• 您好!歡迎進入寧夏政安信息科技有限公司官網!

    解讀等保2.0:工控系統安全如何應對新要求

    添加時間:2019-05-27 15:45:14

    來源:

    瀏覽:

    隨著我國“互聯網+”戰略的逐步落地,產業互聯網將成為未來國家最重要的基礎設施之一。云計算、大數據、人工智能、物聯網等新技術在關鍵信息基礎設施中廣泛應用,網絡安全形勢與需求發生快速變化,使得等保1.0,即2008年發布的《GB/T22239-2008 信息安全技術信息系統安全等級保護基本要求 》及其配套政策文件和標準,已經不再符合新技術、新業務場景下的網絡安全保護要求。

    等保2.0擴展了網絡安全保護的范圍,提高了對關鍵信息基礎設施進行等級保護的要求,并且針對不同保護對象的安全目標、技術特點、應用場景的差異,采用了安全通用要求與安全擴展要求結合的方式,以更好地滿足安全保護共性化與個性化要求,提升了等級保護的普適性與可操作性,為《網絡安全法》的實施執行提供了有力的技術保障。

    圖片1.png

    其中,安全擴展的特殊要求包括:

    物理和環境安全:增加了對室外控制設備的安全防護要求,如放置控制設備的箱體或裝置以及控制設備周圍的環境;

    網絡和通信安全:增加了適配于工業控制系統網絡環境的網絡架構安全防護要求、通信傳輸要求以及訪問控制要求,增加了撥號使用控制和無線使用控制的要求;

    設備和計算安全:增加了對控制設備的安全要求,控制設備主要是應用到工業控制系統當中執行控制邏輯和數據采集功能的實時控制器設備,如PLC、DCS控制器等;

    安全建設管理:增加了產品采購和使用和軟件外包方面的要求,主要針對工控設備和工控專用信息安全產品的要求,以及工業控制系統軟件外包時有關保密和專業性的要求;

    安全運維管理:調整了漏洞和風險管理、惡意代碼防范管理和安全事件處置方面的需求,更加適配工業場景應用和工業控制系統。

    圖片2.png

    解讀:連續性是工業生產的基本要求,因此無論是生產設備,還是設備的控制系統,都需要長期連續運行,很難做到及時更新補丁。實踐中,對此類系統通常采用“白名單”方式進行安全保護,即只有白名單內的軟件才可以運行,其它進程都被阻止,以此防止病毒、木馬、惡意軟件的攻擊。再者,隨著技術的進步,U盤成為信息交換最便捷的媒介,但通過U盤傳播病毒、惡意軟件的風險極高,有必要對USB接口的使用進行嚴格管理。因此,在控制系統的上位機上安裝工業主機防護系統是最普遍而又有效的手段。業內優秀的工業主機防護產品通常都具備USB安全管理能力,通過“注冊-授權-審計”等典型安全措施,對U盤的使用全程管理,嚴防非授權U盤引入病毒。工業主機安全防護系統是解決工業主機安全痛點的首選。

    2.工業安全邊界安全要求

    8.1.3.1 邊界防護

    a) 應保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信;

    b) 應能夠對非授權設備私自聯到內部網絡的行為進行檢查或限制;

    c) 應能夠對內部用戶非授權聯到外部網絡的行為進行檢查或限制;

    d) 應限制無線網絡的使用,保證無線網絡通過受控的邊界設備接入內部網絡

    8.5.2.1 網絡架構

    a) 工業控制系統與企業其他系統之間應劃分為兩個區域,區域間應采用單向的技術隔離手段;

    b) 工業控制系統內部應根據業務特點劃分為不同的安全域,安全域之間應采用技術隔離手段;

    8.5.3.1 訪問控制

    a) 應在工業控制系統與企業其他系統之間部署訪問控制設備,配置訪問控制策略,禁止任何穿越區域邊界的E-Mail、Web、Telnet、Rlogin、FTP等通用網絡服務

    解讀:工控網絡通常與企業資源網絡(辦公網絡)物理隔離,但隨著工業化與信息化的深度融合,越來越多的設備將實現聯網。工業生產環境信息化、數字化、智能化的趨勢不斷發展,為了保護工業核心生產系統不受外來網絡攻擊,同時實時地把生產數據傳輸給管理系統,需要在工控網與資源網之間部署網絡隔離與信息交換設備,滿足此類要求的典型設備是工業網閘。同時,工業控制網絡需要進行安全域劃分,在安全域之間采取隔離手段保障安全;另外,工控網絡通常使用工業專有協議和專有應用系統,而E-Mail、Telnet、Rlogin等通用應用和協議是網絡攻擊最常用的載體,應該拒絕此類流量進入工控網絡,通常在工控網絡的邊界部署工業防火墻實現防護功能。因此,解決工業邊界安全痛點,應重點考慮采用工業網閘和工業防火墻設備。

    3.工業安全管理要求

    8.1.5.4 集中管控

    a) 應劃分出特定的管理區域,對分布在網絡中的安全設備或安全組件進行管控;

    b) 應能夠建立一條安全的信息傳輸路徑,對網絡中的安全設備或安全組件進行管理;

    c) 應對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測;

    d) 應對分散在各個設備上的審計數據進行收集匯總和集中分析,并保證審計記錄的留存時間符合法律法規要求;

    e) 應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理;

    f) 應能對網絡中發生的各類安全事件進行識別、報警和分析

    解讀:工業網絡安全建設起步晚,底子薄,缺少有效的管理抓手。通過解決邊界和主機安全痛點,只是在單點上解決安全問題,更大的要求是針對整個工業網絡的安全狀態的感知、數據的采集、分析以及針對工業網絡的安全監測,及時識別異常操作、及時報警非法行為,通過可視化的集中管理界面,清晰的展示工業網絡內各種安全問題,準確的定位、管理可能因網絡安全問題導致的故障。因此看清、看透、看全工業生產中的威脅,是保障工業網絡安全的基礎和前提”?;诖?,工業安全監測系統以及控制中心,可以技術平臺的方式,進行工業網絡安全的統一管理,作為工業網絡安全管理中心,滿足等保2.0對工業控制系統的三級要求。

    圖片3.png

    工業主機安全防護系統是一款軟件產品,安裝在工控上位機和工業服務器上,基于白名單智能匹配技術和“入口-運行-擴散”三重關卡式攔截技術,防止病毒與惡意程序入侵攻擊,控制USB移動設備非法接入,為工業軟件提供安全、干凈的運行白環境。

    工業控制安全網關系統(工業防火墻)是專為工業環境打造的一款邊界安全防護產品,為工控網與企業網的連接、工控網內部各區域的連接提供安全隔離。產品采用四重白名單的安全策略,過濾非法訪問,保證只有可信任的設備接入工控網絡,保證可信任的流量在網絡上傳輸。

    工業安全監測系統(ISD)對工控系統的運行數據進行被動無損采集,自動發現工業資產,監測非法接入設備,實時檢測網絡入侵行為,監控工控設備異常操作,并實時將各類攻擊與異常信息上傳到工業安全監測控制平臺(ISDC)。ISDC匯總所有安全監測設備的日志,以及工業主機安全防護、工業防火墻、工業網閘的日志,集中存儲,統一分析,幫助安全運營人員及時了解工業網絡全網安全態勢與威脅動態。

    工業安全隔離與信息交換系統(工業網閘)用于工控網絡不同安全級別網絡間進行安全數據交換。通過鏈路阻斷、協議轉換的方式實現信息擺渡,可深度解析多種工業協議(OPC、ModBus、S7、DNP3、IEC104等),集安全隔離、實時信息交換、協議分析、內容檢測、訪問控制、安全防護等多種功能于一體,在實現網絡安全隔離的同時,提供高速、安全的數據交換能力和可靠的信息交換服務


    ?

    聯系我們

      地 址:銀川市金鳳區親水北大街南海路13號A座先進技術融合創新中心6層

      電 話:0951—6727966

      傳 真:0951—6727966

      郵 箱:nxzaxxkj@163.com

    掃二維碼 關注政安信息

    一级中国毛片,?草莓视频18站长统计,羞羞影院午夜男女爽爽影院免费视频