2021年1月28日,湖北省经济和信息化厅工业企业安全评估服务项目顺利交付。该项目威努特共投入人力210人天,对湖北省管辖内12家重点工业企业进行安全评估服务,帮助工业企业理清现有信息资产,梳理企业现状及风险,针对高风险项提出合理的处置措施,完善企业管理相关流程。协助上级监管部门经信厅进一步掌握其管辖区域内企业的网络安全建设情况和风险。
本项目也是落实《工业控制系统信息安全防护指南》加速推动《工业互联网创新发展行动计划(2021-2023年)》提高企业工控安全意识和防护能力水平,促进工业互联网企业网络安全防护能力提升的重要项目。
工业控制系统信息安全是国家网络和信息安全的重要组成部分。近年来,随着信息化和工业化融合的不断深入,工业控制系统从单机走向互联,从封闭走向开放,从自动化走向智能化,在生产力显著提高的同时,工业控制系统面临着日益严峻的信息安全威胁。回看2020年安全事故,能源、制造、运营商、关键基础设施供应商等,均遭受有组织的攻击,攻击手段包括勒索、信息窃取、破坏,整体来看,针对工业系统的攻击愈演愈烈,经济目的越发明确,给企业带来损失的同时,威胁到国计民生、公共利益甚至国家安全。
湖北省经济和信息化厅为落实《工业控制系统信息安全防护指南》,通过专业技术队伍对湖北大型工业企业开展工控安全检查,提高企业工控安全意识和防护能力水平。加速推动全省工业转型升级,推进电子信息产业发展,积极推进两化融合,推进电子政务工作,加强网络信息安全,加快软件产业和工业服务业发展,全面提升工业与信息化工作,积极推进湖北省工业经济高质量发展。
工业信息系统安全评估检查是对工业控制系统网络内各资产进行安全管理的先决条件,其目的在于识别和评估不同用户所面临的生产安全风险和网络安全风险。根据GB/T 20984-2007《信息安全技术 信息安全风险评估规范》、GB/T31509-2015《信息安全技术 信息安全风险评估实施指南》、GB/T 32919-2016《信息安全技术工业控制系统安全控制应用指南》、GB/T 36466-2018《信息安全技术 工业控制系统风险评估实施指南》等相关标准对一个独立的工业控制系统开展风险评估工作,结合资产、威胁、脆弱性以及已有安全措施有效性综合分析工控系统面临的安全风险,并出具评估报告。
湖北省经济和信息化厅通过层层筛选,确定企业目录,选取省内具有代表性的12家重点企业,覆盖的行业囊括汽车零部件、石油化工、冶金、装备制造、食品制造和电子信息等等,主要的控制系统厂商涵盖和利时、ABB、西门子和欧姆龙等。安全检查从企业资产、系统结构、网络架构、系统生命周期等方面确定评估范围。威努特评估小组通过文档查阅、现场访谈、现场核查、现场测试等技术手段开展安全检查工作。
![案例精选丨湖北省经济和信息化厅工控安全评估项目]( "案例精选丨湖北省经济和信息化厅工控安全评估项目")
![案例精选丨湖北省经济和信息化厅工控安全评估项目]( "案例精选丨湖北省经济和信息化厅工控安全评估项目")
本项目覆盖多个行业领域,涉及工业系统资产厂商及其设备种类众多,包含高端数控机床、PLC、机械臂、高端发动机等;与此同时,很多器件又采用国外产品,工业工艺核心硬件、软件的内部机理、通信过程缺乏透明度,导致自身可能存在设计漏洞、系统漏洞等等,甚至是否被植入后门都不得而知。综合原因导致现场资产不易收集,对其进行全生命周期管理困难重重。
资产评估通过工具检测、文档查阅和人员访谈三种方式开展。工具检测方面采用无损探测技术对工业现场的资产进行探测扫描,形成资产列表,帮助客户摸清家底。同时威努特评估小组通过文档查阅、现场查看等方式采集企业的资产信息。在获得资产信息后,根据评估的需求对资产进行归类,并依据资产在整个工控系统中的重要程度对资产安全属性进行赋值。评估小组协助企业识别资产共计861点位。工业信息系统与传统的信息系统资产有着很大的区别。传统的信息系统资产包括网络设备、安全设备、主机、服务器、数据等;工业信息系统除了传统的新系统资产外还有工控特有的资产,还包含PLC、机床控制系统等自动化控制设备和DCS、SCADA等业务系统,以及WINCC、IFIX等组态软件。评估小组通过资产的CIA属性结合对工控系统的特点进行资产赋值。
![案例精选丨湖北省经济和信息化厅工控安全评估项目]( "案例精选丨湖北省经济和信息化厅工控安全评估项目")
后续威努特评估小组会与企业相关人员通过技术访谈(36人次)和文档查阅的方式详细了解组织工控系统在建设、运营、维护等方面的信息。收集到工控系统相关的物理环境、安全组织结构、操作习惯等大量有用的信息,鉴别工控系统的物理边界和逻辑边界,了解网络结构,也可以了解到被访谈者的安全意识和安全技能等自身素质。由于访谈的互动性,评估人员可以广泛提问,从多个角度获得多方面的信息。技术访谈可验证之前收集到的资料,从而提高其准确度和完整性。
![案例精选丨湖北省经济和信息化厅工控安全评估项目]( "案例精选丨湖北省经济和信息化厅工控安全评估项目")
工业控制系统与传统信息系统存在着巨大的区别,最鲜明的一个特点即工业控制系统与传统信息系统对信息安全“CIA”三性的关注度不同。传统信息系统更看重信息的机密性,而工业控制系统为了保证工业过程的可靠、稳定,对可用性的要求达到了极高的程度。在工业控制系统中,系统的可用性直接影响的是企业的生产,生产线的停机、简单的误操作都有可能导致不可估量的经济利益损失,在特定的环境下,甚至可能危害人员生命,造成环境污染。因此,工控系统的脆弱性是与生俱来的。
漏洞分析评估的分析过程中,技术工具是其中重要的环节和手段时,本次项目评估小组结合现场生产情况选取合适的时间,采用具备无损探测扫描技术的工控漏洞扫描平台对工业控制系统做漏洞分析。工控漏洞扫描平台特有的工控漏洞特征库,针对国内外常见的SCADA、组态软件、HMI、PLC、DCS、应用系统等多种类型的系统或设备进行针对性扫描,准确定位其脆弱点和潜在威胁。
![案例精选丨湖北省经济和信息化厅工控安全评估项目]( "案例精选丨湖北省经济和信息化厅工控安全评估项目")
![案例精选丨湖北省经济和信息化厅工控安全评估项目]( "案例精选丨湖北省经济和信息化厅工控安全评估项目")
如上所述,此次项目中遇到的生产控制系统品牌众多,不同品牌的生产控制系统中采用工业协议的数量也是众多、繁杂,涵盖了OPC、Modbus、DNP3、EtherNet/IP、Profinet、Siemens S7等,其中很多智能机床采用的通信协议更是厂商私有协议,不对外开放,因此流量评估所选择的工具需要具备对工业协议解析的能力。
因为工业控制系统的实时性要求高,所以在合适的时间通过将具有工业流量分析技术的产品采用旁路的方式部署在生产系统的各个数据交换节点,分析流经的工业控制系统的流量,并对数据包进行深度分析,快速发现网络流量中的问题。工控安全监测与审计平台,是专门针对工业控制网络的信息安全审计平台,结合数据流分析技术,将数据流模式作为一个整体来抽象地研究和评估整个网络架构的安全性。基于对工业控制协议(如Modbus TCP、 OPC、SiemensS7、DNP3、IEC104、Ethernet/IP、MMS、PROFINET和FINS等)的通信报文进行深度解析(DPI,Deep Packet Inspection),能够实时检测针对工业协议的网络攻击、用户违规操作等行为。
结合《工业控制系统信息安全防护指南》、《信息安全技术网络安全等级保护基本要求》等法律法规要求和不同企业工艺流程特点,形成不同的问卷,对企业进行安全防护措施和安全管理办法进行双重评估,在过程中进行取证、留存,对不符合合规性要求的指标提供专业的技术支撑和整改建议。
评估小组结合企业目前的资产信息、系统漏洞信息、网络安全信息通过鉴别与各工控系统有关的网络,分析各工控系统可能遭受的内部及外部人员的无意或故意威胁;通过鉴别与各工控系统有关的网络以及可能的威胁源,分析出厂区常见威胁9大类、脆弱性问题共计4100余项。输出过程文档600余份,包含《资产清单》、《漏洞扫描报告》、《流量审计报告》、《威胁识别表》、《脆弱性识别表》、《项目总体风险评估报告》、《安全整改建议》等等。
![案例精选丨湖北省经济和信息化厅工控安全评估项目]( "案例精选丨湖北省经济和信息化厅工控安全评估项目")
通过安全评估检查,发现企业普遍存在的典型问题如下:
安全软件选择与管理:工业主机上均未安装防病毒软件或应用程序白名单软;未建立防病毒和恶意软件入侵管理机制,对工业控制系统及临时接入的设备采取病毒查杀等安全预防措施。
配置和补丁管理:大量主机系统老旧,漏洞补丁从未升级。
网络安全防护:网络边界无防火墙或网闸进行隔离防护,网络混乱边界不清晰等问题颇为严重。
物理和环境安全防护:工程师站、数据库、服务器等核等区域未采取访问控制、未安装视频监控;移动介质使用不规范。
身份认证:工业主机登录时口令普遍偏弱,并且很少对口令进行定期更新;关键设备、系统和平台的访问并未采用多因素认证。
安全监测和应急预案演练:工业网络中未部署网络安全监测设备;应急预案不完善。
最终威努特协助客户建立了完善的资产信息台账,梳理了网络拓扑,识别了安全风险,对企业的安全风险提出处置建议。形成了工控安全建设规划方案。根据安全评估的结果,为每家企业提供了为期1天工控安全培训,提高现场操作员安全意识,也帮助企业客户了解工控网络安全建设体系和技术路线。
![案例精选丨湖北省经济和信息化厅工控安全评估项目]( "案例精选丨湖北省经济和信息化厅工控安全评估项目")
-
为工业企业内部员工提升安全意识,营造安全氛围,明确岗位职责。
-
为工业企业理清现有信息资产,梳理企业现状及风险,针对高风险项提出合理的处置措施;完善企业管理相关流程,缩短安全事件监测事件和响应时间;优化安全事件的处置流程,确保各方处置安全事件时紧致有序。
-
为上级监管部门经信厅进一步掌握其管辖区域内企业的网络安全建设情况和风险,落实《国务院关于深化制造业与互联网融合发展的指导意见》建立工业控制系统安全风险信息采集汇总和分析通报机制,组织开展重点行业工业控制系统信息安全检查和风险评估工作。加快推进全省“万企万亿”技改工程,加快建设工业强省,奠定基础。
重视工业控制系统安全风险评估是信息化发达国家的先进经验,我国当前高度重视工业控制系统安全保障工作,尤其是核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域。
近几年,《工业互联网创新发展行动计划(2021-2023年)》以及《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》等规划和政策的陆续颁布,可见国家和各监管部门对工业控制系统网络安全建设推动的决心和力度。
助力工控企业的网络安全建设工作,威努特可以提供覆盖工业控制系统全生命周期的工控安全咨询、安全培训、风险评估、安全检测、安全应急、安全建设及运维等全流程服务,为工业安全的安全生产保驾护航。
北京威努特技术有限公司(以下简称“威努特”), 是国内工控网络安全领军企业、全球六家荣获国际自动化协会安全合规学会ISASecure CRT Tool认证企业之一和亚太地区唯一国际自动化学会(ISA)全球网络安全联盟(GCA)创始成员。
威努特作为国家高新技术企业,以创新的“白环境”整体解决方案为核心,自主研发了全系列工控网络安全专用产品,拥有52项发明专利、50项软件著作权、52项原创漏洞证明等核心知识产权。积极牵头和参与工控网络安全领域国家、行业标准制定,受邀出色完成新中国70周年庆典、中共十九大、两会等重大活动的网络安保任务,被授予“国家重大活动网络安保技术支持单位”,得到了中央网信办、公安部、工信部等国家府部门的高度认可。迄今已成功为电力、轨道交通、石油石化、军工、烟草、市政、智能制造、冶金等国家重要行业1000多家工业企业提供了全面有效的安全保障。
威努特始终以“专注工控,捍卫安全”为使命,致力于为我国关键信息基础设施网络空间安全保驾护航!
![案例精选丨湖北省经济和信息化厅工控安全评估项目]( "案例精选丨湖北省经济和信息化厅工控安全评估项目")
渠道合作咨询 张先生 18201311186
稿件合作 微信:Ho1iday_Luo
本文始发于微信公众号(威努特工控安全):案例精选丨湖北省经济和信息化厅工控安全评估项目
评论