等保2.0与工业控制领域的安全问题

（文章来源：百家号）

网络安全等级保护是国家网络安全保障的基本制度基本策略和基本方法。2019年5月13日等保2.0正式发布，这是继2008年发布等保1.0十余年来继网络安全法实施后的一次重大升级。等保2.0在等保1.0的基础上，更加注重全方位主动防御、安全可信、动态感知和全面审计。

工控角度等保2.0有哪些变化呢？01、总体结构上的区别，结构上由原来的安全要求变到现在的安全通用要求加安全扩展要求。02、等保对象变化，等保对象由原来的信息系统过渡到现在的网络和信息系统，统称为等级保护对象。03、控制层面变化，由传统的IT防护到2.0的体系化防护，04、控制项变化。

部分控制项在合并删除新增之后，整体数量降低，由原来的290项到现在的通用要求211项，同时伴随着新增的21项工控安全扩展要求，总共工业控制系统安全要求控制项达到了232项。除此之外，等级保护的合格线也从60分提升到现在的75分，这对于等保建设来说要求变得越来越严格。

根据等保2.0的要求，工业控制系统需要同时满足通用要求和扩展要求两部分。在通用要求里面，除了新增了可信认证的相关要求之外还需要关注以下几点：1. 在边界控制访问策略以及新型攻击行为检测方面作出了新的要求；2. 针对漏洞修补，明确要求需要经过充分的认证和测试；3. 提出了安全管理中心的概念。

要求安全管理中心满足系统集中管理、审计日志分析、安全策略、集中管理运行状态监控等要求，对于工业控制系统来说也是一个新的挑战。

在工业控制系统的安全扩展要求里面，我们还需要关注以下几点：1、明确了工业控制系统在对外边界处需要采用单向隔离技术，禁止E-mail web Telnet 等通用网络服务穿过对外的边界，对实时性要求较高的网络应独立组网，并且与其他网络实现物理隔离。2、安全区域边界处增加了拨号访问和无线使用的相关要求，对工业控制设备上线前要求进行安全检测。理论上能要求工业控制设备再满足通用要求的身份鉴别访问控制和安全审计等等要求内容。在控制设备条件受限时，可以由其上位机或者管理设备替代满足相关要求。

三重防护：在边界上建议通过单向隔离和防火墙技术实现边界的隔离和访问控制，在核心区域的核心节点上建议通过审计和检测技术实现对外部入侵特别是新型攻击的防范，针对控制设备，我们建议通过风险检测技术，在控制设备上线前以及运行过程中对其漏洞进行监测，最后对于控制设备相连的上位机建议通过终端管控技术实现对运行环境的监控，特别是在控制设备实际上无法满足相关的身份鉴别反应访问控制等要求的情况下，需要上位主机替代控制器实现相应的安全要求。

一个中心，安全管理中心需要对内满足集中策略管理运行监控系统管理等功能，对外我们需要实现安全事件安全风险的识别告警和分析功能，最终达到协同防护的目的。