工業控制系統是工業生産運作的基礎核心。随着制造業數字化轉型步伐加快,工控系統數字化、網聯化、智能化趨勢明顯,工業企業面臨的網絡安全風險與日俱增,工業企業加強網絡安全防護需求迫切。為适應新時期工業控制系統網絡安全形勢,進一步指導企業提升工控安全防護水準,夯實新型工業化發展安全根基,工信部于2024年1月30日釋出“工信部網安〔2024〕14号《工業控制系統網絡安全防護指南》(以下簡稱《指南》)”。
指南解讀
《指南》從安全管理、技術防護、安全營運、責任落實4個次元16個方面給出建議,共33項防護要求。
聚焦安全風險管控,突出管理重點對象,提升工業企業工控安全管理能力
資産管理
明确資産管理責任部門和責任人,針對重要工業控制系統清單實施重點保護。
配置管理
強化密碼管理,遵循最小授權原則設定賬戶權限,建立工業控制系統安全配置清單。
供應鍊安全
明确供應商各方需履行的安全責任和義務使用具備資格的機構安全認證合格或者安全檢測符合要求的裝置。
宣傳教育
定期開展工業控制系統網絡安全意識宣傳教育專業技能教育訓練及考核。
聚焦安全薄弱關鍵環節,強化技術應對政策提升工業企業工控安全防護能力
主機與終端安全
定期進行病毒庫更新和惡意軟體清除,隻允許部署運作經企業授權和安全評估的應用軟體,關閉不必要的網絡服務端口,關鍵主機或終端采用雙因子認證。
架構與邊界安全
對工業控制網絡實施分區分域管理,對無線接入裝置、遠端通路裝置實施嚴格通路控制。
上雲安全
利用身份鑒别、安全通信等技術做好雲平台防護,上雲裝置實施嚴格辨別管理,確定不同業務系統安全隔離。
應用安全
對關鍵應用服務實施嚴格通路控制,企業自行或委托第三方機構對自主研發軟體開展安全性測試。
系統資料安全
開展資料分類分級,建立重要資料和核心資料目錄,圍繞資料全生命周期實施安全防護,需向境外提供資料時,依法依規進行資料出境評估。
聚焦易發網絡安全風險,增強威脅發現及處置,能力,提升工業企業安全營運能力
監測預警
部署監測審計相關裝置或平台,及時發現和預警安全風險。采用蜜罐等威脅誘捕技術提升主動防禦能力。
營運中心
有條件的企業可建立網絡安全營運中心,提升風險隐患集中排查和事件快速響應能力。
應急處置
制定應急預案,定期開展應急演練,備份日志資料并確定留存時間不少于六個月,便于開展事後溯源驗證,對重要系統應用和資料定期開展備份恢複測試。
安全評估
開展建立系統、更新系統風險評估,重要工控系統每年至少開展一次防護能力相關評估。
漏洞管理
及時進行漏洞修補和安全加強,開展重要工控系統漏洞排查與更新檔更新。
聚焦工業企業資源保障,堅持統籌發展和安全督促企業落實網絡安全責任
落實責任主體
工業企業承擔本企業工控安全主體責任,建立工控安全管理制度,明确責任人和責任部門,按照“誰營運誰負責、誰主管誰負責”的原則落實工控安全保護責任。
加強資源保護
強化企業資源保障力度,確定安全防護措施與工業控制系統同步規劃、同步建設、同步使用。
原文連結:https://www.miit.gov.cn/gyhxxhb/jgsj/wlaqglj/zcjd/art/2024/art_e664d2855f3541019f8951ccf1deaa30.html
防護建議
針對33條防護要求,綠盟科技的安全防護建議:
安全管理
技術防護
安全營運
責任落實
護航新型工業化之路
* 綠盟科技新型工業化安全産品全景圖 *
1、 綠盟工業網絡安全監測管理平台
綠盟工業網絡安全監測管理平台從工控安全的角度,對工控系統的各類IT和OT資産梳理并對安全資料進行采集,包括業務裝置日志采集、安全裝置事件收集、網絡流量資料采集、安全裝置配置采集等功能。平台對采集得到的結果進行統一分析與展示,發現工控網絡内部的異常行為,如新增資産、時間異常、新增關系、負載變更、異常通路等行為,實作對工控現場安全事件的預警與響應。
2、 綠盟工控系統安全檢查工具
綠盟工控系統安全檢查工具是一款用于工控系統的網絡安全檢查工具,具備資訊調查收集、人工評估檢查和技術檢查三種檢查方式。具備工控系統資産發現、資産配置核查、資産安全漏洞檢查、主機資訊采集、通訊流量診斷、無線WI-FI檢查、固件惡意代碼檢查7大技術檢查功能及檢查過程所需10大知識庫。該産品的形态為加強筆記本,輕便易于攜帶、操作流暢、易用性高、穩定性高。适用于各類工控場景的檢查,操作簡便易上手,對現場業務無擾動。
3、 綠盟主機衛士系統
綠盟主機衛士系統是一款面向工業控制系統中的監控主機、工程師站、操作站、資料伺服器等裝置進行安全加強的終端安全防護産品。針對工控終端業務環境相對固定、穩定第一的特點,系統采用了白名單機制和系統加強技術,攔截一切未知程式和腳本的執行,并在加強之前進行病毒掃描,既可有效抵禦已知和未知的惡意代碼,又規避了傳統防毒軟體病毒庫更新不及時的問題,從根本上保障主機運作環境的安全。
4、 綠盟USB安全管理系統
綠盟USB安全管理系統是一款專門針對USB存儲媒體進行病毒隔離及清除的安全防護産品。其采用強授權方式控制USB存儲媒體接入,對存儲媒體内的資料檔案進行實時病毒清除、隔離并告警,并對上傳下載下傳的資料檔案進行記錄審計。有效防止USB存儲媒體上的檔案攜帶病毒進入主機系統,進而提高系統及内網安全,避免出現由外攜病毒引起的安全事故。
5、 綠盟工業防火牆
綠盟工業防火牆是專為工業網絡安全需求打造的下一代邊界防護産品。不僅具備多種工業協定(MQTT、Modbus、NC-LINK等)的深度解析及管控能力,同時具備入侵防護、内容過濾等功能。作為新一代的綜合邊界防護平台,該産品重點防護工業物聯網絡内部、工業物聯網絡與資訊網絡邊界、工業網際網路出口邊界等場景。
6、 綠盟工業安全隔離裝置
綠盟工業安全隔離裝置(簡稱ISID)由内、外網處理單元和安全資料交換單元組成。安全資料交換單元在内外網主機間按照指定的周期進行安全資料的擺渡。進而在保證内外網隔離的情況下,實作可靠、高效的安全資料交換。ISID可對工控協定資料包進行層層剝離,并對工控協定内容如功能碼、寄存器位址等進行精準識别和安全控制,在保障使用者資訊系統安全性的同時,最大限度保證客戶應用的友善性。ISID支援對工業資料采集與轉發,既解決工業現場繁雜工業協定采集、單一标準協定轉發的難題,又解決了使用者對邊界隔離的需求。該産品重點應用在工業場景的過程監控層、過程控制層,過程監控層、企業管理層之間的邊界區域,利用其“2+1”實體結構以及單向隔離技術應用對工業網絡和工業資産以及資料做到多重防護與隔離,已在諸多工業領域批量應用,為工業網絡安全邊界保駕護航。
7、 綠盟物聯網準入網關
綠盟物聯網準入網關,集全網裝置自動發現、裝置故障實時報警、漏洞自動探知、安全準入自動甄别、網絡行為自動分析、違規行為自動阻斷、基礎設施自動管理等多種安全功能于一體,同時可以發現網絡中的仿冒裝置、沖突裝置等異常資産。可用于裝置管理、準入與阻斷管理、違規檢測、故障監測、弱密碼及漏洞檢測、弱密碼檢測,支援旁路、串接、路由等多種部署方式,可多級部署與靈活擴充。
8、 綠盟運維安全管理系統
綠盟運維安全管理系統(俗稱堡壘機,英文簡稱OSMS)以滿足等級保護下身份鑒别、通路控制、安全審計等監管要求為核心,基于“賬号、認證、授權和審計”4A管理理念,采用三權分立和最小通路權限原則,運用協定代理技術,實作精準的事前識别、精細的事中控制和精确的事後審計,幫助企業轉變傳統IT安全運維被動響應的模式,建立面向使用者的集中、主動的運維安全管控模式,降低人為安全風險,滿足合規要求,保障企業效益。
9、 綠盟科技邊緣計算智能網關
綠盟科技邊緣計算智能網關SGEC,聚焦工業網際網路應用場景,整合工業企業上雲業務需求與安全需求,選用微服務技術架構,整合功能安全和資訊安全能力,形成了一整套包含工業資料采集、邊緣計算、邊緣安全能力的工業網際網路邊緣計算安全産品。支援多種工業通訊協定,邊緣計算能力,具備靜态漏掃、指令審計、準入、防火牆、加密傳輸等綜合安全服務能力,所有安全能力可按需彈性部署。為客戶提供一站式的邊緣計算安全産品。
10、 綠盟資料保險箱
綠盟資料保險箱,基于TEE可信硬體,采用加密虛拟機、日志審計等核心技術,具備機密計算、審計溯源等安全能力,能夠為各類應用場景賦能,包括資料封存、可控共享等。
11、 綠盟資料洩露防護系統
綠盟資料洩露防護系統,是一款基于網絡協定分析與控制技術的資料安全防護産品。産品集被動審計和主動防禦于一體,通過鏡像旁路或網橋串聯方式擷取待檢測流量,深度分析資料外發行為,發現并阻斷資料洩露風險,記錄和量化資料洩露風險。
12、 綠盟敏感資料發現與風險評估系統
綠盟敏感資料發現與風險評估系統是綠盟科技結合大資料安全研究經驗和多年的漏洞挖掘技術、衆多大資料元件協定解析能力及深度内容解析能力,自主研發的資料資産測繪、資料流轉測繪和資料安全風險評估産品,含敏感資料發現、資料分級分類、資料資産測繪、資料流轉測繪、大資料元件發現與掃描、資料安全風險評估等能力。
13、 綠盟資料安全檢查系統
綠盟資料安全檢查系統是綠盟科技結合相關監管要求,以及對資料安全全面的研究經驗積累,自主研發的資料安全風險評估和檢查的産品。産品根據相關标準,幫助監管機關主動檢查,快速發現被檢機關的資料安全風險。亦可以幫助被檢查機關進行自檢自查,評估自身資料安全隐患,及時整改,順利迎接檢查,含資料安全檢查方案管理、資料安全檢查認為管理、資料安全技術檢查、資料采集、資料分析知識庫管理,以及漏洞檢測引擎、網絡流量檢測引擎、網絡資産識别引擎、資料接口檢測引擎、資料采集引擎、資料分析引擎等技術監測引擎。
14、 綠盟工控安全審計系統
綠盟工控安全審計系統(SAS-ICS)是一款專用于工業控制網絡流量安全監測的審計類産品。基于對不同業務系統工控環境的了解和對協定規約的深度解碼,來感覺系統中潛在的異常操作行為。對工業控制系統中的流量進行采集、分析、識别,梳理、追蹤資産的同時,實時動态監測通信内容、網絡行為和網絡流量,發現和捕獲各種敏感資訊、違規行為,實時報警響應。
15、 綠盟工控安全入侵檢測系統
綠盟工控安全入侵檢測系統是一款面向工業控制領域的入侵檢測類産品。可實時檢測網絡通信,精确識别緩沖區溢出、掃描攻擊、DoS/DDoS、SQL注入、蠕蟲病毒、木馬、間諜軟體等傳統攻擊行為,内置豐富的針對工控系統攻擊的檢測規則。采用自學習基線模型方式,可自定義工控協定安全政策,深度業務關聯檢測異常操作,采用多樣化的告警方式,及時向管理者發送告警資訊,并能夠與工業防火牆等網關防護産品形成縱深防護體系。
16、 綠盟工控漏洞掃描系統
綠盟工控漏洞掃描系統( ICSScan),是一款面向工業領域開發的漏洞掃描系統,支援IT\OT系統資産的漏洞掃描、配置核查、Web掃描等功能,包含主流作業系統、工業軟體、資料庫、網絡元件等資訊子產品漏洞;支援工業現場資産裝置網絡拓撲功能,并以資産管理為導向,幫助客戶對現場裝置進行全局風險管控檢視;支援靜态掃描,降低掃描風險。
17、 綠盟進階威脅狩獵系統
綠盟進階威脅狩獵系統采用欺騙防禦技術(下一代蜜罐技術),精準誘捕攻擊行為,提供入侵活動線索,并進一步結合溯源反制與威脅情報,助力客戶刻畫攻擊者畫像,協助客戶保護資産,是一款針對攻防對抗的實戰化産品。
18、 綠盟日志審計系統
綠盟日志審計系統是基于大資料架構的綜合日志管理平台,通過大資料技術的海量日志采集、異構裝置日志範式化及安全事件關聯分析,實作日志全生命周期管理。協助運維人員從事前(發現安全風險)、事中(分析回溯)及事後(調查驗證)等多個次元監控網絡安全事件,助力企業滿足《網絡安全法》及等保合規要求。
19、 綠盟威脅和漏洞管理平台
綠盟威脅和漏洞管理平台其主要設計目标是結合各行業漏洞管理現狀,結合綠盟科技雲端專業漏洞情報和傳統企業漏掃工具,建設專家級的企業專屬資産漏洞管理平台。提出基于風險的漏洞管理之道,需要關注整個攻擊暴露面、洞察漏洞優先級,實作主動防禦、動态、持續風險監控、閉環。以威脅和漏洞管理平台為抓手建構全生命周期的漏管營運體系,面向企業脆弱性管理,結合外部漏洞情報資訊,針對資産安全視角,以風險優先級為核心,整合多源脆弱性資料,聚焦關鍵風險,量化風險名額,提供漏洞全生命周期的管理營運,進而建立快速響應、有序修補、持續優化的資産漏洞管理能力。滿足客戶的合規性需求,提高漏洞運維效率。
20、 綠盟供應鍊安全系統
綠盟供應鍊安全系統以SBOM管理為基礎,旨在提高軟體開發、傳遞、使用鍊條的透明度。聚焦第三方安全問題,如開源元件安全、開發環境安全、IaC配置安全等,提升第三方風險的檢測能力。支援常見CICD流程內建,幫助使用者建立安全品質門禁,達成安全左移的目标,降低安全營運成本。實作第三方安全威脅預警,幫助使用者及時修複漏洞。
21、 綠盟NAC網絡準入控制系統
綠盟NAC網絡準入控制系統是基于新一代網絡準入控制架構研發的內建化終端安全準⼊管理平台,是符合零信任理念下的動态可視化準入控制系統。
綠盟NAC網絡準入控制系統基于MVG 準入技術,配合業内領先的鏡像、802.1x、政策路由等多達 9 種準入技術,支援 18 種以上身份識别及多因素認證體系,6 千多種資産識别庫,30 多項安全基線檢查項,通過準入技術自由組合滿足任意網絡環境下的網絡和終端的管控,解決了終端裝置類型不清,數量不準确,人員身份不明,終端安全風險未知、終端故障排查困難等問題,最終達到了人員實名制接入網絡,資産台賬分類清晰,風險行為秒級阻斷,運維管理省時省力的效果。
工業控制系統作為工業生産運作的基礎核心,其網絡安全事關企業營運和生産安全、事關産業鍊供應鍊安全穩定、事關經濟社會運作和國家安全。未來,綠盟科技将繼續圍繞工業資訊安全戰略方向,發揮核心技術研發優勢,為工業企業提供更全面、更高效、更智能的網絡安全解決方案,築牢工業資訊安全屏障,推動企業數字化轉型發展。