工控系統網絡安全標準體系
2002年4月,為加強信息安全標準的協調工作,國家標準委決定成立全國信息安全標準化技術委員會(信安標委,TC260)。全國信息安全標準化委員會是在信息安全技術專業領域內,從事信息安全標準化工作的技術工作組織。委員會負責組織開展國內信息安全有關的標準化技術工作,技術委員會主要工作范圍包括:安全技術、安全機制、安全服務、安全管理、安全評估等領域的標準化技術工作。為了加強工控網絡安全需求,2016年10月,工信部發布了《工業控制系統信息安全防護指南》,指導工業企業開展工控安全防護工作。基于《工業控制系統安全防護指南》,制定了工控系統安全標準防護體系。
該標準體系針對工控系統,進行安全定級、提出安全要求、落實安全防護措施、進行安全能力評估,以循環上升的方式提升工控系統安全防護能力。
后續全國信息安全標準化委員會WG5工作組陸續發布諸如GB/T32919-2016《信息安全技術工業控制系統安全控制應用指南》,GB/T36323-2018《信息安全技術工業控制系統安全管理基本要求》,GB/T36324-2018《信息安全技術工業控制系統信息安全分級規范》,GB/T36466-2018《信息安全技術工業控制系統風險評估實施指南》等一系列針對工控網絡安全的國家標準清單,以此來建立工控網絡安全防護體系。
等級保護標準體系
工控系統網絡安全重要性帶來的必然是安全保障的緊迫性,因此工控系統網絡安全的諸多問題需要引起重視,等級保護將扮演不可替代的重要角色。
等級保護,即信息安全技術網絡安全等級保護要求,是中國信息安全保障的一項基本制度,國家通過制定統一的信息安全等級保護管理規范和技術標準,組織公民、法人和其他組織對信息系統分等級實行安全保護。
等級保護1.0:2007年和2008年頒布實施的《信息安全等級保護管理辦法》和《信息安全等級保護基本要求》,這是我們通常認為的等保1.0。
經過10余年的實踐,為保障中國信息安全打下了堅實的基礎,但從現實考量已經逐漸開始不適應網絡環境的變化。為適應新技術的發展,解決云計算、物聯網、移動互聯和工控領域信息系統的等級保護工作的需要,由公安部牽頭組織開展了信息技術新領域等級保護重點標準申報國家標準的工作,等級保護正式進入2.0時代。
等級保護2.0:《中華人民共和國網絡安全法》第二十一條明確規定:“國家實行網絡安全等級保護制度。”為了貫徹落實《中華人民共和國網絡安全法》,適應云計算、移動互聯、物聯網、工業控制和大數據等新技術、新應用情況下網絡安全等級保護工作,2019年5月正式發布《信息安全技術網絡安全等級保護基本要求》,并定于12月1日正式實施,這標志著國家網絡安全等級保護工作步入新時代。
等級保護2.0標準體系五個規定動作是指:定級、備案、建設整改、等級測評、監督檢查。等級保護2.0標準將圍繞這5個規定動作開展工作。等級保護2.0標準體系流程如圖所示。
①《實施指南》主要內容是描述等級保護工作整個過程。
②《定級指南》主要內容是有關等保對象定級,基本要求是最為核心一個標準,主要對象是對等保對象提出安全保護能力。
③《安全設計技術要求》是實現基本要求的最佳實踐。
④《測評要求》是對等級保護對象的安全狀況進行安全測評并提供指南,也適用于網絡安全職能部門依法進行的網絡安全等級保護監督檢查參考使用。
⑤《測評規程指南》是對測評機構的工作過程進行規范化管理。
等級保護2.0的中心思想為“一個中心三重防護”,就是針對安全管理中心和計算環境安全、區域邊界安全、通信網絡安全的安全合規進行方案的定制化設計,建立以計算環境安全為基礎,以區域邊界安全、通信網絡安全為保障,以安全管理中心為核心的信息安全整體保障體系。其中等級保護2.0尤其對于工控系統安全定義了新的擴展要求:
①物理和環境安全。增加了對室外控制設備的安全防護要求,如放置控制設備的箱體或裝置以及控制設備周圍的環境。
②網絡和通信安全。增加了適配于工控系統網絡環境的網絡架構安全防護要求、通信傳輸要求以及訪問控制要求,增加了撥號使用控制和無線使用控制的要求。
③設備和計算安全。增加了對控制設備的安全要求,控制設備主要是應用到工控系統當中執行控制邏輯和數據采集功能的實時控制器設備,如控制器、PLC等。
④安全建設管理。增加了產品采購及使用和軟件外包方面的要求,主要針對工控設備和工控專用網絡安全產品的要求,以及工控系統軟件外包時有關保密和專業性的要求。
⑤安全運維管理。調整了漏洞和風險管理、惡意代碼防范管理和安全事件處置方面的需求,更加適配工業場景應用和工控系統。
關鍵基礎設施防護標準體系
中國在關鍵信息基礎設施安全保障體系建設方面起步較晚,急需建立關鍵信息基礎設施安全防護能力評估體系,制定科學合理、擴展性強的關鍵信息基礎設施網絡安全能力評估標準。目前國家正在制定如下標準:《信息安全技術關鍵信息基礎設施安全防護能力評價方法》;《信息安全技術關鍵信息基礎設施邊界確定方法》;《關鍵信息基礎設施網絡安全框架》;《信息安全技術關鍵信息基礎設施安全控制措施》;《信息安全技術關鍵信息基礎設施安全檢查評估指南》;《信息安全技術關鍵信息基礎設施安全保障指示體系》;《信息安全技術關鍵信息基礎設施網絡安全保護基本要求》。
