一、工控信息安全態(tài)勢

美國工業(yè)控制系統(tǒng)網(wǎng)絡應急響應小組（Industrial Control Systems Cyber Emergency Response Team，ICS-CERT）發(fā)布的2015年關鍵基礎設施安全報告顯示，2015年美國關鍵基礎設施安全事件比2014年增長了20%之多。在過去的財年中共收到295個涉及關鍵基礎設施的上報事件，與之相比，去年的事件數(shù)為245件。

ICS-CERT表示，曾處理了許多配置不當導致的安全事件，比如工業(yè)控制系統(tǒng)連接到了企業(yè)網(wǎng)絡，甚至直接連到外網(wǎng)；

       盡管超過三分之一的事件中，調查人員無法確定攻擊者使用的攻擊向量，在能辨別的事件中，仍有100起涉及魚叉式釣魚。

二、工業(yè)控制系統(tǒng)信息安全防護指南

為貫徹落實《國務院關于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導意見》（國發(fā)〔2016〕28號），保障工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全，工業(yè)和信息化部印發(fā)了《工業(yè)控制系統(tǒng)信息安全防護指南》，指南從十一個方面提及了工控安全防護工作的要求，包括：

1、 安全軟件選擇與管理

2、 配置和補丁管理

3、 邊界安全防護

4、 物理和環(huán)境安全防護

5、 身份認證

6、 遠程訪問安全

7、 安全監(jiān)測和應急預案演練

8、 資產(chǎn)安全

9、 數(shù)據(jù)安全

10、供應鏈管理

11、落實責任

三、解決方案

聚銘安全運營中心是協(xié)助用戶實現(xiàn)安全基線管理、安全風險管理、安全組織管理和安全運維管理的中心樞紐，自動的、動態(tài)的風險評估系統(tǒng)，使安全運維管理日常化、自動化。

       聚銘網(wǎng)絡結合多年安全防護經(jīng)驗，對指南要求進行有力支撐。

  ◆  灰色部分為線下管理或管理制度。

3.1   系統(tǒng)功能

3.2   配置安全基線管理

指南要求：

通過安全基線管理全面集中檢查和分析各類系統(tǒng)存在的本地安全配置問題，自動巡檢任務減輕因對不同設備分散管理而帶來的冗余工作。系統(tǒng)提供安全加固方案，輕松應對因配置問題導致的安全風險。

安全運營中心引入安全基線檢查的目的在于：

       1. 企業(yè)內(nèi)有眾多的、不同類型的主機、網(wǎng)絡設備、安全設備、數(shù)據(jù)庫、Web中間件。
       2. 上述系統(tǒng)或設備都存在配置安全問題 。
       3. 安全配置基線問題，特別是口令強度不夠是黑客攻擊的主要手段。

因此，安全基線管理就提供了這樣的一個集中審計各類系統(tǒng)、設備安全配置情況的功能。

下圖給出了示意：

3.3   安全事件管理

      指南要求：

安全事件管理主要完成對事件的集中收集、管理和分析。主要的功能包括事件收集、事件集中處理。

另外，在安全事件管理中，用戶可以自由地定義對于原始事件的查詢方式，查詢的結果可以直接生成為報告并導出到外部文件中。

安全運營中心能夠支持以下事件源進行安全審計：

1. 防火墻、入侵檢測系統(tǒng)等安全設備；

2. 操作系統(tǒng)記錄的重要安全相關的日志和事件告警，支持Windows 2000/2003/NT/XP/Vista/7/2008/8/2012/10，各種版本的Linux/Unix系統(tǒng)；

3. 各種類型的數(shù)據(jù)庫日志，例如Oracle、MySQL等；

4. 防病毒系統(tǒng)、訪問控制系統(tǒng)、用戶集中管理和認證系統(tǒng)；

5. 各種應用系統(tǒng)的日志，如Apache、Tomcat、IIS等

3.4   資產(chǎn)管理、狀態(tài)監(jiān)控

      指南要求：

      安全資產(chǎn)是安全運營中心的核心管理對象。

一般而言，安全管理中的資產(chǎn)具備如下兩類屬性：

◆  基本屬性：名稱、編號、系統(tǒng)類型（產(chǎn)品類型、操作系統(tǒng)類型、版本等）、IP地址（支持IPv4核IPv6格式）、響應人（出現(xiàn)安全問題應由何人處理）、登錄憑證（獲取配置、安全基線檢查等使用）、上架信息等；

◆  安全屬性：完整性、可用性、保密性、風險信息、開放端口、安全事件、漏洞、安全基線違規(guī)問題等。

實時監(jiān)控資產(chǎn)的運行狀態(tài)，可進行設備狀態(tài)的查看和查詢。主要包括設備運行情況、健康情況等。提供了針對設備狀態(tài)的統(tǒng)計信息，健康狀態(tài)的分布情況等。

設備狀態(tài)主要屬性有：連通性、連續(xù)運行時間、CPU、內(nèi)存、硬盤、流量等。

3.5   漏洞掃描管理

      指南要求：

漏洞掃描也是安全運營中心的核心功能之一。與專業(yè)的掃描設備不同，安全運營中心的漏洞管理不僅支持分布式的漏洞掃描，也支持對系統(tǒng)內(nèi)的漏洞進行統(tǒng)一地分析和處理，產(chǎn)生相關告警并制定相關責任人進行處理。

下圖說明了普通漏洞掃描和漏洞管理的區(qū)別：

       通過漏洞掃描及時發(fā)現(xiàn)設備存在的漏洞，漏洞報告包含漏洞信息、解決方法，補丁信息。

3.6   風險監(jiān)控

指南要求：

       可以查看資產(chǎn)風險信息，包括資產(chǎn)當日安全事件的分布情況（按級別、類型）、漏洞嚴重級別分布情況和安全基線違規(guī)嚴重級別分布情況：

       1.   與資產(chǎn)相關的告警

       2.   與資產(chǎn)相關的漏洞

       3.   與資產(chǎn)相關的安全配置

       4.   與資產(chǎn)相關的設備狀態(tài)

5.   與資產(chǎn)相關的端口/服務情況

       通過對各類日志、配置、漏洞、設備狀態(tài)的關聯(lián)分析，及時發(fā)現(xiàn)網(wǎng)絡攻擊和異常行為，觸發(fā)告警：
       關聯(lián)場景：基于統(tǒng)計和基于關聯(lián)
            ◆ 基于統(tǒng)計包含：平均統(tǒng)計、方差統(tǒng)計，支持按天、按周統(tǒng)計，智能機器學習。

            ◆  基于關聯(lián)包含：狀態(tài)關聯(lián)、時序關聯(lián)、歸并關聯(lián)、篩選關聯(lián)、端口關聯(lián)。

       多維度關聯(lián)：

            ◆  支持事件與基線關聯(lián)分析、事件與漏洞關聯(lián)分析、事件與事件關聯(lián)分析。

3.7   工單管理

工單是安全運營中心用于安全問題處理的一種形式，是安全運維支撐的流程體現(xiàn)。

當系統(tǒng)產(chǎn)生告警后，用戶可以創(chuàng)建工單并分配給專人去處理。工單的狀態(tài)包括待接受、處理中、已完成、求助、已關閉和作廢等；而個人工單完成情況是供用戶查看工單各種狀態(tài)的分類信息。

除了可以從告警中生成工單，用戶也可以直接創(chuàng)建工單并將其派發(fā)給相關處理人；如果處理人不能在規(guī)定的周期內(nèi)處理完成，則系統(tǒng)會給予相應的提示。

3.8   知識庫管理

知識庫管理為系統(tǒng)運行和維護提供了知識來源以及安全問題的處理依據(jù)、方法或參考，目前支持如下幾類：

1. 配置類：各種操作系統(tǒng)、網(wǎng)絡設備、應用系統(tǒng)及數(shù)據(jù)庫等接入安全運營中心日志的配置收集方法；

2. 安全事件/日志類：各種安全系統(tǒng)的報警以及操作系統(tǒng)、網(wǎng)絡設備、服務器及數(shù)據(jù)庫的日志信息；

3. 漏洞類：通過掃描器發(fā)現(xiàn)的在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷的描述及解決方案；

4. 安全基線類：各種操作系統(tǒng)、網(wǎng)絡設備、防火墻、Web中間件及數(shù)據(jù)庫等可被威脅所利用而導致安全性問題的標準描述及解決方案；

5. 安全經(jīng)驗類：基于系統(tǒng)安全事件、漏洞、配置問題等信息綜合生成的安全警示信息的描述、告警觸發(fā)建議及解決方案等。

用戶可以通過全文檢索功能對系統(tǒng)提供的安全知識進行查詢；另外，在關聯(lián)策略中也可以直接指定和某條知識的對應關系。

3.9   報表管理

報表管理的作用為展示系統(tǒng)安全工作的結果。報表內(nèi)容包含各種信息的統(tǒng)計情況，包括：告警報表、資產(chǎn)報表、安全事件報表、漏洞報表、安全基線報表、工單報表等。

用戶可以定義相關條件以生成報表，它們均可以導出為PDF、Word、HTML等格式，如下圖所示：

---

聯(lián)系我們：

主頁：m.xunyicaoyou.com

全國服務熱線：400-1158-400

產(chǎn)品支持：support@juminfo.com