一文梳理等保2.0与工业控制系统安全扩展要求

本文转自工业安全产业联盟
等级保护2.0标准包括安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制安全扩展要求5个部分。与等保1.0比，等级保护2.0丰富了防护内容和要求，精简了多余或者不适用的内容，增加了无线网络、网络集中监控等的要求。

本文参考《信息安全技术网络安全等级保护基本要求》（送审稿）（以下简称“该标准”）分析等保2.0的主要变化以及针对工业控制系统的安全扩展内容和要求。

一、等保2.0的主要变化

1.标准名称的变化

  该标准的名称由“信息安全技术信息系统安全等级保护基本要求”变更为“信息安全技术网络安全等级保护基本要求”。   图一：标准名称的变化2.测评实施作用面的变化新标准主要从技术和管理两个方面提出要求，技术要求由原来的物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复调整分类为物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全；管理要求由原来的安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理调整分类为安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理。

图二：网络安全等级保护基本要求结构

3.测评实施内容变化

新版标准包括安全测评通用要求和安全测评扩展要求。安全测评通用要求不管等级保护对象形态，均需使用安全测评通用要求；安全测评扩展要求针对云计算、移动互联、物联网和工业控制系统提出了特殊安全测评要求。新标准对云计算、移动互联、物联网和工业控制系统分别提出相应的要求，内容结构调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求；

4.控制项的变化

5.该标准取消了原来安全控制点的S、A、G标注，增加一个附录A描述等级保护对象的定级结果和安全要求之间的关系，说明如何根据定级的S、A结果选择安全要求。

二、工业控制系统安全扩展要求

物理和环境安全：增加了对室外控制设备的安全防护要求，如放置控制设备的箱体或装置以及控制设备周围的环境；

网络和通信安全：增加了适配于工业控制系统网络环境的网络架构安全防护要求、通信传输要求以及访问控制要求，增加了拨号使用控制和无线使用控制的要求；

设备和计算安全：增加了对控制设备的安全要求，控制设备主要是应用到工业控制系统当中执行控制逻辑和数据采集功能的实时控制器设备，如PLC、DCS控制器等；

安全建设管理：增加了产品采购和使用和软件外包方面的要求，主要针对工控设备和工控专用信息安全产品的要求，以及工业控制系统软件外包时有关保密和专业性的要求；

安全运维管理：调整了漏洞和风险管理、恶意代码防范管理和安全事件处置方面的需求，更加适配工业场景应用和工业控制系统。

三、工业控制系统应用场景

1.工业控制系统的概念和定义

工业控制系统（ICS）是几种类型控制系统的总称，包括数据采集与监视控制系统（SCADA）系统、集散控制系统（DCS）和其它控制系统，如在工业部门和关键基础设施中经常使用的可编程逻辑控制器（PLC）。工业控制系统通常用于诸如电力、水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和饮料以及离散制造（如汽车、航空航天和耐用品）等行业。工业控制系统主要由过程级、操作级以及各级之间和内部的通信网络构成，对于大规模的控制系统，也包括管理级。过程级包括被控对象、现场控制设备和测量仪表等，操作级包括工程师和操作员站、人机界面和组态软件、控制服务器等，管理级包括生产管理系统和企业资源系统等，通信网络包括商用以太网、工业以太网、现场总线等。

2.工业控制系统分层模型

该标准参考IEC62264-1的层次结构模型划分，同时将SCADA系统、DCS系统和PLC系统等模型的共性进行抽象，形成了如图二的分层架构模型，从上到下共分为5个层级，依次为企业资源层、生产管理层、过程监控层、现场控制层和现场设备层，不同层级的实时性要求不同。企业资源层主要包括ERP系统功能单元，用于为企业决策层员工提供决策运行手段；生产管理层主要包括MES系统功能单元，用于对生产过程进行管理，如制造数据管理、生产调度管理等；过程监控层主要包括监控服务器与HMI系统功能单元，用于对生产过程数据进行采集与监控，并利用HMI系统实现人机交互；现场控制层主要包括各类控制器单元，如PLC、DCS控制单元等，用于对各执行设备进行控制；现场设备层主要包括各类过程传感设备与执行设备单元，用于对生产过程进行感知与操作。

根据工业控制系统的架构模型不同层次的业务应用、实时性要求以及不同层次之间的通信协议不同，需要部署的工控安全产品或解决方案有所差异，尤其是涉及工控协议通信的边界需要部署工控安全产品进行防护，不仅支持对工控协议细粒度的访问控制，同时满足各层次对实时性的要求。

图三：工业控制系统典型分层架构模型

同时，该标准专门标注了随着工业4.0、信息物理系统的发展，上述分层架构已不能完全适用，因此对于不同的行业企业实际发展情况，允许部分层级合并，可以根据用户的实际场景进行判断。

考虑到工业控制系统构成的复杂性，组网的多样性，以及等级保护对象划分的灵活性，给安全等级保护基本要求的使用带来了选择的需求。该标准给出了各个层次使用本标准相关内容的映射关系，可以在实际应用中参考。

3.约束条件

工业控制系统通常对可靠性、可用性要求非常高，所以在对工业控制系统依照等级保护进行防护的时候要满足以下约束条件:

原则上安全措施不应对高可用性的工业控制系统基本功能产生不利影响。例如用于基本功能的账户不应被锁定，甚至短暂的也不行；

安全措施的部署不应显著增加延迟而影响系统响应时间；

对于高可用性的控制系统，安全措施失效不应中断基本功能等。

经评估对可用性有较大影响而无法实施和落实安全等级保护要求的相关条款时，应进行安全声明，分析和说明此条款实施可能产生的影响和后果，以及使用的补偿措施。

一文梳理等保2.0与工业控制系统安全扩展要求相关推荐

深度解读 | 等保2.0之移动互联安全扩展要求解读
2019独角兽企业重金招聘Python工程师标准>>> 数字经济下,企业的生态核心是应用为核心.随着移动互联网的发展,移动应用已渗透各行各业,与工作.生活息息相关.工信部发布的数据显 ...
等保2.0三级移动互联安全扩展要求
安全物理环境无线接入点的物理位置应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰. 安全区域边界边界防护应保证有线网络与无线网络边界之间的访问和数据流通过无线接入网关设备. 访问控制 ...
等保测评--工业控制系统安全扩展要求
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国.美国等很多国家都存在的一种信息安全领域的工作.在中国,信息安全等级保护广义上为涉及到该工作的标准.产品.系统.信息等 ...
看各大安全厂商对等保2.0的应对措施及解决方案
5月13日,网络安全等级保护技术2.0版本(简称等保2.0)正式公开发布,等保2.0覆盖工业控制系统.云计算.大数据.物联网等新技术新应用,为落实信息系统安全工作提供了方向和依据. 前面文章已经分析过 ...
防治交换机窃听技术_等保2.0建设基本要求（技术部分）解读（下）
网御星云对等保2.0基本要求技术部分,以四级为例,对安全计算环境.安全管理中心的控制点逐项解读内容如下: 01 安全计算环境 1.1 身份鉴别 a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一 ...
电脑软件系统等保2.0 二级安全要求
下载地址:(干货)GBT+22239-2019+信息安全技术+网络安全2.0等级保护基本要求1.xlsx 或添加文章底部微信公众号回复[2.0等保]获取更全面Excel版本目录 1|11安全通用要求 ...
等保2.0的自动代码审计及开源治理解决方案
2016年10月10日,第五届全国信息安全等级保护技术大会召开,公安部网络安全保卫局郭启全总工指出:国家对网络安全等级保护制度提出了新的要求,标志着等级保护制度进入2.0时代.2017年5月,公安部发 ...
等保2.0（信息安全等级保护）全面解读
等保2.0如期而至,等保2.0涵盖云计算.大数据.物联网.工控网络等新场景下的安全要求,在安全防护思路上相比于传统安全体系有极大的突破,必将成为迎接新时期网络安全建设的新基础.那么什么是等保2.0?和 ...
等保（网络安全等级保护）2.0与定级备案之——等保2.0与等保1.0区别解读
等保2.0与等保1.0区别解读这4900+的字儿也太多了,哈哈,就先这样吧,听讲座去了什么是等保? 等保,即网络安全等级保护标准. 2007年我国信息安全等级保护制度正式实施,通过十余年的时间的发 ...
关于等保2.0，这些是你应该知道的
▼更多精彩推荐,请关注我们▼ 等保2.0,一个全新的网络安全时代的开始! 2019年5月13日,网络安全等级保护制度2.0(以下简称等保2.0)标准正式发布,并将于2019年12月1日开始实施. 等保 ...

一文梳理等保2.0与工业控制系统安全扩展要求

一文梳理等保2.0与工业控制系统安全扩展要求相关推荐

最新文章

热门文章