等保2.0下工控安全防護(hù)新變化

2019-12-26 23:51:35陳雪鴻楊帥鋒

網(wǎng)絡(luò)安全與數(shù)據(jù)管理 2019年10期

畢婷，陳雪鴻,楊帥鋒

(國家工業(yè)信息安全發(fā)展研究中心，北京 100040)

0 引言

自1994年國務(wù)院第147號令《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》文件發(fā)布以來，我國信息系統(tǒng)安全等級保護(hù)工作已經(jīng)開展20余年，并經(jīng)推廣落實(shí)形成了完善的等級保護(hù)制度與標(biāo)準(zhǔn)體系。自2016年頒布的《網(wǎng)絡(luò)安全法》將網(wǎng)絡(luò)安全等級保護(hù)工作作為基本制度以來，國家有關(guān)部門及行業(yè)監(jiān)管機(jī)構(gòu)正在加快制定有關(guān)配套標(biāo)準(zhǔn)，將我國等級保護(hù)工作引入新時代[1]。然而，隨著智能化和網(wǎng)絡(luò)化與信息系統(tǒng)的加速融合，原有等級保護(hù)的標(biāo)準(zhǔn)體系與技術(shù)手段已無法滿足工控系統(tǒng)安全保護(hù)的個性化需求。因此，明確新時期等級保護(hù)工控安全保護(hù)新變化及安全防護(hù)方向具有十分重要的意義。本文通過分析等保2.0標(biāo)準(zhǔn)中工控安全防護(hù)要求的亮點(diǎn)，從新時期工控安全防護(hù)工作思路出發(fā)提出了工控系統(tǒng)安全防護(hù)的新方向，最后提出企業(yè)落實(shí)工控安全新要求的建議及啟示。

1 等保2.0標(biāo)準(zhǔn)下工控系統(tǒng)等級保護(hù)亮點(diǎn)

我國網(wǎng)絡(luò)安全等級保護(hù)工作隨著等保2.0制度的發(fā)布正式進(jìn)入新時代。等級保護(hù)的基本要求作為我國開展網(wǎng)絡(luò)安全監(jiān)管工作的重要抓手，已成為新時期我國網(wǎng)絡(luò)安全建設(shè)的一項(xiàng)基本制度和主要依據(jù)。特別是隨著大數(shù)據(jù)、人工智能等新技術(shù)與工控系統(tǒng)的深度融合，工控系統(tǒng)安全防護(hù)要求發(fā)生了很大變化。原有的等保1.0標(biāo)準(zhǔn)已無法滿足新形勢下工控系統(tǒng)個性化安全保護(hù)需求[2]。因此，等保2.0標(biāo)準(zhǔn)應(yīng)運(yùn)而生。

新發(fā)布的2.0版本新增了工控系統(tǒng)安全擴(kuò)展要求，其在內(nèi)容、控制點(diǎn)設(shè)置、測評方法選擇、保護(hù)要求等方面都進(jìn)行了調(diào)整，具體亮點(diǎn)主要包括：

(1)緊跟技術(shù)發(fā)展步伐，將工控系統(tǒng)納入到保護(hù)對象的范圍，明確了工控系統(tǒng)等級保護(hù)工作的重要地位；

(2)重點(diǎn)加強(qiáng)標(biāo)準(zhǔn)對新技術(shù)的適用性，通過新增工控系統(tǒng)安全擴(kuò)展要求，有針對性地強(qiáng)化了工控系統(tǒng)安全保護(hù)方法；

(3)調(diào)整并細(xì)化了控制點(diǎn)和控制項(xiàng)，通過新增、調(diào)整、細(xì)化工控系統(tǒng)安全擴(kuò)展要求控制項(xiàng)內(nèi)容，有效提高了安全防護(hù)措施的可操作性和標(biāo)準(zhǔn)的落地性；

(4)調(diào)整安全保護(hù)策略，變被動防御為主動防御[3]。

2 等保2.0時代下工控安全防護(hù)方向

新技術(shù)與工控系統(tǒng)的加速融合使得工控系統(tǒng)及其相關(guān)組件、工業(yè)智能設(shè)備等與網(wǎng)絡(luò)連接，工控系統(tǒng)的傳統(tǒng)封閉狀態(tài)逐漸轉(zhuǎn)向?yàn)殚_放互聯(lián)。傳統(tǒng)工控系統(tǒng)基本上與外網(wǎng)隔離[4]。因此在規(guī)劃建設(shè)階段并未充分考慮安全防護(hù)問題，導(dǎo)致工控系統(tǒng)的威脅由內(nèi)網(wǎng)擴(kuò)大到包括跨內(nèi)外網(wǎng)攻擊在內(nèi)的各種威脅，進(jìn)一步增加了病毒、木馬、勒索軟件等威脅入侵的機(jī)率。目前，我國工業(yè)企業(yè)在實(shí)踐中對工控系統(tǒng)的常用防護(hù)技術(shù)手段主要包括網(wǎng)絡(luò)安全測試工具、工控系統(tǒng)網(wǎng)絡(luò)健壯性測試工具、白名單技術(shù)、防火墻技術(shù)、安全審計(jì)等[5]。

如今，隨著等保2.0標(biāo)準(zhǔn)的發(fā)布，網(wǎng)絡(luò)安全等級保護(hù)范圍空前擴(kuò)大[6]。工控系統(tǒng)安全防護(hù)成為新時期網(wǎng)絡(luò)安全等級保護(hù)工作的重點(diǎn)之一，也是工業(yè)信息安全領(lǐng)域的重中之重。等保2.0標(biāo)準(zhǔn)在結(jié)合不同工控系統(tǒng)所在的行業(yè)特點(diǎn)、應(yīng)用場景、安全目標(biāo)的差異基礎(chǔ)上，通過提出工控系統(tǒng)安全擴(kuò)展要求，指引了我國新時期工控安全防護(hù)方向：

(1)重點(diǎn)加強(qiáng)安全網(wǎng)絡(luò)通信防護(hù)。一方面采用技術(shù)隔離手段提高工控系統(tǒng)與其他系統(tǒng)以及工控系統(tǒng)內(nèi)部等區(qū)域之間的安全隔離水平，另一方面采用加密認(rèn)證技術(shù)提高廣域網(wǎng)內(nèi)進(jìn)行數(shù)據(jù)交換或控制指令的工控系統(tǒng)防護(hù)水平。

(2)大力提升安全區(qū)域邊界防護(hù)。一方面通過在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備、配置強(qiáng)訪問策略等方式，對工控網(wǎng)絡(luò)區(qū)域邊界的E-mail等網(wǎng)絡(luò)服務(wù)進(jìn)行阻隔，有效阻止工控網(wǎng)絡(luò)區(qū)域邊界的訪問行為[7]；另一方面通過傳輸加密等安全防護(hù)措施，加強(qiáng)工控系統(tǒng)中傳輸報(bào)文的安全性保護(hù)。

(3)持續(xù)優(yōu)化安全計(jì)算環(huán)境。首先，加強(qiáng)身份鑒別、安全審計(jì)等安全要求，具體可通過加強(qiáng)工業(yè)主機(jī)登錄、賬戶權(quán)限，強(qiáng)化SCADA軟件、工業(yè)控制設(shè)備口令等加大身份認(rèn)證鑒別力度，同時加強(qiáng)工控系統(tǒng)運(yùn)維人員的權(quán)限管理，加強(qiáng)操作記錄和審查。

3 對落實(shí)等保2.0工控安全防護(hù)要求的啟示

(1)結(jié)合等保2.0工控安全要求及《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》，加強(qiáng)企業(yè)工控系統(tǒng)態(tài)勢感知平臺建設(shè)，提升全天候、全方位態(tài)勢感知能力[8]。健全數(shù)據(jù)采集、情報(bào)與大數(shù)據(jù)分析、監(jiān)測預(yù)警、分析研判、應(yīng)急處置、追蹤溯源等平臺功能開發(fā)與運(yùn)營。加快推進(jìn)工控系統(tǒng)安全防護(hù)核心技術(shù)突破，研發(fā)工控系統(tǒng)等級保護(hù)檢查工具，有效推動等保2.0標(biāo)準(zhǔn)落地實(shí)施。大力推廣工控安全市場上創(chuàng)新性、殺手锏式國產(chǎn)化產(chǎn)品的使用。

(2)建立常態(tài)化等級保護(hù)自查與檢查機(jī)制，通過定期組織本單位開展工控系統(tǒng)安全評估、防護(hù)能力評估等工作，有效將等保2.0工作規(guī)范納入到常態(tài)化工作，推動工控系統(tǒng)安全保護(hù)工作進(jìn)入良性發(fā)展軌道。加強(qiáng)重點(diǎn)、特殊時期工控系統(tǒng)檢查與監(jiān)測，有效提升企業(yè)工控安全防御實(shí)踐。推動工控系統(tǒng)新應(yīng)用、新業(yè)態(tài)、新模式安全防護(hù)前瞻布局，保障工控系統(tǒng)安全取得良好社會效益[9]。

(3)大力推動企業(yè)攻防演練實(shí)戰(zhàn)，通過開展工控系統(tǒng)技能大賽等形式，有效提升工控系統(tǒng)安全事件應(yīng)急響應(yīng)能力，做到早發(fā)現(xiàn)早處置，真正實(shí)現(xiàn)主動防御、積累經(jīng)驗(yàn)、鍛煉隊(duì)伍。同時大力加強(qiáng)工控系統(tǒng)安全防護(hù)迭代式演進(jìn)，模擬企業(yè)工控系統(tǒng)紅藍(lán)對抗，有效檢驗(yàn)工控系統(tǒng)脆弱性，及時修補(bǔ)工控系統(tǒng)安全漏洞，逐步提升等保2.0標(biāo)準(zhǔn)下的下一代安全防御能力。

4 結(jié)論