行業(yè)解決方案

工控安管平臺(tái)解決方案

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2016-11-30    瀏覽次數(shù):
 

一、工控信息安全態(tài)勢(shì)

美國(guó)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組(Industrial Control Systems Cyber Emergency Response Team,ICS-CERT)發(fā)布的2015年關(guān)鍵基礎(chǔ)設(shè)施安全報(bào)告顯示,2015年美國(guó)關(guān)鍵基礎(chǔ)設(shè)施安全事件比2014年增長(zhǎng)了20%之多。在過(guò)去的財(cái)年中共收到295個(gè)涉及關(guān)鍵基礎(chǔ)設(shè)施的上報(bào)事件,與之相比,去年的事件數(shù)為245件。

ICS-CERT表示,曾處理了許多配置不當(dāng)導(dǎo)致的安全事件,比如工業(yè)控制系統(tǒng)連接到了企業(yè)網(wǎng)絡(luò),甚至直接連到外網(wǎng);

       盡管超過(guò)三分之一的事件中,調(diào)查人員無(wú)法確定攻擊者使用的攻擊向量,在能辨別的事件中,仍有100起涉及魚(yú)叉式釣魚(yú)。

二、工業(yè)控制系統(tǒng)信息安全防護(hù)指南

為貫徹落實(shí)《國(guó)務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見(jiàn)》(國(guó)發(fā)〔201628號(hào)),保障工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全,工業(yè)和信息化部印發(fā)了《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》,指南從十一個(gè)方面提及了工控安全防護(hù)工作的要求,包括:

1、 安全軟件選擇與管理

2、 配置和補(bǔ)丁管理

3、 邊界安全防護(hù)

4、 物理和環(huán)境安全防護(hù)

5、 身份認(rèn)證

6、 遠(yuǎn)程訪(fǎng)問(wèn)安全

7、 安全監(jiān)測(cè)和應(yīng)急預(yù)案演練

8、 資產(chǎn)安全

9、 數(shù)據(jù)安全

10、供應(yīng)鏈管理

11、落實(shí)責(zé)任

三、解決方案

聚銘安全運(yùn)營(yíng)中心是協(xié)助用戶(hù)實(shí)現(xiàn)安全基線(xiàn)管理、安全風(fēng)險(xiǎn)管理、安全組織管理和安全運(yùn)維管理的中心樞紐,自動(dòng)的、動(dòng)態(tài)的風(fēng)險(xiǎn)評(píng)估系統(tǒng),使安全運(yùn)維管理日?;?、自動(dòng)化。

       聚銘網(wǎng)絡(luò)結(jié)合多年安全防護(hù)經(jīng)驗(yàn),對(duì)指南要求進(jìn)行有力支撐。

  ◆  灰色部分為線(xiàn)下管理或管理制度。

3.1   系統(tǒng)功能

3.2   配置安全基線(xiàn)管理

指南要求:

通過(guò)安全基線(xiàn)管理全面集中檢查和分析各類(lèi)系統(tǒng)存在的本地安全配置問(wèn)題,自動(dòng)巡檢任務(wù)減輕因?qū)Σ煌O(shè)備分散管理而帶來(lái)的冗余工作。系統(tǒng)提供安全加固方案,輕松應(yīng)對(duì)因配置問(wèn)題導(dǎo)致的安全風(fēng)險(xiǎn)。

安全運(yùn)營(yíng)中心引入安全基線(xiàn)檢查的目的在于:

       1. 企業(yè)內(nèi)有眾多的、不同類(lèi)型的主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫(kù)、Web中間件。
       2. 上述系統(tǒng)或設(shè)備都存在配置安全問(wèn)題 。
       3. 安全配置基線(xiàn)問(wèn)題,特別是口令強(qiáng)度不夠是黑客攻擊的主要手段。

因此,安全基線(xiàn)管理就提供了這樣的一個(gè)集中審計(jì)各類(lèi)系統(tǒng)、設(shè)備安全配置情況的功能。

下圖給出了示意:

3.3   安全事件管理

      指南要求:

安全事件管理主要完成對(duì)事件的集中收集、管理和分析。主要的功能包括事件收集、事件集中處理。

另外,在安全事件管理中,用戶(hù)可以自由地定義對(duì)于原始事件的查詢(xún)方式,查詢(xún)的結(jié)果可以直接生成為報(bào)告并導(dǎo)出到外部文件中。

安全運(yùn)營(yíng)中心能夠支持以下事件源進(jìn)行安全審計(jì):

1. 防火墻、入侵檢測(cè)系統(tǒng)等安全設(shè)備;

2. 操作系統(tǒng)記錄的重要安全相關(guān)的日志和事件告警,支持Windows 2000/2003/NT/XP/Vista/7/2008/8/2012/10,各種版本的Linux/Unix系統(tǒng);

3. 各種類(lèi)型的數(shù)據(jù)庫(kù)日志,例如Oracle、MySQL等;

4. 防病毒系統(tǒng)、訪(fǎng)問(wèn)控制系統(tǒng)、用戶(hù)集中管理和認(rèn)證系統(tǒng);

5. 各種應(yīng)用系統(tǒng)的日志,如Apache、TomcatIIS

3.4   資產(chǎn)管理、狀態(tài)監(jiān)控

      指南要求:

      安全資產(chǎn)是安全運(yùn)營(yíng)中心的核心管理對(duì)象。

一般而言,安全管理中的資產(chǎn)具備如下兩類(lèi)屬性:

◆  基本屬性:名稱(chēng)、編號(hào)、系統(tǒng)類(lèi)型(產(chǎn)品類(lèi)型、操作系統(tǒng)類(lèi)型、版本等)、IP地址(支持IPv4IPv6格式)、響應(yīng)人(出現(xiàn)安全問(wèn)題應(yīng)由何人處理)、登錄憑證(獲取配置、安全基線(xiàn)檢查等使用)、上架信息等;

◆  安全屬性:完整性、可用性、保密性、風(fēng)險(xiǎn)信息、開(kāi)放端口、安全事件、漏洞、安全基線(xiàn)違規(guī)問(wèn)題等。

實(shí)時(shí)監(jiān)控資產(chǎn)的運(yùn)行狀態(tài),可進(jìn)行設(shè)備狀態(tài)的查看和查詢(xún)。主要包括設(shè)備運(yùn)行情況、健康情況等。提供了針對(duì)設(shè)備狀態(tài)的統(tǒng)計(jì)信息,健康狀態(tài)的分布情況等。

設(shè)備狀態(tài)主要屬性有:連通性、連續(xù)運(yùn)行時(shí)間、CPU、內(nèi)存、硬盤(pán)、流量等。

3.5   漏洞掃描管理

      指南要求:

漏洞掃描也是安全運(yùn)營(yíng)中心的核心功能之一。與專(zhuān)業(yè)的掃描設(shè)備不同,安全運(yùn)營(yíng)中心的漏洞管理不僅支持分布式的漏洞掃描,也支持對(duì)系統(tǒng)內(nèi)的漏洞進(jìn)行統(tǒng)一地分析和處理,產(chǎn)生相關(guān)告警并制定相關(guān)責(zé)任人進(jìn)行處理。

下圖說(shuō)明了普通漏洞掃描和漏洞管理的區(qū)別:

       通過(guò)漏洞掃描及時(shí)發(fā)現(xiàn)設(shè)備存在的漏洞,漏洞報(bào)告包含漏洞信息、解決方法,補(bǔ)丁信息。

3.6   風(fēng)險(xiǎn)監(jiān)控

指南要求:

       可以查看資產(chǎn)風(fēng)險(xiǎn)信息,包括資產(chǎn)當(dāng)日安全事件的分布情況(按級(jí)別、類(lèi)型)、漏洞嚴(yán)重級(jí)別分布情況和安全基線(xiàn)違規(guī)嚴(yán)重級(jí)別分布情況:

       1.   與資產(chǎn)相關(guān)的告警

       2.   與資產(chǎn)相關(guān)的漏洞

       3.   與資產(chǎn)相關(guān)的安全配置

       4.   與資產(chǎn)相關(guān)的設(shè)備狀態(tài)

5.   與資產(chǎn)相關(guān)的端口/服務(wù)情況

       通過(guò)對(duì)各類(lèi)日志、配置、漏洞、設(shè)備狀態(tài)的關(guān)聯(lián)分析,及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊和異常行為,觸發(fā)告警:
       關(guān)聯(lián)場(chǎng)景:基于統(tǒng)計(jì)和基于關(guān)聯(lián)
            ◆ 基于統(tǒng)計(jì)包含:平均統(tǒng)計(jì)、方差統(tǒng)計(jì),支持按天、按周統(tǒng)計(jì),智能機(jī)器學(xué)習(xí)。

            ◆  基于關(guān)聯(lián)包含:狀態(tài)關(guān)聯(lián)、時(shí)序關(guān)聯(lián)、歸并關(guān)聯(lián)、篩選關(guān)聯(lián)、端口關(guān)聯(lián)。

       多維度關(guān)聯(lián):

            ◆  支持事件與基線(xiàn)關(guān)聯(lián)分析、事件與漏洞關(guān)聯(lián)分析、事件與事件關(guān)聯(lián)分析。

3.7   工單管理

工單是安全運(yùn)營(yíng)中心用于安全問(wèn)題處理的一種形式,是安全運(yùn)維支撐的流程體現(xiàn)。

當(dāng)系統(tǒng)產(chǎn)生告警后,用戶(hù)可以創(chuàng)建工單并分配給專(zhuān)人去處理。工單的狀態(tài)包括待接受、處理中、已完成、求助、已關(guān)閉和作廢等;而個(gè)人工單完成情況是供用戶(hù)查看工單各種狀態(tài)的分類(lèi)信息。

除了可以從告警中生成工單,用戶(hù)也可以直接創(chuàng)建工單并將其派發(fā)給相關(guān)處理人;如果處理人不能在規(guī)定的周期內(nèi)處理完成,則系統(tǒng)會(huì)給予相應(yīng)的提示。

3.8   知識(shí)庫(kù)管理

知識(shí)庫(kù)管理為系統(tǒng)運(yùn)行和維護(hù)提供了知識(shí)來(lái)源以及安全問(wèn)題的處理依據(jù)、方法或參考,目前支持如下幾類(lèi):

1. 配置類(lèi):各種操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)及數(shù)據(jù)庫(kù)等接入安全運(yùn)營(yíng)中心日志的配置收集方法;

2. 安全事件/日志類(lèi):各種安全系統(tǒng)的報(bào)警以及操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、服務(wù)器及數(shù)據(jù)庫(kù)的日志信息;

3. 漏洞類(lèi):通過(guò)掃描器發(fā)現(xiàn)的在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷的描述及解決方案;

4. 安全基線(xiàn)類(lèi):各種操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、防火墻、Web中間件及數(shù)據(jù)庫(kù)等可被威脅所利用而導(dǎo)致安全性問(wèn)題的標(biāo)準(zhǔn)描述及解決方案;

5. 安全經(jīng)驗(yàn)類(lèi):基于系統(tǒng)安全事件、漏洞、配置問(wèn)題等信息綜合生成的安全警示信息的描述、告警觸發(fā)建議及解決方案等。

用戶(hù)可以通過(guò)全文檢索功能對(duì)系統(tǒng)提供的安全知識(shí)進(jìn)行查詢(xún);另外,在關(guān)聯(lián)策略中也可以直接指定和某條知識(shí)的對(duì)應(yīng)關(guān)系。

3.9   報(bào)表管理

報(bào)表管理的作用為展示系統(tǒng)安全工作的結(jié)果。報(bào)表內(nèi)容包含各種信息的統(tǒng)計(jì)情況,包括:告警報(bào)表、資產(chǎn)報(bào)表、安全事件報(bào)表、漏洞報(bào)表、安全基線(xiàn)報(bào)表、工單報(bào)表等。

用戶(hù)可以定義相關(guān)條件以生成報(bào)表,它們均可以導(dǎo)出為PDFWord、HTML等格式,如下圖所示:


聯(lián)系我們

主頁(yè):m.emrijsm.cn

全國(guó)服務(wù)熱線(xiàn):400-1158-400

產(chǎn)品支持:support@juminfo.com

 
 

上一篇:2016年11月30日 聚銘安全速遞

下一篇:《關(guān)于進(jìn)一步防范和打擊通訊信息詐騙工作的實(shí)施意見(jiàn)》的解讀