首頁 > 關于我們 > 新聞動態 > 深度解讀

六大視角解讀 《工業控制系統網絡安全防護指南》助推新型工業化高質量發展

發布時間 2024-01-31
為適應新型工業化發展形勢,提高我國工業控制系統網絡安全保障水平,指導工業企業開展工控安全防護工作,以高水平安全護航新型工業化高質量發展,工業和信息化部印發《工業控制系統網絡安全防護指南》(以下簡稱《指南》)。



該《指南》因地制宜地指導工業企業在新環境下,切實提升工業控制系統網絡安全基線防護能力,對依靠創新和技術進步推動產業水平提升和價值鏈升級的新型工業化安全發展、推動企業數字化轉型發展具有重要意義。


六大視角 帶你重點解讀《指南》 


《指南》基于新型工業化高質量發展的需求,從“安全管理、技術防護、安全運營、責任落實”四大方面,針對“上云安全、供應鏈安全、系統數據安全、運營中心”等領域,提出了33項網絡安全防護基線要求。在等級保護、關鍵基礎設施保護的基礎上,各工業企業在滿足《指南》建設時,需要重點關注的建設方向如下:


一、上云安全


新型工業化、數字化轉型不僅僅是OT和IT打通的問題,更是深入工業底層,解決企業的生產問題,只有與工藝、生產技術智能化融合才能產生新的價值,是工業互聯網真正的發力點。


而為智能制造企業打造的以5G云網能力為基礎的“邊-端-云”協同的分布式云部署工業控制系統,支持工業控制的跨硬件設備、跨操作系統的統一編程、部署、測試與管理,促進了工業系統OT域和IT域的融合,打造以通用I/O終端、5G全連接一體化工業網絡、“邊-端-云”協同為核心的智能工業制造體系。


基于云計算和工業物聯網技術的工業互聯網平臺打造了工業企業云管控系統,為提高企業生產效率、降低成本、提升質量、保障安全提供有力支持。針對“上云安全”,主要涉及:安全風險識別、安全職責劃分、分區分域分級設計、云安全防御、云安全檢測、云安全運維與安全管理、云安全響應以及云安全恢復。


二、工業供應鏈安全


工業企業在推進數字化轉型時,不斷將上下游供應鏈鏈條拉長拉通、互聯互通,導致企業的受攻擊面增大,尤其針對供應商、渠道商、服務商以及運維商的攻擊已成為趨勢,在產品開發設計、生產、采購、交付、運行、使用、運維等各個環節頻發安全事件,給我國工業產業安全帶來了巨大威脅。


因此,各工業企業需要正視供應鏈網絡安全問題,制定關鍵生產設備、精密零部件、核心控制設備、工業操作系統、工業交換機、應用軟件等重要產品進口目錄、分類分級,建立工業網絡安全審查和檢查制度,更需要積極利用如人工智能、工業協議DPI、白名單、威脅情報、知識圖譜、態勢感知等技術,構建工業互聯網供應鏈安全技術防御體系,建設“全場景、可信任、實戰化”的工業互聯網安全運營體系,實現工業互聯網“全面防護、智能分析、自動響應”的主動防護效果。


三、工業"運營中心"與托管式服務


隨著工業領域數字產業化、產業數字化的加速發展,工業企業在數字化轉型過程中面對新信息環境變化,需要主動式安全運營來應對專業化的高級威脅。


通過以“安全能力服務”(風險識別、安全防御、安全檢測、安全響應和安全恢復)為指導的基礎運營支撐服務,涵蓋資產監測與保護、威脅檢測與分析、風險識別與預警、事件分析與處置等環節;通過網絡安全保險、全(半)托管式的專業化服務等方式,提升安全運營態勢可見、風險可控和過程可管的能力;通過以“攻防戰法”為核心的實戰化安全運營能力評估、提供主動式專家運營服務,從“攻防兼備”和“內外兼修”全運營視角,打通運營流程、運營人員和運營工具之間的壁壘和孤島,提升安全運營整體協防能力,確保安全運營的實效性。


四、工業誘捕技術的深度應用


數字化轉型、兩化融合等加劇工業企業面臨供應鏈、APT組織攻擊、0day漏洞等未知威脅攻擊的風險,圍繞關鍵應用工業控制系統的安全能力建設更需要偏向實戰化,在攻防不平衡的現狀下亟需針對未知威脅提供高效的主動檢測防御技術能力,優化企業整體安全防御體系,工業蜜罐和蜜網對于抵御對工業控制系統、工業物聯網攻擊至關重要。


通過工業誘捕設施可以誘騙攻擊者認為自己已獲得對真實系統的訪問,經捕獲和分析攻擊行為,了解其攻擊工具與方法,推測攻擊者意圖和動機,并與其他主流安全解決方案(如防火墻、入侵檢測系統IDS等)形成互補,對惡意行為進行有效防御,并扭轉網絡攻防的不對稱局面。通過將工業蜜罐技術應用于工控安全態勢感知,有效獲取針對工業控制系統及設備發起的網絡攻擊數據,分析攻擊手段,剖析攻擊者活動趨勢,具有極高的實用價值。


五、工業威脅暴露面管控


新型信息技術在工業領域數字化轉型的深度應用、迅速發展帶動了工業網絡資產邊界快速拓展,增加了工業企業資產暴露面,而基于供應鏈的新型攻擊則大大降低了攻擊成本。在多重因素的驅動下,工業企業網絡安全防御策略也需與時俱進,需要基于工業企業威脅暴露面管理進行企業威脅管控與防御。


通過以外部攻擊者視角來審視工業企業所有資產可被利用的攻擊可能性,對工業企業數字資產攻擊面進行檢測發現、分析研判、情報預警、響應處置和持續監控的資產安全性管理方法,重點關注邊界處存在被利用的攻擊可能性,審視整個企業資產可能存在的脆弱性及其被利用的可能性,重點關注影子資產、供應鏈資產、三方API接口等攻擊面重災區,不斷補充流量和日志監控缺口,完善攻擊面的管理。


此外,工業企業威脅暴露面管理強調主動出擊。通過主動管理暴露面來防止攻擊發生,有效改變目前網絡安全攻防對抗中的游戲規則。由于企業的數字化業務和資產不斷變化,因此,針對暴露面的管理和運營工作要持續進行,需要經過T1、T2、T3各線安全專家的綜合分析,將合適的數據和技術結合起來,對各種暴露面進行合理排序,實現最優化的防護效果。


六、工業數據安全


數字化轉型成為工業企業應對未來市場競爭的必然選擇,促使工業企業組織模式、生產模式和服務模式不斷向跨設備、跨系統、跨廠區、跨地區的互聯互通轉變,數據規?;鲩L、泛在化流動、平臺化集聚,成為維持工業體系運轉的“血液”。


與此同時,原先相對封閉的工業生產環境在數字化轉型中被打破,工業主機、數據庫等存在的端口開放、漏洞未修復、接口未認證等安全威脅在開放互聯環境下被指數級放大,數據更易泄露;地緣政治沖突推動關鍵工業領域的APT攻擊、工業供應鏈攻擊肆虐全球,大量數據被竊取,生產運營受影響;工業領域積極引入人工智能、區塊鏈等新興技術,在促進工業數據分析、挖掘、利用的同時,也帶來深度偽造、數據污染等新生威脅。


在企業內部,企業數字化轉型要求打破“數據孤島”和“管理孤島”,實現數據安全有序共享的同時,無疑增加了數據安全的風險。企業內部數據流動主要是:訪問者與業務應用之間的數據流動、應用API與API之間的數據流動,需要實現對工業數據流量的無死角監測、全面且精準地掌控全網的數據流動趨勢,識別異常行為,才能跨業務部門、跨網段、跨地理位置進行數據流動分析。


因此,企業不但要建立基于零信任的身份管理訪問控制,更要對工業API進行監測和防護,建立以工業敏感數據保護為中心,構建“工業數據安全治理體系、個人信息保護體系、數據出境合規體系”,從“組織建設、制度流程、技術工具、人員能力”四個領域,架構全域的數據安全防護技術能力,通過工業數據資產稽核管理、自動化分類分級、數據安全風險監測、API接口安全管理、數據安全流轉監控、數據安全合規管理和數據安全策略統一管控等多種先進技術與AI算法,讓工業數據所有者看得見風險、讓數據使用者看得到約束、讓服務運營者看得到策略,高效應對數據安全風險與挑戰,促進工業企業數字化轉型。


新型工業化加速了5G、工業互聯網、大數據、云計算、人工智能等新型信息技術與傳統制造業深度融合,持續推進實體經濟高效發展。面向新型工業化下的工業控制系統網絡安全的新安全需求,啟明星辰以中國移動“BASIC6”科創計劃為指引,構建“2+2+1+X”新型工業化安全體系,為工業企業提供全流程、全要素的安全保障,為新型工業化高質量發展貢獻安全力量。

上一篇 下一篇