一、 安全运维之风险排查
1、安全日志分析
日志分析主要是定期为用户信息系统内安全设备、操作系统和网络设备产生的海量日志进行分析,从IP分布、时间分布、事件分布,行为分布、告警趋势这五个维度对用户信息系统内产生的日志进行梳理,发现潜在的风险点,得出安全现状结论。 通过日志分析报告,及时掌握网络运行状态和安全隐患。
2、漏洞扫描
利用带有安全漏洞知识库的扫描工具,对工控系统资产进行基于网络或本机层面的安全扫描,检测工控系统所存在的安全隐患和漏洞。
漏洞扫描可以识别工控设备开放的服务端口、用户帐号、系统漏洞等信息。尤其在对大范围IP进行漏洞检查的时候,扫描评估能对被评估目标进行覆盖面广泛的安全漏洞查找,能较真实地反映工控设备、网络设备所存在的网络安全问题和面临的网络安全威胁。
漏洞扫描应遵循如下原则:
▶ 选取适当的扫描策略
进行漏洞扫描时,会依据不同类型的扫描对象、不同的应用情况,选择不同的扫描策略。除了利用扫描工具自身所集成的扫描策略外,对承载较复杂应用的评估对象,需要按照不同的安全需求,编辑或生成适合于被评估对象的专用策略,应用量身定制的策略进行扫描,提高系统扫描效率,并达到更好的扫描效果。
▶ 选取适当的扫描时间
为减轻漏洞扫描对网络和工控设备的影响,漏洞扫描时间尽量安排在业务量不大的时段或晚上;或者对工控设备进行离线漏洞测试,避免影响工控设备正常工作。
▶ 单点试扫,主备分开
对于重要的设备,先小范围进行扫描,确认系统不受较大影响后再进行大规模扫描。对双机热备的设备在一次扫描会话中只选取其中一台进行扫描。
3、工业网络架构分析
工控系统的网络结构是整个工控系统的承载基础,网络架构分析是对整个工控系统进行风险评估的重要环节,可以及时发现网络结构、网络负载、网络设备等方面存在的安全隐患。
可以从以下几个方面进行分析:
工控网络层次:分析网络层次设计是否合理,是否采用了管理层、控制层、设备层等划分原则,网络关键点是否采用了冗余备份,网络设备与所处网络位置是否匹配等。
工控网络协议:分析路由协议、数采协议、控制协议设计是否合理,是否存在协议设计混乱、不规范的情况,是否采用安全路由协议等。
工控网络流量:分析整个网络流量分布是否合理;是否部署了流量监控系统。
工控网络规范性:分析网络建设的规范性,检查配置是否严格遵循相关的设计规范,IP规划及VLAN 分配是否合理等。
工控网络边界:检查网络边界的访问控制配置,评估整个系统的安全区域划分是否合理、各安全域之间的访问控制是否严格。
工控网络管理:检查网管配置情况(包括带内网管和带外网管)、工业防火墙布署情况、主机防护软件部署情况、日志系统的布署情况。
QoS: 分析流量控制工程是否调配合理,重要的应用系统是否能够得到QOS保证等。
二、安全运维之安全监控
网络安全运维过程中应重点对整体网络安全态势进行实时监控、安全事件分析及响应,工作安排如下:
三、安全运维之应急预案
当发生安全事件时企业应当根据安全事件等级启动响应预案。
企业应按照企业业务特点和性质制定应急预案,下面的指标参数标准可作参考: