一、工控信息安全態(tài)勢(shì)

美國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組（Industrial Control Systems Cyber Emergency Response Team，ICS-CERT）發(fā)布的2015年關(guān)鍵基礎(chǔ)設(shè)施安全報(bào)告顯示，2015年美國關(guān)鍵基礎(chǔ)設(shè)施安全事件比2014年增長(zhǎng)了20%之多。在過去的財(cái)年中共收到295個(gè)涉及關(guān)鍵基礎(chǔ)設(shè)施的上報(bào)事件，與之相比，去年的事件數(shù)為245件。

ICS-CERT表示，曾處理了許多配置不當(dāng)導(dǎo)致的安全事件，比如工業(yè)控制系統(tǒng)連接到了企業(yè)網(wǎng)絡(luò)，甚至直接連到外網(wǎng)；

       盡管超過三分之一的事件中，調(diào)查人員無法確定攻擊者使用的攻擊向量，在能辨別的事件中，仍有100起涉及魚叉式釣魚。

二、工業(yè)控制系統(tǒng)信息安全防護(hù)指南

為貫徹落實(shí)《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》（國發(fā)〔2016〕28號(hào)），保障工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全，工業(yè)和信息化部印發(fā)了《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》，指南從十一個(gè)方面提及了工控安全防護(hù)工作的要求，包括：

1、 安全軟件選擇與管理

2、 配置和補(bǔ)丁管理

3、 邊界安全防護(hù)

4、 物理和環(huán)境安全防護(hù)

5、 身份認(rèn)證

6、 遠(yuǎn)程訪問安全

7、 安全監(jiān)測(cè)和應(yīng)急預(yù)案演練

8、 資產(chǎn)安全

9、 數(shù)據(jù)安全

10、供應(yīng)鏈管理

11、落實(shí)責(zé)任

三、解決方案

聚銘安全運(yùn)營中心是協(xié)助用戶實(shí)現(xiàn)安全基線管理、安全風(fēng)險(xiǎn)管理、安全組織管理和安全運(yùn)維管理的中心樞紐，自動(dòng)的、動(dòng)態(tài)的風(fēng)險(xiǎn)評(píng)估系統(tǒng)，使安全運(yùn)維管理日?；?、自動(dòng)化。

       聚銘網(wǎng)絡(luò)結(jié)合多年安全防護(hù)經(jīng)驗(yàn)，對(duì)指南要求進(jìn)行有力支撐。

  ◆  灰色部分為線下管理或管理制度。

3.1   系統(tǒng)功能

3.2   配置安全基線管理

指南要求：

通過安全基線管理全面集中檢查和分析各類系統(tǒng)存在的本地安全配置問題，自動(dòng)巡檢任務(wù)減輕因?qū)Σ煌O(shè)備分散管理而帶來的冗余工作。系統(tǒng)提供安全加固方案，輕松應(yīng)對(duì)因配置問題導(dǎo)致的安全風(fēng)險(xiǎn)。

安全運(yùn)營中心引入安全基線檢查的目的在于：

       1. 企業(yè)內(nèi)有眾多的、不同類型的主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫、Web中間件。
       2. 上述系統(tǒng)或設(shè)備都存在配置安全問題 。
       3. 安全配置基線問題，特別是口令強(qiáng)度不夠是黑客攻擊的主要手段。

因此，安全基線管理就提供了這樣的一個(gè)集中審計(jì)各類系統(tǒng)、設(shè)備安全配置情況的功能。

下圖給出了示意：

3.3   安全事件管理

      指南要求：

安全事件管理主要完成對(duì)事件的集中收集、管理和分析。主要的功能包括事件收集、事件集中處理。

另外，在安全事件管理中，用戶可以自由地定義對(duì)于原始事件的查詢方式，查詢的結(jié)果可以直接生成為報(bào)告并導(dǎo)出到外部文件中。

安全運(yùn)營中心能夠支持以下事件源進(jìn)行安全審計(jì)：

1. 防火墻、入侵檢測(cè)系統(tǒng)等安全設(shè)備；

2. 操作系統(tǒng)記錄的重要安全相關(guān)的日志和事件告警，支持Windows 2000/2003/NT/XP/Vista/7/2008/8/2012/10，各種版本的Linux/Unix系統(tǒng)；

3. 各種類型的數(shù)據(jù)庫日志，例如Oracle、MySQL等；

4. 防病毒系統(tǒng)、訪問控制系統(tǒng)、用戶集中管理和認(rèn)證系統(tǒng)；

5. 各種應(yīng)用系統(tǒng)的日志，如Apache、Tomcat、IIS等

3.4   資產(chǎn)管理、狀態(tài)監(jiān)控

      指南要求：

      安全資產(chǎn)是安全運(yùn)營中心的核心管理對(duì)象。

一般而言，安全管理中的資產(chǎn)具備如下兩類屬性：

◆  基本屬性：名稱、編號(hào)、系統(tǒng)類型（產(chǎn)品類型、操作系統(tǒng)類型、版本等）、IP地址（支持IPv4核IPv6格式）、響應(yīng)人（出現(xiàn)安全問題應(yīng)由何人處理）、登錄憑證（獲取配置、安全基線檢查等使用）、上架信息等；

◆  安全屬性：完整性、可用性、保密性、風(fēng)險(xiǎn)信息、開放端口、安全事件、漏洞、安全基線違規(guī)問題等。

實(shí)時(shí)監(jiān)控資產(chǎn)的運(yùn)行狀態(tài)，可進(jìn)行設(shè)備狀態(tài)的查看和查詢。主要包括設(shè)備運(yùn)行情況、健康情況等。提供了針對(duì)設(shè)備狀態(tài)的統(tǒng)計(jì)信息，健康狀態(tài)的分布情況等。

設(shè)備狀態(tài)主要屬性有：連通性、連續(xù)運(yùn)行時(shí)間、CPU、內(nèi)存、硬盤、流量等。

3.5   漏洞掃描管理

      指南要求：

漏洞掃描也是安全運(yùn)營中心的核心功能之一。與專業(yè)的掃描設(shè)備不同，安全運(yùn)營中心的漏洞管理不僅支持分布式的漏洞掃描，也支持對(duì)系統(tǒng)內(nèi)的漏洞進(jìn)行統(tǒng)一地分析和處理，產(chǎn)生相關(guān)告警并制定相關(guān)責(zé)任人進(jìn)行處理。

下圖說明了普通漏洞掃描和漏洞管理的區(qū)別：

       通過漏洞掃描及時(shí)發(fā)現(xiàn)設(shè)備存在的漏洞，漏洞報(bào)告包含漏洞信息、解決方法，補(bǔ)丁信息。

3.6   風(fēng)險(xiǎn)監(jiān)控

指南要求：

       可以查看資產(chǎn)風(fēng)險(xiǎn)信息，包括資產(chǎn)當(dāng)日安全事件的分布情況（按級(jí)別、類型）、漏洞嚴(yán)重級(jí)別分布情況和安全基線違規(guī)嚴(yán)重級(jí)別分布情況：

       1.   與資產(chǎn)相關(guān)的告警

       2.   與資產(chǎn)相關(guān)的漏洞

       3.   與資產(chǎn)相關(guān)的安全配置

       4.   與資產(chǎn)相關(guān)的設(shè)備狀態(tài)

5.   與資產(chǎn)相關(guān)的端口/服務(wù)情況

       通過對(duì)各類日志、配置、漏洞、設(shè)備狀態(tài)的關(guān)聯(lián)分析，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊和異常行為，觸發(fā)告警：
       關(guān)聯(lián)場(chǎng)景：基于統(tǒng)計(jì)和基于關(guān)聯(lián)
            ◆ 基于統(tǒng)計(jì)包含：平均統(tǒng)計(jì)、方差統(tǒng)計(jì)，支持按天、按周統(tǒng)計(jì)，智能機(jī)器學(xué)習(xí)。

            ◆  基于關(guān)聯(lián)包含：狀態(tài)關(guān)聯(lián)、時(shí)序關(guān)聯(lián)、歸并關(guān)聯(lián)、篩選關(guān)聯(lián)、端口關(guān)聯(lián)。

       多維度關(guān)聯(lián)：

            ◆  支持事件與基線關(guān)聯(lián)分析、事件與漏洞關(guān)聯(lián)分析、事件與事件關(guān)聯(lián)分析。

3.7   工單管理

工單是安全運(yùn)營中心用于安全問題處理的一種形式，是安全運(yùn)維支撐的流程體現(xiàn)。

當(dāng)系統(tǒng)產(chǎn)生告警后，用戶可以創(chuàng)建工單并分配給專人去處理。工單的狀態(tài)包括待接受、處理中、已完成、求助、已關(guān)閉和作廢等；而個(gè)人工單完成情況是供用戶查看工單各種狀態(tài)的分類信息。

除了可以從告警中生成工單，用戶也可以直接創(chuàng)建工單并將其派發(fā)給相關(guān)處理人；如果處理人不能在規(guī)定的周期內(nèi)處理完成，則系統(tǒng)會(huì)給予相應(yīng)的提示。

3.8   知識(shí)庫管理

知識(shí)庫管理為系統(tǒng)運(yùn)行和維護(hù)提供了知識(shí)來源以及安全問題的處理依據(jù)、方法或參考，目前支持如下幾類：

1. 配置類：各種操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)及數(shù)據(jù)庫等接入安全運(yùn)營中心日志的配置收集方法；

2. 安全事件/日志類：各種安全系統(tǒng)的報(bào)警以及操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、服務(wù)器及數(shù)據(jù)庫的日志信息；

3. 漏洞類：通過掃描器發(fā)現(xiàn)的在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷的描述及解決方案；

4. 安全基線類：各種操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、防火墻、Web中間件及數(shù)據(jù)庫等可被威脅所利用而導(dǎo)致安全性問題的標(biāo)準(zhǔn)描述及解決方案；

5. 安全經(jīng)驗(yàn)類：基于系統(tǒng)安全事件、漏洞、配置問題等信息綜合生成的安全警示信息的描述、告警觸發(fā)建議及解決方案等。

用戶可以通過全文檢索功能對(duì)系統(tǒng)提供的安全知識(shí)進(jìn)行查詢；另外，在關(guān)聯(lián)策略中也可以直接指定和某條知識(shí)的對(duì)應(yīng)關(guān)系。

3.9   報(bào)表管理

報(bào)表管理的作用為展示系統(tǒng)安全工作的結(jié)果。報(bào)表內(nèi)容包含各種信息的統(tǒng)計(jì)情況，包括：告警報(bào)表、資產(chǎn)報(bào)表、安全事件報(bào)表、漏洞報(bào)表、安全基線報(bào)表、工單報(bào)表等。

用戶可以定義相關(guān)條件以生成報(bào)表，它們均可以導(dǎo)出為PDF、Word、HTML等格式，如下圖所示：

---

聯(lián)系我們：

主頁：emrijsm.cn

全國服務(wù)熱線：400-1158-400

產(chǎn)品支持：support@juminfo.com