作为“等保”系列专题之一,本文将以GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》中“安全通用要求”和“工业控制系统安全扩展要求”的安全控制点为依据,对比分析等保二级与等保三级安全通信网络的差异性,为即将或正在开展等保建设的企业/单位提供参考。
在安全通用要求中,安全通信网络分为“网络架构、通信传输、可信验证”3类安全控制点,其中等保二级共4条细分要求,等保三级在等保二级内容的基础上,额外新增4条更严格的要求。
2.1.1 网络架构差异性总结
-
标准要求对比
-
差异性说明
1、应保证网络设备的业务处理能力满足业务高峰期需要(等保三级)
解释说明:为了保证网络设备(包括交换机、路由器、边界防火墙等)具备足够处理能力,保证业务服务的可用性,应定期检查网络设备资源占用情况,确保网络设备的业务处理能力具备冗余空间,配置网络设备阈值告警。
2、应保证网络各个部分的带宽满足业务高峰期需要(等保三级)
解释说明:为了保证业务服务的连续性,各网络节点的带宽满足业务高峰期需要,应确保网络设备(包括宽带监控设备、负载均衡设备等)对带宽的实时监控,设置阈值告警。如果存在带宽无法满足业务高峰期需要的情况,将存在延迟过高、服务稳定性差等风险,严重情况下会导致业务中断。
3、应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性(等保三级)
解释说明:为了避免通信线路、关键网络设备和关键计算设备出现故障时引起系统中断,应采用冗余技术设计网络拓扑结构(包括不同运营商线路、核心层交换机冗余、汇聚层交换机冗余、防火墙冗余、关键服务器双机热备等),以确保在通信线路、关键网络设备、关键安全设备和关键计算设备故障时提供备用方案,有效增强网络的可靠性。
-
差异性总结
1、等保三级对比等保二级,针对网络设备业务处理能力、网络节点带宽的要求更高
工控系统对于业务服务的可用性要求较高,网络设备的业务处理能力不足,高峰时可能导致网络设备宕机或服务中断,影响工控系统的正常运行,因此在网络建设中应注意网络设备处理能力和网络节点带宽要在能够满足业务高峰期基础上留有一定冗余空间。
另外,工控系统的网络传输主要以指令、组态、采集数据为主,网络吞吐量不大,适度的吞吐量是可以接受的,对于高延迟和/或抖动是不能接受的,所以工控网络设备和工控网络安全设备应具备低时延等能力,保证工控系统的可用性。
2、等保三级对比等保二级,针对关键设备硬件冗余的要求更高
工控系统对于业务服务的可用性要求较高,工控系统设计之初,就将工业控制网络冗余容错理念深入系统之中,例如主控器冗余系统、从设备冗余系统、故障日志系统、工业冗余环网等,随着工业互联网、两化融合、5G、大数据等理念的应用,工控系统逐渐引入MES系统、PIMS系统等全过程管理信息化系统,但部分通信线路、关键网络设备和关键计算设备未实现冗余设计,为了确保工控系统业务服务的可用性,工控系统的工业交换机、服务器、工业防火墙等需冗余配置。
2.1.2 通信传输差异性总结
-
标准要求对比
-
差异性说明
1、应采用校验技术或密码技术保证通信过程中数据的完整性(等保三级)
解释说明:相对于等保二级,等保三级新增了密码技术的要求,为了防止数据在通信过程中被修改或破坏,采用经国家密码主管部门认可的密码技术(如加密机或者VPN)保证通信过程中的数据完整性,这些数据包括鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等,建议系统内各类设备或应用程序使用TLS/SSL、SSH等加密协议进行通信。
2、应采用密码技术保证通信过程中数据的保密性(等保三级)
解释说明:相较等保二级,等保三级更注重数据传输过程的保密性,作为关键项点,要求采用密码技术保证通信过程中的数据保密性,为了防止信息被窃听,应采取技术手段对通信过程中的敏感信息字段或整个报文加密,建议系统内各类设备或应用程序使用TLS/SSL、SSH等加密协议进行通信,确保鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息数据等,在通信过程的保密性。
-
差异性总结
等保三级对比等保二级,强调采用密码技术保证通信过程中数据的完整性和保密性
随着“新基建”、“中国制造2025”、“工业4.0”等理念的提出,使得原本封闭的工控系统走向“开放”,给原本脆弱的工控系统带来更多网络威胁。为了防止关键的信息在传输中被窃取和篡改,在高等级防护需求的系统中,应利用密码技术,对系统配置数据、鉴别信息及重要业务的数据加密,保证其在通信过程中数据的完整性和保密性。
2.1.3 可信验证差异化总结
-
标准要求对比
无论是办公网还是工控网,可信验证都需要通信设备(如交换机、路由器、宽带监控设备、负载均衡设备等)具有可信跟芯片或硬件。其作为一般测评项,可根据企业/单位实际情况和技术应用成熟度综合判断采用何种方案,并逐步补充完善到整体的业务体系和防护体系中。
2.2 工业控制系统安全扩展要求
在工业控制系统安全扩展要求中,安全通信网络为“网络架构、通信传输”2类安全控制点,等保二级与等保三级均为4个细分要求。
下面我们将以工控系统扩展要求中安全通信网络的控制点为依据,总结等保二级和等保三级防护建设的差异性。
2.2.1 网络架构差异性总结
-
标准要求对比
-
差异化说明
a)工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用单向的技术隔离手段;(等保三级)
解释说明:现场设备层、现场控制层、过程监控层、生产管理层的OT系统与生产过程强相关,而企业资源管理层的IT系统与生产过程弱相关,应将OT系统与IT系统划分为两个区域,区域间应采用单向的技术隔离手段(例如工业网闸等),保证数据流只能从OT系统单向流向IT系统。
-
差异性总结
等保三级对比等保二级,针对工业控制系统与企业其他系统之间的技术隔离手段,要求采用单向隔离手段。
在电力、石油石化、化工、煤炭等关键信息基础设施领域,存在工业控制系统与企业其他系统的网络边界,同时,依据各行业政策标准,在IT系统和OT系统的边界主要应用安全隔离网闸。
例如电力行业,国家能源局下发的《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》(国能安全〔2015〕36号):“应当采用不同强度的安全设备隔离各安全区,在生产控制大区与管理信息大区之间必须部署经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应当接近或达到物理隔离。”
2.2.2 通信传输差异性总结
-
标准要求
-
差异化总结
等保三级对比等保二级,标准要求保持一致
电力、冶金、石油、化工、燃气、铁路等领域,存在通过广域网进行控制指令或相关数据交换的需求。例如风力发电领域,由于风电场与集控中心、分公司等物理位置的分散性,风电场运行、控制、维护、并网的特殊性,必然要求工业控制系统需要基于GPRS无线网络、Intemet网络和PSTN网络等进行数据传输,为了满足等保对于通信传输的标准要求,应采用加密认证手段实现身份认证、访问控制和数据加密,防止非授权用户和恶意用户进入工业控制系统,防止及控制指令或相关数据被窃取。
3、总结
附:工控系统等保二级安全通信网络防护建议
附:工控系统等保三级安全通信网络防护建议