1 前 言
2022年下半年,全國(guó)工業(yè)互聯(lián)網(wǎng)安全深度行在各個(gè)省份都已經(jīng)陸續(xù)開展起來(lái),各類活動(dòng)也正在如火如荼地進(jìn)行著,為加快提升我國(guó)工業(yè)互聯(lián)網(wǎng)安全保障水平各項(xiàng)工作真正落到實(shí)處。其中,深度行活動(dòng)包括分類分級(jí)管理、政策標(biāo)準(zhǔn)宣貫、資源池建設(shè)、應(yīng)急演練、人才培訓(xùn)、賽事活動(dòng)等6項(xiàng)內(nèi)容,分類分級(jí)管理和政策標(biāo)準(zhǔn)宣貫2項(xiàng)為必選內(nèi)容。
圖 1?1 《關(guān)于開展工業(yè)互聯(lián)網(wǎng)安全深度行活動(dòng)的通知》(工信廳網(wǎng)安函〔2022〕97號(hào))
作為工業(yè)互聯(lián)網(wǎng)企業(yè)需要引起高度重視,積極響應(yīng)深度行活動(dòng),落實(shí)主體責(zé)任,統(tǒng)籌推動(dòng)工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)管理及安全防護(hù)工作,切實(shí)保障我國(guó)各項(xiàng)工業(yè)生產(chǎn)活動(dòng)安全穩(wěn)定、萬(wàn)無(wú)一失。
2 安全深度行的必要性
工業(yè)和信息化部發(fā)布最新統(tǒng)計(jì)數(shù)據(jù)顯示,今年一季度,我國(guó)工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)規(guī)模首次突破10000億元,據(jù)中商產(chǎn)業(yè)研究院預(yù)測(cè),2022年我國(guó)工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)經(jīng)濟(jì)產(chǎn)業(yè)增加值規(guī)模將超5萬(wàn)億元。依據(jù)行業(yè)整體大發(fā)展趨勢(shì)與國(guó)家政策扶持,越來(lái)越多的工業(yè)互聯(lián)網(wǎng)企業(yè)基于創(chuàng)新與轉(zhuǎn)型升級(jí)賦能快速發(fā)展,基本形成行業(yè)體系與格局;工業(yè)互聯(lián)網(wǎng)在研發(fā)設(shè)計(jì)、生產(chǎn)制造、運(yùn)營(yíng)管理等各個(gè)環(huán)節(jié)得以廣泛應(yīng)用,伴隨著5G技術(shù)、數(shù)字孿生等新型應(yīng)用,行業(yè)應(yīng)用也正在不斷深化?;诰W(wǎng)絡(luò)建設(shè)、平臺(tái)賦能、新型應(yīng)用等,實(shí)現(xiàn)產(chǎn)品協(xié)同設(shè)計(jì)、生產(chǎn)監(jiān)控與優(yōu)化、制造與工藝管理、運(yùn)營(yíng)決策管理、資源配置優(yōu)化等效果,而作為重要保障的安全建設(shè)相對(duì)滯后,面臨著嚴(yán)峻挑戰(zhàn)。
工業(yè)互聯(lián)網(wǎng)包括三大體系:網(wǎng)絡(luò)、平臺(tái)和安全,網(wǎng)絡(luò)是工業(yè)互聯(lián)網(wǎng)互聯(lián)的基礎(chǔ),平臺(tái)是工業(yè)互聯(lián)網(wǎng)發(fā)展的核心,安全是工業(yè)互聯(lián)網(wǎng)的保障,三者相輔相成、必不可缺;基于工業(yè)互聯(lián)網(wǎng)的總體發(fā)展與安全建設(shè)狀況,2021年1月13日,工業(yè)和信息化部印發(fā)《開展工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)管理試點(diǎn)工作的通知》,啟動(dòng)部署分類分級(jí)試點(diǎn)工作。2022年5月13日,工業(yè)和信息化部辦公廳《關(guān)于開展工業(yè)互聯(lián)網(wǎng)安全深度行活動(dòng)的通知》正式發(fā)布,加快提升我國(guó)工業(yè)互聯(lián)網(wǎng)安全保障水平,組織開展工業(yè)互聯(lián)網(wǎng)安全深度行活動(dòng)。
圖 2?1 工業(yè)互聯(lián)網(wǎng)企業(yè)相關(guān)政策指導(dǎo)文件
在工業(yè)和信息化部辦公廳《關(guān)于開展工業(yè)互聯(lián)網(wǎng)安全深度行活動(dòng)的通知》中規(guī)定在11月底前,各地工業(yè)和信息化主管部門、通信管理局聯(lián)合第三方專業(yè)機(jī)構(gòu)組織開展本地深度行活動(dòng),推進(jìn)網(wǎng)絡(luò)安全分類分級(jí)管理、政策宣貫及其他活動(dòng)。并于12月16日前,完成本地深度行活動(dòng)總結(jié),形成書面報(bào)告上報(bào)工業(yè)和信息化部(網(wǎng)絡(luò)安全管理局)。
至此,全國(guó)各地主管部門都相應(yīng)展開深度行活動(dòng),深度踐行工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)管理及政策標(biāo)準(zhǔn)宣貫,以及其他有利于提升我國(guó)工業(yè)互聯(lián)網(wǎng)安全保障水平的各項(xiàng)工作。
3 安全深度行下網(wǎng)絡(luò)安全分類分級(jí)管理的開展
日前,各省份都相應(yīng)展開了工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)管理工作,對(duì)于工業(yè)互聯(lián)網(wǎng)企業(yè)(聯(lián)網(wǎng)工業(yè)企業(yè)、平臺(tái)企業(yè)、標(biāo)識(shí)解析企業(yè)),應(yīng)該履行工業(yè)互聯(lián)網(wǎng)安全管理主體責(zé)任,按照有關(guān)規(guī)定開展自主定級(jí)、安全評(píng)估、安全整改、應(yīng)急保障等工作,落實(shí)安全防護(hù)規(guī)范要求,保障工業(yè)互聯(lián)網(wǎng)安全穩(wěn)定運(yùn)行。本文主要針對(duì)聯(lián)網(wǎng)工業(yè)企業(yè)為對(duì)象展開網(wǎng)絡(luò)安全分類分級(jí)管理工作推進(jìn)的說(shuō)明,企業(yè)應(yīng)當(dāng)主動(dòng)開展自主定級(jí)工作,根據(jù)評(píng)級(jí)結(jié)果結(jié)合《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)管理指南(試行)》中的安全防護(hù)要求進(jìn)行安全評(píng)估、安全整改與建設(shè),提高本企業(yè)的網(wǎng)絡(luò)安全保障水平。
圖 3?1 工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)管理指南(試行)
3.1 聯(lián)網(wǎng)工業(yè)企業(yè)自主定級(jí)
聯(lián)網(wǎng)工業(yè)企業(yè)是應(yīng)用工業(yè)互聯(lián)網(wǎng)的企業(yè)簡(jiǎn)稱,主要是指將新一代信息通信技術(shù)與工業(yè)系統(tǒng)深度融合,推動(dòng)企業(yè)模型化研發(fā)、智能化制造、網(wǎng)絡(luò)化協(xié)同、個(gè)性化定制、數(shù)字化管理、服務(wù)化延伸,實(shí)現(xiàn)智能控制、運(yùn)營(yíng)優(yōu)化和生產(chǎn)組織方式的變革,主要涉及原材料工業(yè)、裝備工業(yè)、消費(fèi)品工業(yè)和電子信息制造業(yè)等行業(yè)。
由聯(lián)網(wǎng)工業(yè)企業(yè)根據(jù)工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)評(píng)定規(guī)則結(jié)合自身實(shí)際情況進(jìn)行初步自主定級(jí),上報(bào)至地方主管部門進(jìn)行核查確認(rèn),各地工業(yè)和信息化主管部門、通信管理局與企業(yè)建立工作機(jī)制,開展抽查、通報(bào)、完善安全防護(hù)形成閉環(huán)流程,幫助企業(yè)落實(shí)安全防護(hù)機(jī)制,保障生產(chǎn)工業(yè)活動(dòng)有序、可靠、持續(xù)進(jìn)行。
依據(jù)工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)評(píng)定規(guī)則進(jìn)行評(píng)分,聯(lián)網(wǎng)工業(yè)企業(yè)參照行業(yè)重要性、企業(yè)規(guī)模、安全風(fēng)險(xiǎn)程度等因素,將企業(yè)網(wǎng)絡(luò)安全等級(jí)由高到低劃分為三級(jí)、二級(jí)、一級(jí)。
工業(yè)互聯(lián)網(wǎng)企業(yè)定級(jí)采用計(jì)分方式進(jìn)行,滿分100分。具體評(píng)分細(xì)則參考工業(yè)互聯(lián)網(wǎng)企業(yè)安全分類分級(jí)評(píng)定規(guī)則按照聯(lián)網(wǎng)工業(yè)企業(yè)定級(jí)方法進(jìn)行計(jì)分。
依據(jù)評(píng)級(jí)結(jié)果針對(duì)工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全防護(hù)進(jìn)行建設(shè)及完善,主動(dòng)展開相關(guān)重要工作,有效應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn),提升網(wǎng)絡(luò)安全保障水平。
3.2 企業(yè)網(wǎng)絡(luò)安全防護(hù)
工業(yè)互聯(lián)網(wǎng)企業(yè)應(yīng)根據(jù)企業(yè)網(wǎng)絡(luò)安全防護(hù)要求落實(shí)相關(guān)措施,值得注意的是一級(jí)工業(yè)互聯(lián)網(wǎng)企業(yè)需參照二級(jí)企業(yè)相關(guān)要求落實(shí)安全防護(hù)措施,意味著三個(gè)等級(jí)的工業(yè)互聯(lián)網(wǎng)企業(yè)都有責(zé)任、義務(wù)進(jìn)行網(wǎng)絡(luò)安全防護(hù)相關(guān)建設(shè)。各地、各級(jí)工業(yè)和信息化主管部門定期會(huì)對(duì)本行政區(qū)域內(nèi)工業(yè)互聯(lián)網(wǎng)企業(yè)進(jìn)行網(wǎng)絡(luò)安全工作指導(dǎo)、抽查及通報(bào),省級(jí)主管部門進(jìn)行安全監(jiān)管。
(1)建立健全網(wǎng)絡(luò)安全責(zé)任制
落實(shí)工業(yè)互聯(lián)網(wǎng)企業(yè)主要負(fù)責(zé)人為網(wǎng)絡(luò)安全第一負(fù)責(zé)人,開展網(wǎng)絡(luò)安全責(zé)任制、網(wǎng)絡(luò)安全管理制度、應(yīng)急處置機(jī)制等安全工作的推進(jìn)、落實(shí)及完善。
(2)落實(shí)網(wǎng)絡(luò)安全總體規(guī)劃
企業(yè)應(yīng)當(dāng)根據(jù)自身信息化實(shí)際發(fā)展情況,結(jié)合網(wǎng)絡(luò)安全總體規(guī)劃制定合理、穩(wěn)定、持續(xù)、可行的安全建設(shè)方案,依據(jù)業(yè)務(wù)劃分不同區(qū)域、數(shù)據(jù),展開分區(qū)分域重點(diǎn)防護(hù),保障生產(chǎn)活動(dòng)安全。
(3)建設(shè)網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警平臺(tái)
企業(yè)應(yīng)建立網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警平臺(tái),與省級(jí)平臺(tái)對(duì)接,完善工作機(jī)制,建立持續(xù)、有效協(xié)同工作,加強(qiáng)安全監(jiān)測(cè)技術(shù)能力,規(guī)避重大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與隱患。
三級(jí)工業(yè)互聯(lián)網(wǎng)企業(yè)建設(shè)企業(yè)級(jí)工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)平臺(tái),并接入屬地省級(jí)工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)平臺(tái);
鼓勵(lì)二級(jí)工業(yè)互聯(lián)網(wǎng)企業(yè)積極建設(shè)企業(yè)級(jí)工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)平臺(tái),并接入屬地省級(jí)工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)平臺(tái)。
(4)開展符合性評(píng)測(cè)與風(fēng)險(xiǎn)評(píng)估
企業(yè)在落實(shí)安全防護(hù)措施及建立網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警平臺(tái)后,仍需對(duì)于企業(yè)的風(fēng)險(xiǎn)實(shí)現(xiàn)閉環(huán)管理工作,以管理風(fēng)險(xiǎn)為核心,不斷完善企業(yè)安全防護(hù)能力。
三級(jí)工業(yè)互聯(lián)網(wǎng)企業(yè)每年開展一次符合性評(píng)測(cè)和風(fēng)險(xiǎn)評(píng)估;
二級(jí)工業(yè)互聯(lián)網(wǎng)企業(yè)每?jī)赡觊_展一次符合性評(píng)測(cè)和風(fēng)險(xiǎn)評(píng)估。
(5)完善網(wǎng)絡(luò)安全事件應(yīng)急方法
企業(yè)應(yīng)當(dāng)意識(shí)到網(wǎng)絡(luò)安全不存在“絕對(duì)安全”的狀態(tài),當(dāng)發(fā)現(xiàn)重大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和事件時(shí),應(yīng)具備安全應(yīng)急處理能力,能夠快速、及時(shí)、有效處理相關(guān)安全問題和事件,及時(shí)向主管部門、通信管理局報(bào)告。
三級(jí)工業(yè)互聯(lián)網(wǎng)企業(yè)每年至少開展一次應(yīng)急演練;
二級(jí)工業(yè)互聯(lián)網(wǎng)企業(yè)每?jī)赡曛辽匍_展一次應(yīng)急演練。
4 積極踐行網(wǎng)絡(luò)安全分類分級(jí)管理
4.1落實(shí)網(wǎng)絡(luò)安全責(zé)任制,建立安全管理制度
落實(shí)工業(yè)互聯(lián)網(wǎng)企業(yè)法人代表、經(jīng)營(yíng)負(fù)責(zé)人第一責(zé)任者的責(zé)任,對(duì)本企業(yè)安全生產(chǎn)工作負(fù)全面責(zé)任,統(tǒng)籌企業(yè)內(nèi)網(wǎng)絡(luò)安全防護(hù)各項(xiàng)工作的有序開展,有效保障企業(yè)內(nèi)工業(yè)生產(chǎn)活動(dòng)安全;成立網(wǎng)絡(luò)安全小組,明確工業(yè)互聯(lián)網(wǎng)安全相關(guān)責(zé)任部門和責(zé)任人,依法落實(shí)企業(yè)主體責(zé)任。通過(guò)網(wǎng)絡(luò)安全責(zé)任制,建立安全工作責(zé)任人劃分與問責(zé)機(jī)制,有效保障各項(xiàng)安全工作能夠落實(shí)到位,建設(shè)并完善一套能夠依據(jù)企業(yè)實(shí)際情況且適用的網(wǎng)絡(luò)安全管理制度,從管理機(jī)構(gòu)與人員、資產(chǎn)管理、安全原則、安全設(shè)計(jì)、安全運(yùn)維等多個(gè)維度進(jìn)行規(guī)范,把安全工作落到實(shí)處;可借鑒聯(lián)網(wǎng)工業(yè)企業(yè)安全防護(hù)規(guī)范(試行)中的安全管理要求,包括安全管理制度、安全管理機(jī)構(gòu)和人員、安全建設(shè)管理、安全運(yùn)維管理等。
圖 4?1 網(wǎng)絡(luò)安全管理要求
4.2 制定總體規(guī)劃,安全防護(hù)規(guī)范
聯(lián)網(wǎng)工業(yè)企業(yè)按照《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)管理指南(試行)》的級(jí)別劃分,采取不同程度的安全防護(hù),圍繞企業(yè)自身信息化、數(shù)字化發(fā)展現(xiàn)狀,基于國(guó)際、國(guó)內(nèi)標(biāo)準(zhǔn)及行業(yè)標(biāo)準(zhǔn)建設(shè)一套符合工業(yè)互聯(lián)網(wǎng)企業(yè)安全防護(hù)體系,有效保障企業(yè)的設(shè)備安全、控制安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全等。
依據(jù)《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)管理指南(試行)》的安全防護(hù)要求,對(duì)于制造執(zhí)行層、集中監(jiān)控層、過(guò)程控制層的設(shè)備安全、控制安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全展開相應(yīng)的安全建設(shè),結(jié)合實(shí)際場(chǎng)景與情況進(jìn)行總體規(guī)劃;劃分生產(chǎn)業(yè)務(wù)區(qū)域與管理信息區(qū)域,基于生產(chǎn)業(yè)務(wù)的重要性,優(yōu)先對(duì)于生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)的各個(gè)區(qū)域進(jìn)行安全防護(hù),可參考下圖工控安全防護(hù)體系規(guī)劃進(jìn)行分期建設(shè)。
圖 4?2 工業(yè)互聯(lián)網(wǎng)企業(yè)工控安全防護(hù)體系規(guī)劃
(1)設(shè)備安全防護(hù)方案
設(shè)備安全防護(hù)主要從終端計(jì)算機(jī)、控制設(shè)備、存儲(chǔ)介質(zhì)三個(gè)維度展開,對(duì)不同的設(shè)備進(jìn)行不同程度、不同要求的防護(hù)。在終端計(jì)算機(jī)、控制設(shè)備的安全防護(hù)中可采用工控主機(jī)衛(wèi)士,實(shí)現(xiàn)防病毒、接入認(rèn)證、安全加固等安全防護(hù)效果;可結(jié)合實(shí)際生產(chǎn)業(yè)務(wù)使用的系統(tǒng)、應(yīng)用、組態(tài)軟件建立可信的白名單環(huán)境,阻止非授權(quán)的應(yīng)用、惡意代碼程序及病毒等程序的運(yùn)行,具備已知、未知病毒的防護(hù)能力;結(jié)合雙因子認(rèn)證機(jī)制,提升設(shè)備使用人員的合法性;通過(guò)安全基線加固技術(shù),提升主機(jī)操作系統(tǒng)安全等級(jí)。
在移動(dòng)介質(zhì)的安全防護(hù)中采用移動(dòng)介質(zhì)安檢站,結(jié)合“工控主機(jī)衛(wèi)士+安全U盤”構(gòu)建移動(dòng)存儲(chǔ)介質(zhì)全生命周期管控方案,對(duì)于生產(chǎn)車間內(nèi)部使用的移動(dòng)介質(zhì)進(jìn)行綜合管控,實(shí)現(xiàn)安全殺毒、權(quán)限管理、數(shù)據(jù)擺渡等安全效果,降低通過(guò)移動(dòng)介質(zhì)引入病毒的風(fēng)險(xiǎn),有效保障工業(yè)設(shè)備的安全性。
圖 4?3 移動(dòng)存儲(chǔ)介質(zhì)全生命周期管控
(2)控制安全防護(hù)方案
控制安全主要針對(duì)聯(lián)網(wǎng)控制系統(tǒng)、組態(tài)軟件、工業(yè)數(shù)據(jù)庫(kù)、配置與運(yùn)維安全提出相關(guān)規(guī)范。在聯(lián)網(wǎng)控制系統(tǒng)與網(wǎng)絡(luò)安全防護(hù)中實(shí)現(xiàn)狀態(tài)監(jiān)測(cè)、流量采集與行為分析、異常告警、入侵告警的要求,可采用工控安全監(jiān)測(cè)與審計(jì)系統(tǒng),基于工控協(xié)議深度解析技術(shù),智能學(xué)習(xí)建立業(yè)務(wù)系統(tǒng)安全通信模型,對(duì)聯(lián)網(wǎng)控制系統(tǒng)與網(wǎng)絡(luò)進(jìn)行流量實(shí)時(shí)分析,分析生產(chǎn)網(wǎng)絡(luò)攻擊流量和異常行為,進(jìn)行及時(shí)發(fā)現(xiàn)、報(bào)告并處理。
針對(duì)聯(lián)網(wǎng)控制系統(tǒng)、工業(yè)數(shù)據(jù)庫(kù)等產(chǎn)生的日志進(jìn)行管理與備份,定期進(jìn)行審計(jì)分析,實(shí)現(xiàn)關(guān)聯(lián)分析、事件管理,及時(shí)發(fā)現(xiàn)安全問題與風(fēng)險(xiǎn),可采用日志審計(jì)與分析系統(tǒng),對(duì)于聯(lián)網(wǎng)控制系統(tǒng)、工業(yè)數(shù)據(jù)庫(kù)進(jìn)行日志收集,實(shí)現(xiàn)日志數(shù)據(jù)和告警數(shù)據(jù)關(guān)聯(lián)分析,及時(shí)對(duì)安全事件進(jìn)行追溯或干預(yù)。
在運(yùn)維安全要求中加強(qiáng)對(duì)于技術(shù)服務(wù)、運(yùn)維服務(wù)的網(wǎng)絡(luò)安全管理能力,在安全得到保障下進(jìn)行遠(yuǎn)程維護(hù)、技術(shù)服務(wù),采用安全運(yùn)維管理系統(tǒng),針對(duì)聯(lián)網(wǎng)控制系統(tǒng)、工業(yè)數(shù)據(jù)庫(kù)、服務(wù)器及其他設(shè)備等資源的運(yùn)維與操作進(jìn)行身份認(rèn)證、權(quán)限控制及行為審計(jì),加強(qiáng)用戶授權(quán)、審計(jì)管理,提高運(yùn)維安全能力。
(3)網(wǎng)絡(luò)安全防護(hù)方案
在網(wǎng)絡(luò)安全防護(hù)要求中,對(duì)于組網(wǎng)、架構(gòu)、連接、網(wǎng)絡(luò)設(shè)備、安全設(shè)備提出具體安全要求。在組網(wǎng)與架構(gòu)安全中實(shí)現(xiàn)分區(qū)分域,不同區(qū)域、層級(jí)之間實(shí)現(xiàn)安全邊界防護(hù)能力,企業(yè)管理層與制造執(zhí)行層之間采用工控安全隔離與信息交換系統(tǒng),制造執(zhí)行層相比于企業(yè)管理層安全等級(jí)更高,必須保證其安全性,實(shí)現(xiàn)兩者之間的物理隔離,規(guī)避外部的攻擊的同時(shí),避免內(nèi)部生產(chǎn)數(shù)據(jù)與信息的泄漏,建立可控的信息交換通道。
不同區(qū)域之間應(yīng)實(shí)現(xiàn)訪問控制,采用工業(yè)防火墻,對(duì)不同區(qū)域間的訪問行為進(jìn)行管控,對(duì)于非授權(quán)連接行為進(jìn)行攔截以及審計(jì)記錄;對(duì)各控制系統(tǒng)和設(shè)備使用的工業(yè)控制協(xié)議進(jìn)行深度識(shí)別及解析,建立工業(yè)控制協(xié)議白名單訪問控制策略,保證只有可信任的指令和消息才能在網(wǎng)絡(luò)上傳輸。配備硬件級(jí)安全策略寫保護(hù)功能,與生產(chǎn)業(yè)務(wù)起到“同頻共振”效果,極端情況下仍能有效保障生產(chǎn)工業(yè)活動(dòng)正常運(yùn)行。
圖 4?4 硬件級(jí)安全策略寫保護(hù)
在網(wǎng)絡(luò)邊界防護(hù)中,采取入侵防范、惡意代碼防范等措施,可采用高級(jí)威脅檢測(cè)系統(tǒng),對(duì)于實(shí)時(shí)通信的數(shù)據(jù)流量進(jìn)行拆包分析,利用入侵檢測(cè)、病毒木馬檢測(cè)、未知威脅沙箱行為檢測(cè)、惡意流量人工智能檢測(cè)等技術(shù),實(shí)現(xiàn)已知、未知威脅的全面檢測(cè),起到快速告警、及時(shí)響應(yīng)的安全防護(hù)作用。
在安全設(shè)備要求中,合理部署安全設(shè)備,完善網(wǎng)絡(luò)安全防護(hù),可在安全管理中心區(qū)域部署統(tǒng)一安全管理平臺(tái),通過(guò)統(tǒng)一安全管理平臺(tái)實(shí)現(xiàn)對(duì)全網(wǎng)的安全設(shè)備、安全事件、安全策略、安全運(yùn)維進(jìn)行統(tǒng)一集中的監(jiān)控、調(diào)度、預(yù)警和管理,減輕網(wǎng)絡(luò)安全系統(tǒng)的運(yùn)維工作量。采用工控漏洞掃描平臺(tái),針對(duì)主機(jī)類、網(wǎng)絡(luò)類、安全類等各式設(shè)備及應(yīng)用系統(tǒng)等進(jìn)行漏洞掃描,解決漏洞防護(hù)、設(shè)備基線核查、弱口令等問題,構(gòu)建漏洞管理閉環(huán)流程,提高設(shè)備層的安全指數(shù),減少生產(chǎn)網(wǎng)絡(luò)中存在的風(fēng)險(xiǎn)。
(4)數(shù)據(jù)安全防護(hù)方案
應(yīng)按照《工業(yè)互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)安全防護(hù)規(guī)范(試行)》對(duì)聯(lián)網(wǎng)工業(yè)企業(yè)所使用的數(shù)據(jù)進(jìn)行分類分級(jí),依據(jù)分級(jí)要求采取對(duì)應(yīng)的數(shù)據(jù)安全防護(hù)措施??稍贛ES服務(wù)器、WMS服務(wù)器、實(shí)時(shí)數(shù)據(jù)庫(kù)服務(wù)器以及其他區(qū)域重要的服務(wù)器上部署主機(jī)防勒索系統(tǒng),基于主動(dòng)防御理念有效防范千變?nèi)f化的勒索病毒攻擊,通過(guò)基于底層驅(qū)動(dòng)感知的勒索行為監(jiān)測(cè)、主動(dòng)誘捕、數(shù)據(jù)智能備份及恢復(fù)等功能實(shí)現(xiàn)數(shù)據(jù)安全的有效保障,達(dá)到事前防御、事中檢測(cè)/阻斷、事后恢復(fù)的重要數(shù)據(jù)安全保護(hù)效果。
圖 4?5 主機(jī)防勒索系統(tǒng)保障數(shù)據(jù)安全
4.3 工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)平臺(tái)建設(shè)
工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)指南(試行)明確要求三級(jí)工業(yè)互聯(lián)網(wǎng)企業(yè)建設(shè)完善企業(yè)級(jí)工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)平臺(tái),并接入省級(jí)以上工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)平臺(tái);二級(jí)工業(yè)互聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)積極建設(shè)企業(yè)級(jí)工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)平臺(tái),并與省級(jí)工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)平臺(tái)對(duì)接。
工業(yè)互聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)在建設(shè)安全防護(hù)體系與安全管理制度的基礎(chǔ)上,完善建設(shè)工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)平臺(tái),整體上為企業(yè)安全運(yùn)營(yíng)提供資產(chǎn)管理、漏洞管理、風(fēng)險(xiǎn)評(píng)估、監(jiān)測(cè)預(yù)警、攻擊溯源、趨勢(shì)預(yù)測(cè)、協(xié)同聯(lián)動(dòng)等能力,一方面提供工業(yè)互聯(lián)網(wǎng)企業(yè)整體的資產(chǎn)態(tài)勢(shì)、運(yùn)行態(tài)勢(shì)、攻擊態(tài)勢(shì)、脆弱性態(tài)勢(shì)、事件態(tài)勢(shì)各類宏觀態(tài)勢(shì);另一方面提供安全事件的智能分析,解決由于海量告警導(dǎo)致產(chǎn)生的運(yùn)維壓力。整體構(gòu)成了安全風(fēng)險(xiǎn)主動(dòng)排查、安全狀態(tài)主動(dòng)監(jiān)測(cè),安全事件主動(dòng)響應(yīng)的全方位的主動(dòng)安全防御體系。
圖 4?6 工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)平臺(tái)
工業(yè)互聯(lián)網(wǎng)企業(yè)依托安全監(jiān)測(cè)平臺(tái)實(shí)現(xiàn)網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警與信息通報(bào)制度,可建立與省級(jí)以上工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)平臺(tái)聯(lián)動(dòng)工作機(jī)制,雙重監(jiān)測(cè)機(jī)制保障企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及隱患及時(shí)發(fā)現(xiàn)通報(bào),預(yù)防重大網(wǎng)絡(luò)安全事件的發(fā)生。
4.4 落實(shí)防護(hù)措施,風(fēng)險(xiǎn)閉環(huán)管理
工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)指南(試行)明確要求三級(jí)工業(yè)互聯(lián)網(wǎng)企業(yè)每年開展一次符合性評(píng)測(cè)和風(fēng)險(xiǎn)評(píng)估,二級(jí)工業(yè)互聯(lián)網(wǎng)企業(yè)每?jī)赡觊_展一次符合性評(píng)測(cè)和風(fēng)險(xiǎn)評(píng)估。企業(yè)可參考2022年4月份正式新發(fā)布GB/T 20984-2007《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》開展信息安全風(fēng)險(xiǎn)評(píng)估工作,圍繞風(fēng)險(xiǎn)評(píng)估實(shí)施流程進(jìn)行工作開展,企業(yè)可基于工控漏洞掃描平臺(tái)或其他風(fēng)險(xiǎn)評(píng)估工具建立風(fēng)險(xiǎn)識(shí)別、分析的過(guò)程,定期對(duì)于生產(chǎn)業(yè)務(wù)區(qū)域、管理信息區(qū)域的網(wǎng)絡(luò)、系統(tǒng)、設(shè)備定期展開風(fēng)險(xiǎn)評(píng)估,依據(jù)評(píng)估報(bào)告,有重點(diǎn)、分步驟開展網(wǎng)絡(luò)安全設(shè)計(jì)、安全測(cè)試、安全整改等工作,形成風(fēng)險(xiǎn)的閉環(huán)管理。必要時(shí),可結(jié)合第三方專業(yè)測(cè)評(píng)機(jī)構(gòu)進(jìn)行符合性評(píng)測(cè)和風(fēng)險(xiǎn)評(píng)估,進(jìn)一步提高風(fēng)險(xiǎn)閉環(huán)管理能力,以較小的風(fēng)險(xiǎn)管理成本獲得工業(yè)企業(yè)可靠生產(chǎn)的高效益。
圖 4?7 風(fēng)險(xiǎn)評(píng)估實(shí)施流程
4.5 定期舉辦應(yīng)急演練活動(dòng),健全安全應(yīng)急預(yù)案制度
工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)指南(試行)明確三級(jí)工業(yè)互聯(lián)網(wǎng)企業(yè)每年至少開展一次應(yīng)急演練,二級(jí)工業(yè)互聯(lián)網(wǎng)企業(yè)每?jī)赡曛辽匍_展一次應(yīng)急演練。應(yīng)急演練作為在事件真正發(fā)生前應(yīng)急響應(yīng)預(yù)備性工作,其重要性不言而喻;網(wǎng)絡(luò)安全小組應(yīng)該應(yīng)當(dāng)制定本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,并定期組織演練,檢驗(yàn)企業(yè)當(dāng)前的安全防護(hù)和應(yīng)急處置能力。
在此基礎(chǔ)之上,更應(yīng)不斷健全本企業(yè)安全應(yīng)急預(yù)案制度,除了定期舉行應(yīng)急演練外,還應(yīng)該對(duì)于不同等級(jí)的緊急事件根據(jù)對(duì)業(yè)務(wù)的影響程度進(jìn)行明確劃分,明確事件類型、處置手段、處置責(zé)任人,預(yù)設(shè)檢測(cè)方案、抑制方案、根除方案、恢復(fù)方案、跟蹤方案,第一時(shí)間根據(jù)應(yīng)急小組的研判結(jié)果進(jìn)行快速響應(yīng)。
當(dāng)安全緊急事件發(fā)生時(shí),立馬啟動(dòng)應(yīng)急預(yù)案,盡早準(zhǔn)確得出研判結(jié)果,快速響應(yīng)、處置問題與風(fēng)險(xiǎn),以達(dá)到不影響業(yè)務(wù)系統(tǒng)穩(wěn)定運(yùn)行的效果,從而保障工業(yè)互聯(lián)網(wǎng)企業(yè)工業(yè)活動(dòng)正常運(yùn)行。
圖 4?8 安全應(yīng)急響應(yīng)流程
5 結(jié)語(yǔ)
工業(yè)互聯(lián)網(wǎng)是未來(lái)的發(fā)展趨勢(shì)和各國(guó)之間的競(jìng)爭(zhēng)核心,已經(jīng)在全世界引起了高度重視,與國(guó)家發(fā)展、經(jīng)濟(jì)走向息息相關(guān)。工業(yè)互聯(lián)網(wǎng)企業(yè)在高速發(fā)展的同時(shí)應(yīng)該更加重視安全建設(shè),安全保障水平與安全管理制度同步到位,有效保障企業(yè)內(nèi)各項(xiàng)工業(yè)生產(chǎn)活動(dòng)安全穩(wěn)定、萬(wàn)無(wú)一失;目前,威努特已協(xié)助多家工業(yè)互聯(lián)網(wǎng)企業(yè)入選工信部工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全分類分級(jí)管理優(yōu)秀試點(diǎn)企業(yè),形成可復(fù)制可推廣的工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全分類分級(jí)管理模式,具備工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全典型解決方案的實(shí)踐經(jīng)驗(yàn)與建設(shè)能力。
來(lái)源:威努特工控安全