国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

3　工控安全運(yùn)維實(shí)踐

隨著兩化融合的不斷深入，以及物聯(lián)網(wǎng)、云計(jì)算和大數(shù)據(jù)等新一代信息技術(shù)的快速發(fā)展，工業(yè)控制系統(tǒng)智能化、網(wǎng)絡(luò)化趨勢(shì)日漸明顯，病毒、木馬等威脅向工業(yè)控制系統(tǒng)持續(xù)擴(kuò)散。近年來(lái)，工控安全事件頻頻發(fā)生，工控安全漏洞數(shù)量持續(xù)增長(zhǎng)，工業(yè)控制系統(tǒng)面臨著日益嚴(yán)峻的安全形勢(shì)。國(guó)家“十三五”規(guī)劃《綱要》、網(wǎng)絡(luò)強(qiáng)國(guó)、《中國(guó)制造2025》及“互聯(lián)網(wǎng)+”等一系列戰(zhàn)略部署的推進(jìn)實(shí)施，對(duì)我國(guó)工控安全保障工作提出了更高的要求，迫切需要快速提升工控安全運(yùn)維保障水平和事件應(yīng)急處置能力，更好地支撐經(jīng)濟(jì)社會(huì)健康有序發(fā)展，維護(hù)國(guó)家安全。

為切實(shí)幫助工業(yè)企業(yè)掌握現(xiàn)有網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，加強(qiáng)企業(yè)對(duì)工控系統(tǒng)網(wǎng)絡(luò)安全工作的規(guī)劃管理和運(yùn)維，形成可行的安全防護(hù)策略，提升企業(yè)工控系統(tǒng)安全管理和技術(shù)防護(hù)水平，依據(jù)《國(guó)務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》（國(guó)發(fā)〔2012〕23號(hào)）、《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》（工信部協(xié)〔2011〕451號(hào)）要求，形成如下管理方法，供工業(yè)企業(yè)決策人員參考。

3.1　運(yùn)維方法

運(yùn)維工作需要在最大限度的不影響被檢測(cè)單位工控系統(tǒng)正常運(yùn)行的前提下，實(shí)施技術(shù)監(jiān)測(cè)和檢查，其內(nèi)容包含但不限于如下項(xiàng)目：

3.1.1　網(wǎng)絡(luò)架構(gòu)分析

網(wǎng)絡(luò)架構(gòu)分析是通過(guò)對(duì)被測(cè)試目標(biāo)系統(tǒng)的網(wǎng)絡(luò)拓?fù)?，以及網(wǎng)絡(luò)層面細(xì)節(jié)架構(gòu)進(jìn)行的安全性評(píng)估，該項(xiàng)檢查通過(guò)對(duì)目標(biāo)系統(tǒng)的網(wǎng)絡(luò)設(shè)備的部署、配置的手動(dòng)檢查，分析用戶的網(wǎng)絡(luò)邊界是否安全，安全規(guī)則是否設(shè)置合理等。

（1）邊界安全

· 查閱網(wǎng)絡(luò)拓?fù)鋱D，檢查重要設(shè)備連接情況，現(xiàn)場(chǎng)核查內(nèi)部工控系統(tǒng)的交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備，確認(rèn)以上設(shè)備的光纖、網(wǎng)線等物理線路沒(méi)有與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)直接連接，有相應(yīng)的安全隔離措施；

· 查閱網(wǎng)絡(luò)拓?fù)鋱D，檢查接入互聯(lián)網(wǎng)情況，統(tǒng)計(jì)網(wǎng)絡(luò)外聯(lián)的出口個(gè)數(shù)，檢查每個(gè)出口是否均有相應(yīng)的安全防護(hù)措施（互聯(lián)網(wǎng)接入口指內(nèi)部網(wǎng)絡(luò)與公共互聯(lián)網(wǎng)邊界處的接口，如聯(lián)通、電信等提供的互聯(lián)網(wǎng)接口，不包括內(nèi)部網(wǎng)絡(luò)與其他非公共網(wǎng)絡(luò)連接的接口）；

· 查閱網(wǎng)絡(luò)拓?fù)鋱D，檢查是否在網(wǎng)絡(luò)邊界部署了防火墻、訪問(wèn)控制、入侵檢測(cè)、安全審計(jì)、非法外聯(lián)檢測(cè)、惡意代碼防護(hù)等必要的安全設(shè)備。

（2）設(shè)備自身安全

通過(guò)手工測(cè)試和工具掃描，檢查網(wǎng)絡(luò)設(shè)備自身是否存在弱口令，信息泄漏，命令執(zhí)行等安全隱患。

3.1.2　開機(jī)取證檢查

開機(jī)取證檢查是利用操作系統(tǒng)自帶命令檢查當(dāng)前系統(tǒng)的各種信息，并通過(guò)命令返回的信息了解操作系統(tǒng)是否有已存在的安全問(wèn)題和風(fēng)險(xiǎn)，比如檢查系統(tǒng)是否感染了惡意軟件、非法的U盤插拔等問(wèn)題。該測(cè)試方法可以直接在操作系統(tǒng)開機(jī)情況下進(jìn)行本地檢查，不需要安裝任何軟件，不會(huì)影響系統(tǒng)的正常運(yùn)行。

· 系統(tǒng)信息；

· 網(wǎng)絡(luò)連接；

· 用戶信息；

· 隱私信息；

· 安全信息。

3.1.3　應(yīng)用安全性檢查

應(yīng)用安全性檢查主要是對(duì)被測(cè)試系統(tǒng)內(nèi)應(yīng)用、功能、業(yè)務(wù)系統(tǒng)進(jìn)行安全性檢查，應(yīng)用安全性檢查主要通過(guò)人工測(cè)試、遠(yuǎn)程測(cè)試方式進(jìn)行，檢查的范圍主要涵蓋主機(jī)系統(tǒng)上運(yùn)行的應(yīng)用及其業(yè)務(wù)系統(tǒng)，諸如Web應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、中間件等。

3.1.4　系統(tǒng)安全性檢查

系統(tǒng)安全性檢查是通過(guò)遠(yuǎn)程、本機(jī)檢查以及現(xiàn)場(chǎng)調(diào)研的方式檢查主機(jī)操作系統(tǒng)的安全性，在執(zhí)行系統(tǒng)安全性檢查時(shí)不會(huì)主動(dòng)對(duì)主機(jī)存在的漏洞進(jìn)行驗(yàn)證的嘗試以及對(duì)具有風(fēng)險(xiǎn)的漏洞進(jìn)行確認(rèn)操作，僅根據(jù)系統(tǒng)的版本和服務(wù)指紋特征檢查主機(jī)存在的安全漏洞，或通過(guò)使用本機(jī)檢查的方式進(jìn)行，系統(tǒng)安全性檢查不需要安裝任何軟件，不會(huì)影響系統(tǒng)的正常運(yùn)行，在執(zhí)行遠(yuǎn)程部分的檢查時(shí)僅會(huì)影響較小的系統(tǒng)性能和網(wǎng)絡(luò)帶寬。

3.1.5　控制系統(tǒng)組件安全性檢查

控制系統(tǒng)組件安全性檢查是通過(guò)利用遠(yuǎn)程、本機(jī)檢查以及現(xiàn)場(chǎng)調(diào)研的方式檢查主機(jī)操作系統(tǒng)的安全性，檢查涵蓋的工控系統(tǒng)內(nèi)的應(yīng)用組件包含且不限于如下：

· SCADA組態(tài)軟件；

· 組態(tài)編程軟件；

· 實(shí)時(shí)與歷史數(shù)據(jù)庫(kù)；

· 工控通信軟件（IOServer）。

對(duì)控制系統(tǒng)組件安全性遠(yuǎn)程檢查通過(guò)應(yīng)用指紋特征發(fā)現(xiàn)被檢查對(duì)象網(wǎng)絡(luò)中正在運(yùn)行的應(yīng)用組件，利用漏洞指紋特征發(fā)現(xiàn)存在漏洞的應(yīng)用組件版本，進(jìn)行遠(yuǎn)程檢查時(shí)不需要安裝任何軟件，不會(huì)影響系統(tǒng)的正常運(yùn)行。

3.1.6　控制系統(tǒng)設(shè)備安全性檢查

控制系統(tǒng)設(shè)備安全性檢查會(huì)對(duì)被檢查工段的工控設(shè)備的運(yùn)行情況、廠商、型號(hào)進(jìn)行調(diào)研并結(jié)合工控設(shè)備已存在的安全漏洞、隱患進(jìn)行研判，同時(shí)根據(jù)情況還將利用工控脆弱性分析系統(tǒng)或工控系統(tǒng)信息采集與風(fēng)險(xiǎn)分析平臺(tái)，通過(guò)輕量級(jí)的工控?zé)o損掃描技術(shù)，以工業(yè)特有通信協(xié)議與工控軟硬件進(jìn)行交互，搜索工控軟硬件的必要信息。系統(tǒng)搜索過(guò)程中對(duì)工業(yè)控制系統(tǒng)及系統(tǒng)業(yè)務(wù)無(wú)干擾，不影響系統(tǒng)本身的正常運(yùn)行。

控制系統(tǒng)設(shè)備安全性檢查的資產(chǎn)類型包含且不限于PLC、控制器、視頻監(jiān)控、DCS、串口服務(wù)器及其他工控通信設(shè)備（通信網(wǎng)關(guān)）等。

3.1.7　工控協(xié)議使用情況檢查

工控協(xié)議從設(shè)計(jì)之初一般沒(méi)有考慮安全、認(rèn)證、加密等因素，在通信過(guò)程中沒(méi)有復(fù)雜的認(rèn)證和加密，加上工控協(xié)議的特性是面向命令、面向功能、輪詢應(yīng)答式，攻擊者只需要掌握協(xié)議構(gòu)造方式，并接入到了工控網(wǎng)絡(luò)中，便可以通過(guò)協(xié)議對(duì)目標(biāo)設(shè)備的任意數(shù)據(jù)進(jìn)行篡改。工控協(xié)議使用情況檢查將對(duì)被檢查工段內(nèi)使用的工控通信協(xié)議進(jìn)行風(fēng)險(xiǎn)評(píng)估，通過(guò)調(diào)研的方式了解被檢查工段內(nèi)工控設(shè)備的通信模型，包括使用的工控協(xié)議、傳輸?shù)臉I(yè)務(wù)數(shù)據(jù)類型，根據(jù)情況將利用工控脆弱性分析系統(tǒng)和工控系統(tǒng)信息采集與風(fēng)險(xiǎn)分析系統(tǒng)對(duì)被檢查的目標(biāo)網(wǎng)絡(luò)內(nèi)所支持的工控協(xié)議的運(yùn)行情況實(shí)現(xiàn)指紋發(fā)現(xiàn)。

工控協(xié)議使用情況檢查的協(xié)議類型包含且不限于Modbus、OPC、OPC UA、EtherNet/IP、IEC104、DNP3、IEC61850…

3.2　事件與報(bào)警管理

事件與報(bào)警管理作為風(fēng)險(xiǎn)管理的一部分，通過(guò)實(shí)時(shí)數(shù)據(jù)收集和分析軟件平臺(tái)，可持續(xù)監(jiān)測(cè)流程控制系統(tǒng)，發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的跡象。該解決方案可在控制自動(dòng)化系統(tǒng)上運(yùn)行，并可與安全信息和事件管理系統(tǒng)（SIEM）等企業(yè)安全平臺(tái)以及領(lǐng)先網(wǎng)絡(luò)和端點(diǎn)安全產(chǎn)品整合。采用強(qiáng)大的專有算法，可監(jiān)測(cè)所有網(wǎng)絡(luò)和系統(tǒng)設(shè)備、探測(cè)威脅并識(shí)別網(wǎng)絡(luò)上的已知和未知設(shè)備通訊。通過(guò)實(shí)時(shí)預(yù)警和警報(bào)可使工業(yè)控制系統(tǒng)的漏洞與威脅及早地傳達(dá)給工廠人員。解決方案提供有關(guān)工業(yè)控制系統(tǒng)中風(fēng)險(xiǎn)的可能原因、潛在影響以及推薦措施的專業(yè)指南。

工控信息安全同樣屬于信息安全，安全防護(hù)是一個(gè)綜合性的課題，是一套體系。安全防護(hù)的手段固然很多，但是每類工具或防護(hù)設(shè)備都面對(duì)某種特定的攻擊，而威脅的來(lái)源是不確定的，防護(hù)來(lái)自四面八方的攻擊不可能只靠幾個(gè)環(huán)節(jié)的防護(hù)就一勞永逸。就像簡(jiǎn)單的水桶原理，有些地方再牢固，但是一個(gè)明顯的短板也會(huì)導(dǎo)致能力的喪失。所以對(duì)于安全而言，強(qiáng)大高效的防護(hù)能力首先來(lái)自于管理有序、組織嚴(yán)密的防護(hù)體系。

在工控信息網(wǎng)絡(luò)環(huán)境中做整體的安全防護(hù)，勢(shì)必要涉及掌握全網(wǎng)的運(yùn)行狀況、安全狀況，處理大量設(shè)備產(chǎn)生的安全數(shù)據(jù)和監(jiān)控信息，通過(guò)集中高效的告警機(jī)制快速發(fā)現(xiàn)定位問(wèn)題，快速地處置安全故障和威脅。解決用戶的主要需求包括：

（1）統(tǒng)一識(shí)別和梳理網(wǎng)內(nèi)的各類設(shè)備和網(wǎng)元節(jié)點(diǎn)，集中維護(hù)全網(wǎng)設(shè)備基本信息、運(yùn)行配置信息以及安全信息。

（2）對(duì)網(wǎng)絡(luò)中的各類設(shè)備進(jìn)行集中的狀態(tài)及性能監(jiān)控。

（3）工控領(lǐng)域常見的拓?fù)浠蛑庇^呈現(xiàn)的方式表現(xiàn)網(wǎng)絡(luò)環(huán)境及各設(shè)備的運(yùn)行狀態(tài)和安全狀態(tài)。

（4）對(duì)工控的業(yè)務(wù)操作流程進(jìn)行梳理，形成各個(gè)工業(yè)操作業(yè)務(wù)流的健康性監(jiān)控。

（5）能夠識(shí)別工控協(xié)議以及操作指令，并在此基礎(chǔ)上進(jìn)行合規(guī)審計(jì)以及異常發(fā)現(xiàn)。

（6）能夠統(tǒng)一收集存儲(chǔ)各類安全信息，并進(jìn)行集中化的呈現(xiàn)，呈現(xiàn)方面應(yīng)用大量可視化技術(shù)，增加數(shù)據(jù)可讀性，最大可能地提升用戶的監(jiān)控效率。

（7）通過(guò)統(tǒng)一的策略進(jìn)行全網(wǎng)的威脅分析和安全告警。

（8）強(qiáng)大的關(guān)聯(lián)分析能力對(duì)所采集的海量安全信息進(jìn)行綜合分析，發(fā)現(xiàn)更多維度、更深層次的安全威脅和業(yè)務(wù)違規(guī)。

（9）通過(guò)系統(tǒng)的手段流程化的對(duì)安全故障、隱患、問(wèn)題進(jìn)行規(guī)范化處置，提升問(wèn)題解決效率和規(guī)范程度。

4 結(jié)語(yǔ)

基于“PDCA”的工控安全運(yùn)維管理系統(tǒng)是以客戶的業(yè)務(wù)信息系統(tǒng)安全為保障目標(biāo)，從監(jiān)控、審計(jì)、風(fēng)險(xiǎn)、運(yùn)維四個(gè)維度對(duì)全網(wǎng)的整體安全進(jìn)行集中化管理與運(yùn)維，為工控用戶在工控環(huán)境下建立起一個(gè)可視、可查、可度量與可擴(kuò)展的監(jiān)控體系。借助本系統(tǒng)，用戶可以獲得對(duì)全網(wǎng)安全的可視化，并洞悉業(yè)務(wù)信息系統(tǒng)的運(yùn)行狀況與安全狀況；可以對(duì)全網(wǎng)的安全事件進(jìn)行綜合分析與審計(jì)，識(shí)別和定位外部攻擊、內(nèi)部違規(guī)；可以進(jìn)行業(yè)務(wù)系統(tǒng)的安全風(fēng)險(xiǎn)度量、安全態(tài)勢(shì)度量和安全管理建設(shè)水平度量；可以進(jìn)行持續(xù)的安全巡檢、應(yīng)急響應(yīng)與知識(shí)積累，不斷提升安全管理的能力。

（1）全面掌握網(wǎng)絡(luò)中的威脅信息，迅速發(fā)現(xiàn)異常

系統(tǒng)幫助用戶全視角掌握網(wǎng)絡(luò)中全部安全信息，透視網(wǎng)絡(luò)中網(wǎng)絡(luò)狀態(tài)及異常信息，了解業(yè)務(wù)路徑，監(jiān)測(cè)業(yè)務(wù)流程的合規(guī)性。并且該系統(tǒng)通過(guò)強(qiáng)大的關(guān)聯(lián)分析技術(shù)在多維且海量的信息中洞察威脅行為，包括識(shí)別各類性能故障、非法訪問(wèn)控制、不當(dāng)操作、惡意代碼、攻擊入侵，以及違規(guī)與信息泄露等行為。

（2）日常安全運(yùn)維工作的有力工具

對(duì)于工控安全日常安全運(yùn)維而言，核心的工作內(nèi)容就是對(duì)各設(shè)備及重要業(yè)務(wù)系統(tǒng)進(jìn)行持續(xù)監(jiān)測(cè)，確保網(wǎng)絡(luò)、主機(jī)、應(yīng)用、業(yè)務(wù)、重要信息和人員資產(chǎn)的安全。更具體地說(shuō)，就是要持續(xù)監(jiān)測(cè)并識(shí)別針對(duì)網(wǎng)絡(luò)、主機(jī)、應(yīng)用、業(yè)務(wù)、重要信息和人員資產(chǎn)性能故障、非法訪問(wèn)控制、非法或不當(dāng)操作、惡意代碼、攻擊入侵、違規(guī)與信息泄露行為。

系統(tǒng)以時(shí)間、空間、特征為基礎(chǔ)，對(duì)網(wǎng)絡(luò)流進(jìn)行多維度、細(xì)粒度的分析，并通過(guò)形象的圖表曲線幫助客戶實(shí)現(xiàn)流分布的可視化。

系統(tǒng)通過(guò)提供統(tǒng)一的告警響應(yīng)機(jī)制以及標(biāo)準(zhǔn)OPC接口的方式，為用戶提供了集中的告警發(fā)現(xiàn)平臺(tái)，并且對(duì)于發(fā)現(xiàn)的告警或故障給予運(yùn)維處置上的支撐，通過(guò)標(biāo)準(zhǔn)OPC接口的方式實(shí)現(xiàn)快速化、實(shí)時(shí)化的問(wèn)題通知，并且可達(dá)到處理過(guò)程的跟蹤督促以及事后的追查。

作者簡(jiǎn)介：

魏欽志，烽臺(tái)科技（北京）有限公司聯(lián)合發(fā)起人、董事長(zhǎng)，燈塔實(shí)驗(yàn)室執(zhí)行合伙人。工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟副秘書長(zhǎng)，計(jì)算機(jī)病毒防御技術(shù)國(guó)家工程實(shí)驗(yàn)室技術(shù)委員會(huì)委員，中國(guó)化工學(xué)會(huì)青年委員。在智能制造、工業(yè)控制信息化和自動(dòng)化行業(yè)有十余年工作經(jīng)驗(yàn)，六年工控安全經(jīng)驗(yàn)。參與并主導(dǎo)過(guò)工業(yè)信息安全產(chǎn)品設(shè)計(jì)，被發(fā)改委納入信息安全專項(xiàng)資金的支持計(jì)劃。帶領(lǐng)團(tuán)隊(duì)參與和推動(dòng)國(guó)內(nèi)主要工控安全標(biāo)準(zhǔn)制訂與應(yīng)用，面向行業(yè)用戶提供評(píng)估及保障服務(wù)。

參考文獻(xiàn)：

[1] 童有好. 信息化與工業(yè)化融合的內(nèi)涵、層次和方向[J]. 信息技術(shù)與標(biāo)準(zhǔn)化, 2008,（7）.

[2] 龔炳錚. 推進(jìn)信息化與工業(yè)化融合的思考[J]. 中國(guó)信息界, 2010.

[3] 賈紀(jì)磊. 信息化與工業(yè)化融合：新型工業(yè)化融合必經(jīng)之路[J]. 湖北經(jīng)濟(jì)學(xué)院學(xué)報(bào)（人文社會(huì)科學(xué)版）, 2009, 6（8）.

[4] 李林. 產(chǎn)業(yè)融合：信息化與工業(yè)化融合的基礎(chǔ)及其實(shí)踐[M]. 上海經(jīng)濟(jì)研究, 2008, 6.

[5] 信息化和軟件服務(wù)業(yè)司. 工信部 《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》解讀，2017, 06.

[6] GB/T32919-2016. 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南[Z].

摘自《自動(dòng)化博覽》2017年10月刊