引言
2019年12月1日,《網(wǎng)絡(luò)安全等級保護基本要求》的正式實施標(biāo)志著等級保護制度整體進入 2.0 時代,等級保護對象范圍從傳統(tǒng)的網(wǎng)絡(luò)和信息系統(tǒng),向“云移物工大”上進行了擴展。GB/T22239由單獨的基本要求演變?yōu)橥ㄓ冒踩?新技術(shù)安全擴展要求,且技術(shù)要求和管理要求都做了調(diào)整。而關(guān)鍵信息基礎(chǔ)設(shè)施也在定級要求上明確指出“定級原則上不低于三級”的要求。在本文中,天地和興將從關(guān)鍵信息基礎(chǔ)設(shè)施保護的實踐出發(fā),梳理并提供2.0時代等保安全建設(shè)的整體解決方案,旨在助力關(guān)鍵信息基礎(chǔ)設(shè)施運營者網(wǎng)絡(luò)安全防護能力和信息安全管理能力的提升,應(yīng)對各類網(wǎng)絡(luò)風(fēng)險和挑戰(zhàn)。
一、 安全現(xiàn)狀
隨著“一帶一路”倡議的提出,交通運輸部聯(lián)合國家發(fā)展改革委、財政部、自然資源部、生態(tài)環(huán)境部、應(yīng)急部、海關(guān)總署、市場監(jiān)管總局和國家鐵路集團聯(lián)合印發(fā)了《關(guān)于建設(shè)世界一流港口的指導(dǎo)意見》,明確指出加快平安港口、綠色港口、智慧港口建設(shè)。中國經(jīng)濟與世界經(jīng)濟的關(guān)聯(lián)度越來越密切,中國的開放進程進一步加快,作為改革開放窗口的港口企業(yè),逐步從數(shù)字化向“智慧港口”轉(zhuǎn)型。“智慧港口”是以現(xiàn)代化基礎(chǔ)設(shè)施設(shè)備為基礎(chǔ),以云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、智能控制等新一代信息技術(shù)與港口運輸業(yè)務(wù)的深度融合為核心。隨著信息化不斷融合,保障工業(yè)網(wǎng)絡(luò)安全也是確保國家戰(zhàn)略安全的一項重要內(nèi)容。如何建設(shè)一套穩(wěn)定、先進、高效、可靠的工業(yè)網(wǎng)絡(luò)安全集中監(jiān)測管理系統(tǒng),提升港口企業(yè)整體工業(yè)網(wǎng)絡(luò)安全監(jiān)管水平和防御能力,已成為港口企業(yè)的重要任務(wù)之一。
當(dāng)前港口企業(yè)生產(chǎn)控制系統(tǒng) 普遍存在以下網(wǎng)絡(luò)安全風(fēng)險 :
網(wǎng)絡(luò)的互聯(lián)互通是工控系統(tǒng)實現(xiàn)信息化的基礎(chǔ)條件,但這給生產(chǎn)監(jiān)控系統(tǒng)帶來諸多網(wǎng)絡(luò)層面的安全風(fēng)險,來自辦公管理層網(wǎng)絡(luò)的入侵、病毒等風(fēng)險很容易向生產(chǎn)網(wǎng)蔓延;
“兩化”融合促進了港口生產(chǎn)系統(tǒng)與IT系統(tǒng)的互聯(lián)需求,港口生產(chǎn)系統(tǒng)也逐步采用通用協(xié)議或已廣泛應(yīng)用的工業(yè)協(xié)議傳輸數(shù)據(jù),使得攻擊者通過數(shù)據(jù)監(jiān)聽、協(xié)議解析與劫持技術(shù)篡改通信數(shù)據(jù)、控制命令,可直接威脅港口生產(chǎn)系統(tǒng)的正常運行;
邊界越來越多、越來越模糊,防護難度也越來越大。一旦局部控制網(wǎng)絡(luò)被病毒感染,容易迅速蔓延到整個生產(chǎn)控制網(wǎng)絡(luò),造成“一點突破,全網(wǎng)皆失”的,嚴(yán)重威脅系統(tǒng)的運行安全;
工程師站、操作員站等大部分上位機為Windows/Linux平臺。為保證過程控制系統(tǒng)的相對獨立性,同時考慮到系統(tǒng)的穩(wěn)定運行,通常在系統(tǒng)運行后不會安裝殺毒軟件、安全更新補丁,以及策略配置變更,從而埋下巨大的安全隱患。一旦感染惡意代碼,極易傳播擴散,從而導(dǎo)致非計劃停機;
由于應(yīng)用軟件和操作系統(tǒng)多種多樣,很難形成統(tǒng)一的防護規(guī)范,以應(yīng)對軟件和操作系統(tǒng)等漏洞造成的安全問題;
由于缺乏對管理和技術(shù)人員操作行為的有效安全監(jiān)管和審計,誤操作或惡意操作安全風(fēng)險較大;
各個網(wǎng)絡(luò)安全設(shè)備自成一體,形成網(wǎng)絡(luò)安全的系列孤島,管理員無法清晰獲知安全事件,管理維護難度較大。從等保2.0的要求及構(gòu)建整體工業(yè)網(wǎng)絡(luò)安全防護體系的需求來看,大部分相關(guān)企業(yè)并無統(tǒng)一的信息安全管理策略,亦并未配置獨立的安全管理中心;
管理制度是國家各項安全法律、法規(guī)、規(guī)范、標(biāo)準(zhǔn)在企業(yè)的延伸和細(xì)化。盡管目前已設(shè)置專人專管的措施,但在管理制度方面還是非常薄弱,包括對人員、設(shè)備、考核等方面不夠細(xì)化;
發(fā)生網(wǎng)絡(luò)安全事件后人員通常依靠經(jīng)驗判斷,甚至以逐個斷網(wǎng)等方式來確定網(wǎng)絡(luò)安全事件發(fā)生的設(shè)備和影響范圍,對于被攻擊程度,工藝是否受影響等問題無法快速給出評估結(jié)論。
二、 解決方案
通過以上分析,港口行業(yè)企業(yè)生產(chǎn)控制系統(tǒng)在實際運營中面臨多種安全隱患。結(jié)合國家網(wǎng)絡(luò)安全等級保護2.0的建設(shè)要求,從“一個中心、三重防護”的思路出發(fā),綜合考慮當(dāng)前港口行業(yè)生產(chǎn)控制系統(tǒng)的物理環(huán)境、通信網(wǎng)絡(luò)、區(qū)域邊界、計算環(huán)境、管理中心與安全管理方面的建設(shè)需求,天地和興可提供全生命周期安全解決方案,為港口企業(yè)生產(chǎn)構(gòu)建安全防御體系。
01 風(fēng)險評估方案
風(fēng)險評估是全面了解與驗證在實際應(yīng)用中存在各種風(fēng)險的一種必要手段,亦是安全防護體系建設(shè)的前提。天地和興通過科學(xué)運用網(wǎng)絡(luò)安全風(fēng)險評估的方法,參照相關(guān)國家、行業(yè)標(biāo)準(zhǔn)對物理環(huán)境、通信網(wǎng)絡(luò)、區(qū)域邊界、計算環(huán)境、管理中心以及管理體系等方面進行全面的安全評估。最大限度地提升港口企業(yè)生產(chǎn)監(jiān)控系統(tǒng)的安全保障能力,為企業(yè)全面掌握安全風(fēng)險,為后續(xù)網(wǎng)絡(luò)安全建設(shè)提供數(shù)據(jù)支撐。
基于表現(xiàn)形式的資產(chǎn)分類
02 安全防護方案
遵照國家網(wǎng)絡(luò)安全等級保護及行業(yè)標(biāo)準(zhǔn)相關(guān)要求,天地和興以“一個中心、三重防護”為指導(dǎo)思想,設(shè)計構(gòu)建港口企業(yè)生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全防護技術(shù)體系,幫助企業(yè)完善安全管理體系,滿足等保合規(guī)性要求的基礎(chǔ)上,對港口企業(yè)生產(chǎn)系統(tǒng)安全運行提供必要的安全防護。通過部署工控防火墻、工控安全審計平臺、入侵檢測系統(tǒng)、信息安全監(jiān)管與分析系統(tǒng)等安全防護產(chǎn)品,提升生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)整體防護能力,部署示意圖如下:
港口企業(yè)生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全防護技術(shù)體系
安全通信網(wǎng)絡(luò) :對港口ICS系統(tǒng)網(wǎng)絡(luò)進行優(yōu)化,根據(jù)網(wǎng)絡(luò)中資產(chǎn)屬性和訪問邏輯來劃分安全域,并對港口ICS系統(tǒng)網(wǎng)絡(luò)與辦公網(wǎng)互聯(lián)的網(wǎng)絡(luò)邊界進行邊界隔離與安全防護,在數(shù)采網(wǎng)邊界處部署工業(yè)安全隔離與信息交換系統(tǒng)(工業(yè)網(wǎng)閘系統(tǒng)),保護港口行業(yè)企業(yè)生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)免受來自上層辦公網(wǎng)及互聯(lián)網(wǎng)的入侵攻擊風(fēng)險。
安全區(qū)域邊界 :針對港口ICS系統(tǒng)網(wǎng)絡(luò)中劃分的安全域,根據(jù)系統(tǒng)的重要程度、部門等屬性,針對性的對區(qū)域采取技術(shù)隔離手段,保護各區(qū)域的運行安全,如:在裝船機、堆料機、抓斗卸船機、篩分、泵房等系統(tǒng)邊界處串行部署工控防火墻,保護各層級或各安全域間的運行安全;在中控室核心交換機上選擇旁路部署入侵檢測系統(tǒng)、威脅檢測系統(tǒng),實時監(jiān)測工控系統(tǒng)網(wǎng)絡(luò)中、核心數(shù)據(jù)服務(wù)安全域的異常行為并分析告警;在裝船機、堆料機、抓斗卸船機、篩分、泵房等系統(tǒng)的交換機上部署工控安全審計系統(tǒng),對通信數(shù)據(jù)進行監(jiān)聽和分析,對異常行為、違規(guī)操作行為進行識別、審計告警,輔助安全運維人員進行處置。
安全計算環(huán)境 :針對在港口ICS系統(tǒng)中的關(guān)鍵計算設(shè)備進行安全加固,包括各種相關(guān)的應(yīng)用服務(wù)器、操作員站、工程師站等,通過檢查工具對其安全漏洞與脆弱性進行發(fā)現(xiàn)和管理,對可修復(fù)的漏洞進行可行性驗證與修復(fù),關(guān)閉不需要的默認(rèn)賬號、服務(wù),進行主機系統(tǒng)必要的安全加固,提升主機系統(tǒng)抗攻擊能力。具體措施為:在HMI、工程師站、歷史站、操作員站等主機系統(tǒng)上部署主機防護系統(tǒng),并有針對性的進行人工加固服務(wù)。
安全管理中心 : 在港口ICS系統(tǒng)網(wǎng)絡(luò)中組建安全管理專網(wǎng),并建立安全管理中心,整體提高企業(yè)的全網(wǎng)的安全風(fēng)險管理、關(guān)聯(lián)分析、安全可視化與聯(lián)動處置等能力。具體措施為:部署工控安全監(jiān)管平臺、運維審計系統(tǒng)、日志審計與分析系統(tǒng)、工控漏洞掃描管理系統(tǒng)等產(chǎn)品,實現(xiàn)全網(wǎng)關(guān)鍵計算設(shè)備、關(guān)鍵網(wǎng)絡(luò)設(shè)備以及關(guān)鍵網(wǎng)絡(luò)安全設(shè)備的運行監(jiān)控、安全日志收集與分析、安全事件集中處置,全網(wǎng)系統(tǒng)賬戶的統(tǒng)一管理與操作審計等功能。
03 安全檢查方案
建立ICS系統(tǒng)定期安全檢查和整改工作機制,每年至少自行開展一次安全檢查,發(fā)現(xiàn)問題需制定整改計劃及措施,并將整改情況上報主管單位和集團公司,協(xié)助開展網(wǎng)絡(luò)安全專項檢查,最終對檢查結(jié)果進行通報。
04 應(yīng)急演練方案
建立健全網(wǎng)絡(luò)安全運行應(yīng)急工作機制,當(dāng)ICS系統(tǒng)內(nèi)發(fā)生變化時,及時組織對應(yīng)急處置預(yù)案進行評估,根據(jù)實際情況適時修改并進行演練,形成快速反應(yīng)、快速處置的能力。確保當(dāng)ICS系統(tǒng)出現(xiàn)安全事件,尤其是遭到黑客、惡意代碼攻擊和其他人為破壞時,立即向應(yīng)急響應(yīng)辦公室、上級主管部門、當(dāng)?shù)卣鄳?yīng)部門及集團公司報告,同時按應(yīng)急處理預(yù)案采取安全應(yīng)急措施。處理安全事件過程中應(yīng)注意保護現(xiàn)場,以便進行調(diào)查取證和分析。最后將制定安全防護事件通報制度,將有關(guān)安全問題做好記錄。定期向主管部門報送當(dāng)前系統(tǒng)安全防護情況,并及時上報安全防護過程中出現(xiàn)的異常現(xiàn)象。
05 安全服務(wù)方案
天地和興專業(yè)化的安全服務(wù)團隊可為用戶提供安全咨詢、安全評估、運維管理、安全檢查、等保差距分析、安全保障等專業(yè)級安全服務(wù),幫助企業(yè)解決項目前期調(diào)研、評估、規(guī)劃、后期安全培訓(xùn)、運維、應(yīng)急保障等一系列安全服務(wù)內(nèi)容,提升工業(yè)網(wǎng)絡(luò)安全專業(yè)技能與運維管理能力。
06 安全運營方案
安全運營的好壞直接影響ICS系統(tǒng)網(wǎng)絡(luò)安全防護體系的防護效能。結(jié)合法律法規(guī),通過建立企業(yè)安全戰(zhàn)略規(guī)劃、安全體系建設(shè)、安全監(jiān)測評估、安全人才培養(yǎng)、業(yè)務(wù)創(chuàng)新運營服務(wù)的各項標(biāo)準(zhǔn)、整合來自人員、流程和技術(shù)方面的信息,提供相關(guān)的信息和工具,幫助港口企業(yè)快速做出決策,實現(xiàn)產(chǎn)品、服務(wù)、制度的能力集約化、可視化管理。通過建設(shè)運維、安全、應(yīng)急、運營體系打破產(chǎn)品和服務(wù)相互獨立的現(xiàn)狀,將技術(shù)和管理全面實行數(shù)字化,達成智能化安全運營的目標(biāo)。
三、 總結(jié)
本方案以港口企業(yè)生產(chǎn)監(jiān)控系統(tǒng)應(yīng)用為場景,構(gòu)建整體工業(yè)網(wǎng)絡(luò)安全防護方案,包括網(wǎng)絡(luò)安全評估方案、網(wǎng)絡(luò)安全建設(shè)方案、網(wǎng)絡(luò)安全服務(wù)方案、網(wǎng)絡(luò)安全運營方案,落實國家等級保護“一個中心、三重防護”的安全理念與安全架構(gòu)要求,以解決港口企業(yè)監(jiān)控系統(tǒng)在聯(lián)網(wǎng)運行中所面臨的網(wǎng)絡(luò)安全建設(shè)與運營困擾,系統(tǒng)地為企業(yè)提供包括安全服務(wù)、安全建設(shè)、安全運營在內(nèi)的工業(yè)網(wǎng)絡(luò)安全全生命周期解決方案,為業(yè)務(wù)系統(tǒng)安全運行保駕護航。
(新媒體責(zé)編:syhz0808)
聲明:
1、凡本網(wǎng)注明“人民交通雜志”/人民交通網(wǎng),所有自采新聞(含圖片),如需授權(quán)轉(zhuǎn)載應(yīng)在授權(quán)范圍內(nèi)使用,并注明來源。
2、部分內(nèi)容轉(zhuǎn)自其他媒體,轉(zhuǎn)載目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點和對其真實性負(fù)責(zé)。
3、如因作品內(nèi)容、版權(quán)和其他問題需要同本網(wǎng)聯(lián)系的,請在30日內(nèi)進行。電話:010-67683008
人民交通24小時值班手機:17801261553 商務(wù)合作:010-67683008轉(zhuǎn)602 E-mail:zzs@rmjtzz.com
Copyright 人民交通雜志 All Rights Reserved 版權(quán)所有 復(fù)制必究 百度統(tǒng)計 地址:北京市豐臺區(qū)南三環(huán)東路6號A座四層
增值電信業(yè)務(wù)經(jīng)營許可證號:京B2-20201704 本刊法律顧問:北京京師(蘭州)律師事務(wù)所 李大偉
京公網(wǎng)安備 11010602130064號 京ICP備18014261號-2 廣播電視節(jié)目制作經(jīng)營許可證:(京)字第16597號
