標(biāo)準(zhǔn)規(guī)范
2020年是工業(yè)控制系統(tǒng)(ICS,industrial control system)網(wǎng)絡(luò)安全建設(shè)的重要一年,未來幾年在石化行業(yè)有大范圍推廣的趨勢(shì),自控貓從即日起新增ICS網(wǎng)絡(luò)安全系列文章,從一些基本概念開始,試圖逐步學(xué)習(xí)控制網(wǎng)絡(luò)安全的知識(shí)點(diǎn)。
網(wǎng)絡(luò)安全的法律法規(guī)出現(xiàn)的較早,國(guó)內(nèi)在90年代就有相關(guān)的文件,在14年也頒布了網(wǎng)絡(luò)安全法的法律文件。涉及到網(wǎng)絡(luò)安全的主管部門是公安部,這和我們做安全評(píng)估的應(yīng)急管理廳及做設(shè)計(jì)的住建部是不一樣的。網(wǎng)絡(luò)安全從民用逐步向工業(yè)轉(zhuǎn)變,民用中包括銀行、電信、政府部門等信息系統(tǒng),工業(yè)中先行的是電力、核電、水利、燃?xì)獾壬婕暗酱蠓秶裆男袠I(yè),未來幾年石化也會(huì)是重點(diǎn)區(qū)域,這次疫情讓大家明白,石化依舊是支柱產(chǎn)業(yè),發(fā)生緊急情況后缺乏石化體系的支撐是不行的。
ISO里很早就有關(guān)于網(wǎng)路安全的標(biāo)準(zhǔn),如ISO/IEC 27001《信息安全管理要求》、ISO/IEC27002《信息安全控制實(shí)施規(guī)程》等,但這些是面向所有行業(yè)的通用要求,石化的網(wǎng)絡(luò)安全監(jiān)管有其自有的特點(diǎn),還需結(jié)合行業(yè)實(shí)際情況去做網(wǎng)絡(luò)安全相關(guān)工作。
IEC62443《工業(yè)控制系統(tǒng)的信息安全標(biāo)準(zhǔn)》是我們做ICS網(wǎng)絡(luò)安全工作的基礎(chǔ)性標(biāo)準(zhǔn)文件,這一點(diǎn)類似于IEC61511對(duì)石化系統(tǒng)做SIS的意義。目前國(guó)內(nèi)對(duì)其第一章節(jié)做了翻譯工作,即GB/T33007-2016,如下圖所示。
IEC文件有個(gè)普遍的特點(diǎn),其寫作思維模式是西方模式,大部分IEC文件讀起來都不是很好理解,尤其國(guó)內(nèi)翻譯時(shí)采用直譯的方式,譯文通常也很難理解。IEC62443分為四個(gè)部分,第一章節(jié)主要是一些術(shù)語概念、全生命周期管理等(這個(gè)也類似于IEC61508.1);第二章節(jié)適用于業(yè)主,包括網(wǎng)絡(luò)安全管理體系的要求、實(shí)施指南、補(bǔ)丁管理、安裝和維護(hù);第三章節(jié)適用于系統(tǒng)集成商,包括安全技術(shù)要求、系統(tǒng)安全要求等;第四章節(jié)適用于零件供應(yīng)商,是產(chǎn)品開發(fā)的要求。
因?yàn)榫W(wǎng)絡(luò)安全在民用行業(yè)也普遍存在,故國(guó)內(nèi)對(duì)這方面的研究也非常的多,這一點(diǎn)是不同于IEC61508的SIS方面的,所以在標(biāo)準(zhǔn)規(guī)范上面,可以多關(guān)注關(guān)注國(guó)內(nèi)的要求。
國(guó)內(nèi)最出名的莫過于“等保2.0”了,即GB∕T 22239-2019 《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》,這是在14年版本的規(guī)范上面剛升版的規(guī)范(14年的稱為等保1.0),里面有對(duì)網(wǎng)絡(luò)安全等級(jí)進(jìn)行劃分,并針對(duì)于不同的工業(yè)控制系統(tǒng)提出了不同等級(jí)下的防護(hù)要求。
那么一個(gè)項(xiàng)目中的網(wǎng)絡(luò)等級(jí)評(píng)估是如何得出來的呢?
這個(gè)可以看一下《工業(yè)自動(dòng)化和控制系統(tǒng)網(wǎng)絡(luò)安全 集散控制系統(tǒng)(DCS) 》(GBT 33009-2016),這個(gè)規(guī)范里面分為4個(gè)部分,里面有網(wǎng)絡(luò)等級(jí)評(píng)估的方法。這個(gè)規(guī)范相對(duì)來說容易讀的多,比較契合實(shí)際情況,雖然我沒有讀過IEC62443,但我想GB33009里面有參考IEC62443的內(nèi)容,因?yàn)槔锩嫱瑯哟嬖谝恍┓菨h語邏輯的句子(這些表達(dá)方式常見于IEC規(guī)范的直譯)。
網(wǎng)絡(luò)安全是從前期的等保評(píng)估、設(shè)計(jì)實(shí)施、安全測(cè)評(píng)、日常維護(hù)的一整套流程,這個(gè)是SIS的全生命周期是類似的,遵循咨詢 設(shè)計(jì) 實(shí)施 驗(yàn)收 維護(hù) 再改進(jìn)的程序。在這一系列程序中,自然要涉及到資質(zhì)、流程(包括備案等)事情,這些要看公安部的文件,主要如下:
關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知(公信安[2007]861號(hào))
信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則公信安[2007]1360號(hào)
關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和開展等級(jí)測(cè)評(píng)工作的通知 公信安303
公通字[2007]43號(hào)
公信安[2014]2866號(hào)
GA_T1389-2017信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南
當(dāng)然還有其他的標(biāo)準(zhǔn)規(guī)范,大家可以對(duì)著看一看,如:
GB_T30976.1-2014工業(yè)控制系統(tǒng)信息安全第1部分:評(píng)估規(guī)范
GB_T30976.2-2014工業(yè)控制系統(tǒng)信息安全第2部分:驗(yàn)收規(guī)范
GB-T28449-2018
包括ISA的規(guī)范:ISATR84.00.09-2017
工業(yè)控制網(wǎng)絡(luò)安全的書籍也有幾本,這個(gè)大家感興趣的可以看一看,本文沒有用列表的方式去列舉規(guī)范,著重去看等保2.0的規(guī)范,如果對(duì)前期評(píng)估感興趣的可以看一下GB33009。
總體而言,網(wǎng)絡(luò)安全在民用領(lǐng)域應(yīng)用多年,但民用的和工業(yè)的關(guān)注點(diǎn)不一樣,石化也有其特有的關(guān)注點(diǎn),尤其是近年來中石化發(fā)布了關(guān)于加強(qiáng)網(wǎng)絡(luò)安全的文件(如中國(guó)石化生 2019 318號(hào)文),在未來幾年網(wǎng)絡(luò)安全會(huì)和各位自控行業(yè)從事人員息息相關(guān)。
