安恒信息“大型汽車制造集團(tuán)工控安全體系規(guī)劃項(xiàng)目”入選2023中國(guó)互聯(lián)網(wǎng)大會(huì)創(chuàng)新成果

  • 人閱讀
  • 2023-07-27 17:26:43

  • 來(lái)源:千龍網(wǎng)新聞

  • 相關(guān)關(guān)鍵詞

近日,由中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)主辦的2023中國(guó)互聯(lián)網(wǎng)大會(huì)“數(shù)字化轉(zhuǎn)型發(fā)展論壇”在北京舉行。會(huì)上,安恒信息《大型汽車制造集團(tuán)工控安全體系規(guī)劃項(xiàng)目》入選2023(第二十二屆)中國(guó)互聯(lián)網(wǎng)大會(huì)創(chuàng)新成果。

安恒信息深耕工業(yè)信息安全領(lǐng)域多年,總結(jié)汽車制造行業(yè)特點(diǎn)和需求,結(jié)合自身實(shí)踐經(jīng)驗(yàn),梳理符合行業(yè)要求的工業(yè)控制系統(tǒng)安全防護(hù)解決方案,踐行全棧安全防護(hù)思路,涵蓋安全合規(guī)、安全能力提升、安全運(yùn)營(yíng)能力版塊,持續(xù)推進(jìn)汽車制造行業(yè)安全防護(hù)體系建設(shè),為汽車工業(yè)安全建設(shè)保駕護(hù)航。

大型汽車制造集團(tuán)工控安全體系規(guī)劃方案

行業(yè)現(xiàn)狀和問(wèn)題

隨著數(shù)字化轉(zhuǎn)型工作的不斷推進(jìn),IT/OT通過(guò)人、機(jī)、物的全面互聯(lián)實(shí)現(xiàn)網(wǎng)絡(luò)融合,構(gòu)建起全要素、全產(chǎn)業(yè)鏈、全價(jià)值鏈、全面連接的新型工業(yè)生產(chǎn)制造和服務(wù)體系,傳統(tǒng)信息網(wǎng)絡(luò)所面臨的病毒、木馬、入侵攻擊、拒絕服務(wù)等安全威脅正在向工業(yè)控制系統(tǒng)擴(kuò)散。

同樣,汽車制造行業(yè)也打破了傳統(tǒng)工業(yè)相對(duì)封閉可信的生產(chǎn)環(huán)境,安全管理和技術(shù)防護(hù)跨域運(yùn)維能力不足、安全人員技術(shù)水平不足、安全防護(hù)水平殘差不齊,亟需打造專業(yè)的安全管理體系與防護(hù)技術(shù)標(biāo)準(zhǔn),全面提升安全防護(hù)能力。

建設(shè)目標(biāo)

基于《工業(yè)控制系統(tǒng)信息安全防護(hù)能力成熟度模型》3-4級(jí)基本要求,為用戶企業(yè)打造專業(yè)的安全管理體系、安全技術(shù)體系和安全運(yùn)營(yíng)體系,全面提升安全防護(hù)能力,降低安全事件的發(fā)生與被攻擊的概率。通過(guò)引進(jìn)專業(yè)技術(shù)力量,實(shí)現(xiàn)內(nèi)外部協(xié)同、人員能力共同成長(zhǎng),建立統(tǒng)一的工控安全基線,切實(shí)提升用戶企業(yè)的工控安全水平,全面提升安全防護(hù)能力。

技術(shù)方案

本方案中工控安全體系建設(shè)的重點(diǎn)內(nèi)容包括:梳理資產(chǎn)、風(fēng)險(xiǎn)評(píng)估、安全測(cè)試驗(yàn)證和體系建設(shè)。

盤(pán)點(diǎn)資產(chǎn),明確安全保護(hù)對(duì)象

對(duì)工藝車間(沖壓、焊接、涂裝和總裝等)的工控資產(chǎn)(例如:工業(yè)控制主機(jī),如操作員站、工控機(jī)、一體機(jī)、服務(wù)器等;工業(yè)控制設(shè)備,如PLC、HMI、機(jī)器人、各類工藝控制器等;其他設(shè)備,如網(wǎng)絡(luò)設(shè)備及其他通過(guò)網(wǎng)絡(luò)連接、可能引入網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的組件等)開(kāi)展資產(chǎn)信息收集和梳理,形成工控資產(chǎn)臺(tái)賬,構(gòu)建資產(chǎn)與業(yè)務(wù)系統(tǒng)之間的關(guān)系,明確安全保護(hù)對(duì)象,最終輸出工控資產(chǎn)信息統(tǒng)計(jì)表。

風(fēng)險(xiǎn)評(píng)估,確定現(xiàn)場(chǎng)安全風(fēng)險(xiǎn)

通過(guò)現(xiàn)場(chǎng)訪談、問(wèn)卷、資料收集、工具評(píng)估、人工審計(jì)等方式,對(duì)目前管理、技術(shù)現(xiàn)狀、資產(chǎn)等進(jìn)行安全評(píng)估。通過(guò)對(duì)重點(diǎn)部門(mén)核心人員進(jìn)行跨部門(mén)、跨崗位訪談,結(jié)合工控系統(tǒng)設(shè)計(jì)、采購(gòu)、實(shí)施、驗(yàn)收、運(yùn)營(yíng)等過(guò)程現(xiàn)狀,分析當(dāng)前工控系統(tǒng)全生命周期存在的問(wèn)題,利用工控安全檢查工具箱對(duì)企業(yè)工控網(wǎng)絡(luò)進(jìn)行風(fēng)險(xiǎn)識(shí)別和評(píng)估,形成工控安全檢查報(bào)告,最后輸出工控系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估報(bào)告。

風(fēng)險(xiǎn)驗(yàn)證,梳理攻擊面與攻擊路徑

對(duì)各工藝車間(沖壓、焊接、涂裝和總裝等)的數(shù)據(jù)庫(kù)服務(wù)器、SCADA系統(tǒng)、OPC服務(wù)器上位機(jī)、控制器、視頻攝像頭等不同類型的工控系統(tǒng)開(kāi)展安全測(cè)試,在生產(chǎn)場(chǎng)景中通過(guò)辦公網(wǎng)對(duì)生產(chǎn)管理網(wǎng)、生產(chǎn)控制網(wǎng)等進(jìn)行遠(yuǎn)程操作?;跍y(cè)試結(jié)果分析工控系統(tǒng)存在的安全風(fēng)險(xiǎn)以及危害,與風(fēng)險(xiǎn)評(píng)估中的安全風(fēng)險(xiǎn)進(jìn)行比對(duì),進(jìn)一步分析風(fēng)險(xiǎn)成因,提出針對(duì)性解決辦法或緩解措施。對(duì)安全測(cè)試攻擊思路、攻擊方法、攻擊工具進(jìn)行總結(jié)梳理,賦能工控安全人員,提升人員技術(shù)能力。針對(duì)工控系統(tǒng)工藝特點(diǎn)、工控資產(chǎn)類型等因素,對(duì)不同類型工控主機(jī)或設(shè)備制定安全測(cè)試辦法,固化成基本套路/工具,使工控安全人員能夠快速開(kāi)展針對(duì)特定工控資產(chǎn)的安全測(cè)試、現(xiàn)狀安全評(píng)估等工作。

建立工控安全保障體系,制定企業(yè)安全防護(hù)基線

建立工控安全體系運(yùn)行機(jī)制,運(yùn)行機(jī)制活動(dòng)內(nèi)容覆蓋工控系統(tǒng)全生命周期,實(shí)現(xiàn)有效安全管控。梳理出符合汽車制造工業(yè)場(chǎng)景的工控安全基線、工控安全防護(hù)指南、工控安全防護(hù)技術(shù)架構(gòu)、工控安全管理規(guī)定和工控安全事件響應(yīng)流程等,涵蓋管理規(guī)定、流程、規(guī)范、表單等4層文件體系,通過(guò)試點(diǎn)來(lái)驗(yàn)證有效性和合理性,便于在集團(tuán)或行業(yè)內(nèi)推廣。

價(jià)值成效

完成工控安全體系建設(shè),為不同數(shù)字化程度的企業(yè)提供彈性的安全建設(shè)框架

工控安全體系主要包括整體管理要求、項(xiàng)目安全管理、運(yùn)營(yíng)安全管理以及風(fēng)險(xiǎn)評(píng)估、威脅預(yù)警、應(yīng)急處置相關(guān)流程,覆蓋工控系統(tǒng)從建設(shè)到運(yùn)營(yíng)使用全生命周期,形成管理規(guī)定、流程、規(guī)范等體系文件,根據(jù)企業(yè)的數(shù)字化建設(shè)程度,制定具有針對(duì)性的工控安全體系。

梳理工控安全滲透測(cè)工具集和方法,提高工控安全人員的技能

通過(guò)對(duì)企業(yè)辦公網(wǎng)數(shù)據(jù)中心、生產(chǎn)管理網(wǎng)和控制網(wǎng)的車間進(jìn)行遠(yuǎn)程滲透測(cè)試,利用信息收集、漏洞掃描、地址探測(cè)、端口掃描、web訪問(wèn)、腳本測(cè)試等測(cè)試手段發(fā)現(xiàn)問(wèn)題,并在安全測(cè)試過(guò)程中,針對(duì)汽車制造業(yè)生產(chǎn)場(chǎng)景進(jìn)行攻擊路徑、攻擊界面、攻擊效果的驗(yàn)證,同時(shí)對(duì)不同類型工控主機(jī)或設(shè)備制定安全測(cè)試辦法,固化成基本套路/工具等,賦能用戶企業(yè)工控安全人員,提升人員技術(shù)能力。

打通工控安全運(yùn)營(yíng)與資產(chǎn)平臺(tái)對(duì)接,實(shí)現(xiàn)線上化管理

對(duì)用戶各工藝車間的工控資產(chǎn)開(kāi)展資產(chǎn)信息收集和梳理,梳理出資產(chǎn)與業(yè)務(wù)的關(guān)系,資產(chǎn)的類型、運(yùn)營(yíng)人員、風(fēng)險(xiǎn)值等,形成工控資產(chǎn)信息表和工控資產(chǎn)點(diǎn)位圖;構(gòu)建統(tǒng)一的工控全體系建設(shè)總體架構(gòu)。

安恒信息大型汽車制造集團(tuán)工控安全體系規(guī)劃方案以《工業(yè)控制系統(tǒng)信息安全防護(hù)能力成熟度模型》3-4級(jí)為基本要求,根據(jù)行業(yè)工控現(xiàn)狀建立了適合本行業(yè)的工控系統(tǒng)全生命周期安全標(biāo)準(zhǔn)規(guī)范及管控措施,補(bǔ)齊存量資產(chǎn)短板,完善增量資產(chǎn)的體系管理;圍繞網(wǎng)絡(luò)安全、主機(jī)安全、設(shè)備安全、控制安全等9個(gè)方面建立工控安全基線,嵌入到工控建設(shè)流程中,為用戶企業(yè)打造專業(yè)的安全管理體系與防護(hù)技術(shù)標(biāo)準(zhǔn),建立完整的工控安全管理和運(yùn)營(yíng)體系,構(gòu)建集團(tuán)統(tǒng)一的工控安全防護(hù)基線,提升用戶企業(yè)的安全防護(hù)能力。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )