1506500144101826

詳解《工業控制系統信息安全防護指南》

發布日期:2017-10-18 22:36:56 點擊次數:

11月3日,工信部網站正式發布“工業和信息化部關于印發《工業控制系統信息安全防護指南》的通知” (以下簡稱通知),牛君第一時間聯系威努特的技術專家對通知進行了解讀,以下是全文:

  詳解《工業控制系統信息安全防護指南》.jpg

  制定《指南》的背景

  通知中明確“為貫徹落實《國務院關于深化制造業與互聯網融合發展的指導意見》(國發〔2016〕28號)(以下簡稱意見),保障工業企業工業控制系統信息安全,工業和信息化部制定《工業控制系統信息安全防護指南》?!笨梢钥闯?,《工業控制系統信息安全防護指南》(以下簡稱指南)是根據《意見》制定的。

  《意見》是根本,是指導思想,是“道”的層面;《指南》是細節,是具體方法,是“術”的層面。這個《指南》的形成周期很長,為什么能在《意見》后面很快發出,前期是做過了很多工作的,其中威努特也提過一些意見并有幸被采納。

  《意見》中相關要求

  追本溯源,要讀懂《指南》,先要了解《意見》中有哪些相關要求,在“七大任務”中專門有一條“提高工業信息系統安全水平”,其中明確要求“實施工業控制系統安全保障能力提升工程,制定完善工業信息安全管理等政策法規,健全工業信息安全標準體系,建立工業控制系統安全風險信息采集匯總和分析通報機制,組織開展重點行業工業控制系統信息安全檢查和風險評估。組織開展工業企業信息安全保障試點示范,支持系統仿真測試、評估驗證等關鍵共性技術平臺建設,推動訪問控制、追蹤溯源、商業信息及隱私保護等核心技術產品產業化。以提升工業信息安全監測、評估、驗證和應急處置等能力為重點,依托現有科研機構,建設國家工業信息安全保障中心,為制造業與互聯網融合發展提供安全支撐?!?/span>

  工信部根據《十三五規劃綱要》、《中國制造2025》和《意見》等要求編制的《工業和信息化部關于印發信息化和工業化融合發展規劃(2016-2020年)》中進一步明確,在十三五期間,我國兩化融合面臨的機遇和挑戰第四條就是“工業領域信息安全形勢日益嚴峻,對兩化融合發展提出新要求”,其“七大任務”中也提到要“逐步完善工業信息安全保障體系”,“六大重點工程”中之一就是“工業信息安全保障工程”。

  以上這些,就是政策層面的指導思想和要求。

  《指南》條款詳細解讀

  《指南》整體思路借鑒了等級保護的思想,具體提出了十一條三十款要求,貼近實際工業企業真實情況,務實可落地。我們從《指南》要求的主體、客體和方法將十一條分為三大類

  a、針對主體目標(法人或人)的要求,包含第十條供應鏈管理、第十一條人員責任:

  1.10 供應鏈管理

  (一)在選擇工業控制系統規劃、設計、建設、運維或評估等服務商時,優先考慮具備工控安全防護經驗的企事業單位,以合同等方式明確服務商應承擔的信息安全責任和義務。

  解讀:工業控制系統的全生產周期的安全管理過程中,采用適合于工業控制環境的管理和服務方式,要求服務商具有豐富的安全服務經驗、熟悉工業控制系統工作流程和特點,且對安全防護體系和工業控制系統安全防護的相關法律法規要有深入的理解和解讀,保證相應法律法規的有效落實,并以合同的方式約定服務商在服務過程中應當承擔的責任和義務。

  (二)以保密協議的方式要求服務商做好保密工作,防范敏感信息外泄。

  解讀:與工業控制系統安全服務方簽定保密協議,要求服務商及其服務人員嚴格做好保密工作,尤其對工業控制系統內部的敏感信息(如工藝文件、設備參數、系統管理數據、現場實時數據、控制指令數據、程序上傳/下載數據、監控數據等)進行重點保護,防范敏感信息外泄。

  1.11落實責任

  通過建立工控安全管理機制、成立信息安全協調小組等方式,明確工控安全管理責任人,落實工控安全責任制,部署工控安全防護措施。

  解讀:設立工業控制系統安全管理工作的職能部門,負責工業控制系統全生命周期的安全防護體系建設和管理,明確安全管理機構的工作范圍、責任及工作人員的職責,制定工業控制系統安全管理方針,持續實施和改進工業控制系統的安全防護能力,不斷提升工業控制系統防攻擊和抗干擾的水平。

  b、針對客體目標(被保護的資產或數據)的安全要求,包含第八條資產安全、第九條數據安全:

  1.8 資產安全

  (一)建設工業控制系統資產清單,明確資產責任人,以及資產使用及處置原則。

  解讀:為實現和保持對組織機構資產的適當保護,確保所有資產可查,應建設工業控制系統資產清單,并明確資產使用及處置原則,配置資產清單,定期更新清單庫,并對資產進行分類。

  所有資產應指定責任人,并且明確責任人的職責,明確資產使用權。制定資產在生產、調試、運行、維護、報廢等過程中的處置原則。

  (二)對關鍵主機設備、網絡設備、控制組件等進行冗余配置。

  解讀:在系統運行過程中,可能出現的宕機、中斷、死機、病毒攻擊、自然災害等資產被侵害的事件發生,導致系統無法正常工作,給企業和社會帶來損失,甚至威脅到員工生命和財產安全。對關鍵主機設備、網絡設備、控制組件等進行冗余配置,防止重大安全事件的發生。

  1.9 數據安全

  (一)對靜態存儲數據和動態傳輸過程中的重要工業數據進行保護,根據風險評估結果對數據信息進行分級分類管理。

  解讀:在數據創建、使用、分發、共享、銷毀的整個生命周期中,對重要數據如工藝文件、設備參數、系統管理數據、現場實時數據、控制指令數據、程序上傳/下載數據、監控數據等應進行保護,如加密技術、安全存儲介質等。數據遭受破壞時及時采取必要的恢復措施。

  風險評估對數據的分類分級原則應包含對企業經濟影響、生產穩定性影響、人身安全、法律風險、名譽度損失等角度開展,根據數據的重要程度在信息存儲、信息傳輸、信息交換、信息使用等過程中采取相應的防護措施。

  (二)定期備份關鍵業務數據。

  解讀:為保證系統在災難發生時,數據能夠盡量還原真實數據,應對歷史數據庫服務器、實時數據服務器、先進控制系統、優化控制系統等重要系統設備進行硬件冗余,啟用實時數據備份功能,保證當主設備出現故障時冗余設備可以無擾動的切換并恢復數據,對于關鍵的業務數據,應定期進行軟備份。

  (三)對測試數據進行保護。

  解讀:測試數據一般來源于真實的現場設備實時數據,有必要對測試數據進行安全防護,防止發生數據泄露、篡改、破壞,保護企業資產。

  c、針對保護方法措施的要求,根據工業控制網絡由內而外的結構包括:終端(第一條軟件選擇與管理、第四條物理環境安全);配置(第二條配置安全);網絡(第五條身份認證、第三條邊界防護、第六條遠程安全);例外(第七條監測應急)。

  1.1 安全軟件選擇與管理

  (一)在工業主機上采用經過離線環境中充分驗證測試的防病毒軟件或應用程序白名單軟件,只允許經過工業企業自身授權和安全評估的軟件運行。

  解讀:工業控制系統對可用性和實時性要求非常高,任何未經驗證測試的軟件都可能影響控制系的穩定性,應對防病毒軟件或應用程序白名單軟件進行離線測試,測試無風險后,方可在工業主機上部署。

  目前工業主機有效防護機制有“黑名單機制”和“白名單機制”,相比之下工控網絡則更加注重防護的“高可用性”和“高可靠性”,鑒于工業應用的特殊性,“黑名單機制”無法應對多元化的風險及威脅。利用“白名單機制”可以建立工控行業應用程序信譽庫,為工控應用程序提供可信認證、授權和評估,同時輔助沙箱檢測技術和殺毒軟件進行應用程序軟件的安全性測試,從根本上保證了工控主機安全。

  (二)建立防病毒和惡意軟件入侵管理機制,對工業控制系統及臨時接入的設備采取病毒查殺等安全預防措施。

  解讀:病毒和惡意代碼是工控系統主要威脅之一,應對工控系統設備(例如操作員站、工程師站、控制服務器等)部署病毒和惡意代碼集中監控、防護管理措施,對工業控制系統及臨時接入的設備進行病毒和惡意代碼掃描檢測,防止遭受病毒和惡意軟件攻擊。

  1.4 物理和環境安全防護

  (一)對重要工程師站、數據庫、服務器等核心工業控制軟硬件所在區域采取訪問控制、視頻監控、專人值守等物理安全防護措施。

  解讀:重要的工程師站、數據庫、服務器是工業控制系統的核心組件,為了防止來自人為的惡意破壞。應對核心工業控制軟硬件所在的位置,按照物理位置和業務功能進行區域劃分,區域之間設置物理隔離裝置。

  在必要區域前設置交付或安裝等過渡區域,特殊區域應配置電子門禁系統,7*24小時的視頻監控。

  對核心工業控制軟硬件所在區域,出入口應安排專人值守,控制、鑒別和記錄進入的人員,來訪人員應經過申請和審批流程,并限制和監控其活動范圍。

  (二)拆除或封閉工業主機上不必要的USB、光驅、無線等接口。若確需使用,通過主機外設安全管理技術手段實施嚴格訪問控制。

  解讀:工業主機越來越多采用通用計算機,USB、光驅、無線等接口的使用,為病毒、木馬、蠕蟲等惡意代碼入侵提供了途徑,拆除或封閉工業主機上不必要的USB、光驅、無線等接口可以從根本上切斷非法數據、程序的傳播途徑。

  若確需使用,可以通過主機安全管理軟件對外設的端口進行控制,記錄文件的導入導出等操作痕跡,實現對端口的嚴格訪問控制。

  1.2 配置和補丁管理

  (一)做好工業控制網絡、工業主機和工業控制設備的安全配置,建立工業控制系統配置清單,定期進行配置審計。

  解讀:安全配置是基礎性的安全防護措施,安全配置能夠增強工控網絡、工業主機和工控設備安全性,應建立工控系統安全配置清單,包括工控網絡設備、工業主機、工控設備的安全配置清單。

  在日常運維管理方面,指導管理人員對系統安全配置優化,避免存在安全隱患。

  根據工業控制系統配置清單,定期對工業控制網絡、工業主機和工業控制設備開展配置審計,及時發現配置問題。

  (二)對重大配置變更制定變更計劃并進行影響分析,配置變更實施前進行嚴格安全測試。

  解讀:工控系統的日常維護管理經常涉及到配置變更,但未經嚴格安全測試的重大變更可能會對工控系統造成破壞。

  在工控系統重大配置變更之前,應制定變更計劃,對變更可能出現的影響進行評估分析,并在工控系統離線環境中進行安全測試,保障配置變更的安全性和可靠性。

  (三)密切關注重大工控安全漏洞及其補丁發布,及時采取補丁升級措施。在補丁安裝前,需對補丁進行嚴格的安全評估和測試驗證。

  解讀:工控系統較傳統的IT系統更脆弱,在補丁升級方面要非常慎重,補丁升級可能會影響工控系統的穩定性,如果補丁升級失敗,可能對工控系統造成破壞,導致工控系統運行中斷。

  因此,工控系統在補丁升級之前必須進行嚴格驗證測試,包括安全性、穩定性、兼容性和可靠性驗證測試。

  1.5 身份認證

  (一)在工業主機登錄、應用服務資源訪問、工業云平臺訪問等過程中使用身份認證管理。對于關鍵設備、系統和平臺的訪問采用多因素認證。

  解讀:面對工業控制主機和系統的登錄、訪問過程中常見身份冒用,越權訪問等安全風險,給工業控制生產活動帶來安全隱患。通過采取身份鑒別、角色判定、權限分配等安全措施實現工業主機登錄、應用服務資源訪問、工業云平臺訪問等過程的統一身份認證管理。

  對于關鍵設備、系統和平臺應采取如口令、usbkey、智能卡、生物指紋等多種認證方式組合的多因素認證方式。一是避免他人盜用、誤用,二是提高設備、系統和平臺的攻擊難度。

  (二)合理分類設置賬戶權限,以最小特權原則分配賬戶權限。

  解讀:應限定網絡中每個主體所必須的最小特權,確??赡艿氖鹿?、錯誤、篡改等原因造成的損失最小化,對超級管理員賬號未禁止、各賬戶權限未實現分立制約等常見問題應及時發現并改正。

  (三)強化工業控制設備、SCADA軟件、工業通信設備等的登錄賬戶及密碼,避免使用默認密碼或弱密碼,定期更新口令。

  解讀:對登錄賬戶和密碼要及時更新,密碼要以多位數含數字、字母、特殊符號的組合方式提高密碼強度,建議采用驗證碼機制,提高被暴力破解的難度。避免使用默認密碼、易猜測密碼、空口令甚明文張貼密碼的現象發生。

  (四)加強對身份認證證書信息保護力度,禁止在不同系統和網絡環境下共享。

  解讀:建議采用安全介質存儲證書信息,對證書的申請、發放、使用、吊銷等過程通過技術手段嚴格控制,并建立相關制度保障。建議采用國際通用的安全商密算法或國密算法。在不用系統和網絡環境下禁止傳遞證書信息。

  1.3 邊界安全防護

  (一)分離工業控制系統的開發、測試和生產環境。

  解讀:工業控制系統的開發、測試和生產環境承載的功能不同,為了避免由開發、測試環境引入的安全威脅給生產環境帶來作業風險,需要將開發、測試和生產環境分離。將開發、測試和生產環境分別置于不同的區域,進行邏輯或物理隔離。

  (二)通過工業控制網絡邊界防護設備對工業控制網絡與企業網或互聯網之間的邊界進行安全防護,禁止沒有防護的工業控制網絡與互聯網連接。

  解讀:工業控制網絡與企業網或互聯網之間互聯互通,為工業控制系統帶來巨大創造力和生產力的同時,也會引入更加復雜、嚴峻的安全問題。一是深度網絡化和多層面互聯互通增加了攻擊路徑;二是傳統IT產品的引入帶來了更多安全漏洞;三是新興信息技術在工業控制領域的防護體系尚不成熟。

  因此,需要在不同網絡邊界之間,部署邊界安全防護設備實現安全訪問控制,阻斷非法網絡訪問,嚴格禁止沒有防護的工業控制網絡與互聯網連接。

  (三)通過工業防火墻、網閘等防護設備對工業控制網絡安全區域之間進行邏輯隔離安全防護。

  解讀:為了降低工業控制網絡安全區域之間連接風險,減少攻擊平面,需要在區域之間部署邏輯隔離設備,如工業防火墻、網閘。在區域間有雙向訪問需求的網絡,可采用工業防火墻進行邏輯隔離,深度檢測并過濾主流工控協議(如:OPC、Modbus、S7、Ethernet/IP等)帶來的安全風險;在區域間只需要單向訪問的情況下,可采用網閘進行隔離防護。

  1.6 遠程訪問安全

  (一)原則上嚴格禁止工業控制系統面向互聯網開通HTTP、FTP、Telnet等高風險通用網絡服務。

  解讀:基于明文傳輸的HTTP、FTP、Telnet等網絡服務協議容易遭到非法竊聽、數據篡改、敏感信息泄露等高安全風險。因此,在工業控制系統中,需要嚴格禁止HTTP、FTP、Telnet等高風險通用網絡服務面向互聯網開通。

  (二)確需遠程訪問的,采用數據單向訪問控制等策略進行安全加固,對訪問時限進行控制,并采用加標鎖定策略。

  解讀:遠程訪問工業控制系統網絡,意味著為黑客開辟了一條攻擊工業控制網絡的通路,存在極大隱患。但在確需遠程訪問的情況下,需要采用數據單向訪問控制等策略進行安全加固,并對訪問時間進行控制,還可以采用加標鎖定來限制對機器、設備、工藝和電路的操作行為。

  (三)確需遠程維護的,采用虛擬專用網絡(VPN)等遠程接入方式進行。

  解讀:確需遠程維護的,采用虛擬專用網絡(VPN)等遠程接入方式連接,相當于在公用網絡上為用戶建立了一條專用通道,這條專用通道上的所有通訊數據會被加密處理,并通過對數據包的加密和數據包目標地址轉換實現安全的遠程訪問。

  (四)保留工業控制系統的相關訪問日志,并對操作過程進行安全審計。

  解讀:保留工業控制系統相關訪問日志,可以在發生非授權的遠程登錄后進行日志分析。通過日志中記錄到的登入登出、人員賬號、訪問時間等信息對非授權登錄行為進行追蹤、定位,做到有源可溯,并對操作過程進行安全審計,記錄所有操作行為,做到有據可查。

  1.7安全監測和應急預案演練

  (一)在工業控制網絡部署網絡安全監測設備,及時發現、報告并處理網絡攻擊或異常行為。

  解讀:工控系統網絡組成元素繁多,非法入侵、惡意代碼、維修接入甚至是誤操作都可能導致生產運行的癱瘓或功能喪失,通過部署工控安全監測設備,采用工控協議深度包解析等多種技術,對工業控制網絡可能存在的病毒、蠕蟲、木馬及針對工控網絡的攻擊行為和誤操作進行實時檢測并告警。

  (二)在重要工業控制設備前端部署具備工業協議深度包檢測功能的防護設備,限制違法操作。

  解讀:重要工業控制設備是工業企業生產核心控制單元,包含PLC、DCS控制器等,核心控制設備的異常將危及生產安全、公眾健康甚至社會穩定。在重要工業控制設備前端部署具備工業協議深度包檢測功能的防護設備,對Modbus、S7、Ethernet/IP等主流工控協議進行深度分析,采用“白名單”機制對發送至重要工控設備的指令進行過濾,杜絕違法操作,并抑制惡意代碼及未知攻擊行為,保障重要工業控制設備運行安全。

  (三)制定工控安全事件應急響應預案,當遭受安全威脅導致工業控制系統出現異?;蚬收蠒r,應立即采取緊急防護措施,防止事態擴大,并逐級報送直至屬地省級工業和信息化主管部門,同時注意保護現場,以便進行調查取證。

  解讀:工控安全應急響應預案可提高工業控制系統應對突發事件的應急響應能力,最大限度減少工控系統的損失及影響,做到“第一時間發現問題,第一時間解決問題”。

  應急預案框架應包括應急計劃的策略和規程、應急處理流程、系統恢復流程、事后教育和培訓、系統備份、系統恢復重建等內容。同時預案需從人力、設備、技術和財務等方面確保應急預案的執行有足夠的資源保障。

  在發生安全事件時,應根據應急預案流程采取安全防護措施,并按照應急預案規程逐級上報至安全主管部門。同時,應對事故現場進行保護,便于事后調查取證。

  (四)定期對工業控制系統的應急響應預案進行演練,必要時對應急響應預案進行修訂。

  解讀:通過開展應急演練工作,使各工控企業熟悉應急響應機制、熟練應急響應流程、提高應急響應的處置能力,同時檢驗應急響應預案的可行性、相關部門的協調與配合能力、相關工作的落實情況以及應急響應所需備用設備的完備情況等,同時應根據應急演練中遇到的問題,對應急演練方案進行及時修訂。

  小結

  《指南》從十一條三十款具體要求宏觀描述了工業控制系統信息安全防護的輪廓,面向工控網絡真實環境及特殊性提出了多項針對性要求,為工業控制安全防護標準制定、技術研究、評估內容等方面提供了具體依據,尤其對工業控制安全供需雙方指明了具體方向和思路,便于開展工控安全規劃,落地實施。

  同時參考《網絡安全法》和其他相關法律法規中對監管部門責任、網絡攻擊組織或個人的處罰規定,相關行業對生產安全的要求,以及新修訂等級保護標準中對工控安全的相關要求,企業將對如何實施工業控制系統整體安全防護有更完整的思路。

應用方案

中文色有码_欧美日韩国产在线人成_亚洲日韩国产一本视频