工控系統(tǒng)網(wǎng)絡安全標準體系
2002年4月,為加強信息安全標準的協(xié)調(diào)工作,國家標準委決定成立全國信息安全標準化技術委員會(信安標委,TC260)。全國信息安全標準化委員會是在信息安全技術專業(yè)領域內(nèi),從事信息安全標準化工作的技術工作組織。委員會負責組織開展國內(nèi)信息安全有關的標準化技術工作,技術委員會主要工作范圍包括:安全技術、安全機制、安全服務、安全管理、安全評估等領域的標準化技術工作。為了加強工控網(wǎng)絡安全需求,2016年10月,工信部發(fā)布了《工業(yè)控制系統(tǒng)信息安全防護指南》,指導工業(yè)企業(yè)開展工控安全防護工作。基于《工業(yè)控制系統(tǒng)安全防護指南》,制定了工控系統(tǒng)安全標準防護體系。
該標準體系針對工控系統(tǒng),進行安全定級、提出安全要求、落實安全防護措施、進行安全能力評估,以循環(huán)上升的方式提升工控系統(tǒng)安全防護能力。
后續(xù)全國信息安全標準化委員會WG5工作組陸續(xù)發(fā)布諸如GB/T32919-2016《信息安全技術工業(yè)控制系統(tǒng)安全控制應用指南》,GB/T36323-2018《信息安全技術工業(yè)控制系統(tǒng)安全管理基本要求》,GB/T36324-2018《信息安全技術工業(yè)控制系統(tǒng)信息安全分級規(guī)范》,GB/T36466-2018《信息安全技術工業(yè)控制系統(tǒng)風險評估實施指南》等一系列針對工控網(wǎng)絡安全的國家標準清單,以此來建立工控網(wǎng)絡安全防護體系。
等級保護標準體系
工控系統(tǒng)網(wǎng)絡安全重要性帶來的必然是安全保障的緊迫性,因此工控系統(tǒng)網(wǎng)絡安全的諸多問題需要引起重視,等級保護將扮演不可替代的重要角色。
等級保護,即信息安全技術網(wǎng)絡安全等級保護要求,是中國信息安全保障的一項基本制度,國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術標準,組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護。
等級保護1.0:2007年和2008年頒布實施的《信息安全等級保護管理辦法》和《信息安全等級保護基本要求》,這是我們通常認為的等保1.0。
經(jīng)過10余年的實踐,為保障中國信息安全打下了堅實的基礎,但從現(xiàn)實考量已經(jīng)逐漸開始不適應網(wǎng)絡環(huán)境的變化。為適應新技術的發(fā)展,解決云計算、物聯(lián)網(wǎng)、移動互聯(lián)和工控領域信息系統(tǒng)的等級保護工作的需要,由公安部牽頭組織開展了信息技術新領域等級保護重點標準申報國家標準的工作,等級保護正式進入2.0時代。
等級保護2.0:《中華人民共和國網(wǎng)絡安全法》第二十一條明確規(guī)定:“國家實行網(wǎng)絡安全等級保護制度。”為了貫徹落實《中華人民共和國網(wǎng)絡安全法》,適應云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等新技術、新應用情況下網(wǎng)絡安全等級保護工作,2019年5月正式發(fā)布《信息安全技術網(wǎng)絡安全等級保護基本要求》,并定于12月1日正式實施,這標志著國家網(wǎng)絡安全等級保護工作步入新時代。
等級保護2.0標準體系五個規(guī)定動作是指:定級、備案、建設整改、等級測評、監(jiān)督檢查。等級保護2.0標準將圍繞這5個規(guī)定動作開展工作。等級保護2.0標準體系流程如圖所示。
①《實施指南》主要內(nèi)容是描述等級保護工作整個過程。
②《定級指南》主要內(nèi)容是有關等保對象定級,基本要求是最為核心一個標準,主要對象是對等保對象提出安全保護能力。
③《安全設計技術要求》是實現(xiàn)基本要求的最佳實踐。
④《測評要求》是對等級保護對象的安全狀況進行安全測評并提供指南,也適用于網(wǎng)絡安全職能部門依法進行的網(wǎng)絡安全等級保護監(jiān)督檢查參考使用。
⑤《測評規(guī)程指南》是對測評機構的工作過程進行規(guī)范化管理。
等級保護2.0的中心思想為“一個中心三重防護”,就是針對安全管理中心和計算環(huán)境安全、區(qū)域邊界安全、通信網(wǎng)絡安全的安全合規(guī)進行方案的定制化設計,建立以計算環(huán)境安全為基礎,以區(qū)域邊界安全、通信網(wǎng)絡安全為保障,以安全管理中心為核心的信息安全整體保障體系。其中等級保護2.0尤其對于工控系統(tǒng)安全定義了新的擴展要求:
①物理和環(huán)境安全。增加了對室外控制設備的安全防護要求,如放置控制設備的箱體或裝置以及控制設備周圍的環(huán)境。
②網(wǎng)絡和通信安全。增加了適配于工控系統(tǒng)網(wǎng)絡環(huán)境的網(wǎng)絡架構安全防護要求、通信傳輸要求以及訪問控制要求,增加了撥號使用控制和無線使用控制的要求。
③設備和計算安全。增加了對控制設備的安全要求,控制設備主要是應用到工控系統(tǒng)當中執(zhí)行控制邏輯和數(shù)據(jù)采集功能的實時控制器設備,如控制器、PLC等。
④安全建設管理。增加了產(chǎn)品采購及使用和軟件外包方面的要求,主要針對工控設備和工控專用網(wǎng)絡安全產(chǎn)品的要求,以及工控系統(tǒng)軟件外包時有關保密和專業(yè)性的要求。
⑤安全運維管理。調(diào)整了漏洞和風險管理、惡意代碼防范管理和安全事件處置方面的需求,更加適配工業(yè)場景應用和工控系統(tǒng)。
關鍵基礎設施防護標準體系
中國在關鍵信息基礎設施安全保障體系建設方面起步較晚,急需建立關鍵信息基礎設施安全防護能力評估體系,制定科學合理、擴展性強的關鍵信息基礎設施網(wǎng)絡安全能力評估標準。目前國家正在制定如下標準:《信息安全技術關鍵信息基礎設施安全防護能力評價方法》;《信息安全技術關鍵信息基礎設施邊界確定方法》;《關鍵信息基礎設施網(wǎng)絡安全框架》;《信息安全技術關鍵信息基礎設施安全控制措施》;《信息安全技術關鍵信息基礎設施安全檢查評估指南》;《信息安全技術關鍵信息基礎設施安全保障指示體系》;《信息安全技術關鍵信息基礎設施網(wǎng)絡安全保護基本要求》。
