《工控安全防护能力成熟度模型》贯标思考

全国信息安全标准化技术委员会为有效贯彻落实《国务院关于深化“工业互联网+先进制造业”发展工业互联网的制定意见》有关要求，推进和强化落实工业企业《工业控制系统信息安全防护指南》要求，制定此标准。

此标准在工信部制定的《工业控制系统信息安全防护能力评估方法》11大项61个安全防护要点基础上细化为10个过程类365个基本实践（BP），对照情况如下图所示：

绿盟科技围绕工控安全防护能力成熟度模型的五个等级，即基础建设、规范防护、集成管控、综合协同、智能优化，提出了组织机构、制度流程、技术工具和人员能力四个安全要素的能力建设，通过以下模型结构图，助力工业企业整体工控安全防护能力渐进提升。

绿盟科技协助企业梳理并健全工控安全组织架构体系。首先在工业企业内部形成工控安全共识，在此共识的引导下，通过不断完善组织结构设置、人员配备和工作职责划分，形成完整的工控安全组织架构，如下图所示。实现对工控安全工作的全方位管理，充分发挥各部门和各类人员在工控安全工作中的作用，开展跨部门跨职能联合管理、协同落实安全防护工作，甚至与整个产业链的上下游进行联合，形成统一的工控安全联合工作机制。

绿盟科技通过工控安全知识培训、安全意识培训、实战演练、攻防对抗等安全服务协助企业提高人员安全意识及相关专业能力。加大工控安全人员安全意识和专业能力的建设投入，不仅可以提高企业自身工控安全防护水平、筑牢工控安全“最后一道防线”，也是企业实现工控安全投资利益最大化的最佳选择。

企业需要投入与工控安全建设需求相匹配的安全团队，团队中的人员应能实现对安全防护技术和管理工具的综合分析、集成、管控和能力编排。因此，相关安全人员需要具备复合型的网络安全与自动化专业技能，有能力应对更加高级的工控安全威胁。

绿盟科技协助企业建立健全工控安全相关的管理制度和流程规则。工控安全管理制度流程建设参考ISO 27001四级文件体系，覆盖企业所有工控安全相关活动，保证企业范围内安全技术和安全运维的一致性，并加强针对制度本身创建、发布、评审修订的管理工作。

绿盟科技提供全方面的工控安全技术工具，为企业工控安全技术工具能力建设提供支撑。具体技术架构设计如下图所示：

★ 二级“规范防护”

1）网络架构设计

按照纵向分层、横向分区的原则进行区域划分，企业整体网络分为管理网和生产网。生产网又划分为生产管理层、过程监控层、现场控制层和现场设备层。

2）边界防护设计

在企业管理层与生产管理层之间部署工业网闸，对工业协议报文拆包、内容剥离、安全过滤、单向传输、协议重组等，保障只有生产数据从生产网传输到管理网，禁止管理网违规访问生产网，实现生产网与管理网之间的大边界安全防护。

在生产网内部的生产管理层与过程监控层之间部署工业防火墙，实现边界访问控制和安全防护，并对工业通讯协议进行深度解析，对途经防火墙的工业协议字段与数据值进行检查。

3）主机防护设计

在所有工业主机上安装主机卫士系统客户端（单机版），通过一键固化、应用白名单、主机加固、外设管控等技术实现对工业主机的安全防护，增强未知威胁防范能力。

★ 三级“集成管控”

在二级“规范防护”技术设计的基础上新增如下技术设计：

1）独立安全组网

在原有架构基础上新建一个独立的安全管理区，对分布在网络中的安全设备进行集中管控。

2）数据防护设计

在安全管理区部署数据库审计设备，建立数据库操作的风险特征与审计行为的映射规则，对常见的工业实时数据库以及关系型数据库进行审计。

在生产管理层的交换机旁路部署数据防泄露，对出口流量进行内容审计，实现数据敏感信息识别、网络数据泄漏监控预警、事件审计及业务分析，防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改、删除。

3）日志审计设计

在安全管理区部署日志审计系统，实现对生产网络的各类网络设备、安全设备、工控设备以及操作系统、数据库、应用系统的日志信息进行集中收集与分析。解决网络设备、操作系统、数据库、业务系统以及安全设备的运行日志、操作日志、访问记录等日志信息未进行集中收集与分析问题，同时满足《网络安全法》“日志留存不少于六个月”的要求。

4）漏洞管理设计

在安全管理区部署工控漏扫，在工控系统上线前或检修时进行安全扫描，适用时期可定期进行扫描，临时接入设备应立即进行安全扫描，及时发现安全漏洞并在测试验证后完成漏洞修补或风险消减工作。

5）入侵检测设计

在过程监控层的交换机旁路部署工控入侵检测，对生产网络中存在的异常威胁、漏洞利用行为、恶意攻击进行实时检测。

6）监测审计设计

在各生产线的交换机旁路部署工控安全审计，对流经各产线生产控制系统的网络流量进行审计。对上位机与下位机之间的工业协议识别，并进行深度解析，对违规操作、误操作以及关键操作（如下载、上传、组态变更以及CPU启停）等进行监测，实时了解生产网络的安全状态，为事后追溯、定位提供证据。

★ 四级“综合协同”

在三级“集成管控”技术设计的基础上新增如下技术设计：

1）主机防护统一管控

在所有工业主机上安装主机卫士系统客户端（网络版）或将原本安装的单机版客户端替换为网络版，通过一键固化、应用白名单、主机加固、外设管控等技术实现对工业主机的安全防护，增强未知威胁防范能力。在安全管理区部署主机卫士管理平台服务器，实现对所有客户端的策略下发、统一管控。

2）安全运维、双因素认证

在安全管理区部署运维堡垒机，通过在防火墙上设置ACL访问策略或其他技术手段保障运维数据流只能经过堡垒机到达运维资源，对运维过程进行录屏、键盘记录，并进行审计，保障远程运维安全。同时通过堡垒机自带的双因素认证功能实现对用户登录账户的双因素认证机制。

3）核心设备边界防护

在各个生产线内部的核心控制设备（如PLC、CNC数控机床等）前端部署工业防火墙或数控机床安全网关，对工业通讯协议进行深度解析，对途经防火墙的工业协议字段与数据值进行检查，实现对核心控制设备的精准防护。

4）态势感知、威胁报送

在安全管理区部署企业级工业网络安全监测态势感知平台，对部署的安全、网络以及关键业务系统进行操作日志、运行日志以及告警日志的集中采集、泛化和关联分析，并从整体视角进行实时感知、事件分析、研判等，同时联动工控安全设备一键封堵、策略下发，提升企业整体工控安全防护预警水平。

与国家或省级工业安全威胁预警平台对接，建立安全威胁报送与预警处置的工作流程。

绿盟科技为工业企业提供覆盖组织机构、人员能力、制度流程和技术工具的工控安全防护能力，从“设备安全、主机安全、网络安全、应用安全和数据安全”五大核心保护对象角度，为企业建立工控安全纵深防御体系；基于“全场景、可信任、实战化”的智慧安全3.0理念，成功打造覆盖IPDRR全周期理论体系的工控安全产品及解决方案，广泛应用于电力、汽车、钢铁、烟草、轨道交通、水务、化工、石油石化、装备制造等行业。