一看就懂，等保2.0下，工控等保怎么做！

随着数字产业化与产业数字化的发展，等保2.0的等级保护对象，在包括基础信息网络的基础上，通过扩展要求和附录的形式，增加了云计算、移动互联、物联网、工业控制系统、大数据五大新兴应用场景的覆盖。同时，从防御方式上由传统的被动防护转变为网络空间主动防御体系建设，关注全方位主动防御、安全可信、动态感知和全面审计。

工业控制系统如何应对等保2.0的“合规”？这一篇，我们来谈一谈等保2.0的主要变化以及针对工业控制系统的安全扩展内容和要求。

（1）工业控制系统的概念和定义

工业控制系统（ICS）是几种类型控制系统的总称，包括数据采集与监视控制系统（SCADA）系统、集散控制系统（DCS）、可编程逻辑控制器（PLC）和其它控制系统。工业控制系统通常用于诸如电力、石油化工、轨道交通、烟草、市政、以及离散制造（如汽车、航空航天和耐用品）等行业。

工业控制系统主要由过程级、操作级以及各级之间和内部的通信网络构成，对于大规模的控制系统，也包括管理级。过程级包括被控对象、现场控制设备和测量仪表等，操作级包括工程师和操作员站、人机界面和组态软件、控制服务器等，管理级包括生产管理系统和企业资源系统等，通信网络包括商用以太网、工业以太网、现场总线等。

（2）工业控制系统层次结构模型划分

参考标准IEC 62264-1的层次结构模型划分，同时将SCADA系统、DCS系统和PLC系统等模型的共性进行抽象，我们可以将工业控制系统进行如下分层：

（1）扩展要求框架

除了安全通用要求，针对工业控制系统专门扩充了安全扩展要求内容，首次明确了区别于传统网络的工业控制系统在特殊的应用场景下，如何对等级保护建设提出要求。

（2）扩展要求新增内容

工业控制系统安全扩展要求中，针对每一部分要求，我们梳理如下（以三级为例）：

等保2.0关于工业控制系统安全要求的三个重点，一个中心，三重防护，一个中心指“安全管理中心”，三重防护指“安全计算环境、安全区域边界、安全网络通信”，也是工业企业安全建设的三个痛点。

安恒信息依托多年在工业控制领域的积累和实践，针对等保2.0的技术要求变化，重点布局工业控制系统在安全通信网络、区域区域边界、安全计算环境、安全管理中心及安全运维管理等多方面的防护能力，提出了一体化的解决方案。

方案完整覆盖工控网络的安全防护、安全监测、安全运维、安全检查及安全管理，助力工业控制系统尽快落地等保2.0的合规要求，如下图所示。

边界防护：采用工业防火墙，识别工控网络中已知的安全威胁，也能根据用户定义的安全策略，对工控网络中的行为进行细粒度的控制，有效的阻止网络攻击向关键区域、关键设备蔓延。

主机防护：采用专门为工控环境工作站主机打造的工控安全主机卫士，只允许系统操作或运行受信任的对象，对特定的对象（关键文件目录及应用程序、动态链接库、驱动文件等）提供保护，有效阻止恶意程序对关键对象的攻击。

流量审计：采用工控安全监测审计平台，通过识别多种工业控制协议，实时监测生产过程中产生的所有流量，针对工业控制系统进行审计和威胁监测。

日志审计：采用明御综合日志审计平台，实现信息资产的统一管理、监控资产的运行状况，协助全面审计工控系统整体安全状况。

入侵检测：采用明御APT攻击预警平台，提供更深层次的威胁分析能力，实现文件层面APT攻击检测、木马回连行为分析等方面的攻击检测。

设备安全：采用工控漏洞扫描平台，针对工业控制系统中的设备进行漏洞检测，实现对重点区域或者高危区域进行有针对性的重点整治的目的。

运维审计：采用明御运维审计与风险控制系统，对工业控制系统提供4A统一安全管理方案，增强企业工控系统的运维管理安全性。

管理平台：采用工业安全管控平台，实现对生产网中部署的工控安全设备进行监控、配置和运维。

态势感知：采用工控安全态势感知平台，提供对工控系统网络安全要素分析、安全威胁事件联动分析、异常行为快速发现的能力，实现工控网络的安全态势可视化和整体网络环境安保能力综合评估。

随着网络安全等级保护2.0的即将发布和实施，各监管部门将着手开展针对工业控制系统的等级保护检查工作，而工控系统大部门为关键信息基础设施，是检查工作的重点对象。安恒信息明鉴工业控制系统安全检查工具箱是立足等保2.0专门用于工业控制系统安全检查的专业设备。

基于工业控制系统各层的安全项要求及检查点如下：