精品免费视频在线观看|亚洲 欧美 日韩 水滴|a级精品—区二区|青青草原亚洲之五月婷

安全資訊

等保2.0下煙草企業(yè)該如何開展安全等級(jí)保護(hù)建設(shè)工作

【時(shí)間】2020-03-24

【編輯】Admin

【瀏覽量】

【等級(jí)保護(hù)QQ交流群】881590869

隨著等保2.0在2019年的正式施行,標(biāo)志著企業(yè)需要按照等保2.0的基本要求來開展安全建設(shè)工作。但多數(shù)企業(yè)對(duì)于如何在等保2.0的要求下開展工業(yè)控制系統(tǒng)安全建設(shè)還存在疑惑,所以此次我們結(jié)合在某工煙企業(yè)工控安全建設(shè)的實(shí)踐經(jīng)驗(yàn),來給大家分享下工煙企業(yè)在等保2.0的要求下該如何開展安全建設(shè)工作。

該項(xiàng)目到目前為止,共完成了兩期的工控安全建設(shè)工作,涉及制絲、卷包、動(dòng)力能管、物流等工煙企業(yè)核心生產(chǎn)業(yè)務(wù)系統(tǒng)。一期項(xiàng)目于2018年完成,主要對(duì)各個(gè)生產(chǎn)業(yè)務(wù)系統(tǒng)開展安全風(fēng)險(xiǎn)評(píng)估工作。通過對(duì)各生產(chǎn)業(yè)務(wù)系統(tǒng)的資產(chǎn)梳理,從資產(chǎn)的安全特性出發(fā)結(jié)合各生產(chǎn)業(yè)務(wù)系統(tǒng)工藝特點(diǎn),分析工控系統(tǒng)的威脅來源與自身的脆弱性,歸納岀企業(yè)工控系統(tǒng)面臨的主要安全風(fēng)險(xiǎn),輸出風(fēng)險(xiǎn)評(píng)估報(bào)告,并根據(jù)報(bào)告設(shè)計(jì)網(wǎng)絡(luò)安全防護(hù)解決方案。二期項(xiàng)目2019年完成,主要依據(jù)一期項(xiàng)目的風(fēng)險(xiǎn)評(píng)估報(bào)告,結(jié)合2019年發(fā)布的等級(jí)保護(hù)2.0相關(guān)要求,對(duì)一期設(shè)計(jì)的安全防護(hù)解決方案進(jìn)行優(yōu)化,并落地實(shí)施。二期工控安全建設(shè)工作的核心在于對(duì)部署的各類安全設(shè)備定制符合業(yè)務(wù)特點(diǎn)的安全策略,既解決了用戶工控系統(tǒng)中實(shí)際存在的安全問題,也幫助企業(yè)完成等保2.0對(duì)標(biāo)工作。

我們也在積極的配合用戶進(jìn)行第三期項(xiàng)目的規(guī)劃。下面我們以每一期為著點(diǎn)為大家介紹項(xiàng)目安全建設(shè)過程。





一期工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估




在項(xiàng)目前期,我們了解到客戶的訴求是逐步進(jìn)行企業(yè)的工控安全建設(shè)工作。我們給出的建議是第一期項(xiàng)目?jī)?yōu)先開展風(fēng)險(xiǎn)評(píng)估工作。企業(yè)對(duì)自己的家底摸不清,這也是目前我國(guó)工業(yè)企業(yè)用戶都面臨了一個(gè)通用的問題。這給企業(yè)如何有效的開展工控安全建設(shè)工作帶來了很大的阻力。經(jīng)過和該企業(yè)相關(guān)安全負(fù)責(zé)人溝通,確定了一期項(xiàng)目工控安全評(píng)估的幾個(gè)方向,具體如下:

01

資產(chǎn)的識(shí)別、梳理


在這一環(huán)節(jié),對(duì)資產(chǎn)進(jìn)行安全屬性分析、賦值是關(guān)鍵。需要根據(jù)各業(yè)務(wù)系統(tǒng)內(nèi)資產(chǎn)所承擔(dān)的業(yè)務(wù)重要程度來進(jìn)行賦值。

出于保密考慮,不對(duì)賦值的細(xì)節(jié)進(jìn)行公開描述??傮w上該工煙企業(yè)工業(yè)控制系統(tǒng)主要以SIEMENS S7-300/400系列控制設(shè)備為主,網(wǎng)絡(luò)設(shè)備主要以SIEMENS、華為、華三設(shè)備為主,應(yīng)用軟件主要以GE IFix為主;系統(tǒng)中主要用到的工業(yè)協(xié)議有:OPC、S7、Modbus TCP/RTU等。根據(jù)其資產(chǎn)類型,可判斷其存在的脆弱性,結(jié)合其承擔(dān)業(yè)務(wù)的重要程度來綜合賦值。

02

面臨的威脅識(shí)別與資產(chǎn)脆弱性分析


通過工業(yè)控制系統(tǒng)所處的環(huán)境以及系統(tǒng)的內(nèi)部因素、外部因素識(shí)別出威脅源、威脅途徑及其可能發(fā)生的概率;


根據(jù)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)、主要采用的網(wǎng)絡(luò)設(shè)備、控制設(shè)備、軟件以及工業(yè)協(xié)議等,識(shí)別出資產(chǎn)脆弱性的影響程度。

03

存量安全管理措施評(píng)估


對(duì)該工煙企業(yè)工業(yè)控制系統(tǒng)現(xiàn)有的安全技術(shù)防護(hù)、安全管理制度等方面進(jìn)行評(píng)估,并分析其安全保障措施的有效性、合規(guī)性。

04

安全風(fēng)險(xiǎn)綜合分析


結(jié)合工業(yè)控制系統(tǒng)的資產(chǎn)識(shí)別、威脅識(shí)別、資產(chǎn)脆弱性分析及現(xiàn)有安全管理措施評(píng)估等方面,綜合分析該工煙企業(yè)工業(yè)控制系統(tǒng)存在的主要安全風(fēng)險(xiǎn),并輸出風(fēng)險(xiǎn)評(píng)估報(bào)告及安全防護(hù)整改建議。

05

主要的安全問題總結(jié)


   通過安全風(fēng)險(xiǎn)評(píng)估,結(jié)合現(xiàn)場(chǎng)實(shí)際情況,總結(jié)如下安全問題,這些安全問題在各個(gè)煙草企業(yè)都具備一定共性。

1) 生產(chǎn)網(wǎng)內(nèi)、外安全域缺乏有效的安全防護(hù)措施,存在著攻擊者通過互聯(lián)網(wǎng)、廠級(jí)辦公網(wǎng)作為跳板,利用病毒、木馬遠(yuǎn)程對(duì)工控系統(tǒng)實(shí)施攻擊的行為;

2) 工控系統(tǒng)關(guān)鍵的網(wǎng)絡(luò)節(jié)點(diǎn)缺少異常監(jiān)測(cè)、審計(jì)等安全措施,無法及時(shí)有效的發(fā)現(xiàn)網(wǎng)絡(luò)中的異常業(yè)務(wù)指令、異常網(wǎng)絡(luò)流量、異常通信行為等安全威脅;

3) 病毒防范能力較弱,U盤等移動(dòng)介質(zhì)使用不規(guī)范。一旦病毒、木馬等惡意代碼進(jìn)入生產(chǎn)網(wǎng)絡(luò),會(huì)導(dǎo)致工控主機(jī)系統(tǒng)癱瘓或使應(yīng)用軟件數(shù)據(jù)被篡改,間接導(dǎo)致生產(chǎn)線良品率下降或系統(tǒng)頻繁停機(jī);

4) 該工煙企業(yè)工控系統(tǒng)的維修、維護(hù)工作主要靠系統(tǒng)集成商來完成,但該企業(yè)缺少對(duì)第三方運(yùn)維人員操作行為的技術(shù)管理措施,由此也為該企業(yè)帶來極大的安全隱患,容易出現(xiàn)因第三方運(yùn)維人員的操作失誤而引發(fā)生產(chǎn)事故。





二期工業(yè)控制系統(tǒng)安全防護(hù)建設(shè)




依據(jù)一期輸出的安全風(fēng)險(xiǎn)評(píng)估報(bào)告及工控安全防護(hù)解決方案,結(jié)合2019年發(fā)布的等保2.0基本要求,對(duì)前期的安全防護(hù)解決方案進(jìn)行優(yōu)化,從物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)這五個(gè)技術(shù)層面升級(jí)為安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心這五個(gè)技術(shù)層面。

項(xiàng)目具體實(shí)施主要從以下幾個(gè)方面進(jìn)行:

01

強(qiáng)化網(wǎng)絡(luò)安全區(qū)域邊界的防護(hù)能


首先對(duì)生產(chǎn)網(wǎng)進(jìn)行安全域劃分,縱向劃分三個(gè)安全域,包括MES層安全域、過程監(jiān)控層安全域和現(xiàn)場(chǎng)控制層安全域;橫向劃分安全管理中心安全域、制絲系統(tǒng)安全域、卷包系統(tǒng)安全域、動(dòng)力能管安全域、物流系統(tǒng)安全域這五個(gè)安全域。

在制絲、卷包、動(dòng)力能管、物流系統(tǒng)、安全管理中心這五個(gè)安全域之間部署工業(yè)防火墻進(jìn)行邊界隔離;在策略配置上,首先通過配置基于五元組ACL+白名單訪問控制策略,建立各子系統(tǒng)區(qū)域邊界的安全防護(hù)模型,阻斷一切非法訪問,僅允許與各子系統(tǒng)業(yè)務(wù)相關(guān)的可信流量在網(wǎng)絡(luò)上傳輸,有效防止外部網(wǎng)絡(luò)的攻擊行為和內(nèi)部各子系統(tǒng)之間的非法訪問等行為。

在業(yè)務(wù)上,MES層的OPC服務(wù)器需要讀取制絲、卷包、動(dòng)力能管、物流系統(tǒng)這四個(gè)安全域內(nèi)OPC客戶端采集的生產(chǎn)業(yè)務(wù)數(shù)據(jù),所以在工業(yè)防火墻上配置OPC只讀策略,僅允許MES層OPC服務(wù)器對(duì)過程監(jiān)控層OPC客戶端的數(shù)據(jù)采集,禁止MES層OPC服務(wù)器對(duì)過程監(jiān)控層OPC客戶端寫的操作,該策略有效防止了MES層利用該接口對(duì)過程監(jiān)控層OPC客戶端數(shù)據(jù)的非法篡改行為。

02

提升網(wǎng)絡(luò)內(nèi)、外未知威脅檢測(cè)能力


該工煙企業(yè)生產(chǎn)網(wǎng)核心交換機(jī)與廠級(jí)辦公網(wǎng)連接,存在經(jīng)過廠級(jí)辦公網(wǎng)絡(luò)來自互聯(lián)網(wǎng)的攻擊風(fēng)險(xiǎn),在等保1.0的基本要求下,需在此邊界處部署入侵檢測(cè)/防御措施,對(duì)非法攻擊/惡意代碼傳播行為進(jìn)行檢測(cè),故在一期項(xiàng)目方案設(shè)計(jì)中依據(jù)等保1.0的要求,設(shè)計(jì)部署入侵檢測(cè)系統(tǒng)作為邊界防御能力的補(bǔ)強(qiáng)。但在等保2.0中,更強(qiáng)調(diào)網(wǎng)絡(luò)空間安全,強(qiáng)調(diào)對(duì)未知、新型攻擊的識(shí)別,對(duì)APT攻擊的識(shí)別。所以結(jié)合等保2.0的要求,對(duì)一期的設(shè)計(jì)方案進(jìn)行優(yōu)化,在生產(chǎn)網(wǎng)與廠級(jí)網(wǎng)的核心交換機(jī)上旁路部署網(wǎng)絡(luò)威脅感知系統(tǒng),抓取生產(chǎn)網(wǎng)網(wǎng)絡(luò)流量,采用威脅情報(bào)數(shù)據(jù)及網(wǎng)絡(luò)行為分析技術(shù)對(duì)抓取的網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)檢測(cè)、分析,深度檢測(cè)網(wǎng)絡(luò)內(nèi)、外存在的新型網(wǎng)絡(luò)攻擊行為或APT攻擊行為。

同時(shí)在制絲、卷包、動(dòng)力能管、物流等系統(tǒng)內(nèi)部通過抓取各子系統(tǒng)網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)網(wǎng)絡(luò)流量,梳理網(wǎng)絡(luò)訪問關(guān)系,建立正常網(wǎng)絡(luò)訪問通信模型,形成“業(yè)務(wù)通信基準(zhǔn)庫”,及時(shí)有效的發(fā)現(xiàn)網(wǎng)絡(luò)中的異常業(yè)務(wù)指令、異常網(wǎng)絡(luò)流量、異常通信行為等安全風(fēng)險(xiǎn)并進(jìn)行告警,保證了只有可信流量才能在各子系統(tǒng)網(wǎng)絡(luò)中傳輸。

03

構(gòu)建基于業(yè)務(wù)的工控主機(jī)安全模型


在生產(chǎn)網(wǎng)各子系統(tǒng)的服務(wù)器、工程師站、操作員站等工控主機(jī)上部署主機(jī)安全防護(hù)軟件;通過對(duì)系統(tǒng)、外設(shè)、網(wǎng)絡(luò)、應(yīng)用的四重鎖定,有效的阻止病毒、木馬及“0-Day”漏洞的感染以及被利用,保護(hù)系統(tǒng)關(guān)鍵資源。從而實(shí)現(xiàn)工控主機(jī)從啟動(dòng)、加載到持續(xù)運(yùn)行過程的全生命周期安全防護(hù),從根本上解決了防病毒軟件帶來的誤殺、漏殺、占用系統(tǒng)資源、需要聯(lián)網(wǎng)升級(jí)病毒庫等問題,最終構(gòu)建基于業(yè)務(wù)行為的工控主機(jī)安全計(jì)算環(huán)境。 

在工業(yè)控制系統(tǒng)內(nèi)防病毒軟件的不適用已經(jīng)被廣泛認(rèn)識(shí)到,目前通用的解決方案一般均是采用白名單技術(shù)來代替殺毒軟件,采用基于白名單技術(shù)的防護(hù)軟件已被測(cè)評(píng)公司和企業(yè)用戶認(rèn)可。

04

立統(tǒng)一安全管理中心,強(qiáng)化集中安全管理


等保2.0相比等保1.0,明顯的變化在于需要在網(wǎng)絡(luò)中建立統(tǒng)一安全管理中心。我們?cè)诮鉀Q方案設(shè)計(jì)中在增加了統(tǒng)一安全管理中心的設(shè)計(jì)。安全管理中心由多臺(tái)安全設(shè)備組成,單獨(dú)形成一個(gè)安全區(qū)域,其中部署統(tǒng)一安全管理平臺(tái),實(shí)現(xiàn)對(duì)生產(chǎn)網(wǎng)中安全產(chǎn)品的集中管理,包括策略統(tǒng)一配置、狀態(tài)統(tǒng)一監(jiān)控、網(wǎng)絡(luò)拓?fù)淇梢暬约鞍踩录?、安全日志(如:攻擊日志、流量日志、訪問日志、主機(jī)日志、系統(tǒng)日志)的關(guān)聯(lián)分析。幫助企業(yè)用戶方便對(duì)企業(yè)安全狀態(tài)的了解。

其次在統(tǒng)一安全管理中心中部署安全運(yùn)維管理系統(tǒng),利用安全運(yùn)維管理系統(tǒng)切斷運(yùn)維終端對(duì)工業(yè)網(wǎng)絡(luò)設(shè)備或資源的直接訪問,采用協(xié)議代理的方式,實(shí)現(xiàn)對(duì)生產(chǎn)網(wǎng)中網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)庫設(shè)備集中有序的安全運(yùn)維管理,同時(shí)通過給運(yùn)維人員創(chuàng)建唯一的身份認(rèn)證賬號(hào),對(duì)運(yùn)維人員從登錄到退出的全程操作行為進(jìn)行審計(jì),進(jìn)一步加強(qiáng)工控系統(tǒng)及設(shè)備運(yùn)維全過程的安全管控。





安全產(chǎn)品部署專網(wǎng)化,業(yè)務(wù)流轉(zhuǎn)“零”影響




工控系統(tǒng)安全建設(shè)另一個(gè)重要關(guān)注點(diǎn)在于安全設(shè)備的引入不應(yīng)對(duì)原有業(yè)務(wù)系統(tǒng)造成影響。工煙企業(yè)的制絲、卷包等系統(tǒng)部分工藝段對(duì)業(yè)務(wù)數(shù)據(jù)傳輸?shù)乃俾室蠓浅8撸瑸楸WC系統(tǒng)業(yè)務(wù)數(shù)據(jù)、流量傳輸?shù)母咝?、穩(wěn)定性,我們?cè)O(shè)計(jì)了安全設(shè)備管理獨(dú)立組網(wǎng)的管理方式,所有安全產(chǎn)品支持自組網(wǎng)功能,在實(shí)施部署過程中,所有安全產(chǎn)品獨(dú)立組網(wǎng),策略的下發(fā)、日志的采集等動(dòng)作均不占用工控業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)帶寬,既保證工控業(yè)務(wù)系統(tǒng)安全、穩(wěn)定運(yùn)行,也保證了業(yè)務(wù)數(shù)據(jù)、流量的傳輸速率。

采用獨(dú)立組網(wǎng)的同時(shí),安全設(shè)備與安全管理平臺(tái)的數(shù)據(jù)傳輸也采用了加密傳輸?shù)姆绞?,有效保障了安全?shù)據(jù)傳輸?shù)陌踩浴_@一設(shè)計(jì)也充分符合等保2.0中對(duì)于安全管理中心的技術(shù)要求。






總  結(jié)




該項(xiàng)目案例中我們通過安全風(fēng)險(xiǎn)評(píng)估幫助該企業(yè)摸清了家底,通過基于等保2.0基本要求與實(shí)際業(yè)務(wù)需求設(shè)計(jì)網(wǎng)絡(luò)安全防護(hù)建設(shè)方案、制定安全策略,幫助企業(yè)解決了其工業(yè)控制系統(tǒng)中存在的主要安全風(fēng)險(xiǎn),同時(shí)也幫助企業(yè)完成了等保2.0合規(guī)性要求的對(duì)標(biāo)。2020年,該企業(yè)的下一步安全建設(shè)目標(biāo)是企業(yè)級(jí)態(tài)勢(shì)感知平臺(tái)的建設(shè),這也是為進(jìn)一步實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)、互聯(lián)互通而奠定基礎(chǔ)。

我們一直深耕煙草行業(yè)工控安全建設(shè),有著經(jīng)驗(yàn)豐富的技術(shù)服務(wù)團(tuán)隊(duì),近年積累了大量的煙草工業(yè)、商業(yè)工控網(wǎng)絡(luò)安全等級(jí)保護(hù)合規(guī)建設(shè)經(jīng)驗(yàn),對(duì)于煙草行業(yè)生產(chǎn)網(wǎng)業(yè)務(wù)系統(tǒng)、業(yè)務(wù)場(chǎng)景的工控安全建設(shè)有著深入的理解,希望此次的案例分享能夠幫助更多的煙草企業(yè)找到工控系統(tǒng)基本等級(jí)保護(hù)2.0建設(shè)的方向,為更多的煙草企業(yè)的工控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)提供堅(jiān)實(shí)的后盾。

服務(wù)熱線

138-6598-3726

產(chǎn)品和特性

價(jià)格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò)公眾號(hào)

微信公眾號(hào)