-
解决方案
2024-03-12新版《工业控制系统网络安全防护指南》对标产品与服务为适应新型工业化发展形势,提高我国工业控制系统网络安全保障水平,指导工业企业开展工控安全防护工作,以高水平安全护航新型工业化高质量发展,工业和信息化部日前正式印发《工业控制系统网络安全防护指南》。
安盟信息为了帮助工业企业用户尽快了解新版防护指南,从产品部署及技术落地的角度,针对新版《工业控制系统网络安全防护指南》进行逐条对标分析,并给出建议。
《工业控制系统网络安全防护指南》安全管理-(一)资产管理
1.全面梳理可编程逻辑控制器(PLC)、分布式控制系统(DCS)、数据采集与监视控制系统(SCADA)等典型工业控制系统以及相关设备、软件、数据等资产,明确资产管理责任部门和责任人,建立工业控制系统资产清单,并根据资产状态变化及时更新。定期开展工业控制系统资产核查,内容包括但不限于系统配置、权限分配、日志审计、病毒查杀、数据备份、设备运行状态等情况。
2.根据承载业务的重要性、规模,以及发生网络安全事件的危害程度等因素,建立重要工业控制系统清单并定期更新,实施重点保护。重要工业控制系统相关的关键工业主机、网络设备、控制设备等,应实施冗余备份。安盟华御网络安全态势感知平台是一套紧密围绕网络资产,以大数据、深度分析、数据可视化等技术为基础,融合网络空间资产测绘、安全风险度量等多种功能,帮助用户快速掌握整个工控网络运行的安全态势,辅助用户量化网络安全合规要求和完善安全防护体系,最终实现对网络整体安全状况的实时感知,有效保障企业的业务安全可用。
详见:https://www.anmit.com/content/details_64_1608.html
部署位置:网络安全运营中心
安全管理-(二)配置管理
3.强化账户及口令管理,避免使用默认口令或弱口令,定期更新口令。遵循最小授权原则,合理设置账户权限,禁用不必要的系统默认账户和管理员账户,及时清理过期账户。
4.建立工业控制系统安全配置清单、安全防护设备策略配置清单。定期开展配置清单审计,及时根据安全防护需求变化调整配置,重大配置变更实施前进行严格安全测试,测试通过后方可实施变更。
对标产品 - 安全配置检查服务
定期组织内部系统运维人员检查账户配置,以及根据安全防护需求调整安全设备部署,并进行严格的安全测试。如企业不具备进行工控安全防护能力安全测试的能力及资源,可选择委托有资质的第三方专业机构进行安全测试。
安全管理-(三)供应链安全
5.与工业控制系统厂商、云服务商、安全服务商等供应商签订的协议中,应明确各方需履行的安全相关责任和义务,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等。
6.工业控制系统使用纳入网络关键设备目录的PLC等设备时,应使用具备资格的机构安全认证合格或者安全检测符合要求的设备。
对标产品 - 供应链安全对标分析与建议
在与供应商签订的采购合同中,要明确规定供应商应当承担的网络安全责任和义务,并确保对因供应链安全问题而导致的网络安全事故进行违约责任追究。
在选购网络关键设备目录中的PLC设备时,应当根据《网络关键设备安全检测结果》严格筛选设备,以确保设备在后续的使用过程中工业控制系统可安全稳定运行。
安全管理-(四)宣传教育
7.定期开展工业控制系统网络安全相关法律法规、政策标准宣传教育,增强企业人员网络安全意识。针对工业控制系统和网络相关运维人员,定期开展工控安全专业技能培训及考核。
对标产品 - 培训及考核建议制定培训计划:培训应包括工业控制系统网络安全的基本知识、安全策略、防护技术、应急响应等方面的知识。
培训应包含集中面授、实践操作等。并对参加培训的运维人员进行考核,可以采用考试与实际操作等方式进行考核。以考核结果作为评价运维人员能力的重要依据之一。
技术防护-(一)主机与终端安全
8.在工程师站、操作员站、工业数据库服务器等主机上部署防病毒软件,定期进行病毒库升级和查杀,防止勒索软件等恶意软件传播。对具备存储功能的介质,在其接入工业主机前,应进行病毒、木马等恶意代码查杀。
9.主机可采用应用软件白名单技术,只允许部署运行经企业授权和安全评估的应用软件,并有计划的实施操作系统、数据库等系统软件和重要应用软件升级。
10.拆除或封闭工业主机上不必要的通用串行总线(USB)、光驱、无线等外部设备接口,关闭不必要的网络服务端口。若确需使用外部设备,应进行严格访问控制。
11.对工业主机、工业智能终端设备(控制设备、智能仪表等)、网络设备(工业交换机、工业路由器等)的访问实施用户身份鉴别,关键主机或终端的访问采用双因子认证。
对标产品 - 工控主机卫士系统
安盟华御工控主机卫士是针对运维工作站、操作员站、工程师站、服务器等工业现场主机进行安全防护的软件产品。基于系统内核级防护,自主可控,实现用户行为审计、U 盘监视管理、业务应用看门狗、进程监视、异常进程及 入侵监视预警、病毒隔离、内核加固等功能。软件自身具有免疫力,能做到主动安全,防卸载、数据完整性保护、系统防破坏等特点。
详见:https://www.anmit.com/content/details_65_1566.html
部署位置:监控主机、工程师站、操作员站、服务器等工业主机对标产品 - 机甲卫士
安盟华御机甲卫士部署于受控主机(数控机床 / 工控主机 / 关键控制系统)前,通过串接方式接管受控主机的网口、串口、USB口。
机甲卫士具备防火墙、防病毒、抗攻击等功能,从而为受控主机提供了一个安全防护“金刚罩”!
机甲卫士提供网口和串口的 Bypass 功能,可实现在设备断电或系统故障时,不影响业务连续性。
详见:https://www.anmit.com/content/details_65_1567.html
部署位置:监控主机、工程师站、操作员站等工业主机
技术防护-(二)架构与边界安全
12.根据承载业务特点、业务规模、影响工业生产的重要程度等因素,对工业以太网、工业无线网络等组成的工业控制网络实施分区分域管理,部署工业防火墙、网闸等设备实现域间横向隔离。当工业控制网络与企业管理网或互联网连通时,实施网间纵向防护,并对网间行为开展安全审计。设备接入工业控制网络时应进行身份认证。
13.应用第五代移动通信技术(5G)、无线局域网技术(Wi-Fi)等无线通信技术组网时,制定严格的网络访问控制策略,对无线接入设备采用身份认证机制,对无线访问接入点定期审计,关闭无线接入公开信息(SSID)广播,避免设备违规接入。
14.严格远程访问控制,禁止工业控制系统面向互联网开通不必要的超文本传输协议(HTTP)、文件传输协议(FTP)、Internet远程登录协议(Telnet)、远程桌面协议(RDP)等高风险通用网络服务,对必要开通的网络服务采取安全接入代理等技术进行用户身份认证和应用鉴权。在远程维护时,使用互联网安全协议(IPsec)、安全套接字协议(SSL)等协议构建安全网络通道(如虚拟专用网络(VPN)),并严格限制访问范围和授权时间,开展日志留存和审计。
15.在工业控制系统中使用加密协议和算法时应符合相关法律法规要求,鼓励优先采用商用密码,实现加密网络通信、设备身份认证和数据安全传输。
对标产品 - 工业防火墙
基于白名单策略机制,采用工业协议智能识别、协议深度管控、数据加密等技术手段,在不改变现有工业网络结构和系统应用的前提下,安盟华御工业防火墙系统可实现工控网络不同安全域间的隔离防护。
安盟华御工业防火墙系统已被广泛应用于电力、钢铁、煤炭、石油化工、烟草等领域,保障着国家涉及国计民生的基础设施的安全、可靠运行。
详见:https://www.anmit.com/content/details_65_1588.html
部署位置:串行部署在不同安全区域边界
对标产品 - 网络准入控制系统
安盟华御网络准入控制系统在总结了大量的内网安全应用以及用户需求的基础上,秉承“无需改变网络、终端部署灵活”的特性,研制的基于第三代准入控制技术的高性能新一代网络准入控制系统。
详见:https://www.anmit.com/content/details_65_1565.html
部署位置:旁路部署在网络安全运营中心
对标产品 - 工业网闸
安盟华御工业安全隔离装置采用满足工业控制网的高稳定性、低时延要求的专用“2+1”硬件平台,可深度解析和管控OPC、Modbus、S7、IEC104等10余种工控协议,达到仅次于物理隔离下的网络隔离与数据交互,被广泛用于企业的工控网和MES系统之间,保障工业生产环境安全、高效的运行。
详见:https://www.anmit.com/content/details_65_1606.html
部署位置:串行部署在不同安全区域边界
对标产品 - 终端安全接入网关
安盟华御终端安全接入网关是一款将商密 VPN 网关技术和无线通信技术融合应用的便携式终端,能够实现边缘侧办公、物联、工控设备的安全接入、数据安全传输、准入控制和网络安全防护,并针对工业现场的恶劣环境和各行业的特性要求,提供宽温、防水防尘、抗冲击、抗碰撞、防爆等不同版本形态。产品既满足用户广泛存在的高速智能物联、边界安全接入、数据安全传输等需求,且满足等保、密评等合规要求。可在智能制造、智慧城市、智慧园区等领域为用户安全组建大宽带、高可靠、低时延、低成本的传输网络。
详见:安盟信息商用密码明星产品(一)终端安全接入网关部署位置:串行部署在无线终端边界
技术防护-(三)上云安全
16.工业云平台为企业自建时,利用用户身份鉴别、访问控制、安全通信、入侵防范等技术做好安全防护,有效阻止非法操作、网络攻击等行为。
17.工业设备上云时,对上云设备实施严格标识管理,设备在接入工业云平台时采用双向身份认证,禁止未标识设备接入工业云平台。业务系统上云时,应确保不同业务系统运行环境的安全隔离。
对标产品 - 下一代防火墙
安盟华御防火墙基于自主安全操作系统研发,集安全认证、访问控制、负载均衡、入侵防御、病毒过滤、应用识别、行为控制、VPN接入、业务可视等功能于一体,采用一体化安全引擎结合自创高效的匹配算法,实现一次性匹配报文缩减系统处理延时,为您的网络保驾护航。
详见:https://www.anmit.com/content/details_51_336.html
部署位置:云平台
对标产品 - 堡垒机
安盟华御安全管理与审计系统(堡垒机)帮助用户解决由于业务系统众多庞杂、运维操作人员隶属复杂等因素导致业务系统越权操作、误操作、资源滥用等运维安全问题。达到规避运维安全事故、提高运维管理水平、满足相关法规要求,提供事后追责依据的目标。
针对业务系统运维操作的安全管理需求,安盟华御堡垒机提供了统一身份认证、统一操作授权、统一操作管理、统一密码代维、统一操作审计,以及系统密码代填的用户单点登录等功能。从而,实现对业务系统运维操作做到可管理和可审计,对运维人员做到“事前可知、事中可控、事后可查”的运维操作全过程管理。
详见:https://www.anmit.com/content/details_63_1610.html
部署位置:云平台
技术防护-(四)应用安全
18.访问制造执行系统(MES)、组态软件和工业数据库等应用服务时,应进行用户身份认证。访问关键应用服务时,采用双因子认证,并严格限制访问范围和授权时间。
19.工业企业自主研发的工业控制系统相关软件,应通过企业自行或委托第三方机构开展的安全性测试,测试合格后方可上线使用。
对标产品-堡垒机
安盟华御堡垒机针对业务系统运维操作的安全管理需求,提供统一身份认证、统一操作授权、统一操作管理、统一密码代维、统一操作审计及系统密码代填的用户单点登录等功能。从而实现对业务系统运维操作的管理和审计,做到“事前可知、事中可控、事后可查”的运维操作全过程管理。
详见:https://www.anmit.com/content/details_68_1561.html
部署位置:旁路部署在网络安全运营中心
对标产品 - 漏洞扫描系统
安盟华御漏洞扫描系统包含了资产发现、系统漏洞扫描、WEB应用漏洞扫描、基线配置核查、移动应用扫描、镜像漏洞扫描、能够全面、精准地检测信息系统中存在的各种脆弱性问题,包括各种安全漏洞、安全配置问题、不合规行为等,帮助安全管理人员先于攻击者发现安全问题,及时进行修补。
详见:https://www.anmit.com/content/details_30_3065.html
部署位置:旁路部署在网络安全运营中心
技术防护-(五)系统数据安全
20.定期梳理工业控制系统运行产生的数据,结合业务实际,开展数据分类分级,识别重要数据和核心数据并形成目录。围绕数据收集、存储、使用、加工、传输、提供、公开等环节,使用密码技术、访问控制、容灾备份等技术对数据实施安全保护。
21.法律、行政法规有境内存储要求的重要数据和核心数据,应在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估。
对标产品-安全管理平台
安盟华御安全管理平台是以客户系统为核心,以用户体验为指引,从监控、审计、风险、运维、态势感知五个维度建立的全网业务支撑平台。该产品通过对各种网络设备、安全设备、主机等进行资产管理、运行状态监控、日志收集与存储、事件分析与告警等操作,提供整套网络安全一体化运维管理解决方案,成为用户网络安全运维管理的技术抓手,帮助用户达到安全管理相关的合规要求。
详见:https://www.anmit.com/content/details_64_1607.html
部署位置:旁路部署在网络安全运营中心
安全运营-(一)监测预警
22.在工业控制网络部署监测审计相关设备或平台,在不影响系统稳定运行的前提下,及时发现和预警系统漏洞、恶意软件、网络攻击、网络侵入等安全风险。
23.在工业控制网络与企业管理网或互联网的边界,可采用工业控制系统蜜罐等威胁诱捕技术,捕获网络攻击行为,提升主动防御能力。
对标产品 - 工控网络安全审计系统
安盟华御工控网络安全审计系统通过内置的多种漏洞特征库及智能算法的高速解析引擎,对工业网络镜像流量数据进行深度解析,对报文深度解析和智能关联分析,实现对工业控制网络的异常行为、协议攻击、关键事件进行实时检测,对异常工业报文、异常操作行为、异常访问及恶意攻击等安全事件进行及时告警,实现多种安全风险的监测分析和预警,确保工业网络安全可靠运行。及时发现外部攻击事件、内部违规事件等,为安全事故 / 故障调查分析提供详实的记录。
详见:https://www.anmit.com/content/details_68_1564.html
部署位置:旁路部署在工控网络关键节点
安全运营-(二)运营中心
24.有条件的企业可建立工业控制系统网络安全运营中心,利用安全编排自动化与响应(SOAR)等技术,实现安全设备的统一管理和策略配置,全面监测网络安全威胁,提升风险隐患集中排查和事件快速响应能力。
对标产品 - 网络安全态势感知平台
深度感知全网安全态势
帮助管理者快速了解整体安全态势,明确网络安全防护重点,辅助安全决策。
梳理资产,摸清“家底”
准确识别全网资产,准确测绘资产画像,真正做到网络安全“家底清晰”。
准确研判处置未知威胁
运用更高级的检测模型与威胁情报技术,对未知攻击行为做到精确预警。
有效提升安全分析效率
电子化的事件处置流程,实现安全运维全流程化管理,大幅提升运维效率。
详见:https://www.anmit.com/content/details_64_1608.html
部署位置:网络安全运营中心
安全运营-(三)应急处置
25.制定工控安全事件应急预案,明确报告和处置流程,根据实际情况适时进行评估和修订,定期开展应急演练。当发生工控安全事件时,应立即启动应急预案,采取紧急处置措施,及时稳妥处理安全事件。
26.重要设备、平台、系统访问和操作日志留存时间不少于六个月,并定期对日志备份,便于开展事后溯源取证。
27.对重要系统应用和数据定期开展备份及恢复测试,确保紧急时工业控制系统在可接受的时间范围内恢复正常运行。
对标产品 - 日志审计系统
安盟华御数据收集与分析系统(以下简称“ 日志审计系统 ”)是一套以日志收集为基础,分类审计为核心,利用独立自主研发的解析引擎对日志进行解析,并通过规则和算法关联生成可被理解事件的信息收集与分析系统。支持各类日志不同业务场景下的审计、全文检索、异常告警、报表导出等功能。另外,通过可视化图表辅助,帮助用户从全局视角进行网络安全审计与检查。满足用户对信息安全系统的审计合规需求。
详见:https://www.anmit.com/content/details_68_1563.html
部署位置:旁路部署在网络安全运营中心
安全运营-(四)安全评估
28.新建或升级工业控制系统上线前、工业控制网络与企业管理网或互联网连接前,应开展安全风险评估。
29.对于重要工业控制系统,企业应自行或委托第三方专业机构每年至少开展一次工控安全防护能力相关评估。
对标产品 - 分析与建议
工业控制系统重大变更时,应自行开展或聘请专业的安全风险评估团队在变更前进行安全风险评估。
定期自行开展或邀请专业有资质的的安全评估团队。如果企业不具备进行工控安全防护能力评估的专业能力和资源,可以选择委托第三方专业机构进行评估。选择时应考虑机构的资质、经验、信誉和人员技能等因素。
安全运营-(五)漏洞管理
30.密切关注工业和信息化部网络安全威胁和漏洞信息共享平台等重大工控安全漏洞及其补丁程序发布,及时采取升级措施,短期内无法升级的,应开展针对性安全加固。
31.对重要工业控制系统定期开展漏洞排查,发现重大安全漏洞时,对补丁程序或加固措施测试验证后,方可实施补丁升级或加固。
对标产品 - 漏洞扫描系统
安盟华御漏洞扫描系统包含了资产发现、系统漏洞扫描、WEB应用漏洞扫描、基线配置核查、移动应用扫描、镜像漏洞扫描、能够全面、精准地检测信息系统中存在的各种脆弱性问题,包括各种安全漏洞、安全配置问题、不合规行为等,帮助安全管理人员先于攻击者发现安全问题,及时进行修补。
详见:https://www.anmit.com/content/details_30_3065.html
部署位置:旁路部署在网络安全运营中心
责任落实
32.工业企业承担本企业工控安全主体责任,建立工控安全管理制度,明确责任人和责任部门,按照“谁运营谁负责、谁主管谁负责”的原则落实工控安全保护责任。
33.强化企业资源保障力度,确保安全防护措施与工业控制系统同步规划、同步建设、同步使用。
对标分析 - 责任落实建议
建立有效的监控机制,谁运营谁负责、谁主管谁负责。实时监测工控系统的运行状态和安全状况。及时发现并处理任何潜在的安全风险或异常行为。定期对系统进行安全审查和漏洞扫描,确保防护措施的有效性。
防护指南合规建设 推荐产品清单
网络安全态势感知平台
工控主机卫士系统
机甲卫士
工业防火墙
网络准入控制系统
工业网闸
终端安全接入网关
下一代防火墙
堡垒机
漏洞扫描系统
安全管理平台
工控网络安全审计系统
日志审计系统
相关新闻
-
2024-04-24
-
2024-04-11
-
2024-04-11
-
2024-03-26
-
2024-03-12
-
