等保 2.0 對工業控制系統安全要求有哪些

以工業控制系統安全擴展要求三級標準內容進行解讀：

安全物理環境

• 室外控制設備物理防護

  本項要求包括：

  • 室外控制設備應放置于采用鐵板或其他防火材料制作的箱體或裝置中并緊固；箱體或裝置具有透風、散熱、防盜、防雨和防火能力等；

  • 室外控制設備放置應遠離強電磁干擾、強熱源等環境，如無法避免應及時做好應急處置及檢修，保證設備正常運行。

安全通信網絡

• 網絡架構

  本項要求包括：

  • 工業控制系統與企業其他系統之間應劃分為兩個區域，區域間應采用單向的技術隔離手段；

  • 工業控制系統內部應根據業務特點劃分為不同的安全域，安全域之間應采用技術隔離手段；

  • 涉及實時控制和數據傳輸的工業控制系統，應使用獨立的網絡設備組網，在物理層面上實現與其它數據網及外部公共信息網的安全隔離。

• 通信傳輸

  在工業控制系統內使用廣域網進行控制指令或相關數據交換的應采用加密認證技術手段實現身份認證、訪問控制和數據加密傳輸。

安全區域邊界

• 訪問控制

  本項要求包括：

  • 應在工業控制系統與企業其他系統之間部署訪問控制設備，配置訪問控制策略，禁止任何穿越區域邊界的E-Mail、Web、Telnet、Rlogin、FTP等通用網絡服務；

  • 應在工業控制系統內安全域和安全域之間的邊界防護機制失效時，及時進行報警。

• 撥號使用控制

  本項要求包括：

  • 工業控制系統確需使用撥號訪問服務的，應限制具有撥號訪問權限的用戶數量，并采取用戶身份鑒別和訪問控制等措施；

  • 撥號服務器和客戶端均應使用經安全加固的操作系統，并采取數字證書認證、傳輸加密和訪問控制等措施。

• 無線使用控制

  本項要求包括：

  • 應對所有參與無線通信的用戶（人員、軟件進程或者設備）提供唯一性標識和鑒別；

  • 應對所有參與無線通信的用戶（人員、軟件進程或者設備）進行授權以及執行使用進行限制；

  • 應對無線通信采取傳輸加密的安全措施，實現傳輸報文的機密性保護；

  • 對采用無線通信技術進行控制的工業控制系統，應能識別其物理環境中發射的未經授權的無線設備，報告未經授權試圖接入或干擾控制系統的行為。

安全計算環境

• 控制設備安全

本項要求包括：

• 控制設備自身應實現相應級別安全通用要求提出的身份鑒別、訪問控制和安全審計等安全要求，如受條件限制控制設備無法實現上述要求，應由其上位控制或管理設備實現同等功能或通過管理手段控制；

• 應在經過充分測試評估后，在不影響系統安全穩定運行的情況下對控制設備進行補丁更新、固件更新等工作；

• 應關閉或拆除控制設備的軟盤驅動、光盤驅動、USB接口、串行口或多余網口等，確需保留的應通過相關的技術措施實施嚴格的監控管理；

• 應使用專用設備和專用軟件對控制設備進行更新；

• 應保證控制設備在上線前經過安全性檢測，避免控制設備固件中存在惡意代碼程序。

安全建設管理

• 產品采購和使用

  工業控制系統重要設備應通過專業機構的安全性檢測后方可采購使用。

• 外包軟件開發

  應在外包開發合同中規定針對開發單位、供應商的約束條款，包括設備及系統在生命周期內有關保密、禁止關鍵技術擴散和設備行業專用等方面的內容。

回答所涉及的環境：聯想天逸510S、Windows 10。