網(wǎng)絡(luò)安全等級(jí)保護(hù)制度作為我國網(wǎng)絡(luò)安全的基本國策已經(jīng)施行多年，隨著今年“等保2.0”的正式頒布，將工業(yè)控制系統(tǒng)正式納入等保的范疇，越來越多的電廠用戶開始著手規(guī)劃和開展重要工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)工作。參照典型的信息系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)合規(guī)性整改建設(shè)流程，電廠工業(yè)控制系統(tǒng)的等保整改加固工作主要以測(cè)評(píng)機(jī)構(gòu)的差距測(cè)評(píng)為依據(jù)，針對(duì)主要的“高風(fēng)險(xiǎn)項(xiàng)”、“中風(fēng)險(xiǎn)項(xiàng)”采取技術(shù)和管理加固措施，最終達(dá)到合規(guī)目標(biāo)。等保合規(guī)性整改建設(shè)的實(shí)施作為一個(gè)系統(tǒng)性工程，需要在對(duì)差距項(xiàng)充分理解的基礎(chǔ)上以合理的設(shè)備類技術(shù)補(bǔ)償性措施和安全技術(shù)服務(wù)相結(jié)合，不能陷入只要增加網(wǎng)絡(luò)安全設(shè)備就能合規(guī)的誤區(qū)?；谕卦陔姀S工業(yè)控制系統(tǒng)等保建設(shè)項(xiàng)目的豐富實(shí)施經(jīng)驗(yàn)，本文將對(duì)電廠工業(yè)控制系統(tǒng)等保整改加固項(xiàng)目的典型實(shí)施過程進(jìn)行介紹，并分享一些常見的技術(shù)補(bǔ)償性措施實(shí)施指標(biāo)建議，供廣泛電廠用戶和業(yè)內(nèi)人士參考。

1等保整改加固項(xiàng)目基本流程

參照等保2.0的技術(shù)規(guī)范，電廠工業(yè)控制系統(tǒng)的等保建設(shè)過程與常規(guī)信息系統(tǒng)基本一致，按照定級(jí)→備案→整改建設(shè)→等保測(cè)評(píng)→監(jiān)督檢查的基本過程，由于電廠工業(yè)控制系統(tǒng)用戶一般對(duì)等保的技術(shù)規(guī)范和要求不是非常熟悉，因此通常會(huì)在系統(tǒng)完成定級(jí)后進(jìn)行等保差距測(cè)評(píng)，對(duì)目前系統(tǒng)中存在的差距項(xiàng)進(jìn)行評(píng)估，并以此為依據(jù)制定整改加固方案，按照電廠自身的標(biāo)準(zhǔn)化流程完成安全設(shè)備和服務(wù)商的選定之后，開始進(jìn)行系統(tǒng)測(cè)評(píng)差距項(xiàng)的整改，完成整改后再由等保測(cè)評(píng)機(jī)構(gòu)進(jìn)行正式測(cè)評(píng)，出具測(cè)評(píng)報(bào)告，在主管單位審定合格后即基本完成系統(tǒng)的等保建設(shè)階段工作。  

整改加固階段作為整個(gè)等保建設(shè)的關(guān)鍵內(nèi)容，實(shí)施的規(guī)范與否決定最終的測(cè)評(píng)結(jié)果。一般的整改加固過程主要包括制定整改加固方案、安全設(shè)備和服務(wù)商選定、整改加固實(shí)施三部分。制定整改加固措施過程中建議咨詢專業(yè)的第三方安全公司，一一明確高、中、低風(fēng)險(xiǎn)項(xiàng)整改措施，此過程需要充分評(píng)估整改項(xiàng)對(duì)于工業(yè)控制系統(tǒng)的影響和實(shí)施可行性。在安全設(shè)備和服務(wù)商選定階段建議電廠用戶充分考量其服務(wù)資質(zhì)、施工經(jīng)驗(yàn)，且在采購安全設(shè)備的同時(shí)增加安全服務(wù)內(nèi)容。

整改加固實(shí)施盡量選擇在每年的停機(jī)維修周期內(nèi)進(jìn)行，盡量降低整改加固實(shí)施過程中對(duì)企業(yè)生產(chǎn)的影響，典型的整改加固實(shí)施過程包括：辦理進(jìn)廠→系統(tǒng)勘查→設(shè)備調(diào)試和安全加固→安全培訓(xùn)→配合等保測(cè)評(píng)→辦理離廠。

◇ 辦理進(jìn)廠手續(xù)階段主要對(duì)入廠實(shí)施人員進(jìn)行審核（主要核驗(yàn)人員信息、人身保險(xiǎn)、勞保用品等），并進(jìn)行安全規(guī)章制度的學(xué)習(xí)和培訓(xùn)，簽署安全管理?xiàng)l例知情書等材料。

◇ 系統(tǒng)勘查階段主要對(duì)電廠工業(yè)控制系統(tǒng)的現(xiàn)場(chǎng)情況進(jìn)行現(xiàn)場(chǎng)勘查，確認(rèn)控制系統(tǒng)電子設(shè)備間、中控室等網(wǎng)絡(luò)接線、電源、機(jī)柜等信息，同時(shí)明確工業(yè)控制系統(tǒng)上位機(jī)、服務(wù)器的操作系統(tǒng)版本和應(yīng)用軟件，網(wǎng)絡(luò)設(shè)備廠商、型號(hào)和版本以及功能支持情況（重點(diǎn)關(guān)注網(wǎng)管功能、鏡像端口功能、SYSLOG或SNMP日志功能等），安全設(shè)備部署位置、部署方式和IP地址規(guī)劃，制定詳細(xì)的施工方案。

◇ 設(shè)備調(diào)試和安全加固階段主要完成安全設(shè)備、軟件的部署調(diào)試，對(duì)部分網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)操作系統(tǒng)、應(yīng)用和安全管理制度進(jìn)行加固和完善，這部分內(nèi)容需要重點(diǎn)關(guān)注是否對(duì)工業(yè)控制系統(tǒng)造成影響，如修改應(yīng)用系統(tǒng)或數(shù)據(jù)庫弱口令等操作可能會(huì)影響系統(tǒng)正常運(yùn)行（可能由于后臺(tái)綁定的賬號(hào)密碼未修改），整改加固完成后進(jìn)行差距項(xiàng)的復(fù)核和驗(yàn)證，對(duì)部分特殊無法整改的內(nèi)容進(jìn)行審定和確認(rèn)。

◇ 安全培訓(xùn)階段主要對(duì)部署的安全設(shè)備和軟件使用運(yùn)維培訓(xùn)。

◇ 辦理離廠階段是在全部實(shí)施任務(wù)完成后辦理離廠手續(xù)。  

2等保整改加固實(shí)施規(guī)范性建議指標(biāo)

在電廠工業(yè)控制系統(tǒng)安全整改加固實(shí)施過程中，需要嚴(yán)格按照等保差距測(cè)評(píng)中的風(fēng)險(xiǎn)項(xiàng)進(jìn)行逐項(xiàng)加固，在差距復(fù)核階段進(jìn)行核驗(yàn)和說明。以下是針對(duì)電廠工業(yè)控制系統(tǒng)典型問題項(xiàng)的整改加固規(guī)范性建議指標(biāo)，以及注意事項(xiàng)。

進(jìn)廠手續(xù)規(guī)范建議指標(biāo)

系統(tǒng)勘查規(guī)范建議指標(biāo)

設(shè)備調(diào)試和安全加固規(guī)范建議指標(biāo)

安全培訓(xùn)規(guī)范建議指標(biāo)

3結(jié)束語

電廠工業(yè)控制系統(tǒng)的等保安全整改加固建設(shè)實(shí)施是一項(xiàng)復(fù)雜且系統(tǒng)性的工作，需要平衡工控系統(tǒng)的高可用性要求和安全合規(guī)要求。北京威努特技術(shù)有限公司作為國內(nèi)最專業(yè)的工控安全解決方案和服務(wù)供應(yīng)商，具有完整的工控安全產(chǎn)品線和完善的安全服務(wù)，能夠?yàn)閺V大電廠用戶工業(yè)控制系統(tǒng)提供專業(yè)的一站式等保合規(guī)性建設(shè)方案和服務(wù)，保障關(guān)鍵生產(chǎn)控制系統(tǒng)安全穩(wěn)定運(yùn)行。

文章來源公眾號(hào)威努特工控安全