民航作为交通行业的重要组成部分,与人民出行、国家利益息息相关,随着大量新技术在民航机场信息化建设中的广泛应用,民航机场中的各系统面临新的安全威胁。2023年12月6日,《民用航空生产运行工业控制系统网络安全防护技术要求》(MH/T 3035—2023)(以下简称《技术要求》)由中国民用航空局正式发布,并于2024年1月1日起实施。
《技术要求》立足国内工业控制系统面临的日益严峻的网络安全形势,全面贯彻落实国家《网络安全法》《密码法》和《数据安全法》要求,针对飞行区助航灯光系统、航站区行李处理系统和楼宇自动化系统以及工作区供油自动化系统等典型民航生产运行工业控制系统,结合现行国家和行业标准中的薄弱点,细化、强化部分关键技术指标要求,进一步完善系统安全防护标准体系,切实提升系统抵御网络攻击的能力,致力于为“智慧民航”新型基础设施建设保驾护航。
基于多年来在工业控制系统安全方面丰富的经验积累和过硬的技术实力,迪普科技对《技术要求》亮点进行详细梳理,结合自身工业控制安全产品及解决方案,为机场增强系统安全综合能力,保障机场生产安全运行。
详细解读
安全防护对象的全面界定
《技术要求》共计7个章节,不仅关注单一设备或系统的安全,还从整体架构的角度出发,规定了民航工控系统的安全防护对象,具体包括现场设备、控制设备、工业主机、网络设备、网络安全设备等设备级安全技术要求,以及分区分域与隔离防护、数据与通信安全、安全监控与应急处置、系统运维安全、软件供应链安全等系统级安全技术要求。
设备级安全技术要求的细致规定
《技术要求》对等保三级系统的各类设备的安全技术要求进行了细致的规定,涵盖了现场设备、控制设备、工业主机、网络设备以及网络安全设备,包括物理安全、网络安全、数据安全等方面的技术指标和操作规范,这有助于相关企业和机构明确安全标准,提升设备的本质安全性。
规定了设备接口的受控程度,嵌入式安全模块的使用及其需要支持的身份鉴别、访问控制、加密传输等功能;要求设备本身不存在已知的高危漏洞,预装软件中不存在恶意程序;对设备高可用性提出要求,在设备出现故障时自动启动旁路功能并报警;对于工业主机,规定了通过安装主机防护类软件来对工业主机设备进行防护的同时,不影响系统的可用性、实时性和稳定性。
分区分域与隔离防护的强化
《技术要求》规定了通过在边界部署工控防火墙的方式来解析常用工业控制协议数据包并过滤恶意代码,阻止进出区域边界的非法数据包和异常指令,支持协议读写方向控制、数据值域限制等指令级配置操作;要求访问控制设备具备双机热备能力,发生故障时不影响业务的运行;不存在数据通信的两个系统之间应采取物理隔离措施。
数据与通信安全的重视
为确保数据传输的安全性,《技术要求》规定了需要对重要数据进行加密处理,并采用可靠的数据传输协议,这有助于保护数据的机密性和完整性。具体要求对策略配置数据、运行数据、生产数据与数据库等信息进行加密储存,以防止数据被泄漏和篡改。
安全监控与应急处置的完善
《技术要求》强调了对系统安全的实时监控,这种实时监控和快速响应的机制有助于及时发现和处理安全事件,降低潜在风险。具体要求在关键网络节点部署监测审计设备,对工业资产、攻击事件进行感知与审计;通过划分安全管理区,部署集中管控平台满足安全态势感知与设备管理的功能;规定了发生安全事件时对应急处置的相关要求,包含网络与应用层面的处置方式以及事后的系统恢复要求。
系统运维安全的规范
《技术要求》对系统的日常运维管理提出了规范要求,对运维操作进行了细致地规范,对运维行为的审计也提出了具体的要求,包含人员身份鉴别、数据调用行为、高危操作指令、敏感数据等。
迪普科技安全体系
紧贴《技术要求》主要内容
迪普科技通过长期高研发投入,开发了自主可控一体化软件平台和高性能硬件平台,拥有安全攻防研究、威胁情报中心,具备信息技术应用创新能力,构建了包括资产识别、安全检测、安全防护、安全监测、安全服务、应用交付在内的产品体系,同时结合IPDRR能力框架模型,从识别、防御、监测、响应、恢复五个阶段为客户提供全场景网络安全解决方案,打造动态评估、主动防御、持续监测、自动响应的全生命周期立体化网络安全体系,与《技术要求》主要内容高度同步。
1
分区分域与隔离防护
迪普科技依托专业的硬件平台,在此基础上高度融合自研的Conplat平台和驱动适配模块而打造的工控防火墙,满足《技术要求》规定的《信息安全技术—工业控制系统专用防火墙技术要求》(GB/T 37933—2019),并且具备强大的协议识别能力,能够实现精准的访问控制功能,同时依靠丰富的安全规则,实现指令和参数的精细化控制。
在不存在数据通信的两个系统之间,迪普科技安全隔离与信息交换系统通过将两网从物理上分开的方式达到安全隔离的目的,设备能够对传输信息进行内容剥离、落地还原、扫描过滤、病毒防护,有效防止内部机密信息的泄露。
2
主机安全
迪普工控主机安全卫士是一款面向工业控制系统中的监控主机、工程师站、操作站、数据服务器等设备进行安全加固的终端安全防护产品。采用白名单机制拦截一切未知程序和脚本的执行,既可有效抵御已知和未知的恶意代码,又规避了传统杀毒软件病毒库更新不及时的问题,能够从根本上保障主机运行环境的安全。
3
数据与通信安全
迪普科技依托敏感数据发现、数据加密、数据脱敏、数据防泄漏等一系列技术手段与平台工具,能够在满足《技术要求》的前提下,快速提升数据识别、防护、监测、响应、恢复能力,真正实现数据的高度安全。
4
系统运维安全
迪普科技运维审计管理平台基于事前防范、事中监控、事后审计的思想,集账号管理、身份认证、单点登录、资源授权、访问控制和操作审计功能为一体,进而提高用户的IT运维管理水平。
5
安全监控与应急处置
工控监测审计系统可以对网络中的工业协议、通用协议进行深度包检测,发现协议承载的网络攻击、恶意控制、参数篡改、异常访问、病毒传播等入侵及异常行为,同时对关键操作、用户误操作进行有效识别和记录。
基于工控网络各类工控安全产品以及工业互联网安全探针数据,工控安全监管与分析平台可以对工业网络中的安全产品及安全事件进行集中监管与分析,从全局视角对各类数据进行集中采集统计、安全态势呈现等,提高网络风险感知能力,加快安全事件响应速度。
作为专业的网络安全服务机构,迪普科技具备丰富的网络安全应急处置经验,以准备、检测、抑制、根除、恢复、总结六阶段协助运营者开展事件处理和恢复。
《技术要求》的发布与实施具有重要的现实意义和长远影响。迪普科技可靠、安全的产品与解决方案将为航空生产运行提供更加安全稳定的环境,助力我国民航工业控制系统的网络安全防护能力,为我国民航事业的持续发展提供有力支持。