引言：

6月25日，2018网络安全标准论坛在京召开，公安部网络安全保卫局总工郭启全在发言中表示，关键信息基础设施保护是网络安全等级保护制度2.0的重点。由公安部牵头，会同中央网信办、国家保密局、国家密码管理局联合制定的《网络安全等级保护条例》拟将于近期在网上发布。

九略智能科技根据《网络安全等级保护条例》对工业控制网络安全的要求，以3级为例，第一时间为您奉上工控等保体系建设解决方案，为您分析了工控等保在建设实施过程中会遇到的问题以及应对措施。

1、信息安全等级保护建设的必要性

信息安全等级保护制度是国家信息安全保障工作的基础，也是一项事关国家安全、社会稳定的政治任务。通过开展等级保护工作，发现工控企业网络和信息系统与国家安全标准之间存在的差距，找到目前系统存在的安全隐患和不足，通过安全整改，提高信息系统的信息安全防护能力，降低系统被各种攻击的风险。

2、中央对网络安全等级保护制度提出的明确要求

（一）中办国办下发《关于加强社会治安防控体系建设的意见》，明确要求“推进完善信息安全等级保护制度”。

（二）中央批准实施的《关于全面深化公安改革若干重大问题的框架意见》，要求“推进健全信息安全等级保护制度”。

（三）中央综治办印发《综治工作（平安建设）考核评价实施细则》，将“网络安全保障工作”纳入全国综治考核，明确了各级政府的信息安全保障责任。

（四）公安部组织开展全国网络安全执法大检查。

（五）《中华人民共和国网络安全法》自2017年6月1日起施行。

（六） 中共中央办公厅关于印发《党委（党组）网络安全工作责任制实施办法》的通知（厅字【2017】32号）。该《实施办法》进一步明确了各级党委（党组）领导班子、领导干部网络安全责任。

以上标志着，我们国家的网络安全法律体系、政策体系和责任体系日趋完善。

3、等级保护进入2.0时代

2016年10月10日，第五届全国信息安全等级保护技术大会在昆明召开。会上，公安部网络安全保卫局郭启全总工程师首次正式提出“等级保护制度进入2.0时代”。这标志着等级保护工作掀开了新的历史篇章。

等保2.0在原来的保护对象主要包括各类重要信息系统和政府网站，保护方法主要是对系统进行定级备案、等级测评、建设整改、监督检查等基础上，扩大了保护对象的范围、丰富了保护方法、增加了技术标准。将网络基础设施、重要信息系统、大型互联网站、大数据中心、云计算平台、物联网系统、工业控制系统、公众服务平台等全部纳入等级保护对象。将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核、安全员培训等工作措施全部纳入等级保护制度。

4、新技术、新应用领域的个性安全保护需求

等保2.0系列标准即将发布，标准的名称由“信息安全技术 信息系统安全等级保护基本要求”变更为“信息安全技术 网络安全等级保护基本要求”。网络安全等级保护基本要求通用要求在技术部分的基础上进行了一些调整，下面以三级为例进行一个对比：

网络安全等级保护基本要求通用要求技术部分与信息安全等级保护基本要求技术部分结构由原来的五个层面：物理安全、网络安全、主机安全、应用安全、数据安全，调整为四个部分：物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全；技术要求“从面到点”提出安全要求，“物理和环境安全”主要对机房设施提出要求，“网络和通信安全”主要对网络整体提出要求，“设备和计算安全”主要对构成节点（包括网络设备、安全设备、操作系统等）提出要求，“应用和数据安全”主要对业务应用和数据提出要求。

同时，调整增加了安全扩展要求包括：云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。

5、学好、用好等保2.0的各项要求

等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高被划分为五个安全保护等级。下面以三级为例展开了解整改要点：

等保评估检查指标：

6、工控安全方案设计

设计要求：

1. 应根据安全保护等级选择基本安全措施，依据风险分析的结果补充和调整安全措施；
2. 应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计，设计内容应包含密码相关内容，并形成配套文件；
3. 应组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正确性进行论证和审定，经过批准后才能正式实施。

工业控制系统架构：

整体方案设计：

1) 基础安全保障能力的形成，主要包括两个步骤：

• 根据系统等级属性、接入对象等，进行网络区域划分
• 根据网络区域划分，计算环境属性要求，进行安全措施部署

2) 具体方案设计，包括：

• 在网络区域划分时，应参照企业网相关指导标准规范，保障合规性；
• 在区域边界安全措施部署和保护时，应参照等级保护要求，达到相应能力要求；
• 区域边界的深度防御，不仅要形成传统的多防线的纵深防护，还应在防御的网络层次上涵盖2~7层，满足当下进阶的攻防态势需求；
• 持续性安全检测，应对传统的只在网络入口部署IPS、核心网络交换机处部署IDS模式进行扩展、加强，将威胁检测能力下沉到虚拟化网络，并上升借助外围安全大数据分析的安全服务云，形成全面、深入、持续的安全检测能力，抵御不断升级的APT攻击和突发安全事件；
• 需对虚拟化平台、虚拟机等进行主机加固，保障计算环境安全；
• 应对通信网络采取国密算法的加密措施，并部署多链路冗余和链路负载均衡措施，保障链路可用性，达到保障通信网络安全的目的；
•  安全响应和处置，应不仅限于传统的人工设置访问控制策略和事后审计，还应与安全管理中心联动，形成整体安全可视、自动化的快速安全策略升级响应，缩短攻击窗口、切断攻击扩散的链条，尽力减少损失；
• 通过专用通道，与外围专门的未知威胁风险云平台对接，实时获取未知威胁情报，保障云安全体系的持续动态安全能力。

7、企业受益

• 符合国家法律法规和相关政策，完成信息系统等级保护定级备案、评估整改和测评工作；
• 提高信息系统的信息安全防护能力，降低系统被各种攻击的风险，做到确保秘密看不了、信息改不了、系统瘫不了、行为赖不了；
• 从安全管理和安全技术两个维度完善了安全管理体系，建立了信息安全保障工作的基础。

了解详细方案，欢迎联系：

联系方式：18618463982

邮箱：韩女士   hanxuemei@jiuluetec.com