一、工控信息安全态势

美国工业控制系统网络应急响应小组（Industrial Control Systems Cyber Emergency Response Team，ICS-CERT）发布的2015年关键基础设施安全报告显示，2015年美国关键基础设施安全事件比2014年增长了20%之多。在过去的财年中共收到295个涉及关键基础设施的上报事件，与之相比，去年的事件数为245件。

ICS-CERT表示，曾处理了许多配置不当导致的安全事件，比如工业控制系统连接到了企业网络，甚至直接连到外网；

       尽管超过三分之一的事件中，调查人员无法确定攻击者使用的攻击向量，在能辨别的事件中，仍有100起涉及鱼叉式钓鱼。

二、工业控制系统信息安全防护指南

为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》（国发〔2016〕28号），保障工业企业工业控制系统信息安全，工业和信息化部印发了《工业控制系统信息安全防护指南》，指南从十一个方面提及了工控安全防护工作的要求，包括：

1、 安全软件选择与管理

2、 配置和补丁管理

3、 边界安全防护

4、 物理和环境安全防护

5、 身份认证

6、 远程访问安全

7、 安全监测和应急预案演练

8、 资产安全

9、 数据安全

10、供应链管理

11、落实责任

三、解决方案

聚铭安全运营中心是协助用户实现安全基线管理、安全风险管理、安全组织管理和安全运维管理的中心枢纽，自动的、动态的风险评估系统，使安全运维管理日常化、自动化。

       聚铭网络结合多年安全防护经验，对指南要求进行有力支撑。

  ◆  灰色部分为线下管理或管理制度。

3.1   系统功能

3.2   配置安全基线管理

指南要求：

通过安全基线管理全面集中检查和分析各类系统存在的本地安全配置问题，自动巡检任务减轻因对不同设备分散管理而带来的冗余工作。系统提供安全加固方案，轻松应对因配置问题导致的安全风险。

安全运营中心引入安全基线检查的目的在于：

       1. 企业内有众多的、不同类型的主机、网络设备、安全设备、数据库、Web中间件。
       2. 上述系统或设备都存在配置安全问题 。
       3. 安全配置基线问题，特别是口令强度不够是黑客攻击的主要手段。

因此，安全基线管理就提供了这样的一个集中审计各类系统、设备安全配置情况的功能。

下图给出了示意：

3.3   安全事件管理

      指南要求：

安全事件管理主要完成对事件的集中收集、管理和分析。主要的功能包括事件收集、事件集中处理。

另外，在安全事件管理中，用户可以自由地定义对于原始事件的查询方式，查询的结果可以直接生成为报告并导出到外部文件中。

安全运营中心能够支持以下事件源进行安全审计：

1. 防火墙、入侵检测系统等安全设备；

2. 操作系统记录的重要安全相关的日志和事件告警，支持Windows 2000/2003/NT/XP/Vista/7/2008/8/2012/10，各种版本的Linux/Unix系统；

3. 各种类型的数据库日志，例如Oracle、MySQL等；

4. 防病毒系统、访问控制系统、用户集中管理和认证系统；

5. 各种应用系统的日志，如Apache、Tomcat、IIS等

3.4   资产管理、状态监控

      指南要求：

      安全资产是安全运营中心的核心管理对象。

一般而言，安全管理中的资产具备如下两类属性：

◆  基本属性：名称、编号、系统类型（产品类型、操作系统类型、版本等）、IP地址（支持IPv4核IPv6格式）、响应人（出现安全问题应由何人处理）、登录凭证（获取配置、安全基线检查等使用）、上架信息等；

◆  安全属性：完整性、可用性、保密性、风险信息、开放端口、安全事件、漏洞、安全基线违规问题等。

实时监控资产的运行状态，可进行设备状态的查看和查询。主要包括设备运行情况、健康情况等。提供了针对设备状态的统计信息，健康状态的分布情况等。

设备状态主要属性有：连通性、连续运行时间、CPU、内存、硬盘、流量等。

3.5   漏洞扫描管理

      指南要求：

漏洞扫描也是安全运营中心的核心功能之一。与专业的扫描设备不同，安全运营中心的漏洞管理不仅支持分布式的漏洞扫描，也支持对系统内的漏洞进行统一地分析和处理，产生相关告警并制定相关责任人进行处理。

下图说明了普通漏洞扫描和漏洞管理的区别：

       通过漏洞扫描及时发现设备存在的漏洞，漏洞报告包含漏洞信息、解决方法，补丁信息。

3.6   风险监控

指南要求：

       可以查看资产风险信息，包括资产当日安全事件的分布情况（按级别、类型）、漏洞严重级别分布情况和安全基线违规严重级别分布情况：

       1.   与资产相关的告警

       2.   与资产相关的漏洞

       3.   与资产相关的安全配置

       4.   与资产相关的设备状态

5.   与资产相关的端口/服务情况

       通过对各类日志、配置、漏洞、设备状态的关联分析，及时发现网络攻击和异常行为，触发告警：
       关联场景：基于统计和基于关联
            ◆ 基于统计包含：平均统计、方差统计，支持按天、按周统计，智能机器学习。

            ◆  基于关联包含：状态关联、时序关联、归并关联、筛选关联、端口关联。

       多维度关联：

            ◆  支持事件与基线关联分析、事件与漏洞关联分析、事件与事件关联分析。

3.7   工单管理

工单是安全运营中心用于安全问题处理的一种形式，是安全运维支撑的流程体现。

当系统产生告警后，用户可以创建工单并分配给专人去处理。工单的状态包括待接受、处理中、已完成、求助、已关闭和作废等；而个人工单完成情况是供用户查看工单各种状态的分类信息。

除了可以从告警中生成工单，用户也可以直接创建工单并将其派发给相关处理人；如果处理人不能在规定的周期内处理完成，则系统会给予相应的提示。

3.8   知识库管理

知识库管理为系统运行和维护提供了知识来源以及安全问题的处理依据、方法或参考，目前支持如下几类：

1. 配置类：各种操作系统、网络设备、应用系统及数据库等接入安全运营中心日志的配置收集方法；

2. 安全事件/日志类：各种安全系统的报警以及操作系统、网络设备、服务器及数据库的日志信息；

3. 漏洞类：通过扫描器发现的在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷的描述及解决方案；

4. 安全基线类：各种操作系统、网络设备、防火墙、Web中间件及数据库等可被威胁所利用而导致安全性问题的标准描述及解决方案；

5. 安全经验类：基于系统安全事件、漏洞、配置问题等信息综合生成的安全警示信息的描述、告警触发建议及解决方案等。

用户可以通过全文检索功能对系统提供的安全知识进行查询；另外，在关联策略中也可以直接指定和某条知识的对应关系。

3.9   报表管理

报表管理的作用为展示系统安全工作的结果。报表内容包含各种信息的统计情况，包括：告警报表、资产报表、安全事件报表、漏洞报表、安全基线报表、工单报表等。

用户可以定义相关条件以生成报表，它们均可以导出为PDF、Word、HTML等格式，如下图所示：

---

联系我们：

主页：www.juminfo.com

全国服务热线：400-1158-400

产品支持：support@juminfo.com