“固·隔·監”工控信息安全防護體系,是上海三零衛士信息安全有限公司創立的,專門針對工業控制系統信息安全的防護體系。它強調立足工業用戶的實際需求,結合工控系統信息安全的現狀,從關鍵工藝著手,評估存在的漏洞隱患,分析隱患可能導致的風險後果,再通過與工業控制系統進行信息安全方案集成,最終實現對工業控制系統的全生命周期安全防護。“固·隔·監”體系已經成功套用在石油化工、軌道交通、核電、鋼鐵、菸草等行業的工業控制系統中,並取得了顯著成效。
產生背景,內容,
產生背景
據調查數據顯示,我國超過80%的涉及國計民生的關鍵基礎設施依靠工業控制系統來實現自動化作業,國際上屢次發生的工業信息安全事件為我國敲響了警鐘。2014年2月27日,中央網路安全和信息化領導小組宣告成立,習近平擔任組長,提出“沒有網路安全就沒有國家安全”,意味著工業控制系統的安全已上升到國家戰略安全高度。
2014年3月,在全國兩會上,全國人大代表、中國電子科技集團公司總經理熊群力向記者透露,我國自主開發的全新一代國產工業防火牆即將推出,將為國內工業用戶提供工業控制信息安全“固·隔·監”防護體系,標誌著“固·隔·監” 工控信息安全防護體系的正式確立。
2011年,上海三零衛士信息安全有限公司成立專項小組,赴全國各地檢查了近100個工業控制系統,近10個超過200套工業系統的大廠,完成近1000份的安全檢查報告,經過對大量數據的分析研究、實戰和總結,2012年首創了“固·隔·監”為核心的工控信息安全防護體系,2013年,三零衛士承擔了全國信息安全標準化技術委員會《信息安全技術工業系統安全防護技術要求和測試評價方法》國家標準的編制工作,期間結合國內外相關標準,在與多位信息安全領域、自動化控制領域以及多個行業儀電控制系統專家多次碰撞的過程中,不斷深化和豐富“固·隔·監”工控信息安全防護體系內容。
內容
“固”—— 穩固基線,提高工控信息安全意識和行動能力,評估已有工控系統信息安全風險,提供工業控制系統集成的信息安全解決方案和集成服務,強化工控信息安全管理能力,建立工控系統安全基線。
“隔”——淨化輸入,分區分域,落實每個分區的物理、網路、主機、套用、數據的訪問控制需求,建立完善的訪問控制策略。
“監”——落實責任,區域內實現全方位操作監視和日誌審計,提高工控信息安全事件的追溯能力,實現工控信息安全事件有據可查。
與傳統IT信息安全不同,工業控制系統信息安全首先需要滿足控制系統的高穩定性要求,其次是保障控制系統完整性,再次才是保密性。基於此,“固·隔·監”工控信息安全防護體系的引入,強調立足工業用戶的實際需求,結合工控系統信息安全的現狀,以及國家、行業、地方的標準,從關鍵工藝著手,評估存在的漏洞隱患,分析隱患可能導致的風險後果,將確保控制系統的穩定性視為基礎核心要素,對控制系統進行高效安全“加固”。
實行主動“隔”離,通過建立安全策略與流程,進行網路分區與邊界保護,建立完善的訪問管控機制, 從而提高發現安全威脅的能力。實行實時“監”控,一方面,通過在監控設備中配置一些預警機制,一旦監測到異常情況將及時預警;另一方面,在區域內進行全方位操作監視和日誌審計,以提高對工控信息安全事件的追溯能力和分析能力。“固·隔·監”體系已經成功套用在石油化工、軌道交通、核電、鋼鐵、菸草等行業的工業控制系統中,取得了顯著成效。
可以說,“固·隔·監”是一種設計理念,引導工控信息安全加固方案設計;“固·隔·監”是一種工作方法,可以引導工控信息安全集成建設和實施;“固·隔·監”亦是一套評判標準,用於衡量信息安全產品與工業控制系統的適應度;“固·隔·監”更是一套完整的方法論,幫助工控專家理解信息安全工作方法,也引導信息安全專家進入工控領域。
