。

第1层:
主要资产为嵌入式实时工控设备,如PLC、DCS控制器,数据采集网关等

实时性:秒、亚秒

第2层:

监控,管理控制和自动控制生产过程;

主要资产:操作员站、工程师站、实时/历时服务器、日志服务器、应急工作站等

实时性:小时、分钟、秒

第3层:

维护记录和优化生产过程,调度生产,细化生产调度过程,保证可靠性等;

实时性:日、工作班时、小时、分钟、秒

第4层:
建立基本工厂生产调度、材料使用、运输、确定库存等级、操作管理等;

实时性:月、周、日

3. 工控系统定级依据

等保级别

定级依据

第一级

应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到损害后,能够恢复部分功能。

第二级

应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能。

第三级

应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。

第四级

应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害,能够及时发现、监测发现攻击行为和安全事件,在自身遭到损害后,能够迅速恢复所有功能。

三、如何做工控系统等保  

1. 实现等级保护的一些约束条件 

工业控制系统通常是对可用性要求较高的等级保护对象,工业控制系统中的一些装置如果实现特定类型的安全措施可能会终止其连续运行,所以在对工业控制系统依照等级保护进行防护的时候要满足以下约束条件:

* 原则上安全措施不应对高可用性的工业控制系统基本功能产生不利影响。例如用于基本功能的账户不应被锁定,甚至短暂的也不行;
* 安全措施的部署不应显著增加延迟而影响系统响应时间;
* 对于高可用性的控制系统,安全措施失效不应中断基本功能等;
* 经评估对可用性有较大影响而无法实施和落实安全等级保护要求的相关条款时,应进行安全声明,分析和说明此条款实施可能产生的影响和后果,以及使用的补偿措施。 

2. 各层次与等级保护基本要求的映射关系

功能层次

技术要求

企业资源层

安全通用要求(安全物理环境)

安全通用要求(安全通信网络)

安全通用要求(安全区域环境)

安全通用要求(安全计算环境)

安全通用要求(安全管理中心)

生产管理层

安全通用要求(安全物理环境)

安全通用要求(安全通信网络)+安全扩展要求(安全通信网络)

安全通用要求(安全区域边界)+安全扩展要求(安全区域边界)

安全通用要求(安全计算环境)

安全通用要求(安全管理中心)

 

功能层次

技术要求

过程监控层

安全通用要求(安全物理环境)

安全通用要求(安全通信网络)+安全扩展要求(安全通信网络)

安全通用要求(安全区域边界)+安全扩展要求(安全区域边界)

安全通用要求(安全计算环境)

安全通用要求(安全管理中心)

现场控制层

安全通用要求(安全物理环境)+安全扩展要求(安全物理环境)

安全通用要求(安全通信网络)+安全扩展要求(安全通信网络)

安全通用要求(安全区域边界)+安全扩展要求(安全区域边界)

安全通用要求(安全计算环境)+安全扩展要求(安全计算环境)

现场设备层

安全通用要求(安全物理环境)+安全扩展要求(安全物理环境)

安全通用要求(安全通信网络)+安全扩展要求(安全通信网络)

安全通用要求(安全区域边界)+安全扩展要求(安全区域边界)

安全通用要求(安全计算环境)+安全扩展要求(安全计算环境)

3. 安全防护从安全评估开始

NSFOCUS ISCAT秉持“安全防护从安全评估开始”的理念,始终致力于帮助用户快速、便捷地完成工业网络的合规风险评估,找到差距,以评促改,形成针对工业网络环境的闭环风险管理。产品将持续从纵深检测能力和至上用户体验出发,为用户提供一站式工业网络合规评估解决方案。

4. 安全通信网络—网络架构

控制项

分类

控制点

网络架构

8.1.2.1

通用要求

c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址

d)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段;

8.5.2.1

扩展要求

④a)工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用单向的技术隔离手段

⑤b)工业控制系统内部应根据业务特点划分为不同的安全域,安全域之间应采用技术隔离手段

c)涉及实时控制和数据传输的工业控制系统,应使用独立的网络设备组网,在物理层面上实现与其他数据网及外部公共信息网的安全隔离


5. 安全区域边界—边界防护&访问控制

控制项

分类

控制点

边界防护

8.1.3.1

通用要求

④⑤应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信

④应能够对非授权设备私自联到内部网络的行为进行检查或限制;

④应能够对内部用户非授权联到外部网络的行为进行检查或限制;

应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。 【尽量禁止无线使用】

访问控制

8.1.3.2

通用要求

④⑤应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;【白名单】

④⑤应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化; 【最小配置原则】

⑤应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出; 【包过滤】

⑤应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力; 【状态监测】

⑤应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 【深度过滤】

8.5.3.1

扩展要求

④应在工业控制系统与企业其他系统之间部署访问控制设备,配置访问控制策略,禁止任何穿越区域边界的E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务; 【应用控制】

⑤应在工业控制系统内安全域和安全域之间的边界防护机制失效时,及时进行报警。 【边界防护设备失效告警】


6. 安全区域边界—入侵防范、恶意代码和垃圾邮件防范

控制项

分类

控制点

入侵防范

8.1.3.3

通用要求

③⑦应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为

③⑦应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;

③⑦应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析;

③当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。

恶意代码和垃圾邮件防范

8.1.3.4

通用要求

⑦应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;

⑥应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。


7. 安全区域边界—安全审计&可信验证

控制项

分类

控制点

安全审计

8.1.3.5

通用要求

⑧⑨应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;

⑧⑨审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

⑧⑨应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;

⑧对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析

可信验证

8.1.3.6

通用要求

可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 【不强制】


8. 安全区域边界—拨号&无线使用控制

控制项

分类

控制点

安全产品或措施

拨号使用控制

8.5.3.2

扩展要求

工业控制系统确需使用拨号访问服务的,应限制具有拨号访问权限的用户数量,并采取用户身份鉴别和访问控制等措施;

应由工控系统供货商厂家实现,对于存量的系统可以通过物理安全按防护和管理制度和措施进行补偿,例如禁止RTU使用默认密码、定期修改密码等;

RTU:远程终端单元,是SCADA系统的基本组成单元,用来监视和测量安装在远程现场的传感器和设备,负责对现场信号、工业设备的监测和控制。

拨号服务器和客户端均应使用经安全加固的操作系统,并采取数字证书认证、传输加密和访问控制等措施。

无线使用控制

8.5.3.3

扩展要求

应对所有参与无线通信的用户(人员、软件进程或者设备)提供唯一性标识和鉴别;

应由工控系统供货商厂家实现,对于存量的工业控制系统可采用强物理安全防护和管理制度进行补偿
 

应对所有参与无线通信的用户(人员、软件进程或者设备)进行授权以及执行使用进行限制;

应对无线通信采取传输加密的安全措施,实现传输报文的机密性保护;

对采用无线通信技术进行控制的工业控制系统,应能识别其物理环境中发射的未经授权的无线设备,报告未经授权试图接入或干扰控制系统的行为。

9. 安全计算环境—身份鉴别&访问控制

控制项

分类

控制点

身份鉴别

8.1.4.1

通用要求

⑩应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;

⑩应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;

⑩当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听; 【可通过建立VPN隧道实现】

⑩应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

访问控制

8.1.4.2

通用要求

应对登录的用户分配账户和权限;

应重命名或删除默认账户,修改默认账户的默认口令;

应及时删除或停用多余的、过期的账户,避免共享账户的存在;

应授予管理用户所需的最小权限,实现管理用户的权限分离;

应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则; 【强制访问控制】

访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;【强制访问控制】

应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。 【强制访问控制】


10. 安全计算环境—安全审计&可信验证

控制项

分类

控制点

安全审计

8.1.4.3

通用要求

应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;

?审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

?应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;

?应对审计进程进行保护,防止未经授权的中断。

可信验证

8.1.4.6

通用要求

可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。

【不强制】


11. 安全计算环境—入侵防范&恶意代码防范

控制项

分类

控制点

入侵防范

8.1.4.4

通用要求

应遵循最小安装的原则,仅安装需要的组件和应用程序;

?应关闭不需要的系统服务、默认共享和高危端口;

?应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;

应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;

?应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;

?应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。

恶意代码防范

8.1.4.5

通用要求

?应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。


? EDR终端检测与响应:

•事前风险检查:主机基线加固;
•事中安全防护:端口扫描、暴力破解、漏洞攻击防护;可信U盘管理;出入站双向访问控制;限定可通信IP地址;限定可访问端口;安全审计。

12. 安全计算环境—数据安全

控制项

分类

控制点

安全产品或措施

数据完整性

8.1.4.7

通用要求

应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;

生产监控层和过程控制层之间为实时通讯,有些系统已实现校验技术或密码技术,由于可靠性、可用性和实时性要求,不适用增加安全设备

应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

可在企业资源层和生产管理层采用?DLP等数据防护产品;

在过程监控层不适用安全产品,可通过物理防护措施或管理制度进行补偿;

数据保密性

8.1.4.8

通用要求

应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;

生产监控层和过程控制层之间为实时通讯,有些系统已实现密码技术,由于可靠性、可用性和实时性要求,不适用增加安全设备

应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。

可在企业资源层和生产管理层采用DLP等数据防护产品;

在过程监控层不适用安全产品,可通过物理防护措施或管理制度进行补偿;

数据备份恢复

8.1.4.9

通用要求

内容省略……

对于实时控制系统,一般都会采取热备措施,保证数据高可用性;

其他系统数据可根据客户实际需求采取数据备份恢复的产品或其他措施;

剩余信息保护

8.1.4.10

通用要求

内容省略……

制定相关安全管理制度;

个人信息保护

8.1.4.11

通用要求

内容省略……

制定相关安全管理制度;

13. 安全管理中心

控制项

分类

控制点

系统管理

8.1.5.1

通用要求

?内容省略……

审计管理

8.1.5.2

通用要求

?内容省略……

安全管理

8.1.5.3

通用要求

?应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计;

?应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。

集中管控

8.1.5.4

通用要求

?应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控; 【平台部署要单独组网】

?应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理; 【平台部署要单独组网】

?应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;

?应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求;

?应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;

?应能对网络中发生的各类安全事件进行识别、报警和分析。


14. 安全计算环境—控制设备安全

控制项

分类

控制点

安全产品或措施

控制设备安全

8.5.4.1

扩展要求

控制设备自身应实现相应级别安全通用要求提出的身份鉴别、访问控制和安全审计等安全要求,如受条件限制控制设备无法实现上述要求,应由其上位控制或管理设备实现同等功能或通过管理手段控制;

目前已有工控系统厂家实现上下位机的通信身份鉴别和数据加密;

对于存量的工控系统通过网络边界防护和管理手段进行补偿;

应在经过充分测试评估后,在不影响系统安全稳定运行的情况下对控制设备进行补丁更新、固件更新等工作;

由工控系统厂家在工业企业大修期间进行升级,通过管理手段进行控制;

应关闭或拆除控制设备的软盘驱动、光盘驱动、USB接口、串行口或多余网口等,确需保留的必须通过相关的技术措施实施严格的监控管理;

通过管理手段进行控制;

应使用专用设备和专用软件对控制设备进行更新;

由工控系统厂家进行实施;

应保证控制设备在上线前经过安全性检测,避免控制设备固件中存在恶意代码程序。

有工控系统厂家进行实施,在上线前可在测试环境中进行测试。

15. 安全管理制度、机构和人员

16. 安全建设管理

17. 安全运维管理

18. 典型工控系统分层架构的防护模型