等保门户网: 专家专栏 > 专家专栏

浅谈工业控制系统信息安全运维

来源:威努特工控安全 发布日期:2017-10-23

随着工控行业信息化建设的不断推进及信息技术的广泛应用,随之而来的信息安全问题也愈发突出,各工控行业在系统的安全建设方面也做出了很大的投入。同时以风险管控为主线、以安全效益为导向、以风险相关法律、法规和理论方法为依据,以安全信息化、自动化技术为手段,建立起工控安全安全运维体系,前期安全建设工作将更行之有效!
1、工控现场安全运维现状
根据小威在各工控行业安全调研中发现,目前在工控系统安全运维方面普遍存在以下问题。
(1)工控安全审计建设不完善。目前工控安全建设的重点工作在安全防护方面(如增加工控防火墙、主机加固软件、网络隔离装置),在安全运维审计方面建设内容相对投入较少,使得运维手段缺失。
(2)安全运维体系不完善。小威在配合某市经信委对全市的工控系统进行安全检查的过程中发现,工控运维体系建设的重心都侧重在业务系统的可用性上,在网络安全性和保密性层面没有建立相关的运维指导体系。
(3)安全层面运维能力不足。大部分工业现场的运维工作由自动化部门负责,运维的内容主要是自动化设备的日常巡检。运维工程师大部分缺少信息安全专业技能,因此在工控系统安全运维方面工作相对缺失。
2、安全运维及安全整改实例
近段时间,小威对某新能源电厂的电力监控系统开展网络健康检查运维服务工作,包括基础设施物理安全、体系结构安全、系统本体安全、全方位安全管理及安全应急措施等五个方面的安全防护情况,五大类38小类101要点,涵盖新能源场站电力监控系统安全防护的全部要求。通过排查发现各电场普遍存在以下问题:
(1)电力监控系统安全防护普遍存在的问题。
* 基础设施物理安全薄弱;
* 工业主机存在大量漏洞;
* 网络设备和安全设备安全策略设置不合理等。
(2)安全制度体系缺乏。缺少应急管理制度、介质使用管理制度等。
现场一旦网络或业务系统发生异常,必将严重影响调度生产的正常进行。因此急需对上述问题进行整改完善,满足电力监控系统安全防护的基本要求。
针对上述问题,小威快速提供了全面的安全整改服务。具体服务内容如下:
(1)基础物理设施安全整改:
* 增设门禁系统

 
图1 机房增加门禁系统前后对
* 网络线路整改;
 
图2 机柜网络线路整改前后对比图
* 增设视频监控系统;
 
图3 机房增加视频监控系统前后对比图
(2)针对网络设备安全进行整改、优化等工作;
* 主机安全加固:消除弱口令、关闭高危服务、账户权限重新定义分配,升级补丁包、消除高危漏洞,封堵无用端口,安装主机安全加固软件;
* 网络安全产品配置优化:路由器、交换机、纵向加密装置、隔离装置、防火墙等设备进行策略查看并优化。
 
图4 防火墙安全策略配置前后对比图
(3)收集全站资产台账,形成完整的全站资产信息表。
(4)根据资产信息表,形成最终的网络拓扑图,根据网络拓扑图,进行全站电力监控系统安全防护方案。
(5)根据电力监控系统安全防护方案的要求,修编现有规章制度,印刷成册,便于今后安全检查及日常学习培训。
通过以上的网络健康检查运维及网络整改服务,加强了电厂的安全防护能力,同时也协助电厂建立更加适合新能源电厂现状的安全运维流程体系。
3、工控安全运维体系
工控安全运维体系仍然以“三分技术+七分管理”为标准建立。
 
图5 安全体系框架
技术层面
安全管理运维平台是协助实现安全策略管理、安全组织管理、安全运作管理和安全技术框架的中心枢纽。通过管理层面的职能和技术层面的职能向上为安全策略管理、安全组织管理、安全运作管理提供基于安全管理运维平台的自动化支持协助,向下贯彻整个技术层面。同时结合网络健康检查运维、安全事件审计运维、网络行为审计运维等手段进一步完善安全运维技术体系。
管理层面
安全运维的工作同样离不开有效的安全策略管理、安全组织管理、安全运作管理。规范安全运维的周期、内容等工作才能有效将安全运维体系落实,保障工业控制系统现场的网络安全。

【关闭】 【打印】

您是第 37468170 位访问者
沪ICP备 12039260号 京公网安备 11010802025578号