北京2020年8月27日 /美通社/ --
引言
2019年12月1日����,《網(wǎng)絡(luò)安全等級保護(hù)基本要求》的正式實施標(biāo)志著等級保護(hù)制度整體進(jìn)入 2.0 時代,等級保護(hù)對象范圍從傳統(tǒng)的網(wǎng)絡(luò)和信息系統(tǒng)��,向“云移物工大”上進(jìn)行了擴(kuò)展��。GB/T22239由單獨的基本要求演變?yōu)橥ㄓ冒踩?新技術(shù)安全擴(kuò)展要求,且技術(shù)要求和管理要求都做了調(diào)整���。而關(guān)鍵信息基礎(chǔ)設(shè)施也在定級要求上明確指出“定級原則上不低于三級”的要求��。在本文中��,天地和興將從關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的實踐出發(fā)��,梳理并提供2.0時代等保安全建設(shè)的整體解決方案����,旨在助力關(guān)鍵信息基礎(chǔ)設(shè)施運營者網(wǎng)絡(luò)安全防護(hù)能力和信息安全管理能力的提升����,應(yīng)對各類網(wǎng)絡(luò)風(fēng)險和挑戰(zhàn)。
一�����、安全現(xiàn)狀
隨著“一帶一路”倡議的提出�����,交通運輸部聯(lián)合國家發(fā)展改革委��、財政部、自然資源部�����、生態(tài)環(huán)境部�����、應(yīng)急部、海關(guān)總署��、市場監(jiān)管總局和國家鐵路集團(tuán)聯(lián)合印發(fā)了《關(guān)于建設(shè)世界一流港口的指導(dǎo)意見》��,明確指出加快平安港口�、綠色港口、智慧港口建設(shè)���。中國經(jīng)濟(jì)與世界經(jīng)濟(jì)的關(guān)聯(lián)度越來越密切�����,中國的開放進(jìn)程進(jìn)一步加快��,作為改革開放窗口的港口企業(yè)����,逐步從數(shù)字化向“智慧港口”轉(zhuǎn)型?!爸腔鄹劭凇笔且袁F(xiàn)代化基礎(chǔ)設(shè)施設(shè)備為基礎(chǔ),以云計算�����、大數(shù)據(jù)��、物聯(lián)網(wǎng)�����、移動互聯(lián)網(wǎng)��、智能控制等新一代信息技術(shù)與港口運輸業(yè)務(wù)的深度融合為核心�����。隨著信息化不斷融合�,保障工業(yè)網(wǎng)絡(luò)安全也是確保國家戰(zhàn)略安全的一項重要內(nèi)容。如何建設(shè)一套穩(wěn)定���、先進(jìn)�、高效、可靠的工業(yè)網(wǎng)絡(luò)安全集中監(jiān)測管理系統(tǒng)����,提升港口企業(yè)整體工業(yè)網(wǎng)絡(luò)安全監(jiān)管水平和防御能力,已成為港口企業(yè)的重要任務(wù)之一��。
當(dāng)前港口企業(yè)生產(chǎn)控制系統(tǒng)普遍存在以下網(wǎng)絡(luò)安全風(fēng)險:
- 網(wǎng)絡(luò)的互聯(lián)互通是工控系統(tǒng)實現(xiàn)信息化的基礎(chǔ)條件�,但這給生產(chǎn)監(jiān)控系統(tǒng)帶來諸多網(wǎng)絡(luò)層面的安全風(fēng)險,來自辦公管理層網(wǎng)絡(luò)的入侵���、病毒等風(fēng)險很容易向生產(chǎn)網(wǎng)蔓延��;
- “兩化”融合促進(jìn)了港口生產(chǎn)系統(tǒng)與IT系統(tǒng)的互聯(lián)需求,港口生產(chǎn)系統(tǒng)也逐步采用通用協(xié)議或已廣泛應(yīng)用的工業(yè)協(xié)議傳輸數(shù)據(jù)�,使得攻擊者通過數(shù)據(jù)監(jiān)聽、協(xié)議解析與劫持技術(shù)篡改通信數(shù)據(jù)���、控制命令����,可直接威脅港口生產(chǎn)系統(tǒng)的正常運行���;
- 邊界越來越多���、越來越模糊��,防護(hù)難度也越來越大���。一旦局部控制網(wǎng)絡(luò)被病毒感染,容易迅速蔓延到整個生產(chǎn)控制網(wǎng)絡(luò)����,造成“一點突破,全網(wǎng)皆失”的��,嚴(yán)重威脅系統(tǒng)的運行安全����;
- 工程師站、操作員站等大部分上位機(jī)為Windows/Linux平臺��。為保證過程控制系統(tǒng)的相對獨立性���,同時考慮到系統(tǒng)的穩(wěn)定運行,通常在系統(tǒng)運行后不會安裝殺毒軟件��、安全更新補(bǔ)丁�,以及策略配置變更�,從而埋下巨大的安全隱患���。一旦感染惡意代碼��,極易傳播擴(kuò)散���,從而導(dǎo)致非計劃停機(jī);
- 由于應(yīng)用軟件和操作系統(tǒng)多種多樣���,很難形成統(tǒng)一的防護(hù)規(guī)范��,以應(yīng)對軟件和操作系統(tǒng)等漏洞造成的安全問題����;
- 由于缺乏對管理和技術(shù)人員操作行為的有效安全監(jiān)管和審計�����,誤操作或惡意操作安全風(fēng)險較大�;
- 各個網(wǎng)絡(luò)安全設(shè)備自成一體��,形成網(wǎng)絡(luò)安全的系列孤島����,管理員無法清晰獲知安全事件�,管理維護(hù)難度較大�。從等保2.0的要求及構(gòu)建整體工業(yè)網(wǎng)絡(luò)安全防護(hù)體系的需求來看,大部分相關(guān)企業(yè)并無統(tǒng)一的信息安全管理策略����,亦并未配置獨立的安全管理中心;
- 管理制度是國家各項安全法律����、法規(guī)、規(guī)范����、標(biāo)準(zhǔn)在企業(yè)的延伸和細(xì)化。盡管目前已設(shè)置專人專管的措施��,但在管理制度方面還是非常薄弱��,包括對人員�����、設(shè)備、考核等方面不夠細(xì)化�����;
- 發(fā)生網(wǎng)絡(luò)安全事件后人員通常依靠經(jīng)驗判斷���,甚至以逐個斷網(wǎng)等方式來確定網(wǎng)絡(luò)安全事件發(fā)生的設(shè)備和影響范圍���,對于被攻擊程度,工藝是否受影響等問題無法快速給出評估結(jié)論��。
二��、解決方案
通過以上分析��,港口行業(yè)企業(yè)生產(chǎn)控制系統(tǒng)在實際運營中面臨多種安全隱患�。結(jié)合國家網(wǎng)絡(luò)安全等級保護(hù)2.0的建設(shè)要求,從“一個中心��、三重防護(hù)”的思路出發(fā)�����,綜合考慮當(dāng)前港口行業(yè)生產(chǎn)控制系統(tǒng)的物理環(huán)境�、通信網(wǎng)絡(luò)、區(qū)域邊界����、計算環(huán)境、管理中心與安全管理方面的建設(shè)需求����,天地和興可提供全生命周期安全解決方案,為港口企業(yè)生產(chǎn)構(gòu)建安全防御體系�。
01風(fēng)險評估方案
風(fēng)險評估是全面了解與驗證在實際應(yīng)用中存在各種風(fēng)險的一種必要手段,亦是安全防護(hù)體系建設(shè)的前提����。天地和興通過科學(xué)運用網(wǎng)絡(luò)安全風(fēng)險評估的方法,參照相關(guān)國家�����、行業(yè)標(biāo)準(zhǔn)對物理環(huán)境����、通信網(wǎng)絡(luò)、區(qū)域邊界��、計算環(huán)境����、管理中心以及管理體系等方面進(jìn)行全面的安全評估�����。最大限度地提升港口企業(yè)生產(chǎn)監(jiān)控系統(tǒng)的安全保障能力�����,為企業(yè)全面掌握安全風(fēng)險����,為后續(xù)網(wǎng)絡(luò)安全建設(shè)提供數(shù)據(jù)支撐�。
基于表現(xiàn)形式的資產(chǎn)分類
02安全防護(hù)方案
遵照國家網(wǎng)絡(luò)安全等級保護(hù)及行業(yè)標(biāo)準(zhǔn)相關(guān)要求,天地和興以“一個中心��、三重防護(hù)”為指導(dǎo)思想����,設(shè)計構(gòu)建港口企業(yè)生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全防護(hù)技術(shù)體系,幫助企業(yè)完善安全管理體系����,滿足等保合規(guī)性要求的基礎(chǔ)上,對港口企業(yè)生產(chǎn)系統(tǒng)安全運行提供必要的安全防護(hù)����。通過部署工控防火墻、工控安全審計平臺���、入侵檢測系統(tǒng)�����、信息安全監(jiān)管與分析系統(tǒng)等安全防護(hù)產(chǎn)品����,提升生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)整體防護(hù)能力��,部署示意圖如下:
港口企業(yè)生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全防護(hù)技術(shù)體系
- 安全通信網(wǎng)絡(luò):對港口ICS系統(tǒng)網(wǎng)絡(luò)進(jìn)行優(yōu)化���,根據(jù)網(wǎng)絡(luò)中資產(chǎn)屬性和訪問邏輯來劃分安全域��,并對港口ICS系統(tǒng)網(wǎng)絡(luò)與辦公網(wǎng)互聯(lián)的網(wǎng)絡(luò)邊界進(jìn)行邊界隔離與安全防護(hù)�����,在數(shù)采網(wǎng)邊界處部署工業(yè)安全隔離與信息交換系統(tǒng)(工業(yè)網(wǎng)閘系統(tǒng))�����,保護(hù)港口行業(yè)企業(yè)生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)免受來自上層辦公網(wǎng)及互聯(lián)網(wǎng)的入侵攻擊風(fēng)險��。
- 安全區(qū)域邊界:針對港口ICS系統(tǒng)網(wǎng)絡(luò)中劃分的安全域���,根據(jù)系統(tǒng)的重要程度�����、部門等屬性�����,針對性的對區(qū)域采取技術(shù)隔離手段����,保護(hù)各區(qū)域的運行安全�,如:在裝船機(jī)、堆料機(jī)�、抓斗卸船機(jī)、篩分���、泵房等系統(tǒng)邊界處串行部署工控防火墻���,保護(hù)各層級或各安全域間的運行安全���;在中控室核心交換機(jī)上選擇旁路部署入侵檢測系統(tǒng)、威脅檢測系統(tǒng)�����,實時監(jiān)測工控系統(tǒng)網(wǎng)絡(luò)中�、核心數(shù)據(jù)服務(wù)安全域的異常行為并分析告警��;在裝船機(jī)��、堆料機(jī)����、抓斗卸船機(jī)、篩分��、泵房等系統(tǒng)的交換機(jī)上部署工控安全審計系統(tǒng)����,對通信數(shù)據(jù)進(jìn)行監(jiān)聽和分析,對異常行為��、違規(guī)操作行為進(jìn)行識別����、審計告警���,輔助安全運維人員進(jìn)行處置。
- 安全計算環(huán)境:針對在港口ICS系統(tǒng)中的關(guān)鍵計算設(shè)備進(jìn)行安全加固���,包括各種相關(guān)的應(yīng)用服務(wù)器�、操作員站���、工程師站等���,通過檢查工具對其安全漏洞與脆弱性進(jìn)行發(fā)現(xiàn)和管理,對可修復(fù)的漏洞進(jìn)行可行性驗證與修復(fù)���,關(guān)閉不需要的默認(rèn)賬號���、服務(wù),進(jìn)行主機(jī)系統(tǒng)必要的安全加固�,提升主機(jī)系統(tǒng)抗攻擊能力。具體措施為:在HMI�����、工程師站、歷史站����、操作員站等主機(jī)系統(tǒng)上部署主機(jī)防護(hù)系統(tǒng),并有針對性的進(jìn)行人工加固服務(wù)���。
- 安全管理中心: 在港口ICS系統(tǒng)網(wǎng)絡(luò)中組建安全管理專網(wǎng)�,并建立安全管理中心��,整體提高企業(yè)的全網(wǎng)的安全風(fēng)險管理���、關(guān)聯(lián)分析、安全可視化與聯(lián)動處置等能力����。具體措施為:部署工控安全監(jiān)管平臺、運維審計系統(tǒng)���、日志審計與分析系統(tǒng)�、工控漏洞掃描管理系統(tǒng)等產(chǎn)品��,實現(xiàn)全網(wǎng)關(guān)鍵計算設(shè)備��、關(guān)鍵網(wǎng)絡(luò)設(shè)備以及關(guān)鍵網(wǎng)絡(luò)安全設(shè)備的運行監(jiān)控、安全日志收集與分析����、安全事件集中處置,全網(wǎng)系統(tǒng)賬戶的統(tǒng)一管理與操作審計等功能�����。
03安全檢查方案
建立ICS系統(tǒng)定期安全檢查和整改工作機(jī)制�,每年至少自行開展一次安全檢查,發(fā)現(xiàn)問題需制定整改計劃及措施����,并將整改情況上報主管單位和集團(tuán)公司,協(xié)助開展網(wǎng)絡(luò)安全專項檢查�,最終對檢查結(jié)果進(jìn)行通報。
04應(yīng)急演練方案
建立健全網(wǎng)絡(luò)安全運行應(yīng)急工作機(jī)制��,當(dāng)ICS系統(tǒng)內(nèi)發(fā)生變化時�,及時組織對應(yīng)急處置預(yù)案進(jìn)行評估,根據(jù)實際情況適時修改并進(jìn)行演練�����,形成快速反應(yīng)、快速處置的能力����。確保當(dāng)ICS系統(tǒng)出現(xiàn)安全事件,尤其是遭到黑客��、惡意代碼攻擊和其他人為破壞時�����,立即向應(yīng)急響應(yīng)辦公室�、上級主管部門、當(dāng)?shù)卣鄳?yīng)部門及集團(tuán)公司報告���,同時按應(yīng)急處理預(yù)案采取安全應(yīng)急措施���。處理安全事件過程中應(yīng)注意保護(hù)現(xiàn)場��,以便進(jìn)行調(diào)查取證和分析�。最后將制定安全防護(hù)事件通報制度,將有關(guān)安全問題做好記錄����。定期向主管部門報送當(dāng)前系統(tǒng)安全防護(hù)情況,并及時上報安全防護(hù)過程中出現(xiàn)的異常現(xiàn)象����。
05安全服務(wù)方案
天地和興專業(yè)化的安全服務(wù)團(tuán)隊可為用戶提供安全咨詢、安全評估���、運維管理�、安全檢查���、等保差距分析�����、安全保障等專業(yè)級安全服務(wù)��,幫助企業(yè)解決項目前期調(diào)研��、評估���、規(guī)劃、后期安全培訓(xùn)���、運維��、應(yīng)急保障等一系列安全服務(wù)內(nèi)容��,提升工業(yè)網(wǎng)絡(luò)安全專業(yè)技能與運維管理能力�。
06安全運營方案
安全運營的好壞直接影響ICS系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的防護(hù)效能。結(jié)合法律法規(guī)����,通過建立企業(yè)安全戰(zhàn)略規(guī)劃、安全體系建設(shè)���、安全監(jiān)測評估�、安全人才培養(yǎng)����、業(yè)務(wù)創(chuàng)新運營服務(wù)的各項標(biāo)準(zhǔn)、整合來自人員��、流程和技術(shù)方面的信息���,提供相關(guān)的信息和工具,幫助港口企業(yè)快速做出決策��,實現(xiàn)產(chǎn)品��、服務(wù)、制度的能力集約化�、可視化管理。通過建設(shè)運維�、安全、應(yīng)急����、運營體系打破產(chǎn)品和服務(wù)相互獨立的現(xiàn)狀,將技術(shù)和管理全面實行數(shù)字化����,達(dá)成智能化安全運營的目標(biāo)。
三�、總結(jié)
本方案以港口企業(yè)生產(chǎn)監(jiān)控系統(tǒng)應(yīng)用為場景,構(gòu)建整體工業(yè)網(wǎng)絡(luò)安全防護(hù)方案���,包括網(wǎng)絡(luò)安全評估方案����、網(wǎng)絡(luò)安全建設(shè)方案�、網(wǎng)絡(luò)安全服務(wù)方案、網(wǎng)絡(luò)安全運營方案�,落實國家等級保護(hù)“一個中心、三重防護(hù)”的安全理念與安全架構(gòu)要求����,以解決港口企業(yè)監(jiān)控系統(tǒng)在聯(lián)網(wǎng)運行中所面臨的網(wǎng)絡(luò)安全建設(shè)與運營困擾���,系統(tǒng)地為企業(yè)提供包括安全服務(wù)、安全建設(shè)�、安全運營在內(nèi)的工業(yè)網(wǎng)絡(luò)安全全生命周期解決方案,為業(yè)務(wù)系統(tǒng)安全運行保駕護(hù)航��。
