工業(yè)控制系統(tǒng)安全與等級保護
工業(yè)控制系統(tǒng)的安全問題多不勝數(shù),而且還關(guān)系著絕大部分的企業(yè),那么我們該如何防護呢?
歸根究底其實還是回歸到了網(wǎng)絡(luò)安全上,而我們要保護好網(wǎng)絡(luò)安全,首先最應(yīng)該做的就是做好網(wǎng)絡(luò)安全等級保護工作。
現(xiàn)在很多企業(yè)應(yīng)該都知道,等保工作現(xiàn)在已經(jīng)不僅僅是企業(yè)自發(fā)的想要完成安全防護工作這么簡單,一些比較特殊的行業(yè)已經(jīng)在相關(guān)條例中明文規(guī)定必須強制執(zhí)行等保工作。
由此可見,等保工作蓄勢待發(fā)。而工業(yè)控制系統(tǒng)作為國家的關(guān)鍵信息基礎(chǔ)設(shè)施,成為等級保護工作中的核心保護對象。工業(yè)控制系統(tǒng)等級保護的相關(guān)標準為了更加適應(yīng)國家法律及政策的最新要求,會不斷的進行擴展和完善,而如何評價系統(tǒng)的安全狀況將會成為開展后續(xù)工作的基礎(chǔ)。
我們先了解下工業(yè)控制系統(tǒng)(ICS),包括下面幾個部分:
從工控系統(tǒng)的組成部分就可以看出,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)是依托于網(wǎng)絡(luò)技術(shù)的,利用網(wǎng)絡(luò)技術(shù)將控制計算節(jié)點構(gòu)建為工業(yè)生產(chǎn)過程控制的計算環(huán)境,這已經(jīng)屬于等級保護信息系統(tǒng)范圍了。
按照國家等保的相關(guān)規(guī)定標準,確定定級對象:
1、按照安全區(qū)域劃分為企業(yè)管理、生產(chǎn)監(jiān)控及現(xiàn)場控制;
2、每個安全區(qū)域內(nèi)可以按照統(tǒng)一的生產(chǎn)業(yè)務(wù)流程、軟硬件資源相對獨立;
3、管理明確責(zé)任
根據(jù)以上的三個條件來確定定級信息系統(tǒng),再按照信息系統(tǒng)的重要程度確定具體的等級。一般工控系統(tǒng)涉及到社會穩(wěn)定和國家安全的大部分都是3級以上的系統(tǒng),特別是生產(chǎn)監(jiān)控系統(tǒng)和現(xiàn)場控制系統(tǒng),其中包含了大量的4級系統(tǒng)。
從最基本要求來看,我們需要考慮的是各個等級系統(tǒng)都需要具備哪些基線能力呢,總結(jié)如下:
工控系統(tǒng)是個定制的運行系統(tǒng),它的資源配置和運行流程都具有唯一性和排他性,如果只是使用防火墻、漏洞掃描等,不僅達不到要求效果,還容易引發(fā)新的安全問題。
工控安全的正確防護姿勢:
1、加強信息系統(tǒng)的整體防護,建設(shè)區(qū)域隔離、系統(tǒng)控制的三重防護、多級互聯(lián)體系結(jié)構(gòu)
2、重點做好操作人員使用的終端防護,守住安全攻擊的大門,做到操作使用安全
3、加強處理流程控制,防止內(nèi)部攻擊,提高計算節(jié)點的自我免疫能力,減少封堵
4、加強技術(shù)平臺支持下的安全管理,基于安全策略,與業(yè)務(wù)處理、監(jiān)控及日常管理制度有機結(jié)合
5、加強系統(tǒng)層面安全機制,減少應(yīng)用層面的改動,梳理處理流程,制定控制策略,嵌入系統(tǒng)核心,實現(xiàn)控制。