<pre id="mq28o"><small id="mq28o"></small></pre>

<code id="mq28o"><tr id="mq28o"></tr></code>

<table id="mq28o"></table><input id="mq28o"></input>

<tfoot id="mq28o"></tfoot>

<li id="mq28o"><xmp id="mq28o">

<pre id="mq28o"></pre>

<pre id="mq28o"><tr id="mq28o"></tr></pre>

安全資訊

等保2.0下煙草企業(yè)該如何開(kāi)展安全等級保護建設工作

【時(shí)間】2020-03-24

【編輯】Admin

【瀏覽量】

【等級保護QQ交流群】881590869

隨著(zhù)等保2.0在2019年的正式施行，標志著(zhù)企業(yè)需要按照等保2.0的基本要求來(lái)開(kāi)展安全建設工作。但多數企業(yè)對于如何在等保2.0的要求下開(kāi)展工業(yè)控制系統安全建設還存在疑惑，所以此次我們結合在某工煙企業(yè)工控安全建設的實(shí)踐經(jīng)驗，來(lái)給大家分享下工煙企業(yè)在等保2.0的要求下該如何開(kāi)展安全建設工作。

該項目到目前為止，共完成了兩期的工控安全建設工作，涉及制絲、卷包、動(dòng)力能管、物流等工煙企業(yè)核心生產(chǎn)業(yè)務(wù)系統。一期項目于2018年完成，主要對各個(gè)生產(chǎn)業(yè)務(wù)系統開(kāi)展安全風(fēng)險評估工作。通過(guò)對各生產(chǎn)業(yè)務(wù)系統的資產(chǎn)梳理，從資產(chǎn)的安全特性出發(fā)結合各生產(chǎn)業(yè)務(wù)系統工藝特點(diǎn)，分析工控系統的威脅來(lái)源與自身的脆弱性，歸納岀企業(yè)工控系統面臨的主要安全風(fēng)險，輸出風(fēng)險評估報告，并根據報告設計網(wǎng)絡(luò )安全防護解決方案。二期項目2019年完成，主要依據一期項目的風(fēng)險評估報告，結合2019年發(fā)布的等級保護2.0相關(guān)要求，對一期設計的安全防護解決方案進(jìn)行優(yōu)化，并落地實(shí)施。二期工控安全建設工作的核心在于對部署的各類(lèi)安全設備定制符合業(yè)務(wù)特點(diǎn)的安全策略，既解決了用戶(hù)工控系統中實(shí)際存在的安全問(wèn)題，也幫助企業(yè)完成等保2.0對標工作。

我們也在積極的配合用戶(hù)進(jìn)行第三期項目的規劃。下面我們以每一期為著(zhù)點(diǎn)為大家介紹項目安全建設過(guò)程。

一期工業(yè)控制系統安全風(fēng)險評估

在項目前期，我們了解到客戶(hù)的訴求是逐步進(jìn)行企業(yè)的工控安全建設工作。我們給出的建議是第一期項目?jì)?yōu)先開(kāi)展風(fēng)險評估工作。企業(yè)對自己的家底摸不清，這也是目前我國工業(yè)企業(yè)用戶(hù)都面臨了一個(gè)通用的問(wèn)題。這給企業(yè)如何有效的開(kāi)展工控安全建設工作帶來(lái)了很大的阻力。經(jīng)過(guò)和該企業(yè)相關(guān)安全負責人溝通，確定了一期項目工控安全評估的幾個(gè)方向，具體如下：

01

資產(chǎn)的識別、梳理

在這一環(huán)節，對資產(chǎn)進(jìn)行安全屬性分析、賦值是關(guān)鍵。需要根據各業(yè)務(wù)系統內資產(chǎn)所承擔的業(yè)務(wù)重要程度來(lái)進(jìn)行賦值。

出于保密考慮，不對賦值的細節進(jìn)行公開(kāi)描述?？傮w上該工煙企業(yè)工業(yè)控制系統主要以SIEMENS S7-300/400系列控制設備為主，網(wǎng)絡(luò )設備主要以SIEMENS、華為、華三設備為主，應用軟件主要以GE IFix為主；系統中主要用到的工業(yè)協(xié)議有：OPC、S7、Modbus TCP/RTU等。根據其資產(chǎn)類(lèi)型，可判斷其存在的脆弱性，結合其承擔業(yè)務(wù)的重要程度來(lái)綜合賦值。

02

面臨的威脅識別與資產(chǎn)脆弱性分析

通過(guò)工業(yè)控制系統所處的環(huán)境以及系統的內部因素、外部因素識別出威脅源、威脅途徑及其可能發(fā)生的概率；

根據工業(yè)控制系統的網(wǎng)絡(luò )結構、主要采用的網(wǎng)絡(luò )設備、控制設備、軟件以及工業(yè)協(xié)議等，識別出資產(chǎn)脆弱性的影響程度。

03

存量安全管理措施評估

對該工煙企業(yè)工業(yè)控制系統現有的安全技術(shù)防護、安全管理制度等方面進(jìn)行評估，并分析其安全保障措施的有效性、合規性。

04

安全風(fēng)險綜合分析

結合工業(yè)控制系統的資產(chǎn)識別、威脅識別、資產(chǎn)脆弱性分析及現有安全管理措施評估等方面，綜合分析該工煙企業(yè)工業(yè)控制系統存在的主要安全風(fēng)險，并輸出風(fēng)險評估報告及安全防護整改建議。

05

主要的安全問(wèn)題總結

通過(guò)安全風(fēng)險評估，結合現場(chǎng)實(shí)際情況，總結如下安全問(wèn)題，這些安全問(wèn)題在各個(gè)煙草企業(yè)都具備一定共性。

1) 生產(chǎn)網(wǎng)內、外安全域缺乏有效的安全防護措施，存在著(zhù)攻擊者通過(guò)互聯(lián)網(wǎng)、廠(chǎng)級辦公網(wǎng)作為跳板，利用病毒、木馬遠程對工控系統實(shí)施攻擊的行為；

2) 工控系統關(guān)鍵的網(wǎng)絡(luò )節點(diǎn)缺少異常監測、審計等安全措施，無(wú)法及時(shí)有效的發(fā)現網(wǎng)絡(luò )中的異常業(yè)務(wù)指令、異常網(wǎng)絡(luò )流量、異常通信行為等安全威脅；

3) 病毒防范能力較弱，U盤(pán)等移動(dòng)介質(zhì)使用不規范。一旦病毒、木馬等惡意代碼進(jìn)入生產(chǎn)網(wǎng)絡(luò )，會(huì )導致工控主機系統癱瘓或使應用軟件數據被篡改，間接導致生產(chǎn)線(xiàn)良品率下降或系統頻繁停機；

4) 該工煙企業(yè)工控系統的維修、維護工作主要靠系統集成商來(lái)完成，但該企業(yè)缺少對第三方運維人員操作行為的技術(shù)管理措施，由此也為該企業(yè)帶來(lái)極大的安全隱患，容易出現因第三方運維人員的操作失誤而引發(fā)生產(chǎn)事故。

二期工業(yè)控制系統安全防護建設

依據一期輸出的安全風(fēng)險評估報告及工控安全防護解決方案，結合2019年發(fā)布的等保2.0基本要求，對前期的安全防護解決方案進(jìn)行優(yōu)化，從物理、網(wǎng)絡(luò )、主機、應用、數據這五個(gè)技術(shù)層面升級為安全物理環(huán)境、安全通信網(wǎng)絡(luò )、安全區域邊界、安全計算環(huán)境、安全管理中心這五個(gè)技術(shù)層面。

項目具體實(shí)施主要從以下幾個(gè)方面進(jìn)行：

01

強化網(wǎng)絡(luò )安全區域邊界的防護能力

首先對生產(chǎn)網(wǎng)進(jìn)行安全域劃分，縱向劃分三個(gè)安全域，包括MES層安全域、過(guò)程監控層安全域和現場(chǎng)控制層安全域；橫向劃分安全管理中心安全域、制絲系統安全域、卷包系統安全域、動(dòng)力能管安全域、物流系統安全域這五個(gè)安全域。

在制絲、卷包、動(dòng)力能管、物流系統、安全管理中心這五個(gè)安全域之間部署工業(yè)防火墻進(jìn)行邊界隔離；在策略配置上，首先通過(guò)配置基于五元組ACL+白名單訪(fǎng)問(wèn)控制策略，建立各子系統區域邊界的安全防護模型，阻斷一切非法訪(fǎng)問(wèn)，僅允許與各子系統業(yè)務(wù)相關(guān)的可信流量在網(wǎng)絡(luò )上傳輸，有效防止外部網(wǎng)絡(luò )的攻擊行為和內部各子系統之間的非法訪(fǎng)問(wèn)等行為。

在業(yè)務(wù)上，MES層的OPC服務(wù)器需要讀取制絲、卷包、動(dòng)力能管、物流系統這四個(gè)安全域內OPC客戶(hù)端采集的生產(chǎn)業(yè)務(wù)數據，所以在工業(yè)防火墻上配置OPC只讀策略，僅允許MES層OPC服務(wù)器對過(guò)程監控層OPC客戶(hù)端的數據采集，禁止MES層OPC服務(wù)器對過(guò)程監控層OPC客戶(hù)端寫(xiě)的操作，該策略有效防止了MES層利用該接口對過(guò)程監控層OPC客戶(hù)端數據的非法篡改行為。

02

提升網(wǎng)絡(luò )內、外未知威脅檢測能力

該工煙企業(yè)生產(chǎn)網(wǎng)核心交換機與廠(chǎng)級辦公網(wǎng)連接，存在經(jīng)過(guò)廠(chǎng)級辦公網(wǎng)絡(luò )來(lái)自互聯(lián)網(wǎng)的攻擊風(fēng)險，在等保1.0的基本要求下，需在此邊界處部署入侵檢測/防御措施，對非法攻擊/惡意代碼傳播行為進(jìn)行檢測，故在一期項目方案設計中依據等保1.0的要求，設計部署入侵檢測系統作為邊界防御能力的補強。但在等保2.0中，更強調網(wǎng)絡(luò )空間安全，強調對未知、新型攻擊的識別，對APT攻擊的識別。所以結合等保2.0的要求，對一期的設計方案進(jìn)行優(yōu)化，在生產(chǎn)網(wǎng)與廠(chǎng)級網(wǎng)的核心交換機上旁路部署網(wǎng)絡(luò )威脅感知系統，抓取生產(chǎn)網(wǎng)網(wǎng)絡(luò )流量，采用威脅情報數據及網(wǎng)絡(luò )行為分析技術(shù)對抓取的網(wǎng)絡(luò )流量進(jìn)行實(shí)時(shí)檢測、分析，深度檢測網(wǎng)絡(luò )內、外存在的新型網(wǎng)絡(luò )攻擊行為或APT攻擊行為。

同時(shí)在制絲、卷包、動(dòng)力能管、物流等系統內部通過(guò)抓取各子系統網(wǎng)絡(luò )關(guān)鍵節點(diǎn)網(wǎng)絡(luò )流量，梳理網(wǎng)絡(luò )訪(fǎng)問(wèn)關(guān)系，建立正常網(wǎng)絡(luò )訪(fǎng)問(wèn)通信模型，形成“業(yè)務(wù)通信基準庫”，及時(shí)有效的發(fā)現網(wǎng)絡(luò )中的異常業(yè)務(wù)指令、異常網(wǎng)絡(luò )流量、異常通信行為等安全風(fēng)險并進(jìn)行告警，保證了只有可信流量才能在各子系統網(wǎng)絡(luò )中傳輸。

03

構建基于業(yè)務(wù)的工控主機安全模型

在生產(chǎn)網(wǎng)各子系統的服務(wù)器、工程師站、操作員站等工控主機上部署主機安全防護軟件；通過(guò)對系統、外設、網(wǎng)絡(luò )、應用的四重鎖定，有效的阻止病毒、木馬及“0-Day”漏洞的感染以及被利用，保護系統關(guān)鍵資源。從而實(shí)現工控主機從啟動(dòng)、加載到持續運行過(guò)程的全生命周期安全防護，從根本上解決了防病毒軟件帶來(lái)的誤殺、漏殺、占用系統資源、需要聯(lián)網(wǎng)升級病毒庫等問(wèn)題，最終構建基于業(yè)務(wù)行為的工控主機安全計算環(huán)境。

在工業(yè)控制系統內防病毒軟件的不適用已經(jīng)被廣泛認識到，目前通用的解決方案一般均是采用白名單技術(shù)來(lái)代替殺毒軟件，采用基于白名單技術(shù)的防護軟件已被測評公司和企業(yè)用戶(hù)認可。

04

建立統一安全管理中心，強化集中安全管理

等保2.0相比等保1.0，明顯的變化在于需要在網(wǎng)絡(luò )中建立統一安全管理中心。我們在解決方案設計中在增加了統一安全管理中心的設計。安全管理中心由多臺安全設備組成，單獨形成一個(gè)安全區域，其中部署統一安全管理平臺，實(shí)現對生產(chǎn)網(wǎng)中安全產(chǎn)品的集中管理，包括策略統一配置、狀態(tài)統一監控、網(wǎng)絡(luò )拓撲可視化以及安全事件、安全日志（如：攻擊日志、流量日志、訪(fǎng)問(wèn)日志、主機日志、系統日志）的關(guān)聯(lián)分析。幫助企業(yè)用戶(hù)方便對企業(yè)安全狀態(tài)的了解。

其次在統一安全管理中心中部署安全運維管理系統，利用安全運維管理系統切斷運維終端對工業(yè)網(wǎng)絡(luò )設備或資源的直接訪(fǎng)問(wèn)，采用協(xié)議代理的方式，實(shí)現對生產(chǎn)網(wǎng)中網(wǎng)絡(luò )設備、主機設備、應用系統、數據庫設備集中有序的安全運維管理，同時(shí)通過(guò)給運維人員創(chuàng )建唯一的身份認證賬號，對運維人員從登錄到退出的全程操作行為進(jìn)行審計，進(jìn)一步加強工控系統及設備運維全過(guò)程的安全管控。

安全產(chǎn)品部署專(zhuān)網(wǎng)化，業(yè)務(wù)流轉“零”影響

工控系統安全建設另一個(gè)重要關(guān)注點(diǎn)在于安全設備的引入不應對原有業(yè)務(wù)系統造成影響。工煙企業(yè)的制絲、卷包等系統部分工藝段對業(yè)務(wù)數據傳輸的速率要求非常高，為保證系統業(yè)務(wù)數據、流量傳輸的高效性、穩定性，我們設計了安全設備管理獨立組網(wǎng)的管理方式，所有安全產(chǎn)品支持自組網(wǎng)功能，在實(shí)施部署過(guò)程中，所有安全產(chǎn)品獨立組網(wǎng)，策略的下發(fā)、日志的采集等動(dòng)作均不占用工控業(yè)務(wù)系統的網(wǎng)絡(luò )帶寬，既保證工控業(yè)務(wù)系統安全、穩定運行，也保證了業(yè)務(wù)數據、流量的傳輸速率。

采用獨立組網(wǎng)的同時(shí)，安全設備與安全管理平臺的數據傳輸也采用了加密傳輸的方式，有效保障了安全數據傳輸的安全性。這一設計也充分符合等保2.0中對于安全管理中心的技術(shù)要求。

總結

該項目案例中我們通過(guò)安全風(fēng)險評估幫助該企業(yè)摸清了家底，通過(guò)基于等保2.0基本要求與實(shí)際業(yè)務(wù)需求設計網(wǎng)絡(luò )安全防護建設方案、制定安全策略，幫助企業(yè)解決了其工業(yè)控制系統中存在的主要安全風(fēng)險，同時(shí)也幫助企業(yè)完成了等保2.0合規性要求的對標。2020年，該企業(yè)的下一步安全建設目標是企業(yè)級態(tài)勢感知平臺的建設，這也是為進(jìn)一步實(shí)現工業(yè)互聯(lián)網(wǎng)、互聯(lián)互通而奠定基礎。

我們一直深耕煙草行業(yè)工控安全建設，有著(zhù)經(jīng)驗豐富的技術(shù)服務(wù)團隊，近年積累了大量的煙草工業(yè)、商業(yè)工控網(wǎng)絡(luò )安全等級保護合規建設經(jīng)驗，對于煙草行業(yè)生產(chǎn)網(wǎng)業(yè)務(wù)系統、業(yè)務(wù)場(chǎng)景的工控安全建設有著(zhù)深入的理解，希望此次的案例分享能夠幫助更多的煙草企業(yè)找到工控系統基本等級保護2.0建設的方向，為更多的煙草企業(yè)的工控系統網(wǎng)絡(luò )安全建設提供堅實(shí)的后盾。

咨詢(xún)在線(xiàn)客服

服務(wù)熱線(xiàn)

138-6598-3726

產(chǎn)品和特性

價(jià)格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò )公眾號

微信公眾號

午夜成人无码免费看网站_97国语自产拍在线_无码一区精油按摩视频_国产色婷婷五月精品综合在线

<input id="2sqaw"></input><rt id="2sqaw"><noframes id="2sqaw"><rt id="2sqaw"></rt>

<ul id="2sqaw"></ul>

<rt id="2sqaw"><tr id="2sqaw"></tr></rt>

<nav id="2sqaw"></nav>