工控系统网络安全防护体系简介

2024/1/9 0:34:36 人评论 次浏览 分类:过程控制  文章地址:http://yunrun.com.cn/tech/5324.html

目前国内现有的工控系统网络安全防护体系包含:工控系统网络安全标准体系、等级保护标准体系以及关键基础设施防护标准体系。

工控系统网络安全标准体系

2002年4月,为加强信息安全标准的协调工作,国家标准委决定成立全国信息安全标准化技术委员会(信安标委,TC260)。全国信息安全标准化委员会是在信息安全技术专业领域内,从事信息安全标准化工作的技术工作组织。委员会负责组织开展国内信息安全有关的标准化技术工作,技术委员会主要工作范围包括:安全技术、安全机制、安全服务、安全管理、安全评估等领域的标准化技术工作。为了加强工控网络安全需求,2016年10月,工信部发布了《工业控制系统信息安全防护指南》,指导工业企业开展工控安全防护工作。基于《工业控制系统安全防护指南》,制定了工控系统安全标准防护体系。

该标准体系针对工控系统,进行安全定级、提出安全要求、落实安全防护措施、进行安全能力评估,以循环上升的方式提升工控系统安全防护能力。


后续全国信息安全标准化委员会WG5工作组陆续发布诸如GB/T32919-2016《信息安全技术工业控制系统安全控制应用指南》,GB/T36323-2018《信息安全技术工业控制系统安全管理基本要求》,GB/T36324-2018《信息安全技术工业控制系统信息安全分级规范》,GB/T36466-2018《信息安全技术工业控制系统风险评估实施指南》等一系列针对工控网络安全的国家标准清单,以此来建立工控网络安全防护体系。


等级保护标准体系

工控系统网络安全重要性带来的必然是安全保障的紧迫性,因此工控系统网络安全的诸多问题需要引起重视,等级保护将扮演不可替代的重要角色。

等级保护,即信息安全技术网络安全等级保护要求,是中国信息安全保障的一项基本制度,国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护。


等级保护1.0:2007年和2008年颁布实施的《信息安全等级保护管理办法》和《信息安全等级保护基本要求》,这是我们通常认为的等保1.0。


经过10余年的实践,为保障中国信息安全打下了坚实的基础,但从现实考量已经逐渐开始不适应网络环境的变化。为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作,等级保护正式进入2.0时代。


等级保护2.0:《中华人民共和国网络安全法》第二十一条明确规定:“国家实行网络安全等级保护制度。”为了贯彻落实《中华人民共和国网络安全法》,适应云计算、移动互联、物联网、工业控制和大数据等新技术、新应用情况下网络安全等级保护工作,2019年5月正式发布《信息安全技术网络安全等级保护基本要求》,并定于12月1日正式实施,这标志着国家网络安全等级保护工作步入新时代。


等级保护2.0标准体系五个规定动作是指:定级、备案、建设整改、等级测评、监督检查。等级保护2.0标准将围绕这5个规定动作开展工作。等级保护2.0标准体系流程如图所示。

等级保护2.0标准体系流程

①《实施指南》主要内容是描述等级保护工作整个过程。

②《定级指南》主要内容是有关等保对象定级,基本要求是最为核心一个标准,主要对象是对等保对象提出安全保护能力。
③《安全设计技术要求》是实现基本要求的最佳实践。
④《测评要求》是对等级保护对象的安全状况进行安全测评并提供指南,也适用于网络安全职能部门依法进行的网络安全等级保护监督检查参考使用。
⑤《测评规程指南》是对测评机构的工作过程进行规范化管理。

等级保护2.0的中心思想为“一个中心三重防护”,就是针对安全管理中心和计算环境安全、区域边界安全、通信网络安全的安全合规进行方案的定制化设计,建立以计算环境安全为基础,以区域边界安全、通信网络安全为保障,以安全管理中心为核心的信息安全整体保障体系。其中等级保护2.0尤其对于工控系统安全定义了新的扩展要求:


①物理和环境安全。增加了对室外控制设备的安全防护要求,如放置控制设备的箱体或装置以及控制设备周围的环境。

②网络和通信安全。增加了适配于工控系统网络环境的网络架构安全防护要求、通信传输要求以及访问控制要求,增加了拨号使用控制和无线使用控制的要求。
③设备和计算安全。增加了对控制设备的安全要求,控制设备主要是应用到工控系统当中执行控制逻辑和数据采集功能的实时控制器设备,如控制器、PLC等。
④安全建设管理。增加了产品采购及使用和软件外包方面的要求,主要针对工控设备和工控专用网络安全产品的要求,以及工控系统软件外包时有关保密和专业性的要求。
⑤安全运维管理。调整了漏洞和风险管理、恶意代码防范管理和安全事件处置方面的需求,更加适配工业场景应用和工控系统。

关键基础设施防护标准体系

中国在关键信息基础设施安全保障体系建设方面起步较晚,急需建立关键信息基础设施安全防护能力评估体系,制定科学合理、扩展性强的关键信息基础设施网络安全能力评估标准。目前国家正在制定如下标准:《信息安全技术关键信息基础设施安全防护能力评价方法》;《信息安全技术关键信息基础设施边界确定方法》;《关键信息基础设施网络安全框架》;《信息安全技术关键信息基础设施安全控制措施》;《信息安全技术关键信息基础设施安全检查评估指南》;《信息安全技术关键信息基础设施安全保障指示体系》;《信息安全技术关键信息基础设施网络安全保护基本要求》。

共有访客发表了评论 网友评论

  客户姓名:
邮箱或QQ:
验证码: 看不清楚?