北京2020年8月27日 /美通社/ --
引言
2019年12月1日��,《網(wǎng)絡(luò)安全等級保護(hù)基本要求》的正式實(shí)施標(biāo)志著等級保護(hù)制度整體進(jìn)入 2.0 時代�����,等級保護(hù)對象范圍從傳統(tǒng)的網(wǎng)絡(luò)和信息系統(tǒng)����,向“云移物工大”上進(jìn)行了擴(kuò)展。GB/T22239由單獨(dú)的基本要求演變?yōu)橥ㄓ冒踩?新技術(shù)安全擴(kuò)展要求�,且技術(shù)要求和管理要求都做了調(diào)整。而關(guān)鍵信息基礎(chǔ)設(shè)施也在定級要求上明確指出“定級原則上不低于三級”的要求��。在本文中���,天地和興將從關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的實(shí)踐出發(fā),梳理并提供2.0時代等保安全建設(shè)的整體解決方案��,旨在助力關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者網(wǎng)絡(luò)安全防護(hù)能力和信息安全管理能力的提升��,應(yīng)對各類網(wǎng)絡(luò)風(fēng)險和挑戰(zhàn)���。
一���、安全現(xiàn)狀
隨著“一帶一路”倡議的提出,交通運(yùn)輸部聯(lián)合國家發(fā)展改革委���、財政部��、自然資源部���、生態(tài)環(huán)境部�����、應(yīng)急部��、海關(guān)總署�、市場監(jiān)管總局和國家鐵路集團(tuán)聯(lián)合印發(fā)了《關(guān)于建設(shè)世界一流港口的指導(dǎo)意見》��,明確指出加快平安港口����、綠色港口、智慧港口建設(shè)�。中國經(jīng)濟(jì)與世界經(jīng)濟(jì)的關(guān)聯(lián)度越來越密切,中國的開放進(jìn)程進(jìn)一步加快���,作為改革開放窗口的港口企業(yè)����,逐步從數(shù)字化向“智慧港口”轉(zhuǎn)型�。“智慧港口”是以現(xiàn)代化基礎(chǔ)設(shè)施設(shè)備為基礎(chǔ)����,以云計算�、大數(shù)據(jù)���、物聯(lián)網(wǎng)��、移動互聯(lián)網(wǎng)�����、智能控制等新一代信息技術(shù)與港口運(yùn)輸業(yè)務(wù)的深度融合為核心。隨著信息化不斷融合��,保障工業(yè)網(wǎng)絡(luò)安全也是確保國家戰(zhàn)略安全的一項(xiàng)重要內(nèi)容��。如何建設(shè)一套穩(wěn)定�、先進(jìn)、高效����、可靠的工業(yè)網(wǎng)絡(luò)安全集中監(jiān)測管理系統(tǒng),提升港口企業(yè)整體工業(yè)網(wǎng)絡(luò)安全監(jiān)管水平和防御能力���,已成為港口企業(yè)的重要任務(wù)之一����。
當(dāng)前港口企業(yè)生產(chǎn)控制系統(tǒng)普遍存在以下網(wǎng)絡(luò)安全風(fēng)險:
- 網(wǎng)絡(luò)的互聯(lián)互通是工控系統(tǒng)實(shí)現(xiàn)信息化的基礎(chǔ)條件,但這給生產(chǎn)監(jiān)控系統(tǒng)帶來諸多網(wǎng)絡(luò)層面的安全風(fēng)險��,來自辦公管理層網(wǎng)絡(luò)的入侵�����、病毒等風(fēng)險很容易向生產(chǎn)網(wǎng)蔓延��;
- “兩化”融合促進(jìn)了港口生產(chǎn)系統(tǒng)與IT系統(tǒng)的互聯(lián)需求�����,港口生產(chǎn)系統(tǒng)也逐步采用通用協(xié)議或已廣泛應(yīng)用的工業(yè)協(xié)議傳輸數(shù)據(jù)�����,使得攻擊者通過數(shù)據(jù)監(jiān)聽�、協(xié)議解析與劫持技術(shù)篡改通信數(shù)據(jù)、控制命令���,可直接威脅港口生產(chǎn)系統(tǒng)的正常運(yùn)行�;
- 邊界越來越多���、越來越模糊����,防護(hù)難度也越來越大。一旦局部控制網(wǎng)絡(luò)被病毒感染�,容易迅速蔓延到整個生產(chǎn)控制網(wǎng)絡(luò),造成“一點(diǎn)突破�,全網(wǎng)皆失”的,嚴(yán)重威脅系統(tǒng)的運(yùn)行安全��;
- 工程師站����、操作員站等大部分上位機(jī)為Windows/Linux平臺����。為保證過程控制系統(tǒng)的相對獨(dú)立性,同時考慮到系統(tǒng)的穩(wěn)定運(yùn)行��,通常在系統(tǒng)運(yùn)行后不會安裝殺毒軟件���、安全更新補(bǔ)丁����,以及策略配置變更,從而埋下巨大的安全隱患�。一旦感染惡意代碼,極易傳播擴(kuò)散�����,從而導(dǎo)致非計劃停機(jī)�;
- 由于應(yīng)用軟件和操作系統(tǒng)多種多樣,很難形成統(tǒng)一的防護(hù)規(guī)范���,以應(yīng)對軟件和操作系統(tǒng)等漏洞造成的安全問題����;
- 由于缺乏對管理和技術(shù)人員操作行為的有效安全監(jiān)管和審計����,誤操作或惡意操作安全風(fēng)險較大;
- 各個網(wǎng)絡(luò)安全設(shè)備自成一體���,形成網(wǎng)絡(luò)安全的系列孤島��,管理員無法清晰獲知安全事件���,管理維護(hù)難度較大�����。從等保2.0的要求及構(gòu)建整體工業(yè)網(wǎng)絡(luò)安全防護(hù)體系的需求來看��,大部分相關(guān)企業(yè)并無統(tǒng)一的信息安全管理策略��,亦并未配置獨(dú)立的安全管理中心�;
- 管理制度是國家各項(xiàng)安全法律��、法規(guī)�、規(guī)范、標(biāo)準(zhǔn)在企業(yè)的延伸和細(xì)化���。盡管目前已設(shè)置專人專管的措施�,但在管理制度方面還是非常薄弱����,包括對人員�、設(shè)備、考核等方面不夠細(xì)化���;
- 發(fā)生網(wǎng)絡(luò)安全事件后人員通常依靠經(jīng)驗(yàn)判斷���,甚至以逐個斷網(wǎng)等方式來確定網(wǎng)絡(luò)安全事件發(fā)生的設(shè)備和影響范圍���,對于被攻擊程度,工藝是否受影響等問題無法快速給出評估結(jié)論�。
二、解決方案
通過以上分析�,港口行業(yè)企業(yè)生產(chǎn)控制系統(tǒng)在實(shí)際運(yùn)營中面臨多種安全隱患。結(jié)合國家網(wǎng)絡(luò)安全等級保護(hù)2.0的建設(shè)要求���,從“一個中心���、三重防護(hù)”的思路出發(fā),綜合考慮當(dāng)前港口行業(yè)生產(chǎn)控制系統(tǒng)的物理環(huán)境����、通信網(wǎng)絡(luò)、區(qū)域邊界����、計算環(huán)境、管理中心與安全管理方面的建設(shè)需求���,天地和興可提供全生命周期安全解決方案����,為港口企業(yè)生產(chǎn)構(gòu)建安全防御體系。
01風(fēng)險評估方案
風(fēng)險評估是全面了解與驗(yàn)證在實(shí)際應(yīng)用中存在各種風(fēng)險的一種必要手段���,亦是安全防護(hù)體系建設(shè)的前提����。天地和興通過科學(xué)運(yùn)用網(wǎng)絡(luò)安全風(fēng)險評估的方法����,參照相關(guān)國家、行業(yè)標(biāo)準(zhǔn)對物理環(huán)境�、通信網(wǎng)絡(luò)、區(qū)域邊界�、計算環(huán)境、管理中心以及管理體系等方面進(jìn)行全面的安全評估���。最大限度地提升港口企業(yè)生產(chǎn)監(jiān)控系統(tǒng)的安全保障能力����,為企業(yè)全面掌握安全風(fēng)險���,為后續(xù)網(wǎng)絡(luò)安全建設(shè)提供數(shù)據(jù)支撐����。
基于表現(xiàn)形式的資產(chǎn)分類
02安全防護(hù)方案
遵照國家網(wǎng)絡(luò)安全等級保護(hù)及行業(yè)標(biāo)準(zhǔn)相關(guān)要求���,天地和興以“一個中心����、三重防護(hù)”為指導(dǎo)思想�,設(shè)計構(gòu)建港口企業(yè)生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全防護(hù)技術(shù)體系,幫助企業(yè)完善安全管理體系�����,滿足等保合規(guī)性要求的基礎(chǔ)上���,對港口企業(yè)生產(chǎn)系統(tǒng)安全運(yùn)行提供必要的安全防護(hù)�����。通過部署工控防火墻����、工控安全審計平臺���、入侵檢測系統(tǒng)�����、信息安全監(jiān)管與分析系統(tǒng)等安全防護(hù)產(chǎn)品��,提升生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)整體防護(hù)能力��,部署示意圖如下:
港口企業(yè)生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全防護(hù)技術(shù)體系
- 安全通信網(wǎng)絡(luò):對港口ICS系統(tǒng)網(wǎng)絡(luò)進(jìn)行優(yōu)化���,根據(jù)網(wǎng)絡(luò)中資產(chǎn)屬性和訪問邏輯來劃分安全域��,并對港口ICS系統(tǒng)網(wǎng)絡(luò)與辦公網(wǎng)互聯(lián)的網(wǎng)絡(luò)邊界進(jìn)行邊界隔離與安全防護(hù)�����,在數(shù)采網(wǎng)邊界處部署工業(yè)安全隔離與信息交換系統(tǒng)(工業(yè)網(wǎng)閘系統(tǒng))�����,保護(hù)港口行業(yè)企業(yè)生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)免受來自上層辦公網(wǎng)及互聯(lián)網(wǎng)的入侵攻擊風(fēng)險�����。
- 安全區(qū)域邊界:針對港口ICS系統(tǒng)網(wǎng)絡(luò)中劃分的安全域�,根據(jù)系統(tǒng)的重要程度����、部門等屬性,針對性的對區(qū)域采取技術(shù)隔離手段���,保護(hù)各區(qū)域的運(yùn)行安全����,如:在裝船機(jī)�����、堆料機(jī)���、抓斗卸船機(jī)����、篩分�����、泵房等系統(tǒng)邊界處串行部署工控防火墻,保護(hù)各層級或各安全域間的運(yùn)行安全�;在中控室核心交換機(jī)上選擇旁路部署入侵檢測系統(tǒng)、威脅檢測系統(tǒng)�,實(shí)時監(jiān)測工控系統(tǒng)網(wǎng)絡(luò)中、核心數(shù)據(jù)服務(wù)安全域的異常行為并分析告警�;在裝船機(jī)、堆料機(jī)����、抓斗卸船機(jī)、篩分�、泵房等系統(tǒng)的交換機(jī)上部署工控安全審計系統(tǒng),對通信數(shù)據(jù)進(jìn)行監(jiān)聽和分析��,對異常行為����、違規(guī)操作行為進(jìn)行識別、審計告警�,輔助安全運(yùn)維人員進(jìn)行處置。
- 安全計算環(huán)境:針對在港口ICS系統(tǒng)中的關(guān)鍵計算設(shè)備進(jìn)行安全加固���,包括各種相關(guān)的應(yīng)用服務(wù)器�、操作員站�、工程師站等,通過檢查工具對其安全漏洞與脆弱性進(jìn)行發(fā)現(xiàn)和管理,對可修復(fù)的漏洞進(jìn)行可行性驗(yàn)證與修復(fù)�����,關(guān)閉不需要的默認(rèn)賬號���、服務(wù),進(jìn)行主機(jī)系統(tǒng)必要的安全加固���,提升主機(jī)系統(tǒng)抗攻擊能力���。具體措施為:在HMI、工程師站���、歷史站���、操作員站等主機(jī)系統(tǒng)上部署主機(jī)防護(hù)系統(tǒng),并有針對性的進(jìn)行人工加固服務(wù)����。
- 安全管理中心: 在港口ICS系統(tǒng)網(wǎng)絡(luò)中組建安全管理專網(wǎng),并建立安全管理中心����,整體提高企業(yè)的全網(wǎng)的安全風(fēng)險管理�、關(guān)聯(lián)分析�����、安全可視化與聯(lián)動處置等能力����。具體措施為:部署工控安全監(jiān)管平臺、運(yùn)維審計系統(tǒng)����、日志審計與分析系統(tǒng)、工控漏洞掃描管理系統(tǒng)等產(chǎn)品�����,實(shí)現(xiàn)全網(wǎng)關(guān)鍵計算設(shè)備��、關(guān)鍵網(wǎng)絡(luò)設(shè)備以及關(guān)鍵網(wǎng)絡(luò)安全設(shè)備的運(yùn)行監(jiān)控���、安全日志收集與分析�����、安全事件集中處置���,全網(wǎng)系統(tǒng)賬戶的統(tǒng)一管理與操作審計等功能�。
03安全檢查方案
建立ICS系統(tǒng)定期安全檢查和整改工作機(jī)制���,每年至少自行開展一次安全檢查�����,發(fā)現(xiàn)問題需制定整改計劃及措施,并將整改情況上報主管單位和集團(tuán)公司��,協(xié)助開展網(wǎng)絡(luò)安全專項(xiàng)檢查��,最終對檢查結(jié)果進(jìn)行通報����。
04應(yīng)急演練方案
建立健全網(wǎng)絡(luò)安全運(yùn)行應(yīng)急工作機(jī)制,當(dāng)ICS系統(tǒng)內(nèi)發(fā)生變化時�,及時組織對應(yīng)急處置預(yù)案進(jìn)行評估,根據(jù)實(shí)際情況適時修改并進(jìn)行演練����,形成快速反應(yīng)���、快速處置的能力。確保當(dāng)ICS系統(tǒng)出現(xiàn)安全事件���,尤其是遭到黑客��、惡意代碼攻擊和其他人為破壞時�����,立即向應(yīng)急響應(yīng)辦公室��、上級主管部門�����、當(dāng)?shù)卣鄳?yīng)部門及集團(tuán)公司報告�����,同時按應(yīng)急處理預(yù)案采取安全應(yīng)急措施���。處理安全事件過程中應(yīng)注意保護(hù)現(xiàn)場,以便進(jìn)行調(diào)查取證和分析����。最后將制定安全防護(hù)事件通報制度����,將有關(guān)安全問題做好記錄���。定期向主管部門報送當(dāng)前系統(tǒng)安全防護(hù)情況��,并及時上報安全防護(hù)過程中出現(xiàn)的異?����,F(xiàn)象�。
05安全服務(wù)方案
天地和興專業(yè)化的安全服務(wù)團(tuán)隊可為用戶提供安全咨詢���、安全評估、運(yùn)維管理��、安全檢查�����、等保差距分析����、安全保障等專業(yè)級安全服務(wù)����,幫助企業(yè)解決項(xiàng)目前期調(diào)研�、評估、規(guī)劃�、后期安全培訓(xùn)、運(yùn)維�����、應(yīng)急保障等一系列安全服務(wù)內(nèi)容���,提升工業(yè)網(wǎng)絡(luò)安全專業(yè)技能與運(yùn)維管理能力�����。
06安全運(yùn)營方案
安全運(yùn)營的好壞直接影響ICS系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的防護(hù)效能�。結(jié)合法律法規(guī)��,通過建立企業(yè)安全戰(zhàn)略規(guī)劃�����、安全體系建設(shè)、安全監(jiān)測評估���、安全人才培養(yǎng)����、業(yè)務(wù)創(chuàng)新運(yùn)營服務(wù)的各項(xiàng)標(biāo)準(zhǔn)����、整合來自人員、流程和技術(shù)方面的信息�,提供相關(guān)的信息和工具,幫助港口企業(yè)快速做出決策�,實(shí)現(xiàn)產(chǎn)品、服務(wù)����、制度的能力集約化�、可視化管理。通過建設(shè)運(yùn)維��、安全�����、應(yīng)急、運(yùn)營體系打破產(chǎn)品和服務(wù)相互獨(dú)立的現(xiàn)狀����,將技術(shù)和管理全面實(shí)行數(shù)字化,達(dá)成智能化安全運(yùn)營的目標(biāo)����。
三、總結(jié)
本方案以港口企業(yè)生產(chǎn)監(jiān)控系統(tǒng)應(yīng)用為場景�,構(gòu)建整體工業(yè)網(wǎng)絡(luò)安全防護(hù)方案,包括網(wǎng)絡(luò)安全評估方案�、網(wǎng)絡(luò)安全建設(shè)方案、網(wǎng)絡(luò)安全服務(wù)方案�����、網(wǎng)絡(luò)安全運(yùn)營方案��,落實(shí)國家等級保護(hù)“一個中心����、三重防護(hù)”的安全理念與安全架構(gòu)要求,以解決港口企業(yè)監(jiān)控系統(tǒng)在聯(lián)網(wǎng)運(yùn)行中所面臨的網(wǎng)絡(luò)安全建設(shè)與運(yùn)營困擾����,系統(tǒng)地為企業(yè)提供包括安全服務(wù)����、安全建設(shè)��、安全運(yùn)營在內(nèi)的工業(yè)網(wǎng)絡(luò)安全全生命周期解決方案��,為業(yè)務(wù)系統(tǒng)安全運(yùn)行保駕護(hù)航���。
