1
前 言
2022年下半年,全国工业互联网安全深度行在各个省份都已经陆续开展起来,各类活动也正在如火如荼地进行着,为加快提升我国工业互联网安全保障水平各项工作真正落到实处。其中,深度行活动包括分类分级管理、政策标准宣贯、资源池建设、应急演练、人才培训、赛事活动等6项内容,分类分级管理和政策标准宣贯2项为必选内容。
图 1-1 《关于开展工业互联网安全深度行活动的通知》(工信厅网安函〔2022〕97号)
作为工业互联网企业需要引起高度重视,积极响应深度行活动,落实主体责任,统筹推动工业互联网企业网络安全分类分级管理及安全防护工作,切实保障我国各项工业生产活动安全稳定、万无一失。
2 安全深度行的必要性
工业和信息化部发布最新统计数据显示,今年一季度,我国工业互联网产业规模首次突破10000亿元,据中商产业研究院预测,2022年我国工业互联网产业经济产业增加值规模将超5万亿元。依据行业整体大发展趋势与国家政策扶持,越来越多的工业互联网企业基于创新与转型升级赋能快速发展,基本形成行业体系与格局;工业互联网在研发设计、生产制造、运营管理等各个环节得以广泛应用,伴随着5G技术、数字孪生等新型应用,行业应用也正在不断深化。基于网络建设、平台赋能、新型应用等,实现产品协同设计、生产监控与优化、制造与工艺管理、运营决策管理、资源配置优化等效果,而作为重要保障的安全建设相对滞后,面临着严峻挑战。
工业互联网包括三大体系:网络、平台和安全,网络是工业互联网互联的基础,平台是工业互联网发展的核心,安全是工业互联网的保障,三者相辅相成、必不可缺;基于工业互联网的总体发展与安全建设状况,2021年1月13日,工业和信息化部印发《开展工业互联网企业网络安全分类分级管理试点工作的通知》,启动部署分类分级试点工作。2022年5月13日,工业和信息化部办公厅《关于开展工业互联网安全深度行活动的通知》正式发布,加快提升我国工业互联网安全保障水平,组织开展工业互联网安全深度行活动。
图 2-1 工业互联网企业相关政策指导文件
在工业和信息化部办公厅《关于开展工业互联网安全深度行活动的通知》中规定在11月底前,各地工业和信息化主管部门、通信管理局联合第三方专业机构组织开展本地深度行活动,推进网络安全分类分级管理、政策宣贯及其他活动。并于12月16日前,完成本地深度行活动总结,形成书面报告上报工业和信息化部(网络安全管理局)。
至此,全国各地主管部门都相应展开深度行活动,深度践行工业互联网企业网络安全分类分级管理及政策标准宣贯,以及其他有利于提升我国工业互联网安全保障水平的各项工作。
3
安全深度行下网络安全
分类分级管理的开展
日前,各省份都相应展开了工业互联网企业网络安全分类分级管理工作,对于工业互联网企业(联网工业企业、平台企业、标识解析企业),应该履行工业互联网安全管理主体责任,按照有关规定开展自主定级、安全评估、安全整改、应急保障等工作,落实安全防护规范要求,保障工业互联网安全稳定运行。本文主要针对联网工业企业为对象展开网络安全分类分级管理工作推进的说明,企业应当主动开展自主定级工作,根据评级结果结合《工业互联网企业网络安全分类分级管理指南(试行)》中的安全防护要求进行安全评估、安全整改与建设,提高本企业的网络安全保障水平。
图 3-1 工业互联网企业网络安全分类分级管理指南(试行)
3.1 联网工业企业自主定级
联网工业企业是应用工业互联网的企业简称,主要是指将新一代信息通信技术与工业系统深度融合,推动企业模型化研发、智能化制造、网络化协同、个性化定制、数字化管理、服务化延伸,实现智能控制、运营优化和生产组织方式的变革,主要涉及原材料工业、装备工业、消费品工业和电子信息制造业等行业。
由联网工业企业根据工业互联网企业网络安全分类分级评定规则结合自身实际情况进行初步自主定级,上报至地方主管部门进行核查确认,各地工业和信息化主管部门、通信管理局与企业建立工作机制,开展抽查、通报、完善安全防护形成闭环流程,帮助企业落实安全防护机制,保障生产工业活动有序、可靠、持续进行。
依据工业互联网企业网络安全分类分级评定规则进行评分,联网工业企业参照行业重要性、企业规模、安全风险程度等因素,将企业网络安全等级由高到低划分为三级、二级、一级。
工业互联网企业定级采用计分方式进行,满分100分。具体评分细则参考工业互联网企业安全分类分级评定规则按照联网工业企业定级方法进行计分。
依据评级结果针对工业互联网企业网络安全防护进行建设及完善,主动展开相关重要工作,有效应对网络安全风险,提升网络安全保障水平。
3.2 企业网络安全防护
工业互联网企业应根据企业网络安全防护要求落实相关措施,值得注意的是一级工业互联网企业需参照二级企业相关要求落实安全防护措施,意味着三个等级的工业互联网企业都有责任、义务进行网络安全防护相关建设。各地、各级工业和信息化主管部门定期会对本行政区域内工业互联网企业进行网络安全工作指导、抽查及通报,省级主管部门进行安全监管。
(1)建立健全网络安全责任制
落实工业互联网企业主要负责人为网络安全第一负责人,开展网络安全责任制、网络安全管理制度、应急处置机制等安全工作的推进、落实及完善。
(2)落实网络安全总体规划
企业应当根据自身信息化实际发展情况,结合网络安全总体规划制定合理、稳定、持续、可行的安全建设方案,依据业务划分不同区域、数据,展开分区分域重点防护,保障生产活动安全。
(3)建设网络安全监测预警平台
企业应建立网络安全监测预警平台,与省级平台对接,完善工作机制,建立持续、有效协同工作,加强安全监测技术能力,规避重大网络安全风险与隐患。
三级工业互联网企业建设企业级工业互联网安全监测平台,并接入属地省级工业互联网安全监测平台;
鼓励二级工业互联网企业积极建设企业级工业互联网安全监测平台,并接入属地省级工业互联网安全监测平台。
(4)开展符合性评测与风险评估
企业在落实安全防护措施及建立网络安全监测预警平台后,仍需对于企业的风险实现闭环管理工作,以管理风险为核心,不断完善企业安全防护能力。
三级工业互联网企业每年开展一次符合性评测和风险评估;
二级工业互联网企业每两年开展一次符合性评测和风险评估。
(5)完善网络安全事件应急方法
企业应当意识到网络安全不存在“绝对安全”的状态,当发现重大网络安全风险和事件时,应具备安全应急处理能力,能够快速、及时、有效处理相关安全问题和事件,及时向主管部门、通信管理局报告。
三级工业互联网企业每年至少开展一次应急演练;
二级工业互联网企业每两年至少开展一次应急演练。
4
积极践行网络安全分类分级管理
4.1落实网络安全责任制,建立安全管理制度
落实工业互联网企业法人代表、经营负责人第一责任者的责任,对本企业安全生产工作负全面责任,统筹企业内网络安全防护各项工作的有序开展,有效保障企业内工业生产活动安全;
成立网络安全小组,明确工业互联网安全相关责任部门和责任人,依法落实企业主体责任。通过网络安全责任制,建立安全工作责任人划分与问责机制,有效保障各项安全工作能够落实到位,建设并完善一套能够依据企业实际情况且适用的网络安全管理制度,从管理机构与人员、资产管理、安全原则、安全设计、安全运维等多个维度进行规范,把安全工作落到实处;可借鉴联网工业企业安全防护规范(试行)中的安全管理要求,包括安全管理制度、安全管理机构和人员、安全建设管理、安全运维管理等。
图 4-1 网络安全管理要求
4.2 制定总体规划,安全防护规范
联网工业企业按照《工业互联网企业网络安全分类分级管理指南(试行)》的级别划分,采取不同程度的安全防护,围绕企业自身信息化、数字化发展现状,基于国际、国内标准及行业标准建设一套符合工业互联网企业安全防护体系,有效保障企业的设备安全、控制安全、网络安全、数据安全等。
依据《工业互联网企业网络安全分类分级管理指南(试行)》的安全防护要求,对于制造执行层、集中监控层、过程控制层的设备安全、控制安全、网络安全、数据安全展开相应的安全建设,结合实际场景与情况进行总体规划;划分生产业务区域与管理信息区域,基于生产业务的重要性,优先对于生产业务网络的各个区域进行安全防护,可参考下图工控安全防护体系规划进行分期建设。
图 4-2 工业互联网企业工控安全防护体系规划
(1)设备安全防护方案
设备安全防护主要从终端计算机、控制设备、存储介质三个维度展开,对不同的设备进行不同程度、不同要求的防护。在终端计算机、控制设备的安全防护中可采用工控主机卫士,实现防病毒、接入认证、安全加固等安全防护效果;可结合实际生产业务使用的系统、应用、组态软件建立可信的白名单环境,阻止非授权的应用、恶意代码程序及病毒等程序的运行,具备已知、未知病毒的防护能力;结合双因子认证机制,提升设备使用人员的合法性;通过安全基线加固技术,提升主机操作系统安全等级。
在移动介质的安全防护中采用移动介质安检站,结合“工控主机卫士+安全U盘”构建移动存储介质全生命周期管控方案,对于生产车间内部使用的移动介质进行综合管控,实现安全杀毒、权限管理、数据摆渡等安全效果,降低通过移动介质引入病毒的风险,有效保障工业设备的安全性。
图 4-3 移动存储介质全生命周期管控
(2)控制安全防护方案
控制安全主要针对联网控制系统、组态软件、工业数据库、配置与运维安全提出相关规范。在联网控制系统与网络安全防护中实现状态监测、流量采集与行为分析、异常告警、入侵告警的要求,可采用工控安全监测与审计系统,基于工控协议深度解析技术,智能学习建立业务系统安全通信模型,对联网控制系统与网络进行流量实时分析,分析生产网络攻击流量和异常行为,进行及时发现、报告并处理。
针对联网控制系统、工业数据库等产生的日志进行管理与备份,定期进行审计分析,实现关联分析、事件管理,及时发现安全问题与风险,可采用日志审计与分析系统,对于联网控制系统、工业数据库进行日志收集,实现日志数据和告警数据关联分析,及时对安全事件进行追溯或干预。
在运维安全要求中加强对于技术服务、运维服务的网络安全管理能力,在安全得到保障下进行远程维护、技术服务,采用安全运维管理系统,针对联网控制系统、工业数据库、服务器及其他设备等资源的运维与操作进行身份认证、权限控制及行为审计,加强用户授权、审计管理,提高运维安全能力。
(3)网络安全防护方案
在网络安全防护要求中,对于组网、架构、连接、网络设备、安全设备提出具体安全要求。在组网与架构安全中实现分区分域,不同区域、层级之间实现安全边界防护能力,企业管理层与制造执行层之间采用工控安全隔离与信息交换系统,制造执行层相比于企业管理层安全等级更高,必须保证其安全性,实现两者之间的物理隔离,规避外部的攻击的同时,避免内部生产数据与信息的泄漏,建立可控的信息交换通道。
不同区域之间应实现访问控制,采用工业防火墙,对不同区域间的访问行为进行管控,对于非授权连接行为进行拦截以及审计记录;对各控制系统和设备使用的工业控制协议进行深度识别及解析,建立工业控制协议白名单访问控制策略,保证只有可信任的指令和消息才能在网络上传输。配备硬件级安全策略写保护功能,与生产业务起到“同频共振”效果,极端情况下仍能有效保障生产工业活动正常运行。
图 4-4 硬件级安全策略写保护
在网络边界防护中,采取入侵防范、恶意代码防范等措施,可采用高级威胁检测系统,对于实时通信的数据流量进行拆包分析,利用入侵检测、病毒木马检测、未知威胁沙箱行为检测、恶意流量人工智能检测等技术,实现已知、未知威胁的全面检测,起到快速告警、及时响应的安全防护作用。
在安全设备要求中,合理部署安全设备,完善网络安全防护,可在安全管理中心区域部署统一安全管理平台,通过统一安全管理平台实现对全网的安全设备、安全事件、安全策略、安全运维进行统一集中的监控、调度、预警和管理,减轻网络安全系统的运维工作量。采用工控漏洞扫描平台,针对主机类、网络类、安全类等各式设备及应用系统等进行漏洞扫描,解决漏洞防护、设备基线核查、弱口令等问题,构建漏洞管理闭环流程,提高设备层的安全指数,减少生产网络中存在的风险。
(4)数据安全防护方案
应按照《工业互联网企业数据安全防护规范(试行)》对联网工业企业所使用的数据进行分类分级,依据分级要求采取对应的数据安全防护措施。可在MES服务器、WMS服务器、实时数据库服务器以及其他区域重要的服务器上部署主机防勒索系统,基于主动防御理念有效防范千变万化的勒索病毒攻击,通过基于底层驱动感知的勒索行为监测、主动诱捕、数据智能备份及恢复等功能实现数据安全的有效保障,达到事前防御、事中检测/阻断、事后恢复的重要数据安全保护效果。
图 4-5 主机防勒索系统保障数据安全
4.3 工业互联网安全监测平台建设
工业互联网企业网络安全分类分级指南(试行)明确要求三级工业互联网企业建设完善企业级工业互联网安全监测平台,并接入省级以上工业互联网安全监测平台;二级工业互联网企业应当积极建设企业级工业互联网安全监测平台,并与省级工业互联网安全监测平台对接。
工业互联网企业应当在建设安全防护体系与安全管理制度的基础上,完善建设工业互联网安全监测平台,整体上为企业安全运营提供资产管理、漏洞管理、风险评估、监测预警、攻击溯源、趋势预测、协同联动等能力,一方面提供工业互联网企业整体的资产态势、运行态势、攻击态势、脆弱性态势、事件态势各类宏观态势;另一方面提供安全事件的智能分析,解决由于海量告警导致产生的运维压力。整体构成了安全风险主动排查、安全状态主动监测,安全事件主动响应的全方位的主动安全防御体系。
图 4-6 工业互联网安全监测平台
工业互联网企业依托安全监测平台实现网络安全监测预警与信息通报制度,可建立与省级以上工业互联网安全监测平台联动工作机制,双重监测机制保障企业网络安全风险及隐患及时发现通报,预防重大网络安全事件的发生。
4.4 落实防护措施,风险闭环管理
工业互联网企业网络安全分类分级指南(试行)明确要求三级工业互联网企业每年开展一次符合性评测和风险评估,二级工业互联网企业每两年开展一次符合性评测和风险评估。企业可参考2022年4月份正式新发布GB/T 20984-2007《信息安全技术 信息安全风险评估规范》开展信息安全风险评估工作,围绕风险评估实施流程进行工作开展,企业可基于工控漏洞扫描平台或其他风险评估工具建立风险识别、分析的过程,定期对于生产业务区域、管理信息区域的网络、系统、设备定期展开风险评估,依据评估报告,有重点、分步骤开展网络安全设计、安全测试、安全整改等工作,形成风险的闭环管理。必要时,可结合第三方专业测评机构进行符合性评测和风险评估,进一步提高风险闭环管理能力,以较小的风险管理成本获得工业企业可靠生产的高效益。
图 4-7 风险评估实施流程
4.5 定期举办应急演练活动,健全安全应急预案制度
工业互联网企业网络安全分类分级指南(试行)明确三级工业互联网企业每年至少开展一次应急演练,二级工业互联网企业每两年至少开展一次应急演练。应急演练作为在事件真正发生前应急响应预备性工作,其重要性不言而喻;网络安全小组应该应当制定本行业、本领域的网络安全事件应急预案,并定期组织演练,检验企业当前的安全防护和应急处置能力。
在此基础之上,更应不断健全本企业安全应急预案制度,除了定期举行应急演练外,还应该对于不同等级的紧急事件根据对业务的影响程度进行明确划分,明确事件类型、处置手段、处置责任人,预设检测方案、抑制方案、根除方案、恢复方案、跟踪方案,第一时间根据应急小组的研判结果进行快速响应。
当安全紧急事件发生时,立马启动应急预案,尽早准确得出研判结果,快速响应、处置问题与风险,以达到不影响业务系统稳定运行的效果,从而保障工业互联网企业工业活动正常运行。
图 4-8 安全应急响应流程
5
结语
工业互联网是未来的发展趋势和各国之间的竞争核心,已经在全世界引起了高度重视,与国家发展、经济走向息息相关。工业互联网企业在高速发展的同时应该更加重视安全建设,安全保障水平与安全管理制度同步到位,有效保障企业内各项工业生产活动安全稳定、万无一失;目前,威努特已协助多家工业互联网企业入选工信部工业互联网网络安全分类分级管理优秀试点企业,形成可复制可推广的工业互联网网络安全分类分级管理模式,具备工业互联网网络安全典型解决方案的实践经验与建设能力。
Copyright © 2005-2021 网信安全世界版权所有