基于等保2.0的电力防护方案浅析

基于等保2.0的电力防护方案浅析

时间:2020-10-09 作者:安帝科技

等级保护2.0于2019年12月开始实施。等级保护2.0是国家网络安全的一次重大升级,是深入贯彻落实《中华人民共和国网络安全法》、实现国家网络强国战略目标的基础。等级保护2.0由单独的基本要求演变为通用安全要求+安全扩展要求,工业控制系统作为重点保护对象被纳入其中,由此,工业控制系统已上升至国家法律保护范畴。

一等级保护2.0简介

1)级保护等2.0基本概念:

信息安全等级保护(以下简称等保)是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

《网络安全法》第21条、第31条明确规定了网络运营者和关键信息基础设施运营者,都应该按网络安全等级保护制度的要求对系统进行安全保护,以法律的形式确定等级保护工作为国家网络安全的基本国策,并在法律层面确立了其在网络安全领域的基础、核心地位。

2)等级保护2.0标准体系:

∴网络安全等级保护条例(总要求/上位文件)
∴计算机信息系统安全保护等级划分准则(GB 17859-1999)(上位标准)
∴网络安全等级保护实施指南(GB/T25058-2020)
∴网络安全等级保护定级指南(GB/T22240-2020)
∴网络安全等级保护基本要求(GB/T22239-2019)
∴网络安全等级保护设计技术要求(GB/T25070-2019)
∴网络安全等级保护测评要求(GB/T28448-2019)
∴网络安全等级保护测评过程指南(GB/T28449-2018)

3)企业开展等保2.0的原因:

∴国家法律要求
国家法律法规及行业监管政策都要求开展等级保护工作,如《网络安全法》和《信息安全等级保护管理办法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求, 履行安全保护义务,如果拒不履行,将会受到相应处罚。

∴自身安全要求
通过等级保护,企业自身可以发现系统内部的安全隐患与不足, 可通过安全整改提升系统的安全防护能力,降低被攻击的风险。

4)安全框架等级保护2.0基本要求

图1 安全框架图

安全通用要求细分为技术要求和管理要求。其中技术要求包括“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”;管理要求包括“安全管理制度”、“安全管理机构”、“安全管理人员”、“安全建设管理”和“安全运维管理”。

二基于等保2.0的安全解决方案-电力行业

1)等级保护2.0技术要求:

图2 通用技术要求图


图3 工业控制系统扩展要求图

技术要求分类体现了从外部到内部的纵深防御思想。对等级保护对象的安全防护应考虑从通信网络到区域边界再到计算环境的从外到内的整体防护, 同时考虑对其所处的物理环境的安全防护。对级别较高的等级保护对象还需要考虑对分布在整个系统中的安全功能或安全组件的集中技术管理手段。

2)安全防护方案:

方案依据等级保护通用要求和工业控制系统扩展要求进行设计,以“一个中心、三重防护”为安全理念,通过部署工业网络防火墙、工控安全监测审计、工控入侵检测、工业统一安全管理平台等安全防护产品,提升电力生产监控系统网络整体防护能力,部署示意图如下:


图4 安全防护图

在电力监控系统生产控制大区部署一套漏洞扫描系统,对国内外常见的DCS系统、组态软件、HMI、PLC、应用系统等多种类型的系统或设备进行针对性扫描,准确定位其脆弱点和潜在威胁。
在电力监控系统生产控制大区部署一套入侵检测系统,对网络异常事件、工控协议攻击事件等提供实时告警,通过特定的安全策略,快速识别出系统中存在的异常事件、APT攻击、蠕虫木马及外部攻击等。
在电力监控系统生产控制大区部署一套监测审计系统,对控制网络中的网络流量进行实时监测,通过特定的安全策略,检测和记录电力监控系统中的操作行为和异常网络行为,便于事后进行事件取证和定责。在电力监控系统生产控制大区横向间(Ⅰ区和Ⅱ区之间、子系统之间)部署工业网络防火墙系统,解决不同区之间的逻辑隔离与违规访问问题,实现区域之间的边界隔离与防护,在电力监控系统生产控制大区纵向间部署工业网络防火墙系统,通过对Modbus、S7等协议进行深度解析与“白名单”控制功能,解决不同区之间的误操作、违规操作以及病毒、木马等恶意代码攻击问题。在电力监控系统生产控制大区部署一套主机安全防护系统,对关键业务进程、程序予以保护,建立白名单库,优化系统数据访问控制、外设管控等,将易受攻击的普通操作系统提升为安全操作系统,有效防护IT网络病毒和工控病毒(如Havex)的运行,大大提高工业主机的安全性。在电力监控系统新建安全区部署工控统一安全管理系统,通过管理平台对所部署的安全设备进行统一安全管理,包括策略下发、日志审计、报警展示等,简化运维管理工作流程、提高运维管理工作效率。

三安全方案合规产品分析

1)安全通讯网络


2)安全区域边界




3)安全计算环境



4)安全管理中心


                  注:标红部分为工业控制系统扩展要求

四、总结

安帝科技按照国家等级保护要求,定期进行风险评估检测,及时了解发电企业网络及系统薄弱环节,在充分考虑企业生产监控系统面临主要安全威胁的基础上,根据“一个中心”“三重防护”体系框架,构建在安全管理中心支持下的通信网络、区域边界、计算环境三重防御体系,结合集团电力企业网络安全建设情况、业务应用实际组网情况等,系统地为企业提供分层级的纵深安全解决方案,为电力企业基础业务系统安全运行保驾护航。