工业控制系统(Industrial Control Systems,ICS),是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。其组件包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED),以及确保各组件通信的接口技术。工业控制系统的操作系统、杀毒软件安装及升级更新、设备维修时笔记本电脑的随便接入、操作行为、控制终端、管理终端、服务器、网络设备故障等都存在许多潜在的风险。
工业控制系统被广泛应用于石油、石化、冶金、电力、燃气、煤矿、烟草以及市政等领域,用于控制关键生产设备的运行。这些领域中的工业控制系统一旦遭到破坏,不仅会影响产业经济的持续发展,更会对国家安全造成巨大的损害。网络安全等级保护是网络安全工作的基本制度、基本国策;是开展网络安全工作的基本方法;是信息化健康发展、维护国家网络安全的根本保障,是国家意志的体现,也是目前严峻的安全形势下,亟待完成的基础安全防护,本文主要讲述在工业控制系统中如何实现网络安全等级保护的相关要求。
以下重点介绍技术类3级安全要求。
(1)物理环境安全
物理环境安全是保护工业控制系统中物理设备不受直接破坏,保护的对象主要有机房、办公场所、重要和关键工业控制设备所在的区域。
(2)网络和通信安全
在工业控制系统中的网络边界安全尤为重要,为了防止从外部网络和内部非重要网络对重要网络区域的入侵,要求限制和监测非授权设备私自联到内部网络的行为、内部用户非授权联到外部网络的行为;对于无线网络使用进行严格控制,对所有参与无线通信的用户(人员和软件进程)提供唯一性标识和身份鉴别,确保无线网络通过受控的边界防护设备接入内部网络。监视和控制区域边界通信,默认拒绝所有非必要的网络数据流,仅允许例外网络数据流;边界防护机制失效时,能阻止所有边界通信(也称故障关闭)并及时进行报警,但故障关闭功能的设计不应干扰安全相关功能的运行。
(3)设备和计算安全
测评对象为工业控制系统中的设备,包括网络设备、安全设备、服务器、终端、数据库管理系统、控制器、控制单元、记录装置、传感器、执行机构、保护装置等。
对工业控制系统中重要设备的用户登录、操作、行为、资源使用情况等信息应保留审计记录,以便于发生安全事件时进行分析、跟踪、追责。审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息,并对审计记录进行保护,按照规定留存相关的网络日志不少于六个月。另外,审计记录产生时的时间应由系统范围内唯一确定的时钟产生,以确保审计分析的正确性。
(4)应用系统安全
测评对象为与企业资源相关的财务管理、资产管理、人力管理等系统的软件和数据资产,与生产制造相关的仓储管理、先进控制、工艺管理等系统的软件和数据资产,监控软件,控制程序等。
(5)数据安全
工业控制系统应采用校验码技术或加解密技术保证重要数据在传输过程或存储过程的完整性,采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据传输或存储的保密性。
对于重要数据应提供重要数据的本地数据备份与恢复功能,提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地,提供重要数据处理系统的热冗余,保证系统的高可用性。
综上所述,工业控制系统要达到等级保护的要求,必须从物理环境安全、网络和通信安全、设备和计算安全、应用系统安全、数据安全、安全管理等多个层面去落实相关规定,定期开展应急演练、漏洞扫描修复、系统安全管理等防护工作,三级工控系统每年进行一次等级测评,对发现的安全问题及隐患,依据网络安全等级保护理论进行安全整改加固,消除潜在的安全风险,提高工控系统的综合安全防护能力。
网络安全学习资源分享:
给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,需要点击下方链接即可前往获取
读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)
同时每个成长路线对应的板块都有配套的视频提供:
大厂面试题
视频配套资料&国内外网安书籍、文档
当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料
所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~
读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)
特别声明:
此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。