北京2020年8月27日 /美通社/ --
引言
2019年12月1日���,《網(wǎng)絡安全等級保護基本要求》的正式實施標志著等級保護制度整體進入 2.0 時代�����,等級保護對象范圍從傳統(tǒng)的網(wǎng)絡和信息系統(tǒng)��,向“云移物工大”上進行了擴展�。GB/T22239由單獨的基本要求演變?yōu)橥ㄓ冒踩?新技術安全擴展要求,且技術要求和管理要求都做了調(diào)整����。而關鍵信息基礎設施也在定級要求上明確指出“定級原則上不低于三級”的要求。在本文中��,天地和興將從關鍵信息基礎設施保護的實踐出發(fā)����,梳理并提供2.0時代等保安全建設的整體解決方案,旨在助力關鍵信息基礎設施運營者網(wǎng)絡安全防護能力和信息安全管理能力的提升���,應對各類網(wǎng)絡風險和挑戰(zhàn)����。
一�、安全現(xiàn)狀
隨著“一帶一路”倡議的提出,交通運輸部聯(lián)合國家發(fā)展改革委�、財政部����、自然資源部���、生態(tài)環(huán)境部�、應急部��、海關總署�、市場監(jiān)管總局和國家鐵路集團聯(lián)合印發(fā)了《關于建設世界一流港口的指導意見》,明確指出加快平安港口�����、綠色港口��、智慧港口建設�。中國經(jīng)濟與世界經(jīng)濟的關聯(lián)度越來越密切,中國的開放進程進一步加快�����,作為改革開放窗口的港口企業(yè)��,逐步從數(shù)字化向“智慧港口”轉型�����?����!爸腔鄹劭凇笔且袁F(xiàn)代化基礎設施設備為基礎��,以云計算����、大數(shù)據(jù)、物聯(lián)網(wǎng)����、移動互聯(lián)網(wǎng)、智能控制等新一代信息技術與港口運輸業(yè)務的深度融合為核心�����。隨著信息化不斷融合�����,保障工業(yè)網(wǎng)絡安全也是確保國家戰(zhàn)略安全的一項重要內(nèi)容。如何建設一套穩(wěn)定����、先進、高效���、可靠的工業(yè)網(wǎng)絡安全集中監(jiān)測管理系統(tǒng)����,提升港口企業(yè)整體工業(yè)網(wǎng)絡安全監(jiān)管水平和防御能力�,已成為港口企業(yè)的重要任務之一。
當前港口企業(yè)生產(chǎn)控制系統(tǒng)普遍存在以下網(wǎng)絡安全風險:
- 網(wǎng)絡的互聯(lián)互通是工控系統(tǒng)實現(xiàn)信息化的基礎條件��,但這給生產(chǎn)監(jiān)控系統(tǒng)帶來諸多網(wǎng)絡層面的安全風險��,來自辦公管理層網(wǎng)絡的入侵��、病毒等風險很容易向生產(chǎn)網(wǎng)蔓延���;
- “兩化”融合促進了港口生產(chǎn)系統(tǒng)與IT系統(tǒng)的互聯(lián)需求�����,港口生產(chǎn)系統(tǒng)也逐步采用通用協(xié)議或已廣泛應用的工業(yè)協(xié)議傳輸數(shù)據(jù)�,使得攻擊者通過數(shù)據(jù)監(jiān)聽�、協(xié)議解析與劫持技術篡改通信數(shù)據(jù)、控制命令����,可直接威脅港口生產(chǎn)系統(tǒng)的正常運行;
- 邊界越來越多����、越來越模糊,防護難度也越來越大���。一旦局部控制網(wǎng)絡被病毒感染����,容易迅速蔓延到整個生產(chǎn)控制網(wǎng)絡���,造成“一點突破���,全網(wǎng)皆失”的,嚴重威脅系統(tǒng)的運行安全���;
- 工程師站�、操作員站等大部分上位機為Windows/Linux平臺。為保證過程控制系統(tǒng)的相對獨立性���,同時考慮到系統(tǒng)的穩(wěn)定運行�����,通常在系統(tǒng)運行后不會安裝殺毒軟件��、安全更新補丁��,以及策略配置變更��,從而埋下巨大的安全隱患��。一旦感染惡意代碼����,極易傳播擴散���,從而導致非計劃停機����;
- 由于應用軟件和操作系統(tǒng)多種多樣�,很難形成統(tǒng)一的防護規(guī)范��,以應對軟件和操作系統(tǒng)等漏洞造成的安全問題��;
- 由于缺乏對管理和技術人員操作行為的有效安全監(jiān)管和審計,誤操作或惡意操作安全風險較大�����;
- 各個網(wǎng)絡安全設備自成一體�����,形成網(wǎng)絡安全的系列孤島�����,管理員無法清晰獲知安全事件��,管理維護難度較大����。從等保2.0的要求及構建整體工業(yè)網(wǎng)絡安全防護體系的需求來看,大部分相關企業(yè)并無統(tǒng)一的信息安全管理策略�,亦并未配置獨立的安全管理中心;
- 管理制度是國家各項安全法律��、法規(guī)、規(guī)范�����、標準在企業(yè)的延伸和細化���。盡管目前已設置專人專管的措施�,但在管理制度方面還是非常薄弱����,包括對人員、設備�、考核等方面不夠細化;
- 發(fā)生網(wǎng)絡安全事件后人員通常依靠經(jīng)驗判斷�,甚至以逐個斷網(wǎng)等方式來確定網(wǎng)絡安全事件發(fā)生的設備和影響范圍,對于被攻擊程度��,工藝是否受影響等問題無法快速給出評估結論��。
二����、解決方案
通過以上分析,港口行業(yè)企業(yè)生產(chǎn)控制系統(tǒng)在實際運營中面臨多種安全隱患����。結合國家網(wǎng)絡安全等級保護2.0的建設要求����,從“一個中心���、三重防護”的思路出發(fā)��,綜合考慮當前港口行業(yè)生產(chǎn)控制系統(tǒng)的物理環(huán)境、通信網(wǎng)絡����、區(qū)域邊界、計算環(huán)境��、管理中心與安全管理方面的建設需求���,天地和興可提供全生命周期安全解決方案��,為港口企業(yè)生產(chǎn)構建安全防御體系��。
01風險評估方案
風險評估是全面了解與驗證在實際應用中存在各種風險的一種必要手段�,亦是安全防護體系建設的前提���。天地和興通過科學運用網(wǎng)絡安全風險評估的方法��,參照相關國家�����、行業(yè)標準對物理環(huán)境���、通信網(wǎng)絡�����、區(qū)域邊界�����、計算環(huán)境�����、管理中心以及管理體系等方面進行全面的安全評估��。最大限度地提升港口企業(yè)生產(chǎn)監(jiān)控系統(tǒng)的安全保障能力���,為企業(yè)全面掌握安全風險�����,為后續(xù)網(wǎng)絡安全建設提供數(shù)據(jù)支撐����。
基于表現(xiàn)形式的資產(chǎn)分類
02安全防護方案
遵照國家網(wǎng)絡安全等級保護及行業(yè)標準相關要求����,天地和興以“一個中心、三重防護”為指導思想���,設計構建港口企業(yè)生產(chǎn)系統(tǒng)網(wǎng)絡安全防護技術體系,幫助企業(yè)完善安全管理體系���,滿足等保合規(guī)性要求的基礎上��,對港口企業(yè)生產(chǎn)系統(tǒng)安全運行提供必要的安全防護��。通過部署工控防火墻���、工控安全審計平臺、入侵檢測系統(tǒng)��、信息安全監(jiān)管與分析系統(tǒng)等安全防護產(chǎn)品,提升生產(chǎn)控制系統(tǒng)網(wǎng)絡整體防護能力��,部署示意圖如下:
港口企業(yè)生產(chǎn)系統(tǒng)網(wǎng)絡安全防護技術體系
- 安全通信網(wǎng)絡:對港口ICS系統(tǒng)網(wǎng)絡進行優(yōu)化�����,根據(jù)網(wǎng)絡中資產(chǎn)屬性和訪問邏輯來劃分安全域��,并對港口ICS系統(tǒng)網(wǎng)絡與辦公網(wǎng)互聯(lián)的網(wǎng)絡邊界進行邊界隔離與安全防護�,在數(shù)采網(wǎng)邊界處部署工業(yè)安全隔離與信息交換系統(tǒng)(工業(yè)網(wǎng)閘系統(tǒng)),保護港口行業(yè)企業(yè)生產(chǎn)控制系統(tǒng)網(wǎng)絡免受來自上層辦公網(wǎng)及互聯(lián)網(wǎng)的入侵攻擊風險���。
- 安全區(qū)域邊界:針對港口ICS系統(tǒng)網(wǎng)絡中劃分的安全域��,根據(jù)系統(tǒng)的重要程度�、部門等屬性�,針對性的對區(qū)域采取技術隔離手段�,保護各區(qū)域的運行安全,如:在裝船機��、堆料機��、抓斗卸船機、篩分��、泵房等系統(tǒng)邊界處串行部署工控防火墻�����,保護各層級或各安全域間的運行安全����;在中控室核心交換機上選擇旁路部署入侵檢測系統(tǒng)、威脅檢測系統(tǒng)�����,實時監(jiān)測工控系統(tǒng)網(wǎng)絡中����、核心數(shù)據(jù)服務安全域的異常行為并分析告警�;在裝船機、堆料機����、抓斗卸船機、篩分���、泵房等系統(tǒng)的交換機上部署工控安全審計系統(tǒng)�����,對通信數(shù)據(jù)進行監(jiān)聽和分析�����,對異常行為���、違規(guī)操作行為進行識別、審計告警�����,輔助安全運維人員進行處置����。
- 安全計算環(huán)境:針對在港口ICS系統(tǒng)中的關鍵計算設備進行安全加固��,包括各種相關的應用服務器����、操作員站、工程師站等,通過檢查工具對其安全漏洞與脆弱性進行發(fā)現(xiàn)和管理���,對可修復的漏洞進行可行性驗證與修復,關閉不需要的默認賬號����、服務,進行主機系統(tǒng)必要的安全加固����,提升主機系統(tǒng)抗攻擊能力。具體措施為:在HMI�����、工程師站��、歷史站���、操作員站等主機系統(tǒng)上部署主機防護系統(tǒng),并有針對性的進行人工加固服務�����。
- 安全管理中心: 在港口ICS系統(tǒng)網(wǎng)絡中組建安全管理專網(wǎng)����,并建立安全管理中心�,整體提高企業(yè)的全網(wǎng)的安全風險管理、關聯(lián)分析��、安全可視化與聯(lián)動處置等能力�。具體措施為:部署工控安全監(jiān)管平臺��、運維審計系統(tǒng)�、日志審計與分析系統(tǒng)��、工控漏洞掃描管理系統(tǒng)等產(chǎn)品����,實現(xiàn)全網(wǎng)關鍵計算設備、關鍵網(wǎng)絡設備以及關鍵網(wǎng)絡安全設備的運行監(jiān)控�����、安全日志收集與分析�、安全事件集中處置�,全網(wǎng)系統(tǒng)賬戶的統(tǒng)一管理與操作審計等功能��。
03安全檢查方案
建立ICS系統(tǒng)定期安全檢查和整改工作機制�����,每年至少自行開展一次安全檢查��,發(fā)現(xiàn)問題需制定整改計劃及措施�,并將整改情況上報主管單位和集團公司�����,協(xié)助開展網(wǎng)絡安全專項檢查�����,最終對檢查結果進行通報�。
04應急演練方案
建立健全網(wǎng)絡安全運行應急工作機制,當ICS系統(tǒng)內(nèi)發(fā)生變化時�����,及時組織對應急處置預案進行評估����,根據(jù)實際情況適時修改并進行演練,形成快速反應�、快速處置的能力。確保當ICS系統(tǒng)出現(xiàn)安全事件�����,尤其是遭到黑客��、惡意代碼攻擊和其他人為破壞時�����,立即向應急響應辦公室�����、上級主管部門��、當?shù)卣鄳块T及集團公司報告�����,同時按應急處理預案采取安全應急措施��。處理安全事件過程中應注意保護現(xiàn)場,以便進行調(diào)查取證和分析���。最后將制定安全防護事件通報制度��,將有關安全問題做好記錄����。定期向主管部門報送當前系統(tǒng)安全防護情況���,并及時上報安全防護過程中出現(xiàn)的異?����,F(xiàn)象�。
05安全服務方案
天地和興專業(yè)化的安全服務團隊可為用戶提供安全咨詢�、安全評估、運維管理�����、安全檢查�、等保差距分析、安全保障等專業(yè)級安全服務���,幫助企業(yè)解決項目前期調(diào)研����、評估�����、規(guī)劃��、后期安全培訓��、運維�����、應急保障等一系列安全服務內(nèi)容�,提升工業(yè)網(wǎng)絡安全專業(yè)技能與運維管理能力。
06安全運營方案
安全運營的好壞直接影響ICS系統(tǒng)網(wǎng)絡安全防護體系的防護效能�。結合法律法規(guī),通過建立企業(yè)安全戰(zhàn)略規(guī)劃����、安全體系建設、安全監(jiān)測評估�、安全人才培養(yǎng)���、業(yè)務創(chuàng)新運營服務的各項標準、整合來自人員���、流程和技術方面的信息��,提供相關的信息和工具����,幫助港口企業(yè)快速做出決策����,實現(xiàn)產(chǎn)品、服務�、制度的能力集約化、可視化管理���。通過建設運維��、安全��、應急�、運營體系打破產(chǎn)品和服務相互獨立的現(xiàn)狀,將技術和管理全面實行數(shù)字化��,達成智能化安全運營的目標���。
三����、總結
本方案以港口企業(yè)生產(chǎn)監(jiān)控系統(tǒng)應用為場景�����,構建整體工業(yè)網(wǎng)絡安全防護方案�,包括網(wǎng)絡安全評估方案�、網(wǎng)絡安全建設方案、網(wǎng)絡安全服務方案����、網(wǎng)絡安全運營方案,落實國家等級保護“一個中心����、三重防護”的安全理念與安全架構要求,以解決港口企業(yè)監(jiān)控系統(tǒng)在聯(lián)網(wǎng)運行中所面臨的網(wǎng)絡安全建設與運營困擾�,系統(tǒng)地為企業(yè)提供包括安全服務、安全建設、安全運營在內(nèi)的工業(yè)網(wǎng)絡安全全生命周期解決方案���,為業(yè)務系統(tǒng)安全運行保駕護航�����。
