安全区域边界建设差异性分析
2.1 安全通用要求
2.1.1 边界防护差异性总结
-
标准要求对比
-
通用差异说明
-
工控差异总结
2.1.2 访问控制差异性总结
-
标准要求对比
-
通用差异分析
-
工控差异总结
工控网等保二级需要根据现场设备层、现场控制层、过程监控层、生产管理层、企业资源层5个层级,纵向部署防火墙或网闸等设备进行访问控制,在涉及生产相关的网络层面边界应考虑部署工控系统专用的防护设备,并且能够针对工控协议进行深度解析与防护;工控网等保三级需要在满足二级访问控制的基础上,针对存在的应用服务进行应用层协议解析和内容控制,如于Web服务器前端部署WAF等专业设备可实现相关访问控制。
2.1.3 入侵防范差异性总结
-
标准要求对比
-
通用差异分析
-
工控差异总结
工控网的入侵防范,除了按照等保二级和等保三级进行通用类防护建设之外,还因工控网存在带工业属性的攻击形式(如PLC蠕虫、组态数据篡改、运行数据篡改等),需要选用包含工控类攻击规则库的入侵防御类设备进行专项防护。
2.1.4 恶意代码和垃圾邮件防范差异性总结
-
标准要求对比
-
通用差异分析
1. 应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。
【说明】应部署防垃圾邮件网关或软件对垃圾邮件进行识别和处理,过滤垃圾邮件中附带的病毒、木马等恶意代码文件,并定期升级相关设备和软件的规则库。
-
工控差异总结
在工控网的关键网络界节点(如核心交换机、边界汇聚交换机等)处,需要部署工控安全监测与审计系统,自学习建立防护白名单并定期升级黑名单特征库,通过“白+黑”的模式全方位对恶意代码进行检测。
2.1.5 安全审计差异化总结
-
标准要求对比
-
通用差异分析
-
工控差异总结
工控网等保二级和等保三级的审计需要注意在工控网采用A、B双网架构时,在日志采集时要能做到对AB网数据源进行日志采集和分析处理;同时部分特殊行业,如电力场景中会将数据通过IEC104协议接入第三方监控平台,日志审计系统要支持通过IEC104协议向第三方系统报送日志和告警。
工控网一般不连接互联网,故需要重点对远程访问行为进行审计,如自动化厂商运维人员远程对组态软件进行维护和配置等行为通过安全运维管理系统(堡垒机)等运维审计专用设备进行审计,合理管控远程访问用户的权限和操作合规性。
2.1.6 可信验证差异化总结
-
标准要求对比
2.2 工业控制系统安全扩展要求
在工业控制系统安全扩展要求中,安全区域边界防护分3类安全控制点,等保二级共5个细分要求,等保三级共8个细分要求。
等保三级在等保二级内容的基础上,额外新增3条更严格的要求,下面我们将以工控系统扩展要求中安全区域边界的控制点为依据,总结等保二级和等保三级防护建设的差异性。
2.2.1 访问控制差异性总结
-
标准要求对比
2.2.2 拨号使用控制差异性总结
-
标准要求
-
通用差异分析
1. 拨号服务器和客户端均应使用经安全加固的操作系统,并采取数字证书认证、传输加密和访问控制等措施。
【说明】对拨号服务器和客户端使用的操作系统进行安全加固,推荐部署主机加固软件或手动加固,从账户管理和认证授权、日志、安全配置、文件权限、服务安全、安全选项等方面加固操作系统,并采取加密、数字证书认证和访问控制等安全防护措施。
-
工控差异总结
工控网的拨号服务器和客户端,因其建设时间早,往往存在硬件配置低、操作系统老旧等情况,若部署非轻量化的加固软件会导致主机卡死和系统不兼容而故障,进而影响生产业务有序开展。在等保三级安全建设中,工控网拨号服务器和客户端可部署轻量化的工控主机卫士软件,一键加固,避免人工手动加固的误操作和漏操作风险,确保工业控制系统拨号使用的安全。
2.2.3 无线使用控制差异化总结
-
标准要求对比
-
通用差异分析
1. 应对无线通信采取传输加密的安全措施,实现传输报文的机密性保护;
【说明】无线通信介质为空间发射的电磁波,极易被拦截和捕获,在无线通信的数据传输过程中应采用隧道加密技术(如IPsecVPN等),确保用户通过无线网络进行通信的隐秘性和安全性。
2. 对采用无线通信技术进行控制的工业控制系统,应能识别其物理环境中发射的未经授权的无线设备,报告未经授权试图接入或干扰控制系统的行为。
【说明】在应用无线通信技术的工业生产环境中部署具备识别、检测工业环境中其他授权无线设备射频信号的网络准入系统等设备,对未授权的无线接入行为及应用进行审计、报警及联动管控,避免无线信号干扰影响生产、避免未授权用户通过无线接入控制系统网络对生产造成破坏。
-
工控差异总结
在工控网中,无线通信具备“零布线成本低”、“部署灵活改造方便”等优势,为移动作业、信号实时采集处理、智能设备运维管理等提供便利,但同时也因网络架构延伸、末梢终端增加以及网络空间开放带来了安全性问题。在等保三级安全建设中,若工控网确需使用无线网络,需要进行单独组网并经由工业防火墙等访问控制设备接入工控网,同时加强身份认证、通信加密、权限控制等安全措施。
等保二级和等保三级因各自安全防护要求的不同,企业/单位在按照其备案级别进行安全防护建设时,需要投入不同的专业设备、配置不同的防护策略、设置合理的管理制度和人员专岗。最后,本文在安全区域边界防护方面,对等保三级相比等保二级的差异化做个整体总结:
1.网络接入和外联管控加强:对非授权的接入/外联行为进行管控和审计,对未授权的无线网络接入行为进行管控和审计,做好网络边界的“进出盘问”工作;
2.访问控制及检测能力加强:深化应用层协议解析和内容过滤,加强对新型网络攻击的检测能力,完善垃圾邮件检测和防护机制,做好网络边界的“看得见,检得出,防得住”工作;
3.审计措施和可信验证加强:补充对远程访问和访问互联网行为的单独审计分析措施,提升对边界设备应用程序的关键执行环节进行动态可信验证的能力,确保网络边界“全审计,信得过”;
4.安全加固及工业无线安全:对工业拨号服务器和客户端进行安全加固,对工业无线通信进行审计和传输加密,做好工业网络边界的“系统安全,信息保密”工作。
原文始发于微信公众号(威努特工控安全):【等保专题】等保二级与三级网络安全边界建设差异性分析总结
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论