一、 安全運(yùn)維之風(fēng)險(xiǎn)排查
1、安全日志分析
日志分析主要是定期為用戶信息系統(tǒng)內(nèi)安全設(shè)備、操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備產(chǎn)生的海量日志進(jìn)行分析,從IP分布、時(shí)間分布、事件分布,行為分布、告警趨勢(shì)這五個(gè)維度對(duì)用戶信息系統(tǒng)內(nèi)產(chǎn)生的日志進(jìn)行梳理,發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)點(diǎn),得出安全現(xiàn)狀結(jié)論。 通過日志分析報(bào)告,及時(shí)掌握網(wǎng)絡(luò)運(yùn)行狀態(tài)和安全隱患。
2、漏洞掃描
利用帶有安全漏洞知識(shí)庫的掃描工具,對(duì)工控系統(tǒng)資產(chǎn)進(jìn)行基于網(wǎng)絡(luò)或本機(jī)層面的安全掃描,檢測(cè)工控系統(tǒng)所存在的安全隱患和漏洞。
漏洞掃描可以識(shí)別工控設(shè)備開放的服務(wù)端口、用戶帳號(hào)、系統(tǒng)漏洞等信息。尤其在對(duì)大范圍IP進(jìn)行漏洞檢查的時(shí)候,掃描評(píng)估能對(duì)被評(píng)估目標(biāo)進(jìn)行覆蓋面廣泛的安全漏洞查找,能較真實(shí)地反映工控設(shè)備、網(wǎng)絡(luò)設(shè)備所存在的網(wǎng)絡(luò)安全問題和面臨的網(wǎng)絡(luò)安全威脅。
漏洞掃描應(yīng)遵循如下原則:
? 選取適當(dāng)?shù)膾呙璨呗?/strong>
進(jìn)行漏洞掃描時(shí),會(huì)依據(jù)不同類型的掃描對(duì)象、不同的應(yīng)用情況,選擇不同的掃描策略。除了利用掃描工具自身所集成的掃描策略外,對(duì)承載較復(fù)雜應(yīng)用的評(píng)估對(duì)象,需要按照不同的安全需求,編輯或生成適合于被評(píng)估對(duì)象的專用策略,應(yīng)用量身定制的策略進(jìn)行掃描,提高系統(tǒng)掃描效率,并達(dá)到更好的掃描效果。
? 選取適當(dāng)?shù)膾呙钑r(shí)間
為減輕漏洞掃描對(duì)網(wǎng)絡(luò)和工控設(shè)備的影響,漏洞掃描時(shí)間盡量安排在業(yè)務(wù)量不大的時(shí)段或晚上;或者對(duì)工控設(shè)備進(jìn)行離線漏洞測(cè)試,避免影響工控設(shè)備正常工作。
? 單點(diǎn)試掃,主備分開
對(duì)于重要的設(shè)備,先小范圍進(jìn)行掃描,確認(rèn)系統(tǒng)不受較大影響后再進(jìn)行大規(guī)模掃描。對(duì)雙機(jī)熱備的設(shè)備在一次掃描會(huì)話中只選取其中一臺(tái)進(jìn)行掃描。
3、工業(yè)網(wǎng)絡(luò)架構(gòu)分析
工控系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)是整個(gè)工控系統(tǒng)的承載基礎(chǔ),網(wǎng)絡(luò)架構(gòu)分析是對(duì)整個(gè)工控系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估的重要環(huán)節(jié),可以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)負(fù)載、網(wǎng)絡(luò)設(shè)備等方面存在的安全隱患。
可以從以下幾個(gè)方面進(jìn)行分析:
工控網(wǎng)絡(luò)層次:分析網(wǎng)絡(luò)層次設(shè)計(jì)是否合理,是否采用了管理層、控制層、設(shè)備層等劃分原則,網(wǎng)絡(luò)關(guān)鍵點(diǎn)是否采用了冗余備份,網(wǎng)絡(luò)設(shè)備與所處網(wǎng)絡(luò)位置是否匹配等。
工控網(wǎng)絡(luò)協(xié)議:分析路由協(xié)議、數(shù)采協(xié)議、控制協(xié)議設(shè)計(jì)是否合理,是否存在協(xié)議設(shè)計(jì)混亂、不規(guī)范的情況,是否采用安全路由協(xié)議等。
工控網(wǎng)絡(luò)流量:分析整個(gè)網(wǎng)絡(luò)流量分布是否合理;是否部署了流量監(jiān)控系統(tǒng)。
工控網(wǎng)絡(luò)規(guī)范性:分析網(wǎng)絡(luò)建設(shè)的規(guī)范性,檢查配置是否嚴(yán)格遵循相關(guān)的設(shè)計(jì)規(guī)范,IP規(guī)劃及VLAN 分配是否合理等。
工控網(wǎng)絡(luò)邊界:檢查網(wǎng)絡(luò)邊界的訪問控制配置,評(píng)估整個(gè)系統(tǒng)的安全區(qū)域劃分是否合理、各安全域之間的訪問控制是否嚴(yán)格。
工控網(wǎng)絡(luò)管理:檢查網(wǎng)管配置情況(包括帶內(nèi)網(wǎng)管和帶外網(wǎng)管)、工業(yè)防火墻布署情況、主機(jī)防護(hù)軟件部署情況、日志系統(tǒng)的布署情況。
QoS: 分析流量控制工程是否調(diào)配合理,重要的應(yīng)用系統(tǒng)是否能夠得到QOS保證等。
二、安全運(yùn)維之安全監(jiān)控
網(wǎng)絡(luò)安全運(yùn)維過程中應(yīng)重點(diǎn)對(duì)整體網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行實(shí)時(shí)監(jiān)控、安全事件分析及響應(yīng),工作安排如下:
三、安全運(yùn)維之應(yīng)急預(yù)案
當(dāng)發(fā)生安全事件時(shí)企業(yè)應(yīng)當(dāng)根據(jù)安全事件等級(jí)啟動(dòng)響應(yīng)預(yù)案。
企業(yè)應(yīng)按照企業(yè)業(yè)務(wù)特點(diǎn)和性質(zhì)制定應(yīng)急預(yù)案,下面的指標(biāo)參數(shù)標(biāo)準(zhǔn)可作參考:
