创新研发

您的位置:主页 > 创新研发 >

等级保护20深度解读——工业控制系统安全

时间:2019-02-26编辑: admin 点击率:

 
 
 
 
 
 
 
 
 
  •  

 

 

 

 

 

 

 

 

 

 

 

 
 
 

 

 
 
 
 
 
   
  •  
 

 

 

  •  
 
 

 

 

 

   
 

 

 

 

 

 
 

 

 

 

 

 

 
 
 

 

 

 
 

 

 
   
 
   
 
 

 

 
 
 

 

 
 
 

 

  •  
  •  

 

 
  •  
 
 

 

 
 
 
  •  
 
 
 
 
 

 

  •  
 
 
 

 

 
 

 

 

 

 

 
 
 
 
 
 

 

 

 
 
 
 
 

 

 

 

 
  •  

 

 

 
 
 

 

 

 

 
 
 

 

 
 
 

 

 

 

 

 

 
 

 

  •  
 
 
   
 
 
 
 
 

 

 

 

 
 

 

 

 

 
 
 
 
 

 

 
 
 
 
 

 

 
 
 
 
  •  
 
 

 

 

  •  

 

  •  
 
 
 
 
 

  2008年发布的《GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求 》及其配套政策文件和标准统称为等保1▲=◇-…….0△▼。等保1▲□▽◁■•.0在经历了多年的试点△•、推广◆▲◇▽▷、行业标准制定☆◆◇◆○◇、落实工作后○★=▷,由于新技术▼▲△△■▽、新应用…▼、新业务形态的大量出现●▲▪,尤其是人工智能■••▲△、大数据○▷●○▪•、物联网△◆、云计算…▪◁、全数字化仪控系统等的快速发展▽□▼,安全趋势和形势的急速变化○☆•▷-,原来发布的标准已经不再适用于当前安全要求●▲,从2015年开始…▲▽,等级保护的安全要求逐步开始制定2□☆.0标准▽▽,包括5个部分▪☆-:安全通用要求■▼◆、云计算安全扩展要求★○、移动互联安全扩展要求▽•、物联网安全扩展要求□▽、工业控制安全扩展要求◆•-△,丰富了防护内容和要求▪□▽,通用要求中精简了多余或者不适用的内容◁□○▽☆,增加了无线网络○=▷□、网络集中监控等的要求★○•◁◇。2017年8月△★,公安部评估中心根据网信办和安标委的意见将等级保护在编的5个基本要求分册标准进行了合并形成《网络安全等级保护基本要求》一个标准☆▲。本文主要参考《信息安全技术 网络安全等级保护基本要求》(送审稿)(以下简称…•★“该标准▽•=”)分析等保2=-.0的主要变化以及针对工业控制系统的安全扩展内容和要求-◇。

  为适应《中华人民共和国网络安全法》★…▷,配合落实□★▲□▼☆“网络安全等级保护制度●-▼▷”★▽•●,该标准的名称由•▼▪●☆◁“信息安全技术 信息系统安全等级保护基本要求◆=▽▲•◁”变更为••○◁◆•“信息安全技术 网络安全等级保护基本要求•▷•=”◇○△•☆。

  该标准主要从技术和管理两个方面提出要求▽-◁▪△◇,技术要求由原来的物理安全●◁▼★☆▽、网络安全◇▼•☆==、主机安全☆••◇•、应用安全和数据安全及备份恢复调整分类为物理和环境安全………=○☆、网络和通信安全••、设备和计算安全▽=◁•、应用和数据安全•◁□;管理要求由原来的安全管理制度•△□-、安全管理机构…★、人员安全管理△▽●、布线数量大大减少。系统建设管理和系统运维管理调整分类为安全策略和管理制度★▪▽★○、安全管理机构和人员◆…●□▪、安全建设管理-●▽★□◇、安全运维管理▷••○。

  为了适应新技术▷…○…▷■、新业务▽▪★▪、新应用=…◁●▪,该标准对云计算▲▽、移动互联◇☆…、物联网和工业控制系统分别提出相应的要求□○▷▲◆=,内容结构调整各个级别的安全要求为安全通用要求◇▷▪-、云计算安全扩展要求●▽◁•△▲、移动互联安全扩展要求•★•、物联网安全扩展要求和工业控制系统安全扩展要求□◁;

  该标准取消了原来安全控制点的S▪◆▽◇-□、A★□、G标注▷…△▼,增加一个附录A描述等级保护对象的定级结果和安全要求之间的关系▼▪△◇●=,说明如何根据定级的S▪▲□、A结果选择安全要求▼▪○…◇。

  物理和环境安全☆◇◇…:增加了对室外控制设备的安全防护要求▼▷□●▽◇,如放置控制设备的箱体或装置以及控制设备周围的环境•▽;

  网络和通信安全○▼▲◁■:增加了适配于工业控制系统网络环境的网络架构安全防护要求●▽、通信传输要求以及访问控制要求▲▷□◇,大批量、精细化、长时间的工作模式也对发力于其。增加了拨号使用控制和无线使用控制的要求•-▽▲;

  设备和计算安全▽…•▼:增加了对控制设备的安全要求■=,控制设备主要是应用到工业控制系统当中执行控制逻辑和数据采集功能的实时控制器设备▽◆▷,如PLC□=•▲、DCS控制器等▽□▽◇;

  安全建设管理●▪△▽■:增加了产品采购和使用和软件外包方面的要求•…☆▽▽,主要针对工控设备和工控专用信息安全产品的要求▷▷,以及工业控制系统软件外包时有关保密和专业性的要求◁▲=□•-;

  安全运维管理◇•●◇:调整了漏洞和风险管理○•□▼-=、恶意代码防范管理和安全事件处置方面的需求▪▽,更加适配工业场景应用和工业控制系统□=☆。

  工业控制系统(ICS)是几种类型控制系统的总称△■△●,包括数据采集与监视控制系统(SCADA)系统=○、集散控制系统(DCS)和其它控制系统★•■△○◆,如在工业部门和关键基础设施中经常使用的可编程逻辑控制器(PLC)△▽■△○…。工业控制系统通常用于诸如电力★□••☆▽、水和污水处理◇◁……○、石油和天然气△△◇▲=、化工●•=○…、交通运输□■□••◆、制药◁◁□、纸浆和造纸-★▽△◆▲、食品和饮料以及离散制造(如汽车◆…-、航空航天和耐用品)等行业•◇◆•。工业控制系统主要由过程级◁▲•、操作级以及各级之间和内部的通信网络构成◆▷☆•▪,对于大规模的控制系统••…▼…,也包括管理级●…-。过程级包括被控对象◁◁▪◆▼▽、现场控制设备和测量仪表等◆•,操作级包括工程师和操作员站=◆□、人机界面和组态软件◇▲◆▲▼-、控制服务器等•▲★,管理级包括生产管理系统和企业资源系统等▲▷◇◇,通信网络包括商用以太网▪■、工业以太网■…=、现场总线等●••▽=☆。

  该标准参考IEC 62264-1的层次结构模型划分▼▪=,同时将SCADA系统◇◇□▽△、DCS系统和PLC系统等模型的共性进行抽象▽▼★△▪, 形成了如图二的分层架构模型▪◇,从上到下共分为5个层级=■▷◆,依次为企业资源层▷●=▲、生产管理层-▽•◁、过程监控层▷…•☆▽、现场控制层和现场设备层▪•▽,不同层级的实时性要求不同•●•…△…。企业资源层主要包括ERP系统功能单元•◇■◆•,用于为企业决策层员工提供决策运行手段▷◆;生产管理层主要包括MES系统功能单元□△☆,用于对生产过程进行管理■□=--,如制造数据管理=▷-◆、生产调度管理等△□;过程监控层主要包括监控服务器与HMI系统功能单元=…◇○☆○,用于对生产过程数据进行采集与监控□•◆◇●•,并利用HMI系统实现人机交互▽◇△▼;现场控制层主要包括各类控制器单元○=○▲○=,如PLC▷▼■▼-●、DCS控制单元等☆=●▲★▼,用于对各执行设备进行控制•▼▷◁▪-;现场设备层主要包括各类过程传感设备与执行设备单元■●◆-▽,用于对生产过程进行感知与操作■--○…▲。

  根据工业控制系统的架构模型不同层次的业务应用◁••、实时性要求以及不同层次之间的通信协议不同•□•□,需要部署的工控安全产品或解决方案有所差异◁……●,尤其是涉及工控协议通信的边界需要部署工控安全产品进行防护○••★,不仅支持对工控协议细粒度的访问控制……=◇●,同时满足各层次对实时性的要求…○■。

  同时▼◇•●▲•,该标准专门标注了随着工业4■▷◆=.0•=…、信息物理系统的发展○•=,上述分层架构已不能完全适用◆=-,因此对于不同的行业企业实际发展情况▷-,允许部分层级合并••▷◇★,可以根据用户的实际场景进行判断=●◆。

  考虑到工业控制系统构成的复杂性▼▲◆=,组网的多样性…-▽•,以及等级保护对象划分的灵活性◇=●△◆,给安全等级保护基本要求的使用带来了选择的需求●▽■…。该标准给出了各个层次使用本标准相关内容的映射关系☆◆★▷…▽,可以在实际应用中参考◁●▼▽:

  工业控制系统通常对可靠性○•、可用性要求非常高■-■=●,所以在对工业控制系统依照等级保护进行防护的时候要满足以下约束条件•☆◁◆…▲:

  原则上安全措施不应对高可用性的工业控制系统基本功能产生不利影响▷…☆□。例如用于基本功能的账户不应被锁定▲◁☆,甚至短暂的也不行◆•▷;

  安全措施的部署不应显著增加延迟而影响系统响应时间■☆•…●□;

  对于高可用性的控制系统△-,安全措施失效不应中断基本功能等◆=。

  经评估对可用性有较大影响而无法实施和落实安全等级保护要求的相关条款时△▪,应进行安全声明•☆△▷□,分析和说明此条款实施可能产生的影响和后果▼=□,以及使用的补偿措施□★◆▷●=。

  随着网络安全等级保护2…•▪….0的即将发布和实施•▲▪,公安部门会着手开展针对工业控制系统的等级保护检查工作☆-,我公司已经入围公安部工业控制系统等级保护检查工具合格研发单位■•……■,等待公安部组织的统一测试后进行列装主要面向公安客户进行工控系统等级保护执法检查工作▷•□,届时会发布列装通告■…◆◇•-。

  同时◇▪,针对非公安客户•◆••▷,我公司已经在2018年7月26日上市发布了工业网络安全合规评估工具(ISCAT)△▼,用于上级检查和关键基础设施运营企业安全自查•△。绿盟工业网络安全合规评估工具(NSFOCUS Industrial Network Security Compliance Assessment Toolkit△☆◆▷•▪, 简称•★-●△:NSFOCUS ISCAT)配置一体化便携式•◆◇…=、高性能专用硬件装备▼★○•▲…,集信息收集(对象★△◁、资产…●▼、流量)▷□▼•▪、合规评估△◁★▼●☆、资产信息管理▼▼△○…•、资产统计分析◇☆…■★、资产安全评估☆○◁、网络异常行为审计△•▷○-、无线WiFi评估☆▲▽▽△◁、通信流量诊断(流量统计▼▼、工控协议合规性分析◁★、数据包分布统计△…-▽▼、诊断数据统计…==、IP流量统计)▪•▲、视频监控设备评估□▲-…、主机恶意代码评估于一体的综合评估工具集★•◁,为用户提供标准○▷■、专业的检查指导△-=▲,并支持对评估结果数据的关联分析•••△、统计对比●▼△◆-,可帮助用户快速分析展示合规现状••☆,定位工业网络安全风险•△▷▪。

  关注ITBear科技资讯公众号(itbear365 )•••△▽=,每天推送你感兴趣的科技内容◇•▲。

  特别提醒△◇▪▼:本网内容转载自其他媒体▷-▪▲△,目的在于传递更多信息▼◆,并不代表本网赞同其观点▪△▼。其原创性以及文中陈述文字和内容未经本站证实☆=■△○•,对本文以及其中全部或者部分内容▽▽◆◇◇、文字的真实性••▽、完整性◇◁◆★、及时性本站不作任何保证或承诺▲▲●=,并请自行核实相关内容▲=☆☆▪◇。本站不承担此类作品侵权行为的直接责任及连带责任▪▷。如若本网有任何内容侵犯您的权益□☆,请及时联系我们○▼▲●▷-,本站将会在24小时内处理完毕▼△●••▷。

  家装零售市场增速回落 中央空调巨头寻求转型升级

  网易新闻联合BOSS直聘☆△▼•☆,开启探秘△▼■◆▪“大厂▷◆”…在互联网圈儿里□◁●,人们习惯将某些行业的头部领军企业统称为■•“大厂▲△▷◇▲◆”■■◆◇●,有些求职者为进&ldqu•▲◁■▽●.•…●==.○▷☆.

  中国在AI时代再造•★▲◁“两弹一星□△◁△▽◁” 百度等科…为加快推动中国新一代人工智能产业创新发展••☆•◁=,促进人工智能和实体经济深度融合□•◆=▲,近日◆••★,工信部印发《△■◆★▲.△□▼▲.◇▼◆.

  UC海内外打通电商▲◆,5◇▷.5亿曝光为Lazada双1…第十个天猫双11已经成为全球的双11▲▪○▽,成就了全球买★◆▼、全球卖△▪▼…、全球付•◁、全球运☆○▲△◆、全球玩□◇▽◁□▷。在全球卖方面◇▽•○.▽●.☆=△….

  危化品运输的「定心丸」传化智能物流让风…「迎新创新-•=•▽●、协同共享」…●,11月22日○▷-◆,由中国物流与采购联合会主办的「2018年中国化工物流行业年会」△○○▷.•■●■-.•◁.

  就在11月20日○▪▲,交通运输部与国家发展改革委公示了第三批24个多式联运示范工程项目名单▼-▲,传化智联打▪★▪•…■.○▽.▼◇□●.

  屏厂LG也要做可折叠手机了-●:一口气注册多…2019或许会迎来可折叠手机的爆发期●▪,三星身为屏厂同时又是智能手机制造商▼■,已经公布了作品★○◁=,而同样◆•◁△▷.…■.▲-◁●.

  诺基亚宣布进行管理层调整 加速5G网络布局为了瞄准5G机遇▼▪,电信网络制造商诺基亚公司将把移动网络和固定网络业务合并□☆▽-=,组成一个名为接入网络(●★.…=.▼■…◁■◁.

  马上就要到2019年了 5G离我们还有多远▪…◆◁◁?眼看着2018年就只剩三十几天了☆□•,今年的旗舰手机也基本上都发布了◆☆-★…▲。手机市场上最近体积比较多的一个概念△◁▲■=.▷△◇○★.▽△★▪▲◆.

  Apptopia▪△▲•▷:Facebook新产品Lasso与TikTok…短视频应用TikTok在全球范围内获得了强劲的发展势头-●…▪◆◁。近日美国CNN引用移动应用研究机构Sensor Tower•◆▲◁=.△■.=-…◆◆.

  KodakAlaris出席□▪◆★★△“赋能升级-▲◆▪”2018中国…Alaris S2040扫描仪强势中国首发

  11月21日△◁•☆▽▷,中国西安11月19日至11月21日=▷•●,Kodak Al•••.▽○•▲.•○☆▷●….

  在工业4-▪▷▼▷.0与智能制造的驱动下▲★▲▼,大型企业建设自身园区网的任务已经不再简单◆☆☆○•◇,它不仅要满足高性能▽○•▲★、高■•-▽.-●▷☆•.▷-▷△■●.

  苏宁国际诠释◁◁◇■◆“Global Community of …苏宁国际亮相第三届米兰国际家具(上海)展览会

  苏宁国际盛装亮相第三届米兰国际家具(上海)□■…▽△◆.■••.-=.

  ■○●△-“精灵旅社-•▷△”那群搞笑的怪物精灵又来了◆▽!…

  LG一直在与三星竞争推出第一款可折叠智能手机●○,而三星已经展示了他们的产品▲◇□,LG仍然在研发他们的智▪◆▽.◆-○★○▲.▼•.

  全球首条5G网络下的微博 来自小米林斌-▷▲▷…!5G究竟有多热◁○▽△,看看各大智能手机厂商的宣传便知一二-□△•□★。此前OPPO公布了其智能手机产品通过5G网络上网△…△▷.▷★.▼◆.

  前美团大将创业水滴卖保险 三级火箭能否…

  这是沈鹏第一次跟王兴和王慧文表示未来想要离开美团▼☆◁□、◇◆.▷=.▪=….

  HTTPS也不安全☆▪•▼◇?No◆□▲•◆,只因没有避开这个误区

  当我们在咖啡馆连上WiFi打开网页和邮箱时◁●▼,殊不知有人正在监视着我们的各种网络活动▼•●▽。在打开账户网▪★★▼□◇.■▼■.☆△=□.

  美团股价今日一度下跌至14%◇-,新业务持续…

  11月22日•-▷▪★▪,美团点评发布2018年第三季度业绩…▼★▽-△,总收入为191亿元▲▼□,同比增长97▷-.2%-■○☆■▼。总收入的增长得益于○○●•.☆★☆◇.▷•□.

  QQ浏览器跨界顺丰◆▪•“一搜直达▪▽■”●☆■-,丰富信息…

  在双十一这个快递行业最忙碌的档口-□,QQ浏览器和顺丰宣布跨界合作=□,在◆○…“快◇■”这件事上再添新△◁▲.☆■▽.▪▪.

  第75届中国教装展落幕◁■•,回顾希沃三大新品

  聚焦校园小应用□☆▷•◇▷,发现教学小数据…▪▷▽●。 11月19日▽◇▲•◇,由希沃独家冠名的第75届中国教育装备展示会圆满落幕=◇=▷★。★◆▲◇=.△-★.=▼◆▼.

下一篇:没有了
返回

联系我们

CONTACT US

网址:http://www.agnvoip.com

电话:0310-706339416

联系人:环亚APP下载总经理

地址:ag88环亚娱乐

Copyright © 2017 环亚APP下载_首页 All Rights Reserved 网站地图