关键信息基础设施的等保2.0之路 | 港口企业篇

引言

2019年12月1日，《网络安全等级保护基本要求》的正式实施标志着等级保护制度整体进入 2.0 时代，等级保护对象范围从传统的网络和信息系统，向“云移物工大”上进行了扩展。GB/T22239由单独的基本要求演变为通用安全要求+新技术安全扩展要求，且技术要求和管理要求都做了调整。而关键信息基础设施也在定级要求上明确指出“定级原则上不低于三级”的要求。在“关键信息基础设施的等保2.0之路”系列文章中，天地和兴将从关键信息基础设施保护的实践出发，梳理并提供2.0时代等保安全建设的整体解决方案，旨在助力关键信息基础设施运营者网络安全防护能力和信息安全管理能力的提升，应对各类网络风险和挑战。

No.1

安全现状

随着“一带一路”倡议的提出，交通运输部联合国家发展改革委、财政部、自然资源部、生态环境部、应急部、海关总署、市场监管总局和国家铁路集团联合印发了《关于建设世界一流港口的指导意见》，明确指出加快平安港口、绿色港口、智慧港口建设。中国经济与世界经济的关联度越来越密切，中国的开放进程进一步加快，作为改革开放窗口的港口企业，逐步从数字化向“智慧港口”转型。

“智慧港口”是以现代化基础设施设备为基础，以云计算、大数据、物联网、移动互联网、智能控制等新一代信息技术与港口运输业务的深度融合为核心。随着信息化不断融合，保障工业网络安全也是确保国家战略安全的一项重要内容。如何建设一套稳定、先进、高效、可靠的工业网络安全集中监测管理系统，提升港口企业整体工业网络安全监管水平和防御能力，已成为港口企业的重要任务之一。

当前港口企业生产控制系统普遍存在以下网络安全风险：

网络的互联互通是工控系统实现信息化的基础条件，但这给生产监控系统带来诸多网络层面的安全风险，来自办公管理层网络的入侵、病毒等风险很容易向生产网蔓延；
“两化”融合促进了港口生产系统与IT系统的互联需求，港口生产系统也逐步采用通用协议或已广泛应用的工业协议传输数据，使得攻击者通过数据监听、协议解析与劫持技术篡改通信数据、控制命令，可直接威胁港口生产系统的正常运行；
边界越来越多、越来越模糊，防护难度也越来越大。一旦局部控制网络被病毒感染，容易迅速蔓延到整个生产控制网络，造成“一点突破，全网皆失”的，严重威胁系统的运行安全；
工程师站、操作员站等大部分上位机为Windows/Linux平台。为保证过程控制系统的相对独立性，同时考虑到系统的稳定运行，通常在系统运行后不会安装杀毒软件、安全更新补丁，以及策略配置变更，从而埋下巨大的安全隐患。一旦感染恶意代码，极易传播扩散，从而导致非计划停机；
由于应用软件和操作系统多种多样，很难形成统一的防护规范，以应对软件和操作系统等漏洞造成的安全问题；
由于缺乏对管理和技术人员操作行为的有效安全监管和审计，误操作或恶意操作安全风险较大；
各个网络安全设备自成一体，形成网络安全的系列孤岛，管理员无法清晰获知安全事件，管理维护难度较大。从等保2.0的要求及构建整体工业网络安全防护体系的需求来看，大部分相关企业并无统一的信息安全管理策略，亦并未配置独立的安全管理中心；
管理制度是国家各项安全法律、法规、规范、标准在企业的延伸和细化。尽管目前已设置专人专管的措施，但在管理制度方面还是非常薄弱，包括对人员、设备、考核等方面不够细化；
发生网络安全事件后人员通常依靠经验判断，甚至以逐个断网等方式来确定网络安全事件发生的设备和影响范围，对于被攻击程度，工艺是否受影响等问题无法快速给出评估结论。

No.2

解决方案

通过以上分析，港口行业企业生产控制系统在实际运营中面临多种安全隐患。结合国家网络安全等级保护2.0的建设要求，从“一个中心、三重防护”的思路出发，综合考虑当前港口行业生产控制系统的物理环境、通信网络、区域边界、计算环境、管理中心与安全管理方面的建设需求，天地和兴可提供全生命周期安全解决方案，为港口企业生产构建安全防御体系。

风险评估方案

风险评估是全面了解与验证在实际应用中存在各种风险的一种必要手段，亦是安全防护体系建设的前提。天地和兴通过科学运用网络安全风险评估的方法，参照相关国家、行业标准对物理环境、通信网络、区域边界、计算环境、管理中心以及管理体系等方面进行全面的安全评估。最大限度地提升港口企业生产监控系统的安全保障能力，为企业全面掌握安全风险，为后续网络安全建设提供数据支撑。

图基于表现形式的资产分类

安全防护方案

遵照国家网络安全等级保护及行业标准相关要求，天地和兴以“一个中心、三重防护”为指导思想，设计构建港口企业生产系统网络安全防护技术体系，帮助企业完善安全管理体系，满足等保合规性要求的基础上，对港口企业生产系统安全运行提供必要的安全防护。通过部署工控防火墙、工控安全审计平台、入侵检测系统、信息安全监管与分析系统等安全防护产品，提升生产控制系统网络整体防护能力，部署示意图如下：

安全通信网络：对港口ICS系统网络进行优化，根据网络中资产属性和访问逻辑来划分安全域，并对港口ICS系统网络与办公网互联的网络边界进行边界隔离与安全防护，在数采网边界处部署工业安全隔离与信息交换系统（工业网闸系统），保护港口行业企业生产控制系统网络免受来自上层办公网及互联网的入侵攻击风险。

安全区域边界：针对港口ICS系统网络中划分的安全域，根据系统的重要程度、部门等属性，针对性的对区域采取技术隔离手段，保护各区域的运行安全，如：在装船机、堆料机、抓斗卸船机、筛分、泵房等系统边界处串行部署工控防火墙，保护各层级或各安全域间的运行安全；在中控室核心交换机上选择旁路部署入侵检测系统、威胁检测系统，实时监测工控系统网络中、核心数据服务安全域的异常行为并分析告警；在装船机、堆料机、抓斗卸船机、筛分、泵房等系统的交换机上部署工控安全审计系统，对通信数据进行监听和分析，对异常行为、违规操作行为进行识别、审计告警，辅助安全运维人员进行处置。

安全计算环境：针对在港口ICS系统中的关键计算设备进行安全加固，包括各种相关的应用服务器、操作员站、工程师站等，通过检查工具对其安全漏洞与脆弱性进行发现和管理，对可修复的漏洞进行可行性验证与修复，关闭不需要的默认账号、服务，进行主机系统必要的安全加固，提升主机系统抗攻击能力。具体措施为：在HMI、工程师站、历史站、操作员站等主机系统上部署主机防护系统，并有针对性的进行人工加固服务。

安全管理中心：在港口ICS系统网络中组建安全管理专网，并建立安全管理中心，整体提高企业的全网的安全风险管理、关联分析、安全可视化与联动处置等能力。具体措施为：部署工控安全监管平台、运维审计系统、日志审计与分析系统、工控漏洞扫描管理系统等产品，实现全网关键计算设备、关键网络设备以及关键网络安全设备的运行监控、安全日志收集与分析、安全事件集中处置，全网系统账户的统一管理与操作审计等功能。

安全检查方案

建立ICS系统定期安全检查和整改工作机制，每年至少自行开展一次安全检查，发现问题需制定整改计划及措施，并将整改情况上报主管单位和集团公司，协助开展网络安全专项检查，最终对检查结果进行通报。

应急演练方案

建立健全网络安全运行应急工作机制，当ICS系统内发生变化时，及时组织对应急处置预案进行评估，根据实际情况适时修改并进行演练，形成快速反应、快速处置的能力。确保当ICS系统出现安全事件，尤其是遭到黑客、恶意代码攻击和其他人为破坏时，立即向应急响应办公室、上级主管部门、当地政府相应部门及集团公司报告，同时按应急处理预案采取安全应急措施。处理安全事件过程中应注意保护现场，以便进行调查取证和分析。最后将制定安全防护事件通报制度，将有关安全问题做好记录。定期向主管部门报送当前系统安全防护情况，并及时上报安全防护过程中出现的异常现象。

安全服务方案

天地和兴专业化的安全服务团队可为用户提供安全咨询、安全评估、运维管理、安全检查、等保差距分析、安全保障等专业级安全服务，帮助企业解决项目前期调研、评估、规划、后期安全培训、运维、应急保障等一系列安全服务内容，提升工业网络安全专业技能与运维管理能力。

安全运营方案

安全运营的好坏直接影响ICS系统网络安全防护体系的防护效能。结合法律法规，通过建立企业安全战略规划、安全体系建设、安全监测评估、安全人才培养、业务创新运营服务的各项标准、整合来自人员、流程和技术方面的信息，提供相关的信息和工具，帮助港口企业快速做出决策，实现产品、服务、制度的能力集约化、可视化管理。通过建设运维、安全、应急、运营体系打破产品和服务相互独立的现状，将技术和管理全面实行数字化，达成智能化安全运营的目标。

No.3

总结

本方案以港口企业生产监控系统应用为场景，构建整体工业网络安全防护方案，包括网络安全评估方案、网络安全建设方案、网络安全服务方案、网络安全运营方案，落实国家等级保护“一个中心、三重防护”的安全理念与安全架构要求，以解决港口企业监控系统在联网运行中所面临的网络安全建设与运营困扰，系统地为企业提供包括安全服务、安全建设、安全运营在内的工业网络安全全生命周期解决方案，为业务系统安全运行保驾护航。

关键信息基础设施的等保2.0之路 | 港口企业篇