网络安全等级保护制度作为我国网络安全的基本国策已经施行多年,随着今年“等保2.0”的正式颁布,将工业控制系统正式纳入等保的范畴,越来越多的电厂用户开始着手规划和开展重要工业控制系统的网络安全等级保护建设工作。参照典型的信息系统网络安全等级保护合规性整改建设流程,电厂工业控制系统的等保整改加固工作主要以测评机构的差距测评为依据,针对主要的“高风险项”、“中风险项”采取技术和管理加固措施,最终达到合规目标。等保合规性整改建设的实施作为一个系统性工程,需要在对差距项充分理解的基础上以合理的设备类技术补偿性措施和安全技术服务相结合,不能陷入只要增加网络安全设备就能合规的误区。基于威努特在电厂工业控制系统等保建设项目的丰富实施经验,本文将对电厂工业控制系统等保整改加固项目的典型实施过程进行介绍,并分享一些常见的技术补偿性措施实施指标建议,供广泛电厂用户和业内人士参考。
1等保整改加固项目基本流程
参照等保2.0的技术规范,电厂工业控制系统的等保建设过程与常规信息系统基本一致,按照定级→备案→整改建设→等保测评→监督检查的基本过程,由于电厂工业控制系统用户一般对等保的技术规范和要求不是非常熟悉,因此通常会在系统完成定级后进行等保差距测评,对目前系统中存在的差距项进行评估,并以此为依据制定整改加固方案,按照电厂自身的标准化流程完成安全设备和服务商的选定之后,开始进行系统测评差距项的整改,完成整改后再由等保测评机构进行正式测评,出具测评报告,在主管单位审定合格后即基本完成系统的等保建设阶段工作。
整改加固阶段作为整个等保建设的关键内容,实施的规范与否决定最终的测评结果。一般的整改加固过程主要包括制定整改加固方案、安全设备和服务商选定、整改加固实施三部分。制定整改加固措施过程中建议咨询专业的第三方安全公司,一一明确高、中、低风险项整改措施,此过程需要充分评估整改项对于工业控制系统的影响和实施可行性。在安全设备和服务商选定阶段建议电厂用户充分考量其服务资质、施工经验,且在采购安全设备的同时增加安全服务内容。
整改加固实施尽量选择在每年的停机维修周期内进行,尽量降低整改加固实施过程中对企业生产的影响,典型的整改加固实施过程包括:办理进厂→系统勘查→设备调试和安全加固→安全培训→配合等保测评→办理离厂。
◇ 办理进厂手续阶段主要对入厂实施人员进行审核(主要核验人员信息、人身保险、劳保用品等),并进行安全规章制度的学习和培训,签署安全管理条例知情书等材料。
◇ 系统勘查阶段主要对电厂工业控制系统的现场情况进行现场勘查,确认控制系统电子设备间、中控室等网络接线、电源、机柜等信息,同时明确工业控制系统上位机、服务器的操作系统版本和应用软件,网络设备厂商、型号和版本以及功能支持情况(重点关注网管功能、镜像端口功能、SYSLOG或SNMP日志功能等),安全设备部署位置、部署方式和IP地址规划,制定详细的施工方案。
◇ 设备调试和安全加固阶段主要完成安全设备、软件的部署调试,对部分网络设备、安全设备、主机操作系统、应用和安全管理制度进行加固和完善,这部分内容需要重点关注是否对工业控制系统造成影响,如修改应用系统或数据库弱口令等操作可能会影响系统正常运行(可能由于后台绑定的账号密码未修改),整改加固完成后进行差距项的复核和验证,对部分特殊无法整改的内容进行审定和确认。
◇ 安全培训阶段主要对部署的安全设备和软件使用运维培训。
◇ 办理离厂阶段是在全部实施任务完成后办理离厂手续。
2等保整改加固实施规范性建议指标
在电厂工业控制系统安全整改加固实施过程中,需要严格按照等保差距测评中的风险项进行逐项加固,在差距复核阶段进行核验和说明。以下是针对电厂工业控制系统典型问题项的整改加固规范性建议指标,以及注意事项。
进厂手续规范建议指标
系统勘查规范建议指标
设备调试和安全加固规范建议指标
安全培训规范建议指标
3结束语
电厂工业控制系统的等保安全整改加固建设实施是一项复杂且系统性的工作,需要平衡工控系统的高可用性要求和安全合规要求。北京威努特技术有限公司作为国内最专业的工控安全解决方案和服务供应商,具有完整的工控安全产品线和完善的安全服务,能够为广大电厂用户工业控制系统提供专业的一站式等保合规性建设方案和服务,保障关键生产控制系统安全稳定运行。
文章来源公众号威努特工控安全