工业控制系统是工业生产运行的基础核心。随着制造业数字化转型步伐加快,工控系统数字化、网联化、智能化趋势明显,工业企业面临的网络安全风险与日俱增,工业企业加强网络安全防护需求迫切。为适应新时期工业控制系统网络安全形势,进一步指导企业提升工控安全防护水平,夯实新型工业化发展安全根基,工信部于2024年1月30日发布“工信部网安〔2024〕14号《工业控制系统网络安全防护指南》(以下简称《指南》)”。
指南解读
《指南》从安全管理、技术防护、安全运营、责任落实4个维度16个方面给出建议,共33项防护要求。
聚焦安全风险管控,突出管理重点对象,提升工业企业工控安全管理能力
资产管理
明确资产管理责任部门和责任人,针对重要工业控制系统清单实施重点保护。
配置管理
强化口令管理,遵循最小授权原则设置账户权限,建立工业控制系统安全配置清单。
供应链安全
明确供应商各方需履行的安全责任和义务使用具备资格的机构安全认证合格或者安全检测符合要求的设备。
宣传教育
定期开展工业控制系统网络安全意识宣传教育专业技能培训及考核。
聚焦安全薄弱关键环节,强化技术应对策略提升工业企业工控安全防护能力
主机与终端安全
定期进行病毒库升级和恶意软件查杀,只允许部署运行经企业授权和安全评估的应用软件,关闭不必要的网络服务端口,关键主机或终端采用双因子认证。
架构与边界安全
对工业控制网络实施分区分域管理,对无线接入设备、远程访问设备实施严格访问控制。
上云安全
利用身份鉴别、安全通信等技术做好云平台防护,上云设备实施严格标识管理,确保不同业务系统安全隔离。
应用安全
对关键应用服务实施严格访问控制,企业自行或委托第三方机构对自主研发软件开展安全性测试。
系统数据安全
开展数据分类分级,建立重要数据和核心数据目录,围绕数据全生命周期实施安全防护,需向境外提供数据时,依法依规进行数据出境评估。
聚焦易发网络安全风险,增强威胁发现及处置,能力,提升工业企业安全运营能力
监测预警
部署监测审计相关设备或平台,及时发现和预警安全风险。采用蜜罐等威胁诱捕技术提升主动防御能力。
运营中心
有条件的企业可建立网络安全运营中心,提升风险隐患集中排查和事件快速响应能力。
应急处置
制定应急预案,定期开展应急演练,备份日志数据并确保留存时间不少于六个月,便于开展事后溯源取证,对重要系统应用和数据定期开展备份恢复测试。
安全评估
开展新建系统、升级系统风险评估,重要工控系统每年至少开展一次防护能力相关评估。
漏洞管理
及时进行漏洞修补和安全加固,开展重要工控系统漏洞排查与补丁升级。
聚焦工业企业资源保障,坚持统筹发展和安全督促企业落实网络安全责任
落实责任主体
工业企业承担本企业工控安全主体责任,建立工控安全管理制度,明确责任人和责任部门,按照“谁运营谁负责、谁主管谁负责”的原则落实工控安全保护责任。
加强资源保护
强化企业资源保障力度,确保安全防护措施与工业控制系统同步规划、同步建设、同步使用。
原文链接:https://www.miit.gov.cn/gyhxxhb/jgsj/wlaqglj/zcjd/art/2024/art_e664d2855f3541019f8951ccf1deaa30.html
防护建议
针对33条防护要求,绿盟科技的安全防护建议:
安全管理
技术防护
安全运营
责任落实
护航新型工业化之路
* 绿盟科技新型工业化安全产品全景图 *
1、 绿盟工业网络安全监测管理平台
绿盟工业网络安全监测管理平台从工控安全的角度,对工控系统的各类IT和OT资产梳理并对安全数据进行采集,包括业务设备日志采集、安全设备事件收集、网络流量数据采集、安全设备配置采集等功能。平台对采集得到的结果进行统一分析与展示,发现工控网络内部的异常行为,如新增资产、时间异常、新增关系、负载变更、异常访问等行为,实现对工控现场安全事件的预警与响应。
2、 绿盟工控系统安全检查工具
绿盟工控系统安全检查工具是一款用于工控系统的网络安全检查工具,具备信息调查收集、人工评估检查和技术检查三种检查方式。具备工控系统资产发现、资产配置核查、资产安全漏洞检查、主机信息采集、通讯流量诊断、无线WI-FI检查、固件恶意代码检查7大技术检查功能及检查过程所需10大知识库。该产品的形态为加固笔记本,轻便易于携带、操作流畅、易用性高、稳定性高。适用于各类工控场景的检查,操作简便易上手,对现场业务无扰动。
3、 绿盟主机卫士系统
绿盟主机卫士系统是一款面向工业控制系统中的监控主机、工程师站、操作站、数据服务器等设备进行安全加固的终端安全防护产品。针对工控终端业务环境相对固定、稳定第一的特点,系统采用了白名单机制和系统加固技术,拦截一切未知程序和脚本的执行,并在加固之前进行病毒扫描,既可有效抵御已知和未知的恶意代码,又规避了传统杀毒软件病毒库更新不及时的问题,从根本上保障主机运行环境的安全。
4、 绿盟USB安全管理系统
绿盟USB安全管理系统是一款专门针对USB存储介质进行病毒隔离及查杀的安全防护产品。其采用强授权方式控制USB存储介质接入,对存储介质内的数据文件进行实时病毒查杀、隔离并告警,并对上传下载的数据文件进行记录审计。有效防止USB存储介质上的文件携带病毒进入主机系统,从而提高系统及内网安全,避免出现由外携病毒引起的安全事故。
5、 绿盟工业防火墙
绿盟工业防火墙是专为工业网络安全需求打造的下一代边界防护产品。不仅具备多种工业协议(MQTT、Modbus、NC-LINK等)的深度解析及管控能力,同时具备入侵防护、内容过滤等功能。作为新一代的综合边界防护平台,该产品重点防护工业物联网络内部、工业物联网络与信息网络边界、工业互联网出口边界等场景。
6、 绿盟工业安全隔离装置
绿盟工业安全隔离装置(简称ISID)由内、外网处理单元和安全数据交换单元组成。安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡。从而在保证内外网隔离的情况下,实现可靠、高效的安全数据交换。ISID可对工控协议数据包进行层层剥离,并对工控协议内容如功能码、寄存器地址等进行精准识别和安全控制,在保障用户信息系统安全性的同时,最大限度保证客户应用的方便性。ISID支持对工业数据采集与转发,既解决工业现场繁杂工业协议采集、单一标准协议转发的难题,又解决了用户对边界隔离的需求。该产品重点应用在工业场景的过程监控层、过程控制层,过程监控层、企业管理层之间的边界区域,利用其“2+1”物理结构以及单向隔离技术应用对工业网络和工业资产以及数据做到多重防护与隔离,已在诸多工业领域批量应用,为工业网络安全边界保驾护航。
7、 绿盟物联网准入网关
绿盟物联网准入网关,集全网设备自动发现、设备故障实时报警、漏洞自动探知、安全准入自动甄别、网络行为自动分析、违规行为自动阻断、基础设施自动管理等多种安全功能于一体,同时可以发现网络中的仿冒设备、冲突设备等异常资产。可用于设备管理、准入与阻断管理、违规检测、故障监测、弱口令及漏洞检测、弱口令检测,支持旁路、串接、路由等多种部署方式,可多级部署与灵活扩展。
8、 绿盟运维安全管理系统
绿盟运维安全管理系统(俗称堡垒机,英文简称OSMS)以满足等级保护下身份鉴别、访问控制、安全审计等监管要求为核心,基于“账号、认证、授权和审计”4A管理理念,采用三权分立和最小访问权限原则,运用协议代理技术,实现精准的事前识别、精细的事中控制和精确的事后审计,帮助企业转变传统IT安全运维被动响应的模式,建立面向用户的集中、主动的运维安全管控模式,降低人为安全风险,满足合规要求,保障企业效益。
9、 绿盟科技边缘计算智能网关
绿盟科技边缘计算智能网关SGEC,聚焦工业互联网应用场景,整合工业企业上云业务需求与安全需求,选用微服务技术架构,整合功能安全和信息安全能力,形成了一整套包含工业数据采集、边缘计算、边缘安全能力的工业互联网边缘计算安全产品。支持多种工业通讯协议,边缘计算能力,具备静态漏扫、指令审计、准入、防火墙、加密传输等综合安全服务能力,所有安全能力可按需弹性部署。为客户提供一站式的边缘计算安全产品。
10、 绿盟数据保险箱
绿盟数据保险箱,基于TEE可信硬件,采用加密虚拟机、日志审计等核心技术,具备机密计算、审计溯源等安全能力,能够为各类应用场景赋能,包括数据封存、可控共享等。
11、 绿盟数据泄露防护系统
绿盟数据泄露防护系统,是一款基于网络协议分析与控制技术的数据安全防护产品。产品集被动审计和主动防御于一体,通过镜像旁路或网桥串联方式获取待检测流量,深度分析数据外发行为,发现并阻断数据泄露风险,记录和量化数据泄露风险。
12、 绿盟敏感数据发现与风险评估系统
绿盟敏感数据发现与风险评估系统是绿盟科技结合大数据安全研究经验和多年的漏洞挖掘技术、众多大数据组件协议解析能力及深度内容解析能力,自主研发的数据资产测绘、数据流转测绘和数据安全风险评估产品,含敏感数据发现、数据分级分类、数据资产测绘、数据流转测绘、大数据组件发现与扫描、数据安全风险评估等能力。
13、 绿盟数据安全检查系统
绿盟数据安全检查系统是绿盟科技结合相关监管要求,以及对数据安全全面的研究经验积累,自主研发的数据安全风险评估和检查的产品。产品根据相关标准,帮助监管单位主动检查,快速发现被检单位的数据安全风险。亦可以帮助被检查单位进行自检自查,评估自身数据安全隐患,及时整改,顺利迎接检查,含数据安全检查方案管理、数据安全检查认为管理、数据安全技术检查、数据采集、数据分析知识库管理,以及漏洞检测引擎、网络流量检测引擎、网络资产识别引擎、数据接口检测引擎、数据采集引擎、数据分析引擎等技术监测引擎。
14、 绿盟工控安全审计系统
绿盟工控安全审计系统(SAS-ICS)是一款专用于工业控制网络流量安全监测的审计类产品。基于对不同业务系统工控环境的理解和对协议规约的深度解码,来感知系统中潜在的异常操作行为。对工业控制系统中的流量进行采集、分析、识别,梳理、追踪资产的同时,实时动态监测通信内容、网络行为和网络流量,发现和捕获各种敏感信息、违规行为,实时报警响应。
15、 绿盟工控安全入侵检测系统
绿盟工控安全入侵检测系统是一款面向工业控制领域的入侵检测类产品。可实时检测网络通信,精确识别缓冲区溢出、扫描攻击、DoS/DDoS、SQL注入、蠕虫病毒、木马、间谍软件等传统攻击行为,内置丰富的针对工控系统攻击的检测规则。采用自学习基线模型方式,可自定义工控协议安全策略,深度业务关联检测异常操作,采用多样化的告警方式,及时向管理员发送告警信息,并能够与工业防火墙等网关防护产品形成纵深防护体系。
16、 绿盟工控漏洞扫描系统
绿盟工控漏洞扫描系统( ICSScan),是一款面向工业领域开发的漏洞扫描系统,支持IT\OT系统资产的漏洞扫描、配置核查、Web扫描等功能,包含主流操作系统、工业软件、数据库、网络组件等信息模块漏洞;支持工业现场资产设备网络拓扑功能,并以资产管理为导向,帮助客户对现场设备进行全局风险管控查看;支持静态扫描,降低扫描风险。
17、 绿盟高级威胁狩猎系统
绿盟高级威胁狩猎系统采用欺骗防御技术(下一代蜜罐技术),精准诱捕攻击行为,提供入侵活动线索,并进一步结合溯源反制与威胁情报,助力客户刻画攻击者画像,协助客户保护资产,是一款针对攻防对抗的实战化产品。
18、 绿盟日志审计系统
绿盟日志审计系统是基于大数据架构的综合日志管理平台,通过大数据技术的海量日志采集、异构设备日志范式化及安全事件关联分析,实现日志全生命周期管理。协助运维人员从事前(发现安全风险)、事中(分析回溯)及事后(调查取证)等多个维度监控网络安全事件,助力企业满足《网络安全法》及等保合规要求。
19、 绿盟威胁和漏洞管理平台
绿盟威胁和漏洞管理平台其主要设计目标是结合各行业漏洞管理现状,结合绿盟科技云端专业漏洞情报和传统企业漏扫工具,建设专家级的企业专属资产漏洞管理平台。提出基于风险的漏洞管理之道,需要关注整个攻击暴露面、洞察漏洞优先级,实现主动防御、动态、持续风险监控、闭环。以威胁和漏洞管理平台为抓手构建全生命周期的漏管运营体系,面向企业脆弱性管理,结合外部漏洞情报信息,针对资产安全视角,以风险优先级为核心,整合多源脆弱性数据,聚焦关键风险,量化风险指标,提供漏洞全生命周期的管理运营,进而建立快速响应、有序修补、持续优化的资产漏洞管理能力。满足客户的合规性需求,提高漏洞运维效率。
20、 绿盟供应链安全系统
绿盟供应链安全系统以SBOM管理为基础,旨在提高软件开发、交付、使用链条的透明度。聚焦第三方安全问题,如开源组件安全、开发环境安全、IaC配置安全等,提升第三方风险的检测能力。支持常见CICD流程集成,帮助用户建立安全质量门禁,达成安全左移的目标,降低安全运营成本。实现第三方安全威胁预警,帮助用户及时修复漏洞。
21、 绿盟NAC网络准入控制系统
绿盟NAC网络准入控制系统是基于新一代网络准入控制架构研发的集成化终端安全准⼊管理平台,是符合零信任理念下的动态可视化准入控制系统。
绿盟NAC网络准入控制系统基于MVG 准入技术,配合业内领先的镜像、802.1x、策略路由等多达 9 种准入技术,支持 18 种以上身份识别及多因素认证体系,6 千多种资产识别库,30 多项安全基线检查项,通过准入技术自由组合满足任意网络环境下的网络和终端的管控,解决了终端设备类型不清,数量不准确,人员身份不明,终端安全风险未知、终端故障排查困难等问题,最终达到了人员实名制接入网络,资产台账分类清晰,风险行为秒级阻断,运维管理省时省力的效果。
工业控制系统作为工业生产运行的基础核心,其网络安全事关企业运营和生产安全、事关产业链供应链安全稳定、事关经济社会运行和国家安全。未来,绿盟科技将继续围绕工业信息安全战略方向,发挥核心技术研发优势,为工业企业提供更全面、更高效、更智能的网络安全解决方案,筑牢工业信息安全屏障,推动企业数字化转型发展。