omniture

天地和興:關(guān)鍵信息基礎(chǔ)設(shè)施的等保2.0之路 -- 港口企業(yè)篇

在本文中,天地和興將從關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的實(shí)踐出發(fā),梳理并提供2.0時(shí)代等保安全建設(shè)的整體解決方案,旨在助力關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者網(wǎng)絡(luò)安全防護(hù)能力和信息安全管理能力的提升,應(yīng)對(duì)各類網(wǎng)絡(luò)風(fēng)險(xiǎn)和挑戰(zhàn)。

北京2020年8月27日 /美通社/ --

引言

2019年12月1日,《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》的正式實(shí)施標(biāo)志著等級(jí)保護(hù)制度整體進(jìn)入 2.0 時(shí)代,等級(jí)保護(hù)對(duì)象范圍從傳統(tǒng)的網(wǎng)絡(luò)和信息系統(tǒng),向“云移物工大”上進(jìn)行了擴(kuò)展。GB/T22239由單獨(dú)的基本要求演變?yōu)橥ㄓ冒踩?新技術(shù)安全擴(kuò)展要求,且技術(shù)要求和管理要求都做了調(diào)整。而關(guān)鍵信息基礎(chǔ)設(shè)施也在定級(jí)要求上明確指出“定級(jí)原則上不低于三級(jí)”的要求。在本文中,天地和興將從關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的實(shí)踐出發(fā),梳理并提供2.0時(shí)代等保安全建設(shè)的整體解決方案,旨在助力關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者網(wǎng)絡(luò)安全防護(hù)能力和信息安全管理能力的提升,應(yīng)對(duì)各類網(wǎng)絡(luò)風(fēng)險(xiǎn)和挑戰(zhàn)。

一、安全現(xiàn)狀

隨著“一帶一路”倡議的提出,交通運(yùn)輸部聯(lián)合國(guó)家發(fā)展改革委、財(cái)政部、自然資源部、生態(tài)環(huán)境部、應(yīng)急部、海關(guān)總署、市場(chǎng)監(jiān)管總局和國(guó)家鐵路集團(tuán)聯(lián)合印發(fā)了《關(guān)于建設(shè)世界一流港口的指導(dǎo)意見》,明確指出加快平安港口、綠色港口、智慧港口建設(shè)。中國(guó)經(jīng)濟(jì)與世界經(jīng)濟(jì)的關(guān)聯(lián)度越來越密切,中國(guó)的開放進(jìn)程進(jìn)一步加快,作為改革開放窗口的港口企業(yè),逐步從數(shù)字化向“智慧港口”轉(zhuǎn)型?!爸腔鄹劭凇笔且袁F(xiàn)代化基礎(chǔ)設(shè)施設(shè)備為基礎(chǔ),以云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、智能控制等新一代信息技術(shù)與港口運(yùn)輸業(yè)務(wù)的深度融合為核心。隨著信息化不斷融合,保障工業(yè)網(wǎng)絡(luò)安全也是確保國(guó)家戰(zhàn)略安全的一項(xiàng)重要內(nèi)容。如何建設(shè)一套穩(wěn)定、先進(jìn)、高效、可靠的工業(yè)網(wǎng)絡(luò)安全集中監(jiān)測(cè)管理系統(tǒng),提升港口企業(yè)整體工業(yè)網(wǎng)絡(luò)安全監(jiān)管水平和防御能力,已成為港口企業(yè)的重要任務(wù)之一。

當(dāng)前港口企業(yè)生產(chǎn)控制系統(tǒng)普遍存在以下網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

  • 網(wǎng)絡(luò)的互聯(lián)互通是工控系統(tǒng)實(shí)現(xiàn)信息化的基礎(chǔ)條件,但這給生產(chǎn)監(jiān)控系統(tǒng)帶來諸多網(wǎng)絡(luò)層面的安全風(fēng)險(xiǎn),來自辦公管理層網(wǎng)絡(luò)的入侵、病毒等風(fēng)險(xiǎn)很容易向生產(chǎn)網(wǎng)蔓延;
  • “兩化”融合促進(jìn)了港口生產(chǎn)系統(tǒng)與IT系統(tǒng)的互聯(lián)需求,港口生產(chǎn)系統(tǒng)也逐步采用通用協(xié)議或已廣泛應(yīng)用的工業(yè)協(xié)議傳輸數(shù)據(jù),使得攻擊者通過數(shù)據(jù)監(jiān)聽、協(xié)議解析與劫持技術(shù)篡改通信數(shù)據(jù)、控制命令,可直接威脅港口生產(chǎn)系統(tǒng)的正常運(yùn)行;
  • 邊界越來越多、越來越模糊,防護(hù)難度也越來越大。一旦局部控制網(wǎng)絡(luò)被病毒感染,容易迅速蔓延到整個(gè)生產(chǎn)控制網(wǎng)絡(luò),造成“一點(diǎn)突破,全網(wǎng)皆失”的,嚴(yán)重威脅系統(tǒng)的運(yùn)行安全;
  • 工程師站、操作員站等大部分上位機(jī)為Windows/Linux平臺(tái)。為保證過程控制系統(tǒng)的相對(duì)獨(dú)立性,同時(shí)考慮到系統(tǒng)的穩(wěn)定運(yùn)行,通常在系統(tǒng)運(yùn)行后不會(huì)安裝殺毒軟件、安全更新補(bǔ)丁,以及策略配置變更,從而埋下巨大的安全隱患。一旦感染惡意代碼,極易傳播擴(kuò)散,從而導(dǎo)致非計(jì)劃停機(jī);
  • 由于應(yīng)用軟件和操作系統(tǒng)多種多樣,很難形成統(tǒng)一的防護(hù)規(guī)范,以應(yīng)對(duì)軟件和操作系統(tǒng)等漏洞造成的安全問題;
  • 由于缺乏對(duì)管理和技術(shù)人員操作行為的有效安全監(jiān)管和審計(jì),誤操作或惡意操作安全風(fēng)險(xiǎn)較大;
  • 各個(gè)網(wǎng)絡(luò)安全設(shè)備自成一體,形成網(wǎng)絡(luò)安全的系列孤島,管理員無法清晰獲知安全事件,管理維護(hù)難度較大。從等保2.0的要求及構(gòu)建整體工業(yè)網(wǎng)絡(luò)安全防護(hù)體系的需求來看,大部分相關(guān)企業(yè)并無統(tǒng)一的信息安全管理策略,亦并未配置獨(dú)立的安全管理中心;
  • 管理制度是國(guó)家各項(xiàng)安全法律、法規(guī)、規(guī)范、標(biāo)準(zhǔn)在企業(yè)的延伸和細(xì)化。盡管目前已設(shè)置專人專管的措施,但在管理制度方面還是非常薄弱,包括對(duì)人員、設(shè)備、考核等方面不夠細(xì)化;
  • 發(fā)生網(wǎng)絡(luò)安全事件后人員通常依靠經(jīng)驗(yàn)判斷,甚至以逐個(gè)斷網(wǎng)等方式來確定網(wǎng)絡(luò)安全事件發(fā)生的設(shè)備和影響范圍,對(duì)于被攻擊程度,工藝是否受影響等問題無法快速給出評(píng)估結(jié)論。

二、解決方案

通過以上分析,港口行業(yè)企業(yè)生產(chǎn)控制系統(tǒng)在實(shí)際運(yùn)營(yíng)中面臨多種安全隱患。結(jié)合國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0的建設(shè)要求,從“一個(gè)中心、三重防護(hù)”的思路出發(fā),綜合考慮當(dāng)前港口行業(yè)生產(chǎn)控制系統(tǒng)的物理環(huán)境、通信網(wǎng)絡(luò)、區(qū)域邊界、計(jì)算環(huán)境、管理中心與安全管理方面的建設(shè)需求,天地和興可提供全生命周期安全解決方案,為港口企業(yè)生產(chǎn)構(gòu)建安全防御體系。

01風(fēng)險(xiǎn)評(píng)估方案

風(fēng)險(xiǎn)評(píng)估是全面了解與驗(yàn)證在實(shí)際應(yīng)用中存在各種風(fēng)險(xiǎn)的一種必要手段,亦是安全防護(hù)體系建設(shè)的前提。天地和興通過科學(xué)運(yùn)用網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的方法,參照相關(guān)國(guó)家、行業(yè)標(biāo)準(zhǔn)對(duì)物理環(huán)境、通信網(wǎng)絡(luò)、區(qū)域邊界、計(jì)算環(huán)境、管理中心以及管理體系等方面進(jìn)行全面的安全評(píng)估。最大限度地提升港口企業(yè)生產(chǎn)監(jiān)控系統(tǒng)的安全保障能力,為企業(yè)全面掌握安全風(fēng)險(xiǎn),為后續(xù)網(wǎng)絡(luò)安全建設(shè)提供數(shù)據(jù)支撐。

基于表現(xiàn)形式的資產(chǎn)分類
基于表現(xiàn)形式的資產(chǎn)分類

02安全防護(hù)方案

遵照國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)及行業(yè)標(biāo)準(zhǔn)相關(guān)要求,天地和興以“一個(gè)中心、三重防護(hù)”為指導(dǎo)思想,設(shè)計(jì)構(gòu)建港口企業(yè)生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全防護(hù)技術(shù)體系,幫助企業(yè)完善安全管理體系,滿足等保合規(guī)性要求的基礎(chǔ)上,對(duì)港口企業(yè)生產(chǎn)系統(tǒng)安全運(yùn)行提供必要的安全防護(hù)。通過部署工控防火墻、工控安全審計(jì)平臺(tái)、入侵檢測(cè)系統(tǒng)、信息安全監(jiān)管與分析系統(tǒng)等安全防護(hù)產(chǎn)品,提升生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)整體防護(hù)能力,部署示意圖如下:

港口企業(yè)生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全防護(hù)技術(shù)體系
港口企業(yè)生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全防護(hù)技術(shù)體系

 

  • 安全通信網(wǎng)絡(luò):對(duì)港口ICS系統(tǒng)網(wǎng)絡(luò)進(jìn)行優(yōu)化,根據(jù)網(wǎng)絡(luò)中資產(chǎn)屬性和訪問邏輯來劃分安全域,并對(duì)港口ICS系統(tǒng)網(wǎng)絡(luò)與辦公網(wǎng)互聯(lián)的網(wǎng)絡(luò)邊界進(jìn)行邊界隔離與安全防護(hù),在數(shù)采網(wǎng)邊界處部署工業(yè)安全隔離與信息交換系統(tǒng)(工業(yè)網(wǎng)閘系統(tǒng)),保護(hù)港口行業(yè)企業(yè)生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)免受來自上層辦公網(wǎng)及互聯(lián)網(wǎng)的入侵攻擊風(fēng)險(xiǎn)。
  • 安全區(qū)域邊界:針對(duì)港口ICS系統(tǒng)網(wǎng)絡(luò)中劃分的安全域,根據(jù)系統(tǒng)的重要程度、部門等屬性,針對(duì)性的對(duì)區(qū)域采取技術(shù)隔離手段,保護(hù)各區(qū)域的運(yùn)行安全,如:在裝船機(jī)、堆料機(jī)、抓斗卸船機(jī)、篩分、泵房等系統(tǒng)邊界處串行部署工控防火墻,保護(hù)各層級(jí)或各安全域間的運(yùn)行安全;在中控室核心交換機(jī)上選擇旁路部署入侵檢測(cè)系統(tǒng)、威脅檢測(cè)系統(tǒng),實(shí)時(shí)監(jiān)測(cè)工控系統(tǒng)網(wǎng)絡(luò)中、核心數(shù)據(jù)服務(wù)安全域的異常行為并分析告警;在裝船機(jī)、堆料機(jī)、抓斗卸船機(jī)、篩分、泵房等系統(tǒng)的交換機(jī)上部署工控安全審計(jì)系統(tǒng),對(duì)通信數(shù)據(jù)進(jìn)行監(jiān)聽和分析,對(duì)異常行為、違規(guī)操作行為進(jìn)行識(shí)別、審計(jì)告警,輔助安全運(yùn)維人員進(jìn)行處置。
  • 安全計(jì)算環(huán)境:針對(duì)在港口ICS系統(tǒng)中的關(guān)鍵計(jì)算設(shè)備進(jìn)行安全加固,包括各種相關(guān)的應(yīng)用服務(wù)器、操作員站、工程師站等,通過檢查工具對(duì)其安全漏洞與脆弱性進(jìn)行發(fā)現(xiàn)和管理,對(duì)可修復(fù)的漏洞進(jìn)行可行性驗(yàn)證與修復(fù),關(guān)閉不需要的默認(rèn)賬號(hào)、服務(wù),進(jìn)行主機(jī)系統(tǒng)必要的安全加固,提升主機(jī)系統(tǒng)抗攻擊能力。具體措施為:在HMI、工程師站、歷史站、操作員站等主機(jī)系統(tǒng)上部署主機(jī)防護(hù)系統(tǒng),并有針對(duì)性的進(jìn)行人工加固服務(wù)。
  • 安全管理中心: 在港口ICS系統(tǒng)網(wǎng)絡(luò)中組建安全管理專網(wǎng),并建立安全管理中心,整體提高企業(yè)的全網(wǎng)的安全風(fēng)險(xiǎn)管理、關(guān)聯(lián)分析、安全可視化與聯(lián)動(dòng)處置等能力。具體措施為:部署工控安全監(jiān)管平臺(tái)、運(yùn)維審計(jì)系統(tǒng)、日志審計(jì)與分析系統(tǒng)、工控漏洞掃描管理系統(tǒng)等產(chǎn)品,實(shí)現(xiàn)全網(wǎng)關(guān)鍵計(jì)算設(shè)備、關(guān)鍵網(wǎng)絡(luò)設(shè)備以及關(guān)鍵網(wǎng)絡(luò)安全設(shè)備的運(yùn)行監(jiān)控、安全日志收集與分析、安全事件集中處置,全網(wǎng)系統(tǒng)賬戶的統(tǒng)一管理與操作審計(jì)等功能。

03安全檢查方案

建立ICS系統(tǒng)定期安全檢查和整改工作機(jī)制,每年至少自行開展一次安全檢查,發(fā)現(xiàn)問題需制定整改計(jì)劃及措施,并將整改情況上報(bào)主管單位和集團(tuán)公司,協(xié)助開展網(wǎng)絡(luò)安全專項(xiàng)檢查,最終對(duì)檢查結(jié)果進(jìn)行通報(bào)。

04應(yīng)急演練方案

建立健全網(wǎng)絡(luò)安全運(yùn)行應(yīng)急工作機(jī)制,當(dāng)ICS系統(tǒng)內(nèi)發(fā)生變化時(shí),及時(shí)組織對(duì)應(yīng)急處置預(yù)案進(jìn)行評(píng)估,根據(jù)實(shí)際情況適時(shí)修改并進(jìn)行演練,形成快速反應(yīng)、快速處置的能力。確保當(dāng)ICS系統(tǒng)出現(xiàn)安全事件,尤其是遭到黑客、惡意代碼攻擊和其他人為破壞時(shí),立即向應(yīng)急響應(yīng)辦公室、上級(jí)主管部門、當(dāng)?shù)卣鄳?yīng)部門及集團(tuán)公司報(bào)告,同時(shí)按應(yīng)急處理預(yù)案采取安全應(yīng)急措施。處理安全事件過程中應(yīng)注意保護(hù)現(xiàn)場(chǎng),以便進(jìn)行調(diào)查取證和分析。最后將制定安全防護(hù)事件通報(bào)制度,將有關(guān)安全問題做好記錄。定期向主管部門報(bào)送當(dāng)前系統(tǒng)安全防護(hù)情況,并及時(shí)上報(bào)安全防護(hù)過程中出現(xiàn)的異?,F(xiàn)象。

05安全服務(wù)方案

天地和興專業(yè)化的安全服務(wù)團(tuán)隊(duì)可為用戶提供安全咨詢、安全評(píng)估、運(yùn)維管理、安全檢查、等保差距分析、安全保障等專業(yè)級(jí)安全服務(wù),幫助企業(yè)解決項(xiàng)目前期調(diào)研、評(píng)估、規(guī)劃、后期安全培訓(xùn)、運(yùn)維、應(yīng)急保障等一系列安全服務(wù)內(nèi)容,提升工業(yè)網(wǎng)絡(luò)安全專業(yè)技能與運(yùn)維管理能力。

06安全運(yùn)營(yíng)方案

安全運(yùn)營(yíng)的好壞直接影響ICS系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的防護(hù)效能。結(jié)合法律法規(guī),通過建立企業(yè)安全戰(zhàn)略規(guī)劃、安全體系建設(shè)、安全監(jiān)測(cè)評(píng)估、安全人才培養(yǎng)、業(yè)務(wù)創(chuàng)新運(yùn)營(yíng)服務(wù)的各項(xiàng)標(biāo)準(zhǔn)、整合來自人員、流程和技術(shù)方面的信息,提供相關(guān)的信息和工具,幫助港口企業(yè)快速做出決策,實(shí)現(xiàn)產(chǎn)品、服務(wù)、制度的能力集約化、可視化管理。通過建設(shè)運(yùn)維、安全、應(yīng)急、運(yùn)營(yíng)體系打破產(chǎn)品和服務(wù)相互獨(dú)立的現(xiàn)狀,將技術(shù)和管理全面實(shí)行數(shù)字化,達(dá)成智能化安全運(yùn)營(yíng)的目標(biāo)。

三、總結(jié)

本方案以港口企業(yè)生產(chǎn)監(jiān)控系統(tǒng)應(yīng)用為場(chǎng)景,構(gòu)建整體工業(yè)網(wǎng)絡(luò)安全防護(hù)方案,包括網(wǎng)絡(luò)安全評(píng)估方案、網(wǎng)絡(luò)安全建設(shè)方案、網(wǎng)絡(luò)安全服務(wù)方案、網(wǎng)絡(luò)安全運(yùn)營(yíng)方案,落實(shí)國(guó)家等級(jí)保護(hù)“一個(gè)中心、三重防護(hù)”的安全理念與安全架構(gòu)要求,以解決港口企業(yè)監(jiān)控系統(tǒng)在聯(lián)網(wǎng)運(yùn)行中所面臨的網(wǎng)絡(luò)安全建設(shè)與運(yùn)營(yíng)困擾,系統(tǒng)地為企業(yè)提供包括安全服務(wù)、安全建設(shè)、安全運(yùn)營(yíng)在內(nèi)的工業(yè)網(wǎng)絡(luò)安全全生命周期解決方案,為業(yè)務(wù)系統(tǒng)安全運(yùn)行保駕護(hù)航。

消息來源:北京天地和興科技有限公司
China-PRNewsire-300-300.png
全球TMT
微信公眾號(hào)“全球TMT”發(fā)布全球互聯(lián)網(wǎng)、科技、媒體、通訊企業(yè)的經(jīng)營(yíng)動(dòng)態(tài)、財(cái)報(bào)信息、企業(yè)并購消息。掃描二維碼,立即訂閱!
collection