▍行业背景
近些年来,随着智能制造与数字经济的不断推动,网络安全意识的不断提升,工控安全也越来越受到国家各界的高度重视,《工业控制系统信息安全防护指南》、等保2.0标准、《关键信息基础设施网络安全保护基本要求》等一系列工控安全的政策、标准密集出台,为各行业工控系统安全防护保驾护航。
工业控制系统在工业领域应用范围广、价值高,其安全系统的复杂程度远高于传统的IT网络系统,其风险来源多导致发生安全事件的后果也相当严重,具体风险威胁如下:
▶ 操作系统安全漏洞
▶ 病毒与恶意代码
▶ 拒绝服务攻击和网络风暴
▶ 黑客入侵与应用软件安全漏洞
▶ 高级持续性威胁
▶ 工业控制设备安全威胁
▶ 工业控制设备网络安全威胁
▶ 工艺数据安全威胁
▶ 人员管理安全威胁
▍解决方案
风险评估:
建设前期进行工业控制系统网络安全风险的评估,从风险管理角度,运用科学的方法和手段,系统地分析系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。将风险控制在可接受的水平,从而最大限度地提升工业控制系统的安全保障能力,为工业企业全面掌握风险,为后续网络安全建设提供数据支撑。
防护方案:
▶ 在工业控制系统与其他生产系统的边界部署工业防火墙,通过通信白名单机制实现区域之间的数据交互安全。
▶ 在各工业控制系统交换机处部署工控安全监测与审计平台和工控入侵检测系统,实现对系统面临的网络入侵、恶意代码主要包括已知的恶意代码的攻击、未知的恶意攻击的检测。
▶ 在工业控制系统工作站、服务器等工业主机上部署主机安全防护和加固软件,实现身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范防范等功能,同时启用操作系统自身的安全策略,实现操作系统自身安全性的提升和审计、记录。
▶ 在工业控制系统核心交换机处部署USB安全隔离系统,实现对外界USB设备进行认证管理、防USB攻击、防病毒、防篡改与操作行为审计等功能,保护系统USB拷贝数据的安全。
▶ 在工业控制系统核心交换机处部署帐号管理及运维审计系统,实现对系统网络中的通信数据进行合规性检查,对异常行为、非法入侵行为进行识别、告警,辅助安全运维人员进行处置并对第三方运维行为进行安全审计;
▶ 在工业控制系统核心交换机处部署日志审计与分析系统可以通过syslog、SNMP等方式、收集全网中各系统产品的告警日志,进行日志的集中存储、范式化与安全分析与展示。
▶ 在信息安全专网中部署工控信息安全监管与分析平台,实现全网安全系统的状态监控、安全风险的集中收集、存储、关联分析与可视化、安全风险集中处置等集中安全管理功能;
▶ 在信息安全专网边界部署工业防火墙实现不同级别安全域之间的隔离与防护;
运营方案:
▶ 日常维护:包括日常巡检、网络结构优化、主机系统操作行为监控和阶段性风险评估与通报,应急预案启动流程等,有序完成日常安全运维工作。
▶ 定期安全检查:建立工业控制定期安全检查和整改工作机制,每年至少自行开展一次安全检查,依据发现问题需制定整改计划及措施。
▶ 常态安全培训:建立常态化的安全培训机制,包括业务层面的规范操作培训,常见网络安全风险的防范/应急预案等相关内容,提升全员网络安全意识与技术水平。
▶ 应急演练保障:制订工控安全应急处置预案,每年至少进行一次演练,确保发生安全事件时能够有序处置、快速恢复。
