2014年全国安标委秘书处下达对《信息安全技术 信息系统等级保护基本要求》(GB/T 22239—2008)进行修订的任务,修订工作由公安部第三研究所(公安部信息安全等级保护评估中心)主要承担。从此拉开了等保2.0的序幕。经过三次专家评审和多次意见修改,形成了最新版本的标准送审稿。2017年10月16日,全国信息安全标准化技术委员会2017年第二次会议周在厦门召开期间,威努特作为WG5工作组成员单位,深度参与了公安部三所马力老师对《信息安全技术 网络安全等级保护基本要求》( GB/T 22239-XXXX 代替 GB/T 22239-2008)送审稿的解读。本次解读的送审稿与2016年9月的征求意见稿比较发生了哪些变化,这些变化对工业控制系统网络安全规划、设计、建设、运维和评估产生哪些影响,接下来小威和您一起探究新标准的新变化。
1.标准整体变化:分册合五为一
2017年8月,公安部评估中心根据网信办和安标委的意见将等级保护在编的5个基本要求分册进行整合编写,形成《信息安全 网络安全等级保护基本要求》1个标准文档。
同样,针对设计要求(GB/T 25070)与测评要求(GB/T 28448)也由5个分册分别整合成一册。
由于业务目标的不同、使用技术的不同、应用场景的不同等因素,不同的等级保护对象会以不同的形态出现,为了便于实现对不同级别和不同形态的等级保护对象的共性化和个性化保护,等级保护要求分为安全通用要求和安全扩展要求。
安全通用要求:牵头单位公安部信息安全等级保护评估中心
云计算安全扩展要求:牵头单位公安部信息安全等级保护评估中心
移动互联安全扩展要求:牵头单位北京鼎普科技股份有限公司
物联网安全扩展要求:牵头单位公安部第一研究所
工业控制系统安全扩展要求:牵头单位浙江大学
2.工业控制系统安全扩展要求变化
2.1 内容结构调整
工业控制系统安全扩展要求之前的版本是以工业控制系统为主线,再按照安全等级划分技术要求和管理要求进行阐述,技术要求由物理和环境安全、边界防护、集中管控以及各业务层(生产管理层、过程监控层、现场控制层和现场设备层)的安全要求组成,新版本以安全等级为主线分别以不同业务场景的安全扩展进行阐述,工业控制系统安全扩展不再按业务层次划分,而是在安全通用要求的基础上,扩展相应的安全要求。以第三级基本安全要求为例,对比新旧版本针对工业控制系统安全扩展要求的描述结构变化。
2.2 物理和环境安全变化
增加室外控制设备物理防护,之前的版本仅参考安全通用要求,没有体现工业控制系统的特殊性,由于工业控制系统网络设备的应用环境与具体业务应用场景相关,所以室外环境安装控制设备、网络设备和安全设备的场景较多,新版本充分考虑工业环境的特殊性,专门针对室外设备的物理环境安全做扩展要求和说明。
2.3 网络和通信安全变化
明确单向技术隔离手段:在网络架构方面,旧版本标准要求在控制区域边界进行监视和控制通信,而新版本则具体要求工业控制系统与企业其他系统之间采用单向技术隔离手段,明确了技术手段,使得企业在参考该标准进行网络安全建设和整改时技术措施更明确。
增加拨号使用控制:旧版本未体现拨号服务如何进行控制和保护,新版本中充分考虑了部分工业控制系统使用拨号服务的现实情况,将拨号使用控制作为专门的控制点进行要求描述,包括限制用户数量、身份鉴别、访问控制、操作系统加固、传输加密等技术要求。
细化无线使用控制:旧版本中已经提出针对无线通信用户提供唯一性标识和鉴别,提供授权、监视以及执行使用进行限制,新版本在此基础上继续细化了传输报文的机密性保护、识别物理环境中发射的未经授权的无线设备、报告未经授权试图接入或干扰控制系统行为等技术要求,不仅从软件逻辑上进行技术保护,更考虑了物理环境方面需要提供技术防护措施的要求,使得无线使用对于工业控制系统变得更安全可靠。
2.4 设备和计算安全变化
控制设备安全扩展:旧版本的描述内容是基于安全通用要求的主机安全方面在工控系统环境的应用进行了适应性修改,而新版本在安全通用要求的基础上,针对控制设备细化了外设端口的管控要求,包括软盘驱动、光盘驱动、USB接口、串行口外设技术管控,明确了控制设备上线运行前进行安全性检测的必要性,强调了更新工具需要专人专用等措施以确保控制设备自身的安全性。
2.5 应用和数据安全扩展,已删除
旧版本标准中,参考安全通用要求部分的应用和数据安全,结合工控系统的使用环境进行适应性描述,包括身份鉴别、访问控制、安全审计等。新版本中在工业控制系统安全扩展要求部分删除该项扩展要求,全部基于安全通用要求进行技术防护,简化了标准文档的描述架构,清晰简洁。
2.6 安全建设管理扩展,新增加
旧版本标准中,工业控制系统的安全建设管理要求全部采用安全通用要求中的管理要求内容,没有针对工业控制系统的安全建设进行细化和明确,新版本针对工业控制系统的特点对安全建设管理进行细化和明确,主要增加了如下内容:
产品采购和使用:控制设备和专业信息安全产品需经过安全性检测、电磁兼容性检测后方可采购使用,尤其是对电磁兼容性检测要求是工业控制系统应用环境与传统信息产品应用环境不同的显著体现。
外包软件开发:在安全通用要求的基础上,专门提出了设备及系统在生命周期内有关保密、禁止关键技术扩散和设备行业专用等方面的约束要求。安全管理从设备交付延伸到全生命周期的管理,符合工业控制系统全生命周期运行的业务特点。
2.7 安全运维管理扩展,新增加
旧版本标准中,工业控制系统的安全运维管理要求全部采用安全通用要求中的管理要求内容,没有针对工业控制系统的安全运维管理进行细化和明确,新版本针对工业控制系统的特点对安全运维管理进行细化和明确,主要增加了如下内容:
漏洞和风险管理:明确按工业控制系统类别建立工控设备的漏洞库,从传统的主机服务器扩展到控制设备的漏洞管理,并要求对漏洞库进行定期更新;针对工业控制系统特点提出漏洞验证机制和不影响生产的漏洞修补机制,同时充分考虑工业控制系统环境中部分漏洞无法修复的现实情况,对不能修复的漏洞采取补偿措施的管理要求。
恶意代码防范管理:在安全通用要求的基础上,结合工业控制系统业务流程的可靠性要求,新版本的扩展要求中强调更新样本库的离线测试、离线更新、专人负责、保留记录等管理要求。
安全事件处置:在安全通用要求的基础上,考虑工业控制系统业务模型的一致性和关联性,新版本的扩展要求中增加了联合防护应急机制和跨单位处置的管理要求,保障处置工业控制系统安全事件时,能够协调联动,共同应对。
3.总结
新标准更懂工业控制系统
新版本的工业控制系统扩展要求,充分考虑了工业控制系统的应用环境和场景,结合工业控制相关业务模型,新增、细化了相关技术要求和管理要求,草案稿中针对工业控制系统扩展要求的表述方式和语言更符合工业场景。
新标准可执行、易落地
新版本的工业控制系统扩展要求,充分吸收了其他工业控制系统信息安全防护的相关规范和要求,包括电力行业的相关安全防护方案,在技术描述方面更符合工业控制系统的实际需求,变更或删除不适应工业控制系统的条款,使得标准的技术要求和管理要求更清晰明确,便于工业控制系统的运营者规划网络安全需求更具有针对性,便于工业控制系统网络安全厂商设计可执行易落地的网络安全技术方案和管理方案,便于网络安全评估单位更准确的评估工业控制系统的安全防护水平。