等保2.0中的工控安全
2019-06-06 09:38:00 來源:本站 瀏覽:74

2019年,有一種火,叫等保2.0。


所有關注等保2.0的小伙伴應該都知道,網絡安全等級保護新標準具有三個特點,其中之一就是把工業控制系統安全納入了新型應用安全擴展要求,并且調整成為工業控制系統安全擴展要求。

工業控制系統安全擴展要求

工業控制系統安全擴展要求主要從安全物理環境、安全通信網絡、安全區域邊界、安全計算環境以及安全建設管理五方面進行了補充,各等級要求控制點分布如表一所示:

工業控制系統安全擴展要求控制點分布表

工業控制系統安全擴展要求(以三級為例)中關于安全物理環境、安全通信網絡、安全區域邊界、安全計算環境以及安全建設管理的擴展內容如下:


1.安全物理環境:增加了對室外控制設備物理防護要求,如放置控制設備的箱體或裝置以及控制設備周圍的環境;


2.安全通信網絡:增加了適配于工業控制系統網絡環境的網絡架構安全防護要求、通信傳輸要求,如工業控制系統內部以及工業控制系統與企業其他系統之間的網絡區域劃分及安全防護;


3.安全區域邊界: 增加了工業控制系統內部區域之間以及工業控制系統與企業其他系統之間的訪問控制要求、撥號使用控制以及無線使用控制方面的安全要求;


4.安全計算環境:增加了對控制設備的安全要求,包括測試評估、安全加固、安全運維等,控制設備主要是應用到工業控制系統當中執行控制邏輯和數據采集功能的實時控制器設備,如PLC、DCS控制器等;


5.安全建設管理:增加了產品采購和使用和軟件外包方面的要求,主要針對工控設備和工控專用信息安全產品的要求,以及工業控制系統軟件外包時有關保密和專業性的要求。

工業控制系統應用場景

1.工業控制系統分層模型

該標準參考IEC 62264-1的層次結構模型劃分,同時將SCADA系統、DCS系統和PLC系統等模型的共性進行抽象, 形成了如圖二的分層架構模型,從上到下共分為5個層級,依次為企業資源層、生產管理層、過程監控層、現場控制層和現場設備層,不同層級的實時性要求不同。


A.企業資源層主要包括ERP系統功能單元,用于為企業決策層員工提供決策運行手段;


B.生產管理層主要包括MES系統功能單元,用于對生產過程進行管理,如制造數據管理、生產調度管理等;


C.過程監控層主要包括監控服務器與HMI系統功能單元,用于對生產過程數據進行采集與監控,并利用HMI系統實現人機交互;


D.現場控制層主要包括各類控制器單元,如PLC、DCS控制單元等,用于對各執行設備進行控制;


E.現場設備層主要包括各類過程傳感設備與執行設備單元,用于對生產過程進行感知與操作。


根據工業控制系統的架構模型不同層次的業務應用、實時性要求以及不同層次之間的通信協議不同,需要部署的工控安全產品或解決方案有所差異,尤其是涉及工控協議通信的邊界需要部署工控安全產品進行防護,不僅支持對工控協議細粒度的訪問控制,同時滿足各層次對實時性的要求。

工業控制系統典型分層架構模型

同時,該標準專門標注了隨著工業4.0、信息物理系統的發展,上述分層架構已不能完全適用,因此對于不同的行業企業實際發展情況,允許部分層級合并,可以根據用戶的實際場景進行判斷。


考慮到工業控制系統構成的復雜性,組網的多樣性,以及等級保護對象劃分的靈活性,給安全等級保護基本要求的使用帶來了選擇的需求。該標準給出了各個層次使用本標準相關內容的映射關系,可以在實際應用中參考:

2.實現等級保護的一些約束條件

工業控制系統通常是對可用性要求較高的等級保護對象,工業控制系統中的一些裝置如果實現特定的安全措施可能會終止其連續運行,所以在對工業控制系統依照等級保護進行防護的時候要滿足以下約束條件:


A.原則上安全措施不應對高可用性的工業控制系統基本功能產生不利影響。例如用于基本功能的賬戶不應被鎖定,甚至短暫的也不行;


B.安全措施的部署不應顯著增加延遲而影響系統響應時間;


C.對于高可用性的控制系統,安全措施失效不應中斷基本功能等;


D.經評估對可用性有較大影響而無法實施和落實安全等級保護要求的相關條款時,應進行安全聲明,分析和說明此條款實施可能產生的影響和后果,以及使用的補償措施。


3.工業控制系統整體安全保護能力的要求

該標準在附錄B提出了“關于等級保護對象整理安全保護能力的要求”,內容指出網絡安全等級保護的核心是保證不同安全保護等級的對象具有相適應的安全保護能力。同樣,對于工業控制系統在依據不同等級的安全措施時,還應考慮構建縱深的防御體系、采取互補的安全措施、保證一致的安全強度、建立統一的支撐平臺、進行集中的安全管理五方面總體性要求,保證其整體安全保護能力。


4.工業控制系統等級保護安全框架和關鍵技術使用

在確定了工業控制系統的安全保護等級后,應根據相應安全保護等級的要求完成安全建設和整改工作,應針對工業控制系統特點建立安全技術體系和安全管理體系,構建具備響應等級的安全保護能力的網絡安全綜合防御體系。同時,還應根據國家網絡安全等級保護政策和標準,開展組織管理、機制建設、安全規劃、通報預警、應急處置、態勢感知、能力建設、監督檢查、技術檢測、隊伍建設、教育培訓和經費保障等工作。工業控制系統安全等級保護安全框架見下圖:

另外,該標準還要求在較高級別工業控制系統的安全建設和安全整改中注重使用可信計算、強制訪問控制、審計追查技術、結構化保護技術以及多級互聯技術等。

?版權所有 2011-2015 甘肅安信信息安全技術有限公司 隴ICP備15001871號

Copyright ? 2011-2015 Gansu Anxin information Safe Technology Ltd

聯系地址:甘肅省蘭州市城關區讀者大道東段58號5號樓

黑龙江36选7周即开奖