天地和興：關鍵信息基礎設施的等保2.0之路 -- 港口企業篇

北京2020年8月27日 /美通社/ --

引言

2019年12月1日，《網絡安全等級保護基本要求》的正式實施標志著等級保護制度整體進入 2.0 時代，等級保護對象范圍從傳統的網絡和信息系統，向“云移物工大”上進行了擴展。GB/T22239由單獨的基本要求演變為通用安全要求+新技術安全擴展要求，且技術要求和管理要求都做了調整。而關鍵信息基礎設施也在定級要求上明確指出“定級原則上不低于三級”的要求。在本文中，天地和興將從關鍵信息基礎設施保護的實踐出發，梳理并提供2.0時代等保安全建設的整體解決方案，旨在助力關鍵信息基礎設施運營者網絡安全防護能力和信息安全管理能力的提升，應對各類網絡風險和挑戰。

一、安全現狀

隨著“一帶一路”倡議的提出，交通運輸部聯合國家發展改革委、財政部、自然資源部、生態環境部、應急部、海關總署、市場監管總局和國家鐵路集團聯合印發了《關于建設世界一流港口的指導意見》，明確指出加快平安港口、綠色港口、智慧港口建設。中國經濟與世界經濟的關聯度越來越密切，中國的開放進程進一步加快，作為改革開放窗口的港口企業，逐步從數字化向“智慧港口”轉型。“智慧港口”是以現代化基礎設施設備為基礎，以云計算、大數據、物聯網、移動互聯網、智能控制等新一代信息技術與港口運輸業務的深度融合為核心。隨著信息化不斷融合，保障工業網絡安全也是確保國家戰略安全的一項重要內容。如何建設一套穩定、先進、高效、可靠的工業網絡安全集中監測管理系統，提升港口企業整體工業網絡安全監管水平和防御能力，已成為港口企業的重要任務之一。

當前港口企業生產控制系統普遍存在以下網絡安全風險：

• 網絡的互聯互通是工控系統實現信息化的基礎條件，但這給生產監控系統帶來諸多網絡層面的安全風險，來自辦公管理層網絡的入侵、病毒等風險很容易向生產網蔓延；
• “兩化”融合促進了港口生產系統與IT系統的互聯需求，港口生產系統也逐步采用通用協議或已廣泛應用的工業協議傳輸數據，使得攻擊者通過數據監聽、協議解析與劫持技術篡改通信數據、控制命令，可直接威脅港口生產系統的正常運行；
• 邊界越來越多、越來越模糊，防護難度也越來越大。一旦局部控制網絡被病毒感染，容易迅速蔓延到整個生產控制網絡，造成“一點突破，全網皆失”的，嚴重威脅系統的運行安全；
• 工程師站、操作員站等大部分上位機為Windows/Linux平臺。為保證過程控制系統的相對獨立性，同時考慮到系統的穩定運行，通常在系統運行后不會安裝殺毒軟件、安全更新補丁，以及策略配置變更，從而埋下巨大的安全隱患。一旦感染惡意代碼，極易傳播擴散，從而導致非計劃停機；
• 由于應用軟件和操作系統多種多樣，很難形成統一的防護規范，以應對軟件和操作系統等漏洞造成的安全問題；
• 由于缺乏對管理和技術人員操作行為的有效安全監管和審計，誤操作或惡意操作安全風險較大；
• 各個網絡安全設備自成一體，形成網絡安全的系列孤島，管理員無法清晰獲知安全事件，管理維護難度較大。從等保2.0的要求及構建整體工業網絡安全防護體系的需求來看，大部分相關企業并無統一的信息安全管理策略，亦并未配置獨立的安全管理中心；
• 管理制度是國家各項安全法律、法規、規范、標準在企業的延伸和細化。盡管目前已設置專人專管的措施，但在管理制度方面還是非常薄弱，包括對人員、設備、考核等方面不夠細化；
• 發生網絡安全事件后人員通常依靠經驗判斷，甚至以逐個斷網等方式來確定網絡安全事件發生的設備和影響范圍，對于被攻擊程度，工藝是否受影響等問題無法快速給出評估結論。

二、解決方案

通過以上分析，港口行業企業生產控制系統在實際運營中面臨多種安全隱患。結合國家網絡安全等級保護2.0的建設要求，從“一個中心、三重防護”的思路出發，綜合考慮當前港口行業生產控制系統的物理環境、通信網絡、區域邊界、計算環境、管理中心與安全管理方面的建設需求，天地和興可提供全生命周期安全解決方案，為港口企業生產構建安全防御體系。

01風險評估方案

風險評估是全面了解與驗證在實際應用中存在各種風險的一種必要手段，亦是安全防護體系建設的前提。天地和興通過科學運用網絡安全風險評估的方法，參照相關國家、行業標準對物理環境、通信網絡、區域邊界、計算環境、管理中心以及管理體系等方面進行全面的安全評估。最大限度地提升港口企業生產監控系統的安全保障能力，為企業全面掌握安全風險，為后續網絡安全建設提供數據支撐。

基于表現形式的資產分類

02安全防護方案

遵照國家網絡安全等級保護及行業標準相關要求，天地和興以“一個中心、三重防護”為指導思想，設計構建港口企業生產系統網絡安全防護技術體系，幫助企業完善安全管理體系，滿足等保合規性要求的基礎上，對港口企業生產系統安全運行提供必要的安全防護。通過部署工控防火墻、工控安全審計平臺、入侵檢測系統、信息安全監管與分析系統等安全防護產品，提升生產控制系統網絡整體防護能力，部署示意圖如下：

港口企業生產系統網絡安全防護技術體系

• 安全通信網絡：對港口ICS系統網絡進行優化，根據網絡中資產屬性和訪問邏輯來劃分安全域，并對港口ICS系統網絡與辦公網互聯的網絡邊界進行邊界隔離與安全防護，在數采網邊界處部署工業安全隔離與信息交換系統（工業網閘系統），保護港口行業企業生產控制系統網絡免受來自上層辦公網及互聯網的入侵攻擊風險。
• 安全區域邊界：針對港口ICS系統網絡中劃分的安全域，根據系統的重要程度、部門等屬性，針對性的對區域采取技術隔離手段，保護各區域的運行安全，如：在裝船機、堆料機、抓斗卸船機、篩分、泵房等系統邊界處串行部署工控防火墻，保護各層級或各安全域間的運行安全；在中控室核心交換機上選擇旁路部署入侵檢測系統、威脅檢測系統，實時監測工控系統網絡中、核心數據服務安全域的異常行為并分析告警；在裝船機、堆料機、抓斗卸船機、篩分、泵房等系統的交換機上部署工控安全審計系統，對通信數據進行監聽和分析，對異常行為、違規操作行為進行識別、審計告警，輔助安全運維人員進行處置。
• 安全計算環境：針對在港口ICS系統中的關鍵計算設備進行安全加固，包括各種相關的應用服務器、操作員站、工程師站等，通過檢查工具對其安全漏洞與脆弱性進行發現和管理，對可修復的漏洞進行可行性驗證與修復，關閉不需要的默認賬號、服務，進行主機系統必要的安全加固，提升主機系統抗攻擊能力。具體措施為：在HMI、工程師站、歷史站、操作員站等主機系統上部署主機防護系統，并有針對性的進行人工加固服務。
• 安全管理中心： 在港口ICS系統網絡中組建安全管理專網，并建立安全管理中心，整體提高企業的全網的安全風險管理、關聯分析、安全可視化與聯動處置等能力。具體措施為：部署工控安全監管平臺、運維審計系統、日志審計與分析系統、工控漏洞掃描管理系統等產品，實現全網關鍵計算設備、關鍵網絡設備以及關鍵網絡安全設備的運行監控、安全日志收集與分析、安全事件集中處置，全網系統賬戶的統一管理與操作審計等功能。

03安全檢查方案

建立ICS系統定期安全檢查和整改工作機制，每年至少自行開展一次安全檢查，發現問題需制定整改計劃及措施，并將整改情況上報主管單位和集團公司，協助開展網絡安全專項檢查，最終對檢查結果進行通報。

04應急演練方案

建立健全網絡安全運行應急工作機制，當ICS系統內發生變化時，及時組織對應急處置預案進行評估，根據實際情況適時修改并進行演練，形成快速反應、快速處置的能力。確保當ICS系統出現安全事件，尤其是遭到黑客、惡意代碼攻擊和其他人為破壞時，立即向應急響應辦公室、上級主管部門、當地政府相應部門及集團公司報告，同時按應急處理預案采取安全應急措施。處理安全事件過程中應注意保護現場，以便進行調查取證和分析。最后將制定安全防護事件通報制度，將有關安全問題做好記錄。定期向主管部門報送當前系統安全防護情況，并及時上報安全防護過程中出現的異常現象。

05安全服務方案

天地和興專業化的安全服務團隊可為用戶提供安全咨詢、安全評估、運維管理、安全檢查、等保差距分析、安全保障等專業級安全服務，幫助企業解決項目前期調研、評估、規劃、后期安全培訓、運維、應急保障等一系列安全服務內容，提升工業網絡安全專業技能與運維管理能力。

06安全運營方案

安全運營的好壞直接影響ICS系統網絡安全防護體系的防護效能。結合法律法規，通過建立企業安全戰略規劃、安全體系建設、安全監測評估、安全人才培養、業務創新運營服務的各項標準、整合來自人員、流程和技術方面的信息，提供相關的信息和工具，幫助港口企業快速做出決策，實現產品、服務、制度的能力集約化、可視化管理。通過建設運維、安全、應急、運營體系打破產品和服務相互獨立的現狀，將技術和管理全面實行數字化，達成智能化安全運營的目標。

三、總結

本方案以港口企業生產監控系統應用為場景，構建整體工業網絡安全防護方案，包括網絡安全評估方案、網絡安全建設方案、網絡安全服務方案、網絡安全運營方案，落實國家等級保護“一個中心、三重防護”的安全理念與安全架構要求，以解決港口企業監控系統在聯網運行中所面臨的網絡安全建設與運營困擾，系統地為企業提供包括安全服務、安全建設、安全運營在內的工業網絡安全全生命周期解決方案，為業務系統安全運行保駕護航。