隨著數字產業化與產業數字化的發展，等保2.0的等級保護對象，在包括基礎信息網絡的基礎上，通過擴展要求和附錄的形式，增加了云計算、移動互聯、物聯網、工業控制系統、大數據五大新興應用場景的覆蓋。同時，從防御方式上由傳統的被動防護轉變為網絡空間主動防御體系建設，關注全方位主動防御、安全可信、動態感知和全面審計。

工業控制系統如何應對等保2.0的“合規”？這一篇，我們來談一談等保2.0的主要變化以及針對工業控制系統的安全擴展內容和要求。

1、工業控制系統應用場景

（1）工業控制系統的概念和定義

工業控制系統（ICS）是幾種類型控制系統的總稱，包括數據采集與監視控制系統（SCADA）系統、集散控制系統（DCS）、可編程邏輯控制器（PLC）和其它控制系統。工業控制系統通常用于諸如電力、石油化工、軌道交通、煙草、市政、以及離散制造（如汽車、航空航天和耐用品）等行業。

工業控制系統主要由過程級、操作級以及各級之間和內部的通信網絡構成，對于大規模的控制系統，也包括管理級。過程級包括被控對象、現場控制設備和測量儀表等，操作級包括工程師和操作員站、人機界面和組態軟件、控制服務器等，管理級包括生產管理系統和企業資源系統等，通信網絡包括商用以太網、工業以太網、現場總線等。

（2）工業控制系統層次結構模型劃分

參考標準IEC 62264-1的層次結構模型劃分，同時將SCADA系統、DCS系統和PLC系統等模型的共性進行抽象，我們可以將工業控制系統進行如下分層：

工業控制系統各層資產梳理，在與生產相關0-3層，各層覆蓋的資產如下：

?生產管理層：與生產制造相關的倉儲管理、先進控制、工藝管理等系統的軟件和數據資產、硬件設施。

?過程監控層：各個操作員站、工程師站、OPC服務器等物理資產，及運行的軟件和數據資產。

?現場控制層：各類控制器、控制單元、記錄裝置，以及控制程序或組態信息。

?現場設備層：各類變送器、執行機構、保護裝置。

2、等保2.0對工業控制系統的安全擴展要求

擴展要求框架

除了安全通用要求，針對工業控制系統專門擴充了安全擴展要求內容，首次明確了區別于傳統網絡的工業控制系統在特殊的應用場景下，如何對等級保護建設提出要求。

3、等保2.0下的工業控制系統安全解決方案

等保2.0關于工業控制系統安全要求的三個重點，一個中心，三重防護，一個中心指“安全管理中心”，三重防護指“安全計算環境、安全區域邊界、安全網絡通信”，也是工業企業安全建設的三個痛點。

安恒信息依托多年在工業控制領域的積累和實踐，針對等保2.0的技術要求變化，重點布局工業控制系統在安全通信網絡、區域區域邊界、安全計算環境、安全管理中心及安全運維管理等多方面的防護能力，提出了一體化的解決方案。

方案完整覆蓋工控網絡的安全防護、安全監測、安全運維、安全檢查及安全管理，助力工業控制系統盡快落地等保2.0的合規要求，如下圖所示。

工控安全防護

邊界防護：采用工業防火墻，識別工控網絡中已知的安全威脅，也能根據用戶定義的安全策略，對工控網絡中的行為進行細粒度的控制，有效的阻止網絡攻擊向關鍵區域、關鍵設備蔓延。

主機防護：采用專門為工控環境工作站主機打造的工控安全主機衛士，只允許系統操作或運行受信任的對象，對特定的對象（關鍵文件目錄及應用程序、動態鏈接庫、驅動文件等）提供保護，有效阻止惡意程序對關鍵對象的攻擊。

工控安全監測

流量審計：采用工控安全監測審計平臺，通過識別多種工業控制協議，實時監測生產過程中產生的所有流量，針對工業控制系統進行審計和威脅監測。

日志審計：采用明御綜合日志審計平臺，實現信息資產的統一管理、監控資產的運行狀況，協助全面審計工控系統整體安全狀況。

入侵檢測：采用明御APT攻擊預警平臺，提供更深層次的威脅分析能力，實現文件層面APT攻擊檢測、木馬回連行為分析等方面的攻擊檢測。

工控安全運維

設備安全：采用工控漏洞掃描平臺，針對工業控制系統中的設備進行漏洞檢測，實現對重點區域或者高危區域進行有針對性的重點整治的目的。

運維審計：采用明御運維審計與風險控制系統，對工業控制系統提供4A統一安全管理方案，增強企業工控系統的運維管理安全性。

工控安全管理

管理平臺：采用工業安全管控平臺，實現對生產網中部署的工控安全設備進行監控、配置和運維。

態勢感知：采用工控安全態勢感知平臺，提供對工控系統網絡安全要素分析、安全威脅事件聯動分析、異常行為快速發現的能力，實現工控網絡的安全態勢可視化和整體網絡環境安保能力綜合評估。

4、工業控制系統等級保護檢查

隨著網絡安全等級保護2.0的即將發布和實施，各監管部門將著手開展針對工業控制系統的等級保護檢查工作，而工控系統大部門為關鍵信息基礎設施，是檢查工作的重點對象。安恒信息明鑒工業控制系統安全檢查工具箱是立足等保2.0專門用于工業控制系統安全檢查的專業設備。