11月3日���,工信部網(wǎng)站正式發(fā)布“工業(yè)和信息化部關(guān)于印發(fā)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》的通知” (以下簡(jiǎn)稱通知),牛君第一時(shí)間聯(lián)系威努特的技術(shù)專家對(duì)通知進(jìn)行了解讀�,以下是全文:
制定《指南》的背景
通知中明確“為貫徹落實(shí)《國(guó)務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見(jiàn)》(國(guó)發(fā)〔2016〕28號(hào))(以下簡(jiǎn)稱意見(jiàn)),保障工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全���,工業(yè)和信息化部制定《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》�?��!笨梢钥闯?���,《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》(以下簡(jiǎn)稱指南)是根據(jù)《意見(jiàn)》制定的。
《意見(jiàn)》是根本�,是指導(dǎo)思想,是“道”的層面�;《指南》是細(xì)節(jié),是具體方法�,是“術(shù)”的層面。這個(gè)《指南》的形成周期很長(zhǎng)�����,為什么能在《意見(jiàn)》后面很快發(fā)出���,前期是做過(guò)了很多工作的,其中威努特也提過(guò)一些意見(jiàn)并有幸被采納�����。
《意見(jiàn)》中相關(guān)要求
追本溯源�����,要讀懂《指南》���,先要了解《意見(jiàn)》中有哪些相關(guān)要求����,在“七大任務(wù)”中專門(mén)有一條“提高工業(yè)信息系統(tǒng)安全水平”,其中明確要求“實(shí)施工業(yè)控制系統(tǒng)安全保障能力提升工程���,制定完善工業(yè)信息安全管理等政策法規(guī)����,健全工業(yè)信息安全標(biāo)準(zhǔn)體系����,建立工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)信息采集匯總和分析通報(bào)機(jī)制,組織開(kāi)展重點(diǎn)行業(yè)工業(yè)控制系統(tǒng)信息安全檢查和風(fēng)險(xiǎn)評(píng)估���。組織開(kāi)展工業(yè)企業(yè)信息安全保障試點(diǎn)示范��,支持系統(tǒng)仿真測(cè)試�、評(píng)估驗(yàn)證等關(guān)鍵共性技術(shù)平臺(tái)建設(shè)�,推動(dòng)訪問(wèn)控制、追蹤溯源��、商業(yè)信息及隱私保護(hù)等核心技術(shù)產(chǎn)品產(chǎn)業(yè)化����。以提升工業(yè)信息安全監(jiān)測(cè)����、評(píng)估����、驗(yàn)證和應(yīng)急處置等能力為重點(diǎn),依托現(xiàn)有科研機(jī)構(gòu)�����,建設(shè)國(guó)家工業(yè)信息安全保障中心�����,為制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展提供安全支撐�?���!?/span>
工信部根據(jù)《十三五規(guī)劃綱要》、《中國(guó)制造2025》和《意見(jiàn)》等要求編制的《工業(yè)和信息化部關(guān)于印發(fā)信息化和工業(yè)化融合發(fā)展規(guī)劃(2016-2020年)》中進(jìn)一步明確��,在十三五期間����,我國(guó)兩化融合面臨的機(jī)遇和挑戰(zhàn)第四條就是“工業(yè)領(lǐng)域信息安全形勢(shì)日益嚴(yán)峻��,對(duì)兩化融合發(fā)展提出新要求”�����,其“七大任務(wù)”中也提到要“逐步完善工業(yè)信息安全保障體系”�����,“六大重點(diǎn)工程”中之一就是“工業(yè)信息安全保障工程”��。
以上這些�����,就是政策層面的指導(dǎo)思想和要求�����。
《指南》條款詳細(xì)解讀
《指南》整體思路借鑒了等級(jí)保護(hù)的思想�����,具體提出了十一條三十款要求���,貼近實(shí)際工業(yè)企業(yè)真實(shí)情況�,務(wù)實(shí)可落地��。我們從《指南》要求的主體����、客體和方法將十一條分為三大類(lèi):
a、針對(duì)主體目標(biāo)(法人或人)的要求�����,包含第十條供應(yīng)鏈管理��、第十一條人員責(zé)任:
1.10 供應(yīng)鏈管理
(一)在選擇工業(yè)控制系統(tǒng)規(guī)劃��、設(shè)計(jì)�、建設(shè)��、運(yùn)維或評(píng)估等服務(wù)商時(shí)��,優(yōu)先考慮具備工控安全防護(hù)經(jīng)驗(yàn)的企事業(yè)單位��,以合同等方式明確服務(wù)商應(yīng)承擔(dān)的信息安全責(zé)任和義務(wù)�����。
解讀:工業(yè)控制系統(tǒng)的全生產(chǎn)周期的安全管理過(guò)程中,采用適合于工業(yè)控制環(huán)境的管理和服務(wù)方式�����,要求服務(wù)商具有豐富的安全服務(wù)經(jīng)驗(yàn)�����、熟悉工業(yè)控制系統(tǒng)工作流程和特點(diǎn)�,且對(duì)安全防護(hù)體系和工業(yè)控制系統(tǒng)安全防護(hù)的相關(guān)法律法規(guī)要有深入的理解和解讀,保證相應(yīng)法律法規(guī)的有效落實(shí)�����,并以合同的方式約定服務(wù)商在服務(wù)過(guò)程中應(yīng)當(dāng)承擔(dān)的責(zé)任和義務(wù)����。
(二)以保密協(xié)議的方式要求服務(wù)商做好保密工作,防范敏感信息外泄�����。
解讀:與工業(yè)控制系統(tǒng)安全服務(wù)方簽定保密協(xié)議����,要求服務(wù)商及其服務(wù)人員嚴(yán)格做好保密工作�,尤其對(duì)工業(yè)控制系統(tǒng)內(nèi)部的敏感信息(如工藝文件�����、設(shè)備參數(shù)����、系統(tǒng)管理數(shù)據(jù)、現(xiàn)場(chǎng)實(shí)時(shí)數(shù)據(jù)�����、控制指令數(shù)據(jù)�、程序上傳/下載數(shù)據(jù)��、監(jiān)控?cái)?shù)據(jù)等)進(jìn)行重點(diǎn)保護(hù)�����,防范敏感信息外泄。
1.11落實(shí)責(zé)任
通過(guò)建立工控安全管理機(jī)制�����、成立信息安全協(xié)調(diào)小組等方式����,明確工控安全管理責(zé)任人,落實(shí)工控安全責(zé)任制���,部署工控安全防護(hù)措施�。
解讀:設(shè)立工業(yè)控制系統(tǒng)安全管理工作的職能部門(mén)����,負(fù)責(zé)工業(yè)控制系統(tǒng)全生命周期的安全防護(hù)體系建設(shè)和管理,明確安全管理機(jī)構(gòu)的工作范圍���、責(zé)任及工作人員的職責(zé)��,制定工業(yè)控制系統(tǒng)安全管理方針����,持續(xù)實(shí)施和改進(jìn)工業(yè)控制系統(tǒng)的安全防護(hù)能力�����,不斷提升工業(yè)控制系統(tǒng)防攻擊和抗干擾的水平�。
b、針對(duì)客體目標(biāo)(被保護(hù)的資產(chǎn)或數(shù)據(jù))的安全要求,包含第八條資產(chǎn)安全���、第九條數(shù)據(jù)安全:
1.8 資產(chǎn)安全
(一)建設(shè)工業(yè)控制系統(tǒng)資產(chǎn)清單��,明確資產(chǎn)責(zé)任人����,以及資產(chǎn)使用及處置原則���。
解讀:為實(shí)現(xiàn)和保持對(duì)組織機(jī)構(gòu)資產(chǎn)的適當(dāng)保護(hù)��,確保所有資產(chǎn)可查����,應(yīng)建設(shè)工業(yè)控制系統(tǒng)資產(chǎn)清單���,并明確資產(chǎn)使用及處置原則���,配置資產(chǎn)清單,定期更新清單庫(kù)�,并對(duì)資產(chǎn)進(jìn)行分類(lèi)。
所有資產(chǎn)應(yīng)指定責(zé)任人�,并且明確責(zé)任人的職責(zé)�,明確資產(chǎn)使用權(quán)�。制定資產(chǎn)在生產(chǎn)�����、調(diào)試����、運(yùn)行、維護(hù)�����、報(bào)廢等過(guò)程中的處置原則��。
(二)對(duì)關(guān)鍵主機(jī)設(shè)備�����、網(wǎng)絡(luò)設(shè)備���、控制組件等進(jìn)行冗余配置���。
解讀:在系統(tǒng)運(yùn)行過(guò)程中���,可能出現(xiàn)的宕機(jī)、中斷��、死機(jī)��、病毒攻擊�、自然災(zāi)害等資產(chǎn)被侵害的事件發(fā)生,導(dǎo)致系統(tǒng)無(wú)法正常工作���,給企業(yè)和社會(huì)帶來(lái)?yè)p失��,甚至威脅到員工生命和財(cái)產(chǎn)安全��。對(duì)關(guān)鍵主機(jī)設(shè)備����、網(wǎng)絡(luò)設(shè)備���、控制組件等進(jìn)行冗余配置�����,防止重大安全事件的發(fā)生��。
1.9 數(shù)據(jù)安全
(一)對(duì)靜態(tài)存儲(chǔ)數(shù)據(jù)和動(dòng)態(tài)傳輸過(guò)程中的重要工業(yè)數(shù)據(jù)進(jìn)行保護(hù)��,根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果對(duì)數(shù)據(jù)信息進(jìn)行分級(jí)分類(lèi)管理���。
解讀:在數(shù)據(jù)創(chuàng)建、使用���、分發(fā)�、共享�、銷(xiāo)毀的整個(gè)生命周期中,對(duì)重要數(shù)據(jù)如工藝文件�、設(shè)備參數(shù)、系統(tǒng)管理數(shù)據(jù)��、現(xiàn)場(chǎng)實(shí)時(shí)數(shù)據(jù)����、控制指令數(shù)據(jù)、程序上傳/下載數(shù)據(jù)����、監(jiān)控?cái)?shù)據(jù)等應(yīng)進(jìn)行保護(hù),如加密技術(shù)��、安全存儲(chǔ)介質(zhì)等。數(shù)據(jù)遭受破壞時(shí)及時(shí)采取必要的恢復(fù)措施�����。
風(fēng)險(xiǎn)評(píng)估對(duì)數(shù)據(jù)的分類(lèi)分級(jí)原則應(yīng)包含對(duì)企業(yè)經(jīng)濟(jì)影響���、生產(chǎn)穩(wěn)定性影響���、人身安全、法律風(fēng)險(xiǎn)�����、名譽(yù)度損失等角度開(kāi)展����,根據(jù)數(shù)據(jù)的重要程度在信息存儲(chǔ)、信息傳輸�����、信息交換���、信息使用等過(guò)程中采取相應(yīng)的防護(hù)措施��。
(二)定期備份關(guān)鍵業(yè)務(wù)數(shù)據(jù)��。
解讀:為保證系統(tǒng)在災(zāi)難發(fā)生時(shí)�����,數(shù)據(jù)能夠盡量還原真實(shí)數(shù)據(jù)�����,應(yīng)對(duì)歷史數(shù)據(jù)庫(kù)服務(wù)器���、實(shí)時(shí)數(shù)據(jù)服務(wù)器、先進(jìn)控制系統(tǒng)��、優(yōu)化控制系統(tǒng)等重要系統(tǒng)設(shè)備進(jìn)行硬件冗余�����,啟用實(shí)時(shí)數(shù)據(jù)備份功能�,保證當(dāng)主設(shè)備出現(xiàn)故障時(shí)冗余設(shè)備可以無(wú)擾動(dòng)的切換并恢復(fù)數(shù)據(jù),對(duì)于關(guān)鍵的業(yè)務(wù)數(shù)據(jù)�,應(yīng)定期進(jìn)行軟備份。
(三)對(duì)測(cè)試數(shù)據(jù)進(jìn)行保護(hù)��。
解讀:測(cè)試數(shù)據(jù)一般來(lái)源于真實(shí)的現(xiàn)場(chǎng)設(shè)備實(shí)時(shí)數(shù)據(jù),有必要對(duì)測(cè)試數(shù)據(jù)進(jìn)行安全防護(hù)���,防止發(fā)生數(shù)據(jù)泄露�、篡改�、破壞,保護(hù)企業(yè)資產(chǎn)��。
c�����、針對(duì)保護(hù)方法措施的要求����,根據(jù)工業(yè)控制網(wǎng)絡(luò)由內(nèi)而外的結(jié)構(gòu)包括:終端(第一條軟件選擇與管理、第四條物理環(huán)境安全)��;配置(第二條配置安全)�����;網(wǎng)絡(luò)(第五條身份認(rèn)證��、第三條邊界防護(hù)、第六條遠(yuǎn)程安全)���;例外(第七條監(jiān)測(cè)應(yīng)急)���。
1.1 安全軟件選擇與管理
(一)在工業(yè)主機(jī)上采用經(jīng)過(guò)離線環(huán)境中充分驗(yàn)證測(cè)試的防病毒軟件或應(yīng)用程序白名單軟件,只允許經(jīng)過(guò)工業(yè)企業(yè)自身授權(quán)和安全評(píng)估的軟件運(yùn)行�。
解讀:工業(yè)控制系統(tǒng)對(duì)可用性和實(shí)時(shí)性要求非常高,任何未經(jīng)驗(yàn)證測(cè)試的軟件都可能影響控制系的穩(wěn)定性���,應(yīng)對(duì)防病毒軟件或應(yīng)用程序白名單軟件進(jìn)行離線測(cè)試�����,測(cè)試無(wú)風(fēng)險(xiǎn)后,方可在工業(yè)主機(jī)上部署����。
目前工業(yè)主機(jī)有效防護(hù)機(jī)制有“黑名單機(jī)制”和“白名單機(jī)制”,相比之下工控網(wǎng)絡(luò)則更加注重防護(hù)的“高可用性”和“高可靠性”�����,鑒于工業(yè)應(yīng)用的特殊性���,“黑名單機(jī)制”無(wú)法應(yīng)對(duì)多元化的風(fēng)險(xiǎn)及威脅����。利用“白名單機(jī)制”可以建立工控行業(yè)應(yīng)用程序信譽(yù)庫(kù),為工控應(yīng)用程序提供可信認(rèn)證���、授權(quán)和評(píng)估��,同時(shí)輔助沙箱檢測(cè)技術(shù)和殺毒軟件進(jìn)行應(yīng)用程序軟件的安全性測(cè)試�����,從根本上保證了工控主機(jī)安全�。
(二)建立防病毒和惡意軟件入侵管理機(jī)制����,對(duì)工業(yè)控制系統(tǒng)及臨時(shí)接入的設(shè)備采取病毒查殺等安全預(yù)防措施。
解讀:病毒和惡意代碼是工控系統(tǒng)主要威脅之一�,應(yīng)對(duì)工控系統(tǒng)設(shè)備(例如操作員站、工程師站�、控制服務(wù)器等)部署病毒和惡意代碼集中監(jiān)控、防護(hù)管理措施�����,對(duì)工業(yè)控制系統(tǒng)及臨時(shí)接入的設(shè)備進(jìn)行病毒和惡意代碼掃描檢測(cè),防止遭受病毒和惡意軟件攻擊�。
1.4 物理和環(huán)境安全防護(hù)
(一)對(duì)重要工程師站、數(shù)據(jù)庫(kù)���、服務(wù)器等核心工業(yè)控制軟硬件所在區(qū)域采取訪問(wèn)控制��、視頻監(jiān)控����、專人值守等物理安全防護(hù)措施���。
解讀:重要的工程師站�����、數(shù)據(jù)庫(kù)����、服務(wù)器是工業(yè)控制系統(tǒng)的核心組件��,為了防止來(lái)自人為的惡意破壞�����。應(yīng)對(duì)核心工業(yè)控制軟硬件所在的位置�,按照物理位置和業(yè)務(wù)功能進(jìn)行區(qū)域劃分,區(qū)域之間設(shè)置物理隔離裝置��。
在必要區(qū)域前設(shè)置交付或安裝等過(guò)渡區(qū)域����,特殊區(qū)域應(yīng)配置電子門(mén)禁系統(tǒng),7*24小時(shí)的視頻監(jiān)控�。
對(duì)核心工業(yè)控制軟硬件所在區(qū)域,出入口應(yīng)安排專人值守�����,控制��、鑒別和記錄進(jìn)入的人員�����,來(lái)訪人員應(yīng)經(jīng)過(guò)申請(qǐng)和審批流程�,并限制和監(jiān)控其活動(dòng)范圍。
(二)拆除或封閉工業(yè)主機(jī)上不必要的USB����、光驅(qū)����、無(wú)線等接口�����。若確需使用�����,通過(guò)主機(jī)外設(shè)安全管理技術(shù)手段實(shí)施嚴(yán)格訪問(wèn)控制�。
解讀:工業(yè)主機(jī)越來(lái)越多采用通用計(jì)算機(jī),USB���、光驅(qū)����、無(wú)線等接口的使用�����,為病毒���、木馬�、蠕蟲(chóng)等惡意代碼入侵提供了途徑��,拆除或封閉工業(yè)主機(jī)上不必要的USB�����、光驅(qū)���、無(wú)線等接口可以從根本上切斷非法數(shù)據(jù)�����、程序的傳播途徑��。
若確需使用��,可以通過(guò)主機(jī)安全管理軟件對(duì)外設(shè)的端口進(jìn)行控制���,記錄文件的導(dǎo)入導(dǎo)出等操作痕跡,實(shí)現(xiàn)對(duì)端口的嚴(yán)格訪問(wèn)控制�。
1.2 配置和補(bǔ)丁管理
(一)做好工業(yè)控制網(wǎng)絡(luò)、工業(yè)主機(jī)和工業(yè)控制設(shè)備的安全配置�,建立工業(yè)控制系統(tǒng)配置清單,定期進(jìn)行配置審計(jì)��。
解讀:安全配置是基礎(chǔ)性的安全防護(hù)措施,安全配置能夠增強(qiáng)工控網(wǎng)絡(luò)��、工業(yè)主機(jī)和工控設(shè)備安全性��,應(yīng)建立工控系統(tǒng)安全配置清單���,包括工控網(wǎng)絡(luò)設(shè)備�����、工業(yè)主機(jī)���、工控設(shè)備的安全配置清單。
在日常運(yùn)維管理方面����,指導(dǎo)管理人員對(duì)系統(tǒng)安全配置優(yōu)化,避免存在安全隱患��。
根據(jù)工業(yè)控制系統(tǒng)配置清單��,定期對(duì)工業(yè)控制網(wǎng)絡(luò)��、工業(yè)主機(jī)和工業(yè)控制設(shè)備開(kāi)展配置審計(jì),及時(shí)發(fā)現(xiàn)配置問(wèn)題�。
(二)對(duì)重大配置變更制定變更計(jì)劃并進(jìn)行影響分析,配置變更實(shí)施前進(jìn)行嚴(yán)格安全測(cè)試�����。
解讀:工控系統(tǒng)的日常維護(hù)管理經(jīng)常涉及到配置變更����,但未經(jīng)嚴(yán)格安全測(cè)試的重大變更可能會(huì)對(duì)工控系統(tǒng)造成破壞����。
在工控系統(tǒng)重大配置變更之前,應(yīng)制定變更計(jì)劃�����,對(duì)變更可能出現(xiàn)的影響進(jìn)行評(píng)估分析����,并在工控系統(tǒng)離線環(huán)境中進(jìn)行安全測(cè)試,保障配置變更的安全性和可靠性���。
(三)密切關(guān)注重大工控安全漏洞及其補(bǔ)丁發(fā)布����,及時(shí)采取補(bǔ)丁升級(jí)措施。在補(bǔ)丁安裝前����,需對(duì)補(bǔ)丁進(jìn)行嚴(yán)格的安全評(píng)估和測(cè)試驗(yàn)證。
解讀:工控系統(tǒng)較傳統(tǒng)的IT系統(tǒng)更脆弱�����,在補(bǔ)丁升級(jí)方面要非常慎重����,補(bǔ)丁升級(jí)可能會(huì)影響工控系統(tǒng)的穩(wěn)定性,如果補(bǔ)丁升級(jí)失敗���,可能對(duì)工控系統(tǒng)造成破壞����,導(dǎo)致工控系統(tǒng)運(yùn)行中斷��。
因此����,工控系統(tǒng)在補(bǔ)丁升級(jí)之前必須進(jìn)行嚴(yán)格驗(yàn)證測(cè)試,包括安全性、穩(wěn)定性��、兼容性和可靠性驗(yàn)證測(cè)試�����。
1.5 身份認(rèn)證
(一)在工業(yè)主機(jī)登錄��、應(yīng)用服務(wù)資源訪問(wèn)��、工業(yè)云平臺(tái)訪問(wèn)等過(guò)程中使用身份認(rèn)證管理��。對(duì)于關(guān)鍵設(shè)備�、系統(tǒng)和平臺(tái)的訪問(wèn)采用多因素認(rèn)證�。
解讀:面對(duì)工業(yè)控制主機(jī)和系統(tǒng)的登錄、訪問(wèn)過(guò)程中常見(jiàn)身份冒用���,越權(quán)訪問(wèn)等安全風(fēng)險(xiǎn)����,給工業(yè)控制生產(chǎn)活動(dòng)帶來(lái)安全隱患����。通過(guò)采取身份鑒別、角色判定、權(quán)限分配等安全措施實(shí)現(xiàn)工業(yè)主機(jī)登錄�、應(yīng)用服務(wù)資源訪問(wèn)、工業(yè)云平臺(tái)訪問(wèn)等過(guò)程的統(tǒng)一身份認(rèn)證管理�。
對(duì)于關(guān)鍵設(shè)備、系統(tǒng)和平臺(tái)應(yīng)采取如口令����、usbkey、智能卡��、生物指紋等多種認(rèn)證方式組合的多因素認(rèn)證方式�����。一是避免他人盜用�、誤用,二是提高設(shè)備�����、系統(tǒng)和平臺(tái)的攻擊難度��。
(二)合理分類(lèi)設(shè)置賬戶權(quán)限�,以最小特權(quán)原則分配賬戶權(quán)限。
解讀:應(yīng)限定網(wǎng)絡(luò)中每個(gè)主體所必須的最小特權(quán)����,確?��?赡艿氖鹿省㈠e(cuò)誤���、篡改等原因造成的損失最小化����,對(duì)超級(jí)管理員賬號(hào)未禁止���、各賬戶權(quán)限未實(shí)現(xiàn)分立制約等常見(jiàn)問(wèn)題應(yīng)及時(shí)發(fā)現(xiàn)并改正。
(三)強(qiáng)化工業(yè)控制設(shè)備����、SCADA軟件、工業(yè)通信設(shè)備等的登錄賬戶及密碼��,避免使用默認(rèn)密碼或弱密碼,定期更新口令����。
解讀:對(duì)登錄賬戶和密碼要及時(shí)更新,密碼要以多位數(shù)含數(shù)字���、字母���、特殊符號(hào)的組合方式提高密碼強(qiáng)度����,建議采用驗(yàn)證碼機(jī)制�����,提高被暴力破解的難度���。避免使用默認(rèn)密碼��、易猜測(cè)密碼����、空口令甚明文張貼密碼的現(xiàn)象發(fā)生�。
(四)加強(qiáng)對(duì)身份認(rèn)證證書(shū)信息保護(hù)力度,禁止在不同系統(tǒng)和網(wǎng)絡(luò)環(huán)境下共享���。
解讀:建議采用安全介質(zhì)存儲(chǔ)證書(shū)信息�,對(duì)證書(shū)的申請(qǐng)�、發(fā)放��、使用�����、吊銷(xiāo)等過(guò)程通過(guò)技術(shù)手段嚴(yán)格控制��,并建立相關(guān)制度保障��。建議采用國(guó)際通用的安全商密算法或國(guó)密算法���。在不用系統(tǒng)和網(wǎng)絡(luò)環(huán)境下禁止傳遞證書(shū)信息。
1.3 邊界安全防護(hù)
(一)分離工業(yè)控制系統(tǒng)的開(kāi)發(fā)����、測(cè)試和生產(chǎn)環(huán)境���。
解讀:工業(yè)控制系統(tǒng)的開(kāi)發(fā)���、測(cè)試和生產(chǎn)環(huán)境承載的功能不同,為了避免由開(kāi)發(fā)����、測(cè)試環(huán)境引入的安全威脅給生產(chǎn)環(huán)境帶來(lái)作業(yè)風(fēng)險(xiǎn)���,需要將開(kāi)發(fā)、測(cè)試和生產(chǎn)環(huán)境分離�。將開(kāi)發(fā)、測(cè)試和生產(chǎn)環(huán)境分別置于不同的區(qū)域�����,進(jìn)行邏輯或物理隔離��。
(二)通過(guò)工業(yè)控制網(wǎng)絡(luò)邊界防護(hù)設(shè)備對(duì)工業(yè)控制網(wǎng)絡(luò)與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間的邊界進(jìn)行安全防護(hù)�,禁止沒(méi)有防護(hù)的工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接。
解讀:工業(yè)控制網(wǎng)絡(luò)與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間互聯(lián)互通�����,為工業(yè)控制系統(tǒng)帶來(lái)巨大創(chuàng)造力和生產(chǎn)力的同時(shí)�,也會(huì)引入更加復(fù)雜、嚴(yán)峻的安全問(wèn)題�。一是深度網(wǎng)絡(luò)化和多層面互聯(lián)互通增加了攻擊路徑;二是傳統(tǒng)IT產(chǎn)品的引入帶來(lái)了更多安全漏洞����;三是新興信息技術(shù)在工業(yè)控制領(lǐng)域的防護(hù)體系尚不成熟。
因此�,需要在不同網(wǎng)絡(luò)邊界之間�,部署邊界安全防護(hù)設(shè)備實(shí)現(xiàn)安全訪問(wèn)控制�,阻斷非法網(wǎng)絡(luò)訪問(wèn),嚴(yán)格禁止沒(méi)有防護(hù)的工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接��。
(三)通過(guò)工業(yè)防火墻��、網(wǎng)閘等防護(hù)設(shè)備對(duì)工業(yè)控制網(wǎng)絡(luò)安全區(qū)域之間進(jìn)行邏輯隔離安全防護(hù)�����。
解讀:為了降低工業(yè)控制網(wǎng)絡(luò)安全區(qū)域之間連接風(fēng)險(xiǎn)�����,減少攻擊平面�,需要在區(qū)域之間部署邏輯隔離設(shè)備,如工業(yè)防火墻�、網(wǎng)閘。在區(qū)域間有雙向訪問(wèn)需求的網(wǎng)絡(luò)�,可采用工業(yè)防火墻進(jìn)行邏輯隔離����,深度檢測(cè)并過(guò)濾主流工控協(xié)議(如:OPC、Modbus��、S7、Ethernet/IP等)帶來(lái)的安全風(fēng)險(xiǎn)�;在區(qū)域間只需要單向訪問(wèn)的情況下,可采用網(wǎng)閘進(jìn)行隔離防護(hù)�。
1.6 遠(yuǎn)程訪問(wèn)安全
(一)原則上嚴(yán)格禁止工業(yè)控制系統(tǒng)面向互聯(lián)網(wǎng)開(kāi)通HTTP、FTP�、Telnet等高風(fēng)險(xiǎn)通用網(wǎng)絡(luò)服務(wù)。
解讀:基于明文傳輸?shù)腍TTP��、FTP�����、Telnet等網(wǎng)絡(luò)服務(wù)協(xié)議容易遭到非法竊聽(tīng)�、數(shù)據(jù)篡改、敏感信息泄露等高安全風(fēng)險(xiǎn)����。因此,在工業(yè)控制系統(tǒng)中����,需要嚴(yán)格禁止HTTP、FTP��、Telnet等高風(fēng)險(xiǎn)通用網(wǎng)絡(luò)服務(wù)面向互聯(lián)網(wǎng)開(kāi)通。
(二)確需遠(yuǎn)程訪問(wèn)的����,采用數(shù)據(jù)單向訪問(wèn)控制等策略進(jìn)行安全加固,對(duì)訪問(wèn)時(shí)限進(jìn)行控制����,并采用加標(biāo)鎖定策略。
解讀:遠(yuǎn)程訪問(wèn)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)��,意味著為黑客開(kāi)辟了一條攻擊工業(yè)控制網(wǎng)絡(luò)的通路���,存在極大隱患��。但在確需遠(yuǎn)程訪問(wèn)的情況下���,需要采用數(shù)據(jù)單向訪問(wèn)控制等策略進(jìn)行安全加固,并對(duì)訪問(wèn)時(shí)間進(jìn)行控制�,還可以采用加標(biāo)鎖定來(lái)限制對(duì)機(jī)器、設(shè)備�����、工藝和電路的操作行為���。
(三)確需遠(yuǎn)程維護(hù)的��,采用虛擬專用網(wǎng)絡(luò)(VPN)等遠(yuǎn)程接入方式進(jìn)行��。
解讀:確需遠(yuǎn)程維護(hù)的��,采用虛擬專用網(wǎng)絡(luò)(VPN)等遠(yuǎn)程接入方式連接���,相當(dāng)于在公用網(wǎng)絡(luò)上為用戶建立了一條專用通道,這條專用通道上的所有通訊數(shù)據(jù)會(huì)被加密處理���,并通過(guò)對(duì)數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址轉(zhuǎn)換實(shí)現(xiàn)安全的遠(yuǎn)程訪問(wèn)����。
(四)保留工業(yè)控制系統(tǒng)的相關(guān)訪問(wèn)日志��,并對(duì)操作過(guò)程進(jìn)行安全審計(jì)�。
解讀:保留工業(yè)控制系統(tǒng)相關(guān)訪問(wèn)日志,可以在發(fā)生非授權(quán)的遠(yuǎn)程登錄后進(jìn)行日志分析�����。通過(guò)日志中記錄到的登入登出���、人員賬號(hào)�、訪問(wèn)時(shí)間等信息對(duì)非授權(quán)登錄行為進(jìn)行追蹤、定位��,做到有源可溯�����,并對(duì)操作過(guò)程進(jìn)行安全審計(jì)��,記錄所有操作行為�����,做到有據(jù)可查����。
1.7安全監(jiān)測(cè)和應(yīng)急預(yù)案演練
(一)在工業(yè)控制網(wǎng)絡(luò)部署網(wǎng)絡(luò)安全監(jiān)測(cè)設(shè)備,及時(shí)發(fā)現(xiàn)�����、報(bào)告并處理網(wǎng)絡(luò)攻擊或異常行為�。
解讀:工控系統(tǒng)網(wǎng)絡(luò)組成元素繁多,非法入侵�����、惡意代碼、維修接入甚至是誤操作都可能導(dǎo)致生產(chǎn)運(yùn)行的癱瘓或功能喪失�,通過(guò)部署工控安全監(jiān)測(cè)設(shè)備����,采用工控協(xié)議深度包解析等多種技術(shù),對(duì)工業(yè)控制網(wǎng)絡(luò)可能存在的病毒�、蠕蟲(chóng)、木馬及針對(duì)工控網(wǎng)絡(luò)的攻擊行為和誤操作進(jìn)行實(shí)時(shí)檢測(cè)并告警����。
(二)在重要工業(yè)控制設(shè)備前端部署具備工業(yè)協(xié)議深度包檢測(cè)功能的防護(hù)設(shè)備,限制違法操作���。
解讀:重要工業(yè)控制設(shè)備是工業(yè)企業(yè)生產(chǎn)核心控制單元�����,包含PLC���、DCS控制器等,核心控制設(shè)備的異常將危及生產(chǎn)安全����、公眾健康甚至社會(huì)穩(wěn)定����。在重要工業(yè)控制設(shè)備前端部署具備工業(yè)協(xié)議深度包檢測(cè)功能的防護(hù)設(shè)備�,對(duì)Modbus、S7�、Ethernet/IP等主流工控協(xié)議進(jìn)行深度分析,采用“白名單”機(jī)制對(duì)發(fā)送至重要工控設(shè)備的指令進(jìn)行過(guò)濾��,杜絕違法操作�����,并抑制惡意代碼及未知攻擊行為���,保障重要工業(yè)控制設(shè)備運(yùn)行安全����。
(三)制定工控安全事件應(yīng)急響應(yīng)預(yù)案�����,當(dāng)遭受安全威脅導(dǎo)致工業(yè)控制系統(tǒng)出現(xiàn)異?;蚬收蠒r(shí)��,應(yīng)立即采取緊急防護(hù)措施�����,防止事態(tài)擴(kuò)大�,并逐級(jí)報(bào)送直至屬地省級(jí)工業(yè)和信息化主管部門(mén)��,同時(shí)注意保護(hù)現(xiàn)場(chǎng)��,以便進(jìn)行調(diào)查取證�。
解讀:工控安全應(yīng)急響應(yīng)預(yù)案可提高工業(yè)控制系統(tǒng)應(yīng)對(duì)突發(fā)事件的應(yīng)急響應(yīng)能力����,最大限度減少工控系統(tǒng)的損失及影響,做到“第一時(shí)間發(fā)現(xiàn)問(wèn)題�,第一時(shí)間解決問(wèn)題”。
應(yīng)急預(yù)案框架應(yīng)包括應(yīng)急計(jì)劃的策略和規(guī)程�、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程�����、事后教育和培訓(xùn)���、系統(tǒng)備份����、系統(tǒng)恢復(fù)重建等內(nèi)容。同時(shí)預(yù)案需從人力�、設(shè)備、技術(shù)和財(cái)務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障���。
在發(fā)生安全事件時(shí)�,應(yīng)根據(jù)應(yīng)急預(yù)案流程采取安全防護(hù)措施����,并按照應(yīng)急預(yù)案規(guī)程逐級(jí)上報(bào)至安全主管部門(mén)。同時(shí)����,應(yīng)對(duì)事故現(xiàn)場(chǎng)進(jìn)行保護(hù),便于事后調(diào)查取證�����。
(四)定期對(duì)工業(yè)控制系統(tǒng)的應(yīng)急響應(yīng)預(yù)案進(jìn)行演練�����,必要時(shí)對(duì)應(yīng)急響應(yīng)預(yù)案進(jìn)行修訂。
解讀:通過(guò)開(kāi)展應(yīng)急演練工作�����,使各工控企業(yè)熟悉應(yīng)急響應(yīng)機(jī)制����、熟練應(yīng)急響應(yīng)流程、提高應(yīng)急響應(yīng)的處置能力�,同時(shí)檢驗(yàn)應(yīng)急響應(yīng)預(yù)案的可行性、相關(guān)部門(mén)的協(xié)調(diào)與配合能力����、相關(guān)工作的落實(shí)情況以及應(yīng)急響應(yīng)所需備用設(shè)備的完備情況等����,同時(shí)應(yīng)根據(jù)應(yīng)急演練中遇到的問(wèn)題,對(duì)應(yīng)急演練方案進(jìn)行及時(shí)修訂���。
小結(jié)
《指南》從十一條三十款具體要求宏觀描述了工業(yè)控制系統(tǒng)信息安全防護(hù)的輪廓����,面向工控網(wǎng)絡(luò)真實(shí)環(huán)境及特殊性提出了多項(xiàng)針對(duì)性要求����,為工業(yè)控制安全防護(hù)標(biāo)準(zhǔn)制定�����、技術(shù)研究�����、評(píng)估內(nèi)容等方面提供了具體依據(jù)���,尤其對(duì)工業(yè)控制安全供需雙方指明了具體方向和思路,便于開(kāi)展工控安全規(guī)劃����,落地實(shí)施。
同時(shí)參考《網(wǎng)絡(luò)安全法》和其他相關(guān)法律法規(guī)中對(duì)監(jiān)管部門(mén)責(zé)任���、網(wǎng)絡(luò)攻擊組織或個(gè)人的處罰規(guī)定�����,相關(guān)行業(yè)對(duì)生產(chǎn)安全的要求�,以及新修訂等級(jí)保護(hù)標(biāo)準(zhǔn)中對(duì)工控安全的相關(guān)要求,企業(yè)將對(duì)如何實(shí)施工業(yè)控制系統(tǒng)整體安全防護(hù)有更完整的思路��。
