天地和兴助力工控信息安全建设
发布时间:
2019-09-02
来源:
作者:
访问量:
30
8月28日,工信部官网(http://www.miit.gov.cn)正式发布关于----十部门印发《加强工业互联网安全工作的指导意见》(工信部联网安〔2019〕168号)的通知,进一步提速工控领域信息化安全建设的进程。
互联网安全是任何国家、政府、部门、行业都必须十分重视的问题,是一个不容忽视的国家安全战略。工控互联网安全作为互联网安全的分支领域,作为国家重要的基础设施,又涉及到很多细分领域,比如电力、燃气、自来水等。到如今的工业4.0是利用信息化技术去变革传统工业制造流程,采用大量互联网TCP/IP技术,除了自身的安全加固还应对外界网络进行全方位防护,否则一旦“中招”,后果非常严重,影响广泛。
此次《加强工业互联网安全工作的指导意见》(以下简称《指导意见》)按照《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》部署,旨在加快构建工控信息安全的保障能力,推动现代化经济体系建设,护航制造强国和网络强国的战略实施。
Ø 指导思想
围绕设备、控制网络、平台、数据安全,落实企业主体责任、政府监管责任,健全制度机制、建设技术手段、促进产业发展;
我们可以理解为技术与管理的双重要求。
技术方面:
◆ 设备:资产统计、设备管理、行为管理等;
◆ 网络:攻击防护、漏洞挖掘、入侵发现、态势感知、安全审计等;
◆ 平台:集中管理、平台化显示等;
◆ 数据安全:数据加密,数据审计,数据留存等;
管理方面:
◆ 落实企业主体责任制和政府监管制;被监管方与对应的安全厂商沟通制定响应的技术运维和生产使用的管理制度。
Ø 总体要求
1. 筑牢安全,保障发展。以安全保发展,以发展促安全;
◆ 落实主管责任制原则,坚持发展与安全并重;强调了生产与网络安全建设三个同步“同步规划、同步建设、同步运行”,工业控制系统(ICS)包括多种工业生产中使用的控制系统,包括监控和数据采集系统(SCADA)、分布式控制系统(DCS)和其他较小的控制系统,如可编程逻辑控制器(PLC),不同与传统信息安全建设,在不影响原有的工控网络情况下,建议在厂站空闲期间或是选择适用于的部署方式。
2. 统筹指导,协同推进。做好顶层设计和系统谋划,结合各地实际,突出重点,分步协同推进,加快构建工业互联网安全保障体系,确保安全工作落实到位;
◆ 安全设计不足:在设计之初,工业3.0之前由于资源受限,为面向互联网等原因,仅仅保证实时性和可用性。在技术变革期,缺乏安全架构顶层设计。结合各地各业实际情况,协同推进完善工业信息防护水平,做好工控信息安全的顶层设计和系统谋划。
3. 分类施策,分级管理。根据行业重要性、企业规模、安全风险程度等因素,对企业实施分类分级管理,集中力量指导;
◆ 此条对应《信息安全技术 网络安全等级保护定级指南(征求意见稿)》、2019年5月《GBT22239-2019信息安全技术网络安全等级保护基本要求》
4. 融合创新,重点突破。基于工业互联网融合发展特性,创新安全管理机制和技术手段,鼓励推动重点领域技术突破,加快安全可靠产品的创新推广应用,有效应对新型安全挑战;
◆ 提出保留信息防护原有框架,鼓励技术突破,以应对新型安全挑战。
总体目标。到2020年底,工业互联网安全保障体系初步建立。到2025年,制度机制健全完善,技术手段能力显著提升,安全产业形成规模,基本建立起较为完备可靠的工业互联网安全保障体系。
Ø 主要任务:
1. 推动工业互联网安全责任落实;
◆ 企业主体责任;明确网络安全部门与责任人,建立健全的防护前后风险评估、安全审计制度,建立相应安全事故问责制,加大安全投入,部署有效的安全防护手段。
◆ 政府相关单位负责监督和监管工作。
2. 构建工业互联网的安全管理体系;
◆ 建立完善的监管体制。(针对管理部门)
3. 提高企业工业互联网安全防护水平;
◆ 此项要求主要为督促工业企业部署针对性防护措施,明确要求加强对工业生产、主机、智能终端等设备的安全接入与防护工作。网络协议,工业软件的安全防护;
◆ 要求基础电信企业在网络化改造、部署IPV6、5G过程中,落实安全标准要求并开展安全评估工作。衔接上面的顶层设计,提升安全防护能力,设备支持IPV6成为亮点。
4. 强化工业互联网数据安全保护能力;
◆ 强调了企业数据安全防护,明确了数据收集、储存、处理、删除等环节安全保护按要求,指导企业完善研发设计、工业生产、运维管理、平台知识机理和数字化模型等数据的防窃密、防篡改和数据备份等安全防护措施,鼓励商用密码在工业互联网数据保护工作中的应用。明确了数据的重要性,并梳理了数据的防护要求。
5. 建设国家工业互联网安全技术手段;
◆ 点名鼓励机械制造、电子信息、航空航天等重点行业企业建设企业级安全平台,建设国家、省、企业三级协同的工业互联网技术保证机制。此条需要我们满足的是平台级联,数据连接、共享、整合的的要求,旨在打造工业大数据态势感知平台;
◆ 明确建立相对应的资料库,包括工控协议库、工控漏洞库、恶意代码病毒库和安全威胁信息库等基础资源库等,推动工业网络安全应急处理,从源头发现、抵御、化险的能力。
6. 加强工业互联网安全公共服务能力;
7. 推动工业互联网安全科技创新与产业发展;
◆ 加大对工业互联网安全技术研发和成果转化的支持力度,强化标识解析系统安全、平台安全、工业控制系统安全、数据安全、5G安全等相关核心技术研究,加强攻击防护、漏洞挖掘、态势感知等安全产品研发;第二次强调鼓励安全科技创新。
Ø 保障措施
在工业互联网专项工作组的统一指导下,加强统筹协调,强化部门协同、部省合作,构建各负其责、紧密配合、运转高效的工作机制。各地工业和信息化、教育、人力资源社会保障、生态环境、卫生健康、应急管理、国有资产监管、市场监管、能源、国防科技工业等主管部门及地方通信管理局要加强配合,形成合力。强调加大支持力度,发挥市场作用。
结语;
一是提升工业信息安全防护能力,覆盖设备安全、网络安全、平台安全和数据安全保障体系。引领工业互联网安全防护能力不断提升。
二是建立数据安全保护体系,建立工业数据的安全防护能力,明确指出了相关的技术要求篡改、泄密、违规行为,使用不当等。
三是推动安全技术手段建设,督促工业互联网相关企业落实网络安全的主体责任,指导企业加大安全投入,增强国家级工业互联网安全技术支撑能力,着力提升隐患排查、攻击发现、应急处置和攻击溯源等能力。
天地和兴科技有限公司专注于工控信息安全建设,自2007年以来一直深耕在信息安全基础建设一线,为多家制造集团工控生产环境提供了全生命周期信息化建设,积攒了大量工控信息安全建设的防护技术和有效解决方案。
防护措施:
A、 管理制度
建立完善的信息资产管控、使用制度。天地和兴将提供安全分析,系统运维培训,安全防护策略的使用、信息资源的分级授权、系统平台化操作方法等。
B、 技术防护
1、 边界部署防火墙。工控防火墙是为工控网络安全专门设计的一款边界安全防护产品。产品能够阻止任何来自安全区域外的非授权访问,有效抑制病毒、木马在工控网络中的传播和扩散。为控制网与企业网的连接、控制网内部各区域的连接提供安全保障。保证只有可信任的设备接入工控网络,保证可信任的流量在网络上传输。
2、 安装主机安全防护系统。主机安全防护系统是专门为工业主机打造的一款安全防护管理软件。该软件采用分布式架构,安装在工业上位机和工业服务器上,基于白名单智能匹配、智能杀毒、主机加固等技术,有效防止病毒与恶意程序入侵攻击、控制移动存储的非法接入。解决工业主机安全防护问题,提高工业主机系统安全防护的能力。
3、 部署工控安全审计平台。工控安全审计平台是针对工业控制网络设计的一款能够提供实时网络监测、安全审计的工控安全产品。审计平台采用旁路部署的方式接入核心交换机,通过对工业控制网络流量的采集、分析、监测,快速识别出工业控制网络中存在的网络异常事件和网络攻击行为并进行实时追踪、告警。
4、 部署工控威胁检测系统。工控威胁检测系统是一款用于实时监测工控网络环境中的威胁,特别是新型网络攻击的信息安全产品。工控威胁检测系统通过旁路镜像的部署方式,实现网络病毒检测和捕获,定位病毒感染源头并监控病毒的各种非法行为。
5、 部署入侵检测系统。部署入侵检测系统是一款针对工控网络中已知攻击行为进行实时监测的安全产品。入侵检测系统通过旁路部署的方式,配置安全策略对网络、系统的运行状况进行监视,及时的发现各种攻击企图、攻击行为和攻击结果,以保证网络系统资源的机密性、完整性和可用性。
6、 部署账号管理及运维审计系统(堡垒机)。账号管理及运维审计系统是针对工业企业的服务器、网络设备、安全设备、工控系统、数据库等设备的访问进行有效管控,实现集中运维管控与审计的一款安全产品。该产品通过对工业设备的权限、账号/密码进行集中的管理、操作过程全程记录、实时还原运维场景等功能助力工业企业用户构建统一、安全、高效的运维通道。
7、 组建安全网段部署工控信息安全监管与分析平台。安管平台是一款管理工控安全产品的管理平台。平台通过对工控网络中各种安全设备和主机设备(已部署主机安全防护系统的主机)进行集中管理和有效监控,可有效发现网络内部的违规资产、行为、策略和威胁,通过丰富的仪表板将网络安全态势呈现给客户,并可生成多种报告。
相关资讯
