AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
中國互聯網大會創新成果|安恒信息“大型汽車制造集團工控安全體系規劃項目”入選
? //??
近日,由中國互聯網協會主辦的2023中國互聯網大會“數字化轉型發展論壇”在北京舉行。會上,安恒信息《大型汽車制造集團工控安全體系規劃項目》入選2023中國互聯網大會創新成果。
安恒信息深耕工業信息安全領域多年,總結汽車制造行業特點和需求,結合自身實踐經驗,梳理符合行業要求的工業控制系統安全防護解決方案,踐行全棧安全防護思路,涵蓋安全合規、安全能力提升、安全運營能力版塊,持續推進汽車制造行業安全防護體系建設,為汽車工業安全建設保駕護航。
大型汽車制造集團工控安全體系規劃方案
行業現狀和問題
隨著數字化轉型工作的不斷推進,IT/OT通過人、機、物的全面互聯實現網絡融合,構建起全要素、全產業鏈、全價值鏈、全面連接的新型工業生產制造和服務體系,傳統信息網絡所面臨的病毒、木馬、入侵攻擊、拒絕服務等安全威脅正在向工業控制系統擴散。近年來,國內外智能制造業工控安全事件頻發,嚴重威脅工業生產制造業務穩定運行,為我們敲響警鐘。
同樣,汽車制造行業也打破了傳統工業相對封閉可信的生產環境,安全管理和技術防護跨域運維能力不足、安全人員技術水平不足、安全防護水平殘差不齊,亟需打造專業的安全管理體系與防護技術標準,全面提升安全防護能力。
建設目標
基于《工業控制系統信息安全防護能力成熟度模型》3-4級基本要求,為用戶企業打造專業的安全管理體系、安全技術體系和安全運營體系,全面提升安全防護能力,降低安全事件的發生與被攻擊的概率。通過引進專業技術力量,實現內外部協同、人員能力共同成長,建立統一的工控安全基線,切實提升用戶企業的工控安全水平,全面提升安全防護能力。
技術方案
本方案中工控安全體系建設的重點內容包括:梳理資產、風險評估、安全測試驗證和體系建設。
01
盤點資產,明確安全保護對象
對工藝車間(沖壓、焊接、涂裝和總裝等)的工控資產(例如:工業控制主機,如操作員站、工控機、一體機、服務器等;工業控制設備,如PLC、HMI、機器人、各類工藝控制器等;其他設備,如網絡設備及其他通過網絡連接、可能引入網絡安全風險的組件等)開展資產信息收集和梳理,形成工控資產臺賬,構建資產與業務系統之間的關系,明確安全保護對象。最終輸出工控資產信息統計表。
02
風險評估,確定現場安全風險
通過對各工廠(沖壓、焊接、涂裝和總裝等車間)現場訪談、問卷、資料收集、工具評估、人工審計等方式對目前管理、技術現狀、資產等進行安全評估。對數字化部、工程部、采購部等重點部門核心人員進行跨部門、跨崗位訪談,并結合工控系統設計、采購、實施、驗收、運營等過程現狀,分析當前工控系統全生命周期存在的問題。利用工控安全檢查工具箱對企業工控網絡進行風險識別和評估,形成工控安全檢查報告。最后輸出工控系統安全風險評估報告。
03
風險驗證,梳理攻擊面與攻擊路徑
對各工藝車間(沖壓、焊接、涂裝和總裝等)的數據庫服務器、SCADA系統、OPC服務器上位機、控制器、視頻攝像頭等不同類型的工控系統開展安全測試,在生產場景中通過辦公網對生產管理網、生產控制網等進行遠程操作。并基于測試結果分析工控系統存在的安全風險以及危害,并與風險評估中的安全風險進行比對,進一步分析風險成因,并提出針對性解決辦法或緩解措施。對安全測試攻擊思路、攻擊方法、攻擊工具進行總結梳理,賦能集團公司工控安全人員,提升人員技術能力。針對集團公司工控系統工藝特點、工控資產類型等因素,對不同類型工控主機或設備制定安全測試辦法,固化成基本套路/工具,使集團公司工控安全人員能夠快速開展針對特定工控資產的安全測試、現狀安全評估等工作。
04
建立工控安全保障體系,制定企業安全防護基線
建立工控安全體系運行機制,運行機制活動內容覆蓋工控系統全生命周期,實現有效安全管控。梳理出符合汽車制造工業場景的工控安全基線、工控安全防護指南、工控安全防護技術架構、工控安全管理規定和工控安全事件響應流程等,涵蓋管理規定、流程、規范、表單4層文件體系,并通過試點來驗證有效性和合理性,便于在集團或行業內推廣。
價值成效
01
完成工控安全體系建設,為不同數字化程度的企業提供彈性的安全建設框架
工控安全體系主要包括整體管理要求、項目安全管理、運營安全管理以及風險評估、威脅預警、應急處置相關流程,覆蓋工控系統從建設到運營使用全生命周期,形成管理規定、流程、規范等體系文件,根據企業的數字化建設程度,制定具有針對性的工控安全體系。
02
梳理工控安全滲透測工具集和方法,提高工控安全人員的技能
通過對企業辦公網數據中心、生產管理網和控制網的車間進行遠程滲透測試,利用信息收集、漏洞掃描、地址探測、端口掃描、web訪問、腳本測試等測試手段發現問題,并在安全測試過程中,針對汽車制造業生產場景進行攻擊路徑、攻擊界面、攻擊效果的驗證,同時對不同類型工控主機或設備制定安全測試辦法,固化成基本套路/工具等,賦能用戶企業工控安全人員,提升人員技術能力。
03
打通工控安全運營與資產平臺對接,實現線上化管理
對用戶各工藝車間的工控資產開展資產信息收集和梳理,梳理出資產與業務的關系,資產的類型、運營人員、風險值等,形成工控資產信息表和工控資產點位圖;構建統一的工控全體系建設總體架構。
安恒信息大型汽車制造集團工控安全體系規劃方案以《工業控制系統信息安全防護能力成熟度模型》3-4級為基本要求,根據行業工控現狀建立了適合本行業的工控系統全生命周期安全標準規范及管控措施,補齊存量資產短板,完善增量資產的體系管理;圍繞網絡安全、主機安全、設備安全、控制安全等9個方面建立工控安全基線,嵌入到工控建設流程中,為用戶企業打造專業的安全管理體系與防護技術標準,建立完整的工控安全管理和運營體系,構建集團統一的工控安全防護基線,提升用戶企業的安全防護能力。
