等级保护新标准背后到底是商机还是危机？

等保2.0范围拓展了，其中工业控制系统就是其中一个。那么，一般工业控制系统(ICS)应用到哪些行业呢？

工业控制系统(ICS)广泛应用于电力、水务、石化化工、交通运输、制药、烟草、食品加工等涉及国计民生的工业生产领域。

由于工控系统在设计之初对信息安全考虑不足，生产人员安全意识薄弱，工控系统普遍存在“带病上岗”的现象。

当前工业信息安全面临以下挑战：

• IT信息安全威胁向工业信息安全领域渗透。
• 开展工业信息安全防护工作难度大。
• 异构的工控系统没有通用方案。
• 工业信息安全存在多头监管。

机遇

等保2.0的正式实施，为工业信息安全工作指明了方向。

日益刚需的市场，致使大量的改造需求，纷至沓来，这将是一场工业信息安全的大变动。

（网络安全等级保护2.0基本要求）

等保2.0对工业控制系统安全扩展要求

• 物理和环境安全：增加了对室外控制设备的安全防护要求，如放置控制设备的箱体或装置以及控制设备周围的环境；
• 网络和通信安全：增加了适配于工业控制系统网络环境的网络架构安全防护要求、通信传输要求以及访问控制要求，增加了拨号使用控制和无线使用控制的要求；
• 设备和计算安全：增加了对控制设备的安全要求，控制设备主要是应用到工业控制系统当中执行控制逻辑和数据采集功能的实时控制器设备，如PLC、DCS控制器等；
• 安全建设管理：增加了产品采购和使用和软件外包方面的要求，主要针对工控设备和工控专用信息安全产品的要求，以及工业控制系统软件外包时有关保密和专业性的要求；
• 安全运维管理：调整了漏洞和风险管理、恶意代码防范管理和安全事件处置方面的需求，更加适配工业场景应用和工业控制系统。

等保2.0与1.0对比控制项的变化

等保2.0较之前的旧标准可以说有突破性的进展，安全通用部分整体要求项减少，标准更加利于实施，尤其在移动互联、云计算、工业控制信息系统等新的业务环境均提供安全建设标准和指导。以网络安全等级保护为基准，是当前构建网络安全体系架构的重要建设思路，积极落实网络安全等级保护制度，不仅仅能够满足相关法律的合规性要求，更能提升整体网络的综合安全防护能力，真正帮助企业用户保障网络、数据和业务的安全性！

恒岳的应对之道

等保2.0关于工业控制系统安全要求的三个重点，也是工业企业安全建设的三个痛点，恒岳安全经过多年的工业安全技术研究和客户服务实践，提出了一体化的解决方案。

(工业环境网络安全防护图）

方案完整覆盖工控网络的防护、监测及集中管理，包含5款产品：工控主机卫士、工业防火墙、工业监测审计系统、工业网闸、统一安全管理平台。

• 网络边界安全：在生产网络不同设备层级网络间部署工业防火墙，实现工控网络边界隔离。恒岳工业防火墙可识别工控网络中已知的安全威胁，根据相关协议定制白名单安全策略，对工控网络中的网络通信行为进行细粒度的控制，防止外部网络向工控网络传输基于工控协议的各类攻击，保证通路可靠。
• 网络流量审计：在生产网络各核心交换机处旁路部署网络工业网络监测审计平台，对企业工业控制网络全网数据流量进行协议级审计，实时监控控制网络安全，发现异常行为及病毒木马，实现网络安全审计及入侵检测。
• 主机安全防护：在工业控制网络主机上部署工控主机卫士终端安全防护产品，开启主机白名单安全防护，使工控网络中的主机、服务器能够抵御木马、工控病毒等恶意程序的攻击。
• 统一安全管理：部署统一安全管理平台，统一管控所有工控网络安全设备与安全防护手段，可对相关安全产品实现统一管理、统一策略下发、版本更新，将系统的工控安全现状实时高效、全面的监控。