毕 婷,陈雪鸿,杨帅锋
(国家工业信息安全发展研究中心,北京 100040)
自1994年国务院第147号令《计算机信息系统安全保护条例》文件发布以来,我国信息系统安全等级保护工作已经开展20余年,并经推广落实形成了完善的等级保护制度与标准体系。自2016年颁布的《网络安全法》将网络安全等级保护工作作为基本制度以来,国家有关部门及行业监管机构正在加快制定有关配套标准,将我国等级保护工作引入新时代[1]。然而,随着智能化和网络化与信息系统的加速融合,原有等级保护的标准体系与技术手段已无法满足工控系统安全保护的个性化需求。因此,明确新时期等级保护工控安全保护新变化及安全防护方向具有十分重要的意义。本文通过分析等保2.0标准中工控安全防护要求的亮点,从新时期工控安全防护工作思路出发提出了工控系统安全防护的新方向,最后提出企业落实工控安全新要求的建议及启示。
我国网络安全等级保护工作随着等保2.0制度的发布正式进入新时代。等级保护的基本要求作为我国开展网络安全监管工作的重要抓手,已成为新时期我国网络安全建设的一项基本制度和主要依据。特别是随着大数据、人工智能等新技术与工控系统的深度融合,工控系统安全防护要求发生了很大变化。原有的等保1.0标准已无法满足新形势下工控系统个性化安全保护需求[2]。因此,等保2.0标准应运而生。
新发布的2.0版本新增了工控系统安全扩展要求,其在内容、控制点设置、测评方法选择、保护要求等方面都进行了调整,具体亮点主要包括:
(1)紧跟技术发展步伐,将工控系统纳入到保护对象的范围,明确了工控系统等级保护工作的重要地位;
(2)重点加强标准对新技术的适用性,通过新增工控系统安全扩展要求,有针对性地强化了工控系统安全保护方法;
(3)调整并细化了控制点和控制项,通过新增、调整、细化工控系统安全扩展要求控制项内容,有效提高了安全防护措施的可操作性和标准的落地性;
(4)调整安全保护策略,变被动防御为主动防御[3]。
新技术与工控系统的加速融合使得工控系统及其相关组件、工业智能设备等与网络连接,工控系统的传统封闭状态逐渐转向为开放互联。传统工控系统基本上与外网隔离[4]。因此在规划建设阶段并未充分考虑安全防护问题,导致工控系统的威胁由内网扩大到包括跨内外网攻击在内的各种威胁,进一步增加了病毒、木马、勒索软件等威胁入侵的机率。目前,我国工业企业在实践中对工控系统的常用防护技术手段主要包括网络安全测试工具、工控系统网络健壮性测试工具、白名单技术、防火墙技术、安全审计等[5]。
如今,随着等保2.0标准的发布,网络安全等级保护范围空前扩大[6]。工控系统安全防护成为新时期网络安全等级保护工作的重点之一,也是工业信息安全领域的重中之重。等保2.0标准在结合不同工控系统所在的行业特点、应用场景、安全目标的差异基础上,通过提出工控系统安全扩展要求,指引了我国新时期工控安全防护方向:
(1)重点加强安全网络通信防护。一方面采用技术隔离手段提高工控系统与其他系统以及工控系统内部等区域之间的安全隔离水平,另一方面采用加密认证技术提高广域网内进行数据交换或控制指令的工控系统防护水平。
(2)大力提升安全区域边界防护。一方面通过在网络边界部署访问控制设备、配置强访问策略等方式,对工控网络区域边界的E-mail等网络服务进行阻隔,有效阻止工控网络区域边界的访问行为[7];另一方面通过传输加密等安全防护措施,加强工控系统中传输报文的安全性保护。
(3)持续优化安全计算环境。首先,加强身份鉴别、安全审计等安全要求,具体可通过加强工业主机登录、账户权限,强化SCADA软件、工业控制设备口令等加大身份认证鉴别力度,同时加强工控系统运维人员的权限管理,加强操作记录和审查。
(1)结合等保2.0工控安全要求及《工业控制系统信息安全防护指南》,加强企业工控系统态势感知平台建设,提升全天候、全方位态势感知能力[8]。健全数据采集、情报与大数据分析、监测预警、分析研判、应急处置、追踪溯源等平台功能开发与运营。加快推进工控系统安全防护核心技术突破,研发工控系统等级保护检查工具,有效推动等保2.0标准落地实施。大力推广工控安全市场上创新性、杀手锏式国产化产品的使用。
(2)建立常态化等级保护自查与检查机制,通过定期组织本单位开展工控系统安全评估、防护能力评估等工作,有效将等保2.0工作规范纳入到常态化工作,推动工控系统安全保护工作进入良性发展轨道。加强重点、特殊时期工控系统检查与监测,有效提升企业工控安全防御实践。推动工控系统新应用、新业态、新模式安全防护前瞻布局,保障工控系统安全取得良好社会效益[9]。
(3)大力推动企业攻防演练实战,通过开展工控系统技能大赛等形式,有效提升工控系统安全事件应急响应能力,做到早发现早处置,真正实现主动防御、积累经验、锻炼队伍。同时大力加强工控系统安全防护迭代式演进,模拟企业工控系统红蓝对抗,有效检验工控系统脆弱性,及时修补工控系统安全漏洞,逐步提升等保2.0标准下的下一代安全防御能力。
等保2.0标准对工控系统等级保护工作提出了新要求。如何做好新时期工控系统安全保护工作成为未来工业企业的重要工作之一。本文结合等保2.0工控系统安全扩展要求,分析了工控系统等级保护的主要亮点,并基于当前工控系统及工业智能设备等开放互联的状态,提出了等保2.0时代下工控安全防护方向,最后提出的落实工控安全防护要求的几点启示对工控企业未来贯彻落实等保2.0工控系统等级保护工作具有一定的指导作用。