2019年5月13日,发布的网络安全等级保护制度2.0标准(等保2.0)在原有基础上进行了细化、分类和加强,工业控制系统、云计算、移动互联网、物联网、大数据安全被纳入管理范畴。
等保2.0已于2019年12月1日正式实施,如何满足等保2.0合规要求、建立健全有效的工控安全体系,是每一个工业企业急需解决的问题。
工业控制系统安全技术设计架构采用“纵向分层、横向分区”的纵深防御,构建安全管理中心,设计安全计算环境、安全区域边界、安全通讯网络三重防护体系,以实现可信、可控、可管的系统安全互联、区域边界安全防护和计算环境安全。
工控等保安全技术设计框架如图:
以“纵向分层、横向分区”为依据,采用技术手段进行隔离;广域网可根据现有业务情况,采取加密技术手段实现通信传输安全。
工业网络隔离
在生产管理层与企业资源层之间部署工业防火墙,配置单向传输策略,禁止办公网对生产网的非法访问,采用白名单策略部署在不同安全域之间,禁止非授权的访问,防止恶意代码在安全域间扩散。
互联网与办公网隔离
在互联网和办公网的边界处部署下一代防火墙,禁止互联网对办公网的非法访问,保障网络架构安全。
禁止穿越边界的E-Mail、Web、Telnet、Rlogin、FTP等非工业网络服务请求;针对特定的工业场景新增拨号及无线使用控制要求。
生产网流量的监测审计
在各核心交换机旁路部署的工控安全监测审计平台,可及时发现网络入侵行为,并对超出基线异常行为报警。
生产管理层流量的监测设计
在办公网核心交换机上部署的APT攻击(网络战)预警平台,对新型网络攻击行为进行分析、记录、报警。
控制设备应在有条件的情况下满足身份鉴别、访问控制、安全审计等通用要求;保证稳定性/可用性,采用专用方式对控制设备进行更新;不需要的驱动、U口、网口等应严格管控。
工业环境主机的安全加固
在关键主机和服务器上部署工控主机卫士,阻止一切不在白名单库中的软件、程序的安装和执行。对主机基线、主机资源的访问权限、用户的身份鉴别等进行严格的管控,对外设(如U盘)进行严格的监控管理。
工控系统漏洞的发现
在工控系统网络可达处部署工控漏洞扫描平台,对控制设备的漏洞进行检测评估,及时指导控制设备进行补丁更新、固件更新。
应划分出特定的管理区域,实现最小特权的系统管理,操作留痕的审计,以及安全需求和分析的集中管控。
安全运维审计
运维审计和风险控制系统对系统运维进行全面的审核及身份鉴别,对运维行为进行审计、记录、存储和查询。
综合日志审计平台对分散在各个设备上的数据进行收集汇总和集中分析。
数据库审计与风险控制系统对数据库的操作行为审计、记录、存储。
安全设备的集中管控
部署安恒工业安全管控平台实现对安全设备或安全组件的安全策略、恶意代码、补丁升级等统一集中管理。
工业安全的态势感知
安恒工业安全态势感知平台对安全设备、网络设备、网络链路、主机和服务器进行集中监控,对各类安全事件进行识别、报警和分析,对攻击行为追踪溯源等。
原文始发于微信公众号(安恒信息):工控系统等保2.0安全加固方案
![CVE-2017-4971-漏洞详情 [附payload]-微慑信息网-VulSee.com](http://p2.qhimg.com/t011076a102abc1a7ec.png)
![[美图] 又白又大的极品少女-微慑信息网-VulSee.com](http://www.173mimi.cn/uploads/allimg/081229/0159530.jpg)
![[八卦] 王婷婷—揭秘一个大三女生的性爱录像-微慑信息网-VulSee.com](http://free.86hy.com/crack/pic/1.jpg)
![[随笔]今天国际警察节-微慑信息网-VulSee.com](http://photo.sohu.com/20041017/Img222528326.jpg)
青云网
