众所周知,能源、电力等关键信息基础设施是网络安全的重中之重,它们的安全严重影响国家的经济发展和社会稳定。一旦这些基础设施出现问题,带来的结果将具有很大的破坏性和杀伤力。

而电力系统已经成为国际网络战的重要攻击目标,电力监控系统安全防护承受巨大压力。资料显示,在美国工业控制系统系统应急响应小组监测到的200多起工业控制系统安全事件中,电力等能源领域的事件就超过一半。

今天的干货,e小安就结合手中资料捋一捋电力行业网络安全标准和网络安全等级保护2.0标准的对比。(主要对照网络安全等级保护2.0中的工业控制系统扩展要求)

电力行业主要标准

《电力行业信息系统等级保护定级工作指导意见》

《电力信息系统安全等级保护实施指南》(GB/T 37138-2018)

《电力行业信息系统安全等级保护基本要求》

《电力监控系统网络安全防护导则》(GB/T 36572-2018)

《电力信息系统安全检查规范》(GB/T 36047-2018)

《国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》

《电力监控系统安全防护规定》

网络安全等级保护2.0主要标准

网络安全等级保护条例(总要求/上位文件)(正在修订)

计算机信息系统安全保护等级划分准则(GB 17859-1999)

网络安全等级保护定级指南(GB/T 22240)(正在修订)

网络安全等级保护实施指南(GB/T 25058-2019)

网络安全等级保护基本要求(GB/T 22239-2019)

网络安全等级保护设计技术要求(GB/T 25070-2019)

网络安全等级保护测评要求(GB/T 28448-2019)

网络安全等级保护测评过程指南(GB/T 28449-2018)

电力行业等级保护基本要求

网络安全等级保护2.0基本要求(工业控制系统扩展要求)

电力企业内部的信息系统,原则上进行区域划分。

工业控制系统与企业其他系统之间应划分为两个区域,区域之间采用单向的技术隔离手段。

电力调度数据网应使用独立的网络设备组网,在物理层面上实现与其他数据网及外部公共信息网的安全隔离。

涉及实时控制和数据传输的工业控制系统,应使用独立的网络设备组网,在物理层面上实现与其他数据网及外部公共信息网的安全隔离。

电力生产系统和企业其他系统之间应划分为不同区域,部署访问控制设备,禁止任何穿越边界的E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务。

1.工业控制系统与企业其他系统之间应划分为两个区域,区域之间采用单向的技术隔离手段。

2.工业控制系统与企业其他系统之间部署访问控制设备,配置访问控制策略,禁止任何穿越边界的E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务。

在电力生产控制系统内使用广域网通信时,采用加密认证技术,实现双向身份认证、访问控制、数据加密传输。

在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份认证、访问控制和数据加密传输。

资源控制对比

应关闭或拆除主机的软盘驱动、光盘驱动、USB接口、串行口等,确需保留的应严格管理。(新增)

应关闭或拆除主机的软盘驱动、光盘驱动、USB接口、串行口或多余网口等,确需保留的应通过严格的技术措施实施严格的监控管理。

网络安全等级保护2.0中工业控制系统新增要求

1、安全运维管理

变更性运维;运维工具;远程运维;无线上网;密码技术与产品使用;配置管理;外包运维管理;外部人员应签署保密协议;外部人员离场后应及时清除其所有的访问权限。

2、安全计算环境

控制设备安全

应保证控制设备在上线前经过安全性检测,避免控制设备固件中存在恶意代码程序。

3、安全区域边界

访问控制

应在工业控制系统内安全域和安全域之间的边界防护机制失效时,及时进行报警。

4、安全物理环境

室外控制设备物理防护

室外控制设备应防止在采用铁板或其他防火材料制作的箱体或装置中并紧固;箱体或装置具有透风、散热、防盗、防雨和防火能力等;

室外控制设备防止应远离强电磁干扰,强热源等环境,如无法避免应及时做好应急处置及检修,保证设备正常运行。

5、安全管理中心

系统管理;审计管理;安全管理;集中管控。

6、安全建设管理

上线前进行安全性测试,并出具测试报告且含密码应用安全性测试。

声明:本文来自e安在线,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。