目前國(guó)內(nèi)現(xiàn)有的工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系包含:工控系統(tǒng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系、等級(jí)保護(hù)標(biāo)準(zhǔn)體系以及關(guān)鍵基礎(chǔ)設(shè)施防護(hù)標(biāo)準(zhǔn)體系。
工控系統(tǒng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系
2002年4月,為加強(qiáng)信息安全標(biāo)準(zhǔn)的協(xié)調(diào)工作,國(guó)家標(biāo)準(zhǔn)委決定成立全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(信安標(biāo)委,TC260)。全國(guó)信息安全標(biāo)準(zhǔn)化委員會(huì)是在信息安全技術(shù)專業(yè)領(lǐng)域內(nèi),從事信息安全標(biāo)準(zhǔn)化工作的技術(shù)工作組織。委員會(huì)負(fù)責(zé)組織開展國(guó)內(nèi)信息安全有關(guān)的標(biāo)準(zhǔn)化技術(shù)工作,技術(shù)委員會(huì)主要工作范圍包括:安全技術(shù)、安全機(jī)制、安全服務(wù)、安全管理、安全評(píng)估等領(lǐng)域的標(biāo)準(zhǔn)化技術(shù)工作。為了加強(qiáng)工控網(wǎng)絡(luò)安全需求,2016年10月,工信部發(fā)布了《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》,指導(dǎo)工業(yè)企業(yè)開展工控安全防護(hù)工作。基于《工業(yè)控制系統(tǒng)安全防護(hù)指南》,制定了工控系統(tǒng)安全標(biāo)準(zhǔn)防護(hù)體系。
該標(biāo)準(zhǔn)體系針對(duì)工控系統(tǒng),進(jìn)行安全定級(jí)、提出安全要求、落實(shí)安全防護(hù)措施、進(jìn)行安全能力評(píng)估,以循環(huán)上升的方式提升工控系統(tǒng)安全防護(hù)能力。
后續(xù)全國(guó)信息安全標(biāo)準(zhǔn)化委員會(huì)WG5工作組陸續(xù)發(fā)布諸如GB/T32919-2016《信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》,GB/T36323-2018《信息安全技術(shù)工業(yè)控制系統(tǒng)安全管理基本要求》,GB/T36324-2018《信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全分級(jí)規(guī)范》,GB/T36466-2018《信息安全技術(shù)工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施指南》等一系列針對(duì)工控網(wǎng)絡(luò)安全的國(guó)家標(biāo)準(zhǔn)清單,以此來建立工控網(wǎng)絡(luò)安全防護(hù)體系。
等級(jí)保護(hù)標(biāo)準(zhǔn)體系
工控系統(tǒng)網(wǎng)絡(luò)安全重要性帶來的必然是安全保障的緊迫性,因此工控系統(tǒng)網(wǎng)絡(luò)安全的諸多問題需要引起重視,等級(jí)保護(hù)將扮演不可替代的重要角色。
等級(jí)保護(hù),即信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)要求,是中國(guó)信息安全保障的一項(xiàng)基本制度,國(guó)家通過制定統(tǒng)一的信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),組織公民、法人和其他組織對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)。
等級(jí)保護(hù)1.0:2007年和2008年頒布實(shí)施的《信息安全等級(jí)保護(hù)管理辦法》和《信息安全等級(jí)保護(hù)基本要求》,這是我們通常認(rèn)為的等保1.0。
經(jīng)過10余年的實(shí)踐,為保障中國(guó)信息安全打下了堅(jiān)實(shí)的基礎(chǔ),但從現(xiàn)實(shí)考量已經(jīng)逐漸開始不適應(yīng)網(wǎng)絡(luò)環(huán)境的變化。為適應(yīng)新技術(shù)的發(fā)展,解決云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)和工控領(lǐng)域信息系統(tǒng)的等級(jí)保護(hù)工作的需要,由公安部牽頭組織開展了信息技術(shù)新領(lǐng)域等級(jí)保護(hù)重點(diǎn)標(biāo)準(zhǔn)申報(bào)國(guó)家標(biāo)準(zhǔn)的工作,等級(jí)保護(hù)正式進(jìn)入2.0時(shí)代。
等級(jí)保護(hù)2.0:《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第二十一條明確規(guī)定:“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度?!睘榱素瀼芈鋵?shí)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》,適應(yīng)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等新技術(shù)、新應(yīng)用情況下網(wǎng)絡(luò)安全等級(jí)保護(hù)工作,2019年5月正式發(fā)布《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》,并定于12月1日正式實(shí)施,這標(biāo)志著國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)工作步入新時(shí)代。
等級(jí)保護(hù)2.0標(biāo)準(zhǔn)體系五個(gè)規(guī)定動(dòng)作是指:定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查。等級(jí)保護(hù)2.0標(biāo)準(zhǔn)將圍繞這5個(gè)規(guī)定動(dòng)作開展工作。等級(jí)保護(hù)2.0標(biāo)準(zhǔn)體系流程如圖所示。
①《實(shí)施指南》主要內(nèi)容是描述等級(jí)保護(hù)工作整個(gè)過程。
②《定級(jí)指南》主要內(nèi)容是有關(guān)等保對(duì)象定級(jí),基本要求是最為核心一個(gè)標(biāo)準(zhǔn),主要對(duì)象是對(duì)等保對(duì)象提出安全保護(hù)能力。
③《安全設(shè)計(jì)技術(shù)要求》是實(shí)現(xiàn)基本要求的最佳實(shí)踐。
④《測(cè)評(píng)要求》是對(duì)等級(jí)保護(hù)對(duì)象的安全狀況進(jìn)行安全測(cè)評(píng)并提供指南,也適用于網(wǎng)絡(luò)安全職能部門依法進(jìn)行的網(wǎng)絡(luò)安全等級(jí)保護(hù)監(jiān)督檢查參考使用。
⑤《測(cè)評(píng)規(guī)程指南》是對(duì)測(cè)評(píng)機(jī)構(gòu)的工作過程進(jìn)行規(guī)范化管理。
等級(jí)保護(hù)2.0的中心思想為“一個(gè)中心三重防護(hù)”,就是針對(duì)安全管理中心和計(jì)算環(huán)境安全、區(qū)域邊界安全、通信網(wǎng)絡(luò)安全的安全合規(guī)進(jìn)行方案的定制化設(shè)計(jì),建立以計(jì)算環(huán)境安全為基礎(chǔ),以區(qū)域邊界安全、通信網(wǎng)絡(luò)安全為保障,以安全管理中心為核心的信息安全整體保障體系。其中等級(jí)保護(hù)2.0尤其對(duì)于工控系統(tǒng)安全定義了新的擴(kuò)展要求:
①物理和環(huán)境安全。增加了對(duì)室外控制設(shè)備的安全防護(hù)要求,如放置控制設(shè)備的箱體或裝置以及控制設(shè)備周圍的環(huán)境。
②網(wǎng)絡(luò)和通信安全。增加了適配于工控系統(tǒng)網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)架構(gòu)安全防護(hù)要求、通信傳輸要求以及訪問控制要求,增加了撥號(hào)使用控制和無線使用控制的要求。
③設(shè)備和計(jì)算安全。增加了對(duì)控制設(shè)備的安全要求,控制設(shè)備主要是應(yīng)用到工控系統(tǒng)當(dāng)中執(zhí)行控制邏輯和數(shù)據(jù)采集功能的實(shí)時(shí)控制器設(shè)備,如控制器、PLC等。
④安全建設(shè)管理。增加了產(chǎn)品采購(gòu)及使用和軟件外包方面的要求,主要針對(duì)工控設(shè)備和工控專用網(wǎng)絡(luò)安全產(chǎn)品的要求,以及工控系統(tǒng)軟件外包時(shí)有關(guān)保密和專業(yè)性的要求。
⑤安全運(yùn)維管理。調(diào)整了漏洞和風(fēng)險(xiǎn)管理、惡意代碼防范管理和安全事件處置方面的需求,更加適配工業(yè)場(chǎng)景應(yīng)用和工控系統(tǒng)。
關(guān)鍵基礎(chǔ)設(shè)施防護(hù)標(biāo)準(zhǔn)體系
中國(guó)在關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系建設(shè)方面起步較晚,急需建立關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力評(píng)估體系,制定科學(xué)合理、擴(kuò)展性強(qiáng)的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全能力評(píng)估標(biāo)準(zhǔn)。目前國(guó)家正在制定如下標(biāo)準(zhǔn):《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力評(píng)價(jià)方法》;《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定方法》;《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》;《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全控制措施》;《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評(píng)估指南》;《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障指示體系》;《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求》。
共有訪客發(fā)表了評(píng)論
網(wǎng)友評(píng)論