工控安管平臺(tái)解決方案 |
來(lái)源:聚銘網(wǎng)絡(luò) 發(fā)布時(shí)間:2016-11-30 瀏覽次數(shù): |
一、工控信息安全態(tài)勢(shì)美國(guó)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組(Industrial Control Systems Cyber Emergency Response Team,ICS-CERT)發(fā)布的2015年關(guān)鍵基礎(chǔ)設(shè)施安全報(bào)告顯示,2015年美國(guó)關(guān)鍵基礎(chǔ)設(shè)施安全事件比2014年增長(zhǎng)了20%之多。在過(guò)去的財(cái)年中共收到295個(gè)涉及關(guān)鍵基礎(chǔ)設(shè)施的上報(bào)事件,與之相比,去年的事件數(shù)為245件。 ICS-CERT表示,曾處理了許多配置不當(dāng)導(dǎo)致的安全事件,比如工業(yè)控制系統(tǒng)連接到了企業(yè)網(wǎng)絡(luò),甚至直接連到外網(wǎng); 盡管超過(guò)三分之一的事件中,調(diào)查人員無(wú)法確定攻擊者使用的攻擊向量,在能辨別的事件中,仍有100起涉及魚(yú)叉式釣魚(yú)。 二、工業(yè)控制系統(tǒng)信息安全防護(hù)指南為貫徹落實(shí)《國(guó)務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見(jiàn)》(國(guó)發(fā)〔2016〕28號(hào)),保障工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全,工業(yè)和信息化部印發(fā)了《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》,指南從十一個(gè)方面提及了工控安全防護(hù)工作的要求,包括: 1、 安全軟件選擇與管理 2、 配置和補(bǔ)丁管理 3、 邊界安全防護(hù) 4、 物理和環(huán)境安全防護(hù) 5、 身份認(rèn)證 6、 遠(yuǎn)程訪(fǎng)問(wèn)安全 7、 安全監(jiān)測(cè)和應(yīng)急預(yù)案演練 8、 資產(chǎn)安全 9、 數(shù)據(jù)安全 10、供應(yīng)鏈管理 11、落實(shí)責(zé)任 三、解決方案聚銘安全運(yùn)營(yíng)中心是協(xié)助用戶(hù)實(shí)現(xiàn)安全基線(xiàn)管理、安全風(fēng)險(xiǎn)管理、安全組織管理和安全運(yùn)維管理的中心樞紐,自動(dòng)的、動(dòng)態(tài)的風(fēng)險(xiǎn)評(píng)估系統(tǒng),使安全運(yùn)維管理日?;?、自動(dòng)化。 聚銘網(wǎng)絡(luò)結(jié)合多年安全防護(hù)經(jīng)驗(yàn),對(duì)指南要求進(jìn)行有力支撐。
◆ 灰色部分為線(xiàn)下管理或管理制度。 3.1 系統(tǒng)功能
3.2 配置安全基線(xiàn)管理指南要求:
通過(guò)安全基線(xiàn)管理全面集中檢查和分析各類(lèi)系統(tǒng)存在的本地安全配置問(wèn)題,自動(dòng)巡檢任務(wù)減輕因?qū)Σ煌O(shè)備分散管理而帶來(lái)的冗余工作。系統(tǒng)提供安全加固方案,輕松應(yīng)對(duì)因配置問(wèn)題導(dǎo)致的安全風(fēng)險(xiǎn)。
1. 企業(yè)內(nèi)有眾多的、不同類(lèi)型的主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫(kù)、Web中間件。
3.3 安全事件管理指南要求:
安全事件管理主要完成對(duì)事件的集中收集、管理和分析。主要的功能包括事件收集、事件集中處理。 另外,在安全事件管理中,用戶(hù)可以自由地定義對(duì)于原始事件的查詢(xún)方式,查詢(xún)的結(jié)果可以直接生成為報(bào)告并導(dǎo)出到外部文件中。 安全運(yùn)營(yíng)中心能夠支持以下事件源進(jìn)行安全審計(jì): 1. 防火墻、入侵檢測(cè)系統(tǒng)等安全設(shè)備; 2. 操作系統(tǒng)記錄的重要安全相關(guān)的日志和事件告警,支持Windows 2000/2003/NT/XP/Vista/7/2008/8/2012/10,各種版本的Linux/Unix系統(tǒng); 3. 各種類(lèi)型的數(shù)據(jù)庫(kù)日志,例如Oracle、MySQL等; 4. 防病毒系統(tǒng)、訪(fǎng)問(wèn)控制系統(tǒng)、用戶(hù)集中管理和認(rèn)證系統(tǒng); 5. 各種應(yīng)用系統(tǒng)的日志,如Apache、Tomcat、IIS等
3.4 資產(chǎn)管理、狀態(tài)監(jiān)控指南要求:
安全資產(chǎn)是安全運(yùn)營(yíng)中心的核心管理對(duì)象。
一般而言,安全管理中的資產(chǎn)具備如下兩類(lèi)屬性: ◆ 基本屬性:名稱(chēng)、編號(hào)、系統(tǒng)類(lèi)型(產(chǎn)品類(lèi)型、操作系統(tǒng)類(lèi)型、版本等)、IP地址(支持IPv4核IPv6格式)、響應(yīng)人(出現(xiàn)安全問(wèn)題應(yīng)由何人處理)、登錄憑證(獲取配置、安全基線(xiàn)檢查等使用)、上架信息等; ◆ 安全屬性:完整性、可用性、保密性、風(fēng)險(xiǎn)信息、開(kāi)放端口、安全事件、漏洞、安全基線(xiàn)違規(guī)問(wèn)題等。 實(shí)時(shí)監(jiān)控資產(chǎn)的運(yùn)行狀態(tài),可進(jìn)行設(shè)備狀態(tài)的查看和查詢(xún)。主要包括設(shè)備運(yùn)行情況、健康情況等。提供了針對(duì)設(shè)備狀態(tài)的統(tǒng)計(jì)信息,健康狀態(tài)的分布情況等。 設(shè)備狀態(tài)主要屬性有:連通性、連續(xù)運(yùn)行時(shí)間、CPU、內(nèi)存、硬盤(pán)、流量等。
3.5 漏洞掃描管理指南要求:
漏洞掃描也是安全運(yùn)營(yíng)中心的核心功能之一。與專(zhuān)業(yè)的掃描設(shè)備不同,安全運(yùn)營(yíng)中心的漏洞管理不僅支持分布式的漏洞掃描,也支持對(duì)系統(tǒng)內(nèi)的漏洞進(jìn)行統(tǒng)一地分析和處理,產(chǎn)生相關(guān)告警并制定相關(guān)責(zé)任人進(jìn)行處理。 下圖說(shuō)明了普通漏洞掃描和漏洞管理的區(qū)別:
通過(guò)漏洞掃描及時(shí)發(fā)現(xiàn)設(shè)備存在的漏洞,漏洞報(bào)告包含漏洞信息、解決方法,補(bǔ)丁信息。
3.6 風(fēng)險(xiǎn)監(jiān)控
可以查看資產(chǎn)風(fēng)險(xiǎn)信息,包括資產(chǎn)當(dāng)日安全事件的分布情況(按級(jí)別、類(lèi)型)、漏洞嚴(yán)重級(jí)別分布情況和安全基線(xiàn)違規(guī)嚴(yán)重級(jí)別分布情況:1. 與資產(chǎn)相關(guān)的告警 2. 與資產(chǎn)相關(guān)的漏洞
3. 與資產(chǎn)相關(guān)的安全配置 4. 與資產(chǎn)相關(guān)的設(shè)備狀態(tài) 5. 與資產(chǎn)相關(guān)的端口/服務(wù)情況 通過(guò)對(duì)各類(lèi)日志、配置、漏洞、設(shè)備狀態(tài)的關(guān)聯(lián)分析,及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊和異常行為,觸發(fā)告警:關(guān)聯(lián)場(chǎng)景:基于統(tǒng)計(jì)和基于關(guān)聯(lián) ◆ 基于統(tǒng)計(jì)包含:平均統(tǒng)計(jì)、方差統(tǒng)計(jì),支持按天、按周統(tǒng)計(jì),智能機(jī)器學(xué)習(xí)。 ◆ 基于關(guān)聯(lián)包含:狀態(tài)關(guān)聯(lián)、時(shí)序關(guān)聯(lián)、歸并關(guān)聯(lián)、篩選關(guān)聯(lián)、端口關(guān)聯(lián)。
多維度關(guān)聯(lián): ◆ 支持事件與基線(xiàn)關(guān)聯(lián)分析、事件與漏洞關(guān)聯(lián)分析、事件與事件關(guān)聯(lián)分析。
3.7 工單管理工單是安全運(yùn)營(yíng)中心用于安全問(wèn)題處理的一種形式,是安全運(yùn)維支撐的流程體現(xiàn)。 當(dāng)系統(tǒng)產(chǎn)生告警后,用戶(hù)可以創(chuàng)建工單并分配給專(zhuān)人去處理。工單的狀態(tài)包括待接受、處理中、已完成、求助、已關(guān)閉和作廢等;而個(gè)人工單完成情況是供用戶(hù)查看工單各種狀態(tài)的分類(lèi)信息。 除了可以從告警中生成工單,用戶(hù)也可以直接創(chuàng)建工單并將其派發(fā)給相關(guān)處理人;如果處理人不能在規(guī)定的周期內(nèi)處理完成,則系統(tǒng)會(huì)給予相應(yīng)的提示。
3.8 知識(shí)庫(kù)管理知識(shí)庫(kù)管理為系統(tǒng)運(yùn)行和維護(hù)提供了知識(shí)來(lái)源以及安全問(wèn)題的處理依據(jù)、方法或參考,目前支持如下幾類(lèi): 1. 配置類(lèi):各種操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)及數(shù)據(jù)庫(kù)等接入安全運(yùn)營(yíng)中心日志的配置收集方法; 2. 安全事件/日志類(lèi):各種安全系統(tǒng)的報(bào)警以及操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、服務(wù)器及數(shù)據(jù)庫(kù)的日志信息; 3. 漏洞類(lèi):通過(guò)掃描器發(fā)現(xiàn)的在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷的描述及解決方案; 4. 安全基線(xiàn)類(lèi):各種操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、防火墻、Web中間件及數(shù)據(jù)庫(kù)等可被威脅所利用而導(dǎo)致安全性問(wèn)題的標(biāo)準(zhǔn)描述及解決方案; 5. 安全經(jīng)驗(yàn)類(lèi):基于系統(tǒng)安全事件、漏洞、配置問(wèn)題等信息綜合生成的安全警示信息的描述、告警觸發(fā)建議及解決方案等。 用戶(hù)可以通過(guò)全文檢索功能對(duì)系統(tǒng)提供的安全知識(shí)進(jìn)行查詢(xún);另外,在關(guān)聯(lián)策略中也可以直接指定和某條知識(shí)的對(duì)應(yīng)關(guān)系。 3.9 報(bào)表管理報(bào)表管理的作用為展示系統(tǒng)安全工作的結(jié)果。報(bào)表內(nèi)容包含各種信息的統(tǒng)計(jì)情況,包括:告警報(bào)表、資產(chǎn)報(bào)表、安全事件報(bào)表、漏洞報(bào)表、安全基線(xiàn)報(bào)表、工單報(bào)表等。 用戶(hù)可以定義相關(guān)條件以生成報(bào)表,它們均可以導(dǎo)出為PDF、Word、HTML等格式,如下圖所示:
聯(lián)系我們: 主頁(yè):m.emrijsm.cn 全國(guó)服務(wù)熱線(xiàn):400-1158-400
產(chǎn)品支持:support@juminfo.com
|