近日,由中国互联网协会主办的2023中国互联网大会“数字化转型发展论坛”在北京举行。会上,安恒信息《大型汽车制造集团工控安全体系规划项目》入选2023中国互联网大会创新成果。
安恒信息深耕工业信息安全领域多年,总结汽车制造行业特点和需求,结合自身实践经验,梳理符合行业要求的工业控制系统安全防护解决方案,践行全栈安全防护思路,涵盖安全合规、安全能力提升、安全运营能力版块,持续推进汽车制造行业安全防护体系建设,为汽车工业安全建设保驾护航。
大型汽车制造集团工控安全体系规划方案
行业现状和问题
随着数字化转型工作的不断推进,IT/OT通过人、机、物的全面互联实现网络融合,构建起全要素、全产业链、全价值链、全面连接的新型工业生产制造和服务体系,传统信息网络所面临的病毒、木马、入侵攻击、拒绝服务等安全威胁正在向工业控制系统扩散。近年来,国内外智能制造业工控安全事件频发,严重威胁工业生产制造业务稳定运行,为我们敲响警钟。
同样,汽车制造行业也打破了传统工业相对封闭可信的生产环境,安全管理和技术防护跨域运维能力不足、安全人员技术水平不足、安全防护水平残差不齐,亟需打造专业的安全管理体系与防护技术标准,全面提升安全防护能力。
建设目标
基于《工业控制系统信息安全防护能力成熟度模型》3-4级基本要求,为用户企业打造专业的安全管理体系、安全技术体系和安全运营体系,全面提升安全防护能力,降低安全事件的发生与被攻击的概率。通过引进专业技术力量,实现内外部协同、人员能力共同成长,建立统一的工控安全基线,切实提升用户企业的工控安全水平,全面提升安全防护能力。
技术方案
本方案中工控安全体系建设的重点内容包括:梳理资产、风险评估、安全测试验证和体系建设。
01
盘点资产,明确安全保护对象
对工艺车间(冲压、焊接、涂装和总装等)的工控资产(例如:工业控制主机,如操作员站、工控机、一体机、服务器等;工业控制设备,如PLC、HMI、机器人、各类工艺控制器等;其他设备,如网络设备及其他通过网络连接、可能引入网络安全风险的组件等)开展资产信息收集和梳理,形成工控资产台账,构建资产与业务系统之间的关系,明确安全保护对象。最终输出工控资产信息统计表。
02
风险评估,确定现场安全风险
通过对各工厂(冲压、焊接、涂装和总装等车间)现场访谈、问卷、资料收集、工具评估、人工审计等方式对目前管理、技术现状、资产等进行安全评估。对数字化部、工程部、采购部等重点部门核心人员进行跨部门、跨岗位访谈,并结合工控系统设计、采购、实施、验收、运营等过程现状,分析当前工控系统全生命周期存在的问题。利用工控安全检查工具箱对企业工控网络进行风险识别和评估,形成工控安全检查报告。最后输出工控系统安全风险评估报告。
03
风险验证,梳理攻击面与攻击路径
对各工艺车间(冲压、焊接、涂装和总装等)的数据库服务器、SCADA系统、OPC服务器上位机、控制器、视频摄像头等不同类型的工控系统开展安全测试,在生产场景中通过办公网对生产管理网、生产控制网等进行远程操作。并基于测试结果分析工控系统存在的安全风险以及危害,并与风险评估中的安全风险进行比对,进一步分析风险成因,并提出针对性解决办法或缓解措施。对安全测试攻击思路、攻击方法、攻击工具进行总结梳理,赋能集团公司工控安全人员,提升人员技术能力。针对集团公司工控系统工艺特点、工控资产类型等因素,对不同类型工控主机或设备制定安全测试办法,固化成基本套路/工具,使集团公司工控安全人员能够快速开展针对特定工控资产的安全测试、现状安全评估等工作。
04
建立工控安全保障体系,制定企业安全防护基线
建立工控安全体系运行机制,运行机制活动内容覆盖工控系统全生命周期,实现有效安全管控。梳理出符合汽车制造工业场景的工控安全基线、工控安全防护指南、工控安全防护技术架构、工控安全管理规定和工控安全事件响应流程等,涵盖管理规定、流程、规范、表单4层文件体系,并通过试点来验证有效性和合理性,便于在集团或行业内推广。
价值成效
01
完成工控安全体系建设,为不同数字化程度的企业提供弹性的安全建设框架
工控安全体系主要包括整体管理要求、项目安全管理、运营安全管理以及风险评估、威胁预警、应急处置相关流程,覆盖工控系统从建设到运营使用全生命周期,形成管理规定、流程、规范等体系文件,根据企业的数字化建设程度,制定具有针对性的工控安全体系。
02
梳理工控安全渗透测工具集和方法,提高工控安全人员的技能
通过对企业办公网数据中心、生产管理网和控制网的车间进行远程渗透测试,利用信息收集、漏洞扫描、地址探测、端口扫描、web访问、脚本测试等测试手段发现问题,并在安全测试过程中,针对汽车制造业生产场景进行攻击路径、攻击界面、攻击效果的验证,同时对不同类型工控主机或设备制定安全测试办法,固化成基本套路/工具等,赋能用户企业工控安全人员,提升人员技术能力。
03
打通工控安全运营与资产平台对接,实现线上化管理
对用户各工艺车间的工控资产开展资产信息收集和梳理,梳理出资产与业务的关系,资产的类型、运营人员、风险值等,形成工控资产信息表和工控资产点位图;构建统一的工控全体系建设总体架构。
安恒信息大型汽车制造集团工控安全体系规划方案以《工业控制系统信息安全防护能力成熟度模型》3-4级为基本要求,根据行业工控现状建立了适合本行业的工控系统全生命周期安全标准规范及管控措施,补齐存量资产短板,完善增量资产的体系管理;围绕网络安全、主机安全、设备安全、控制安全等9个方面建立工控安全基线,嵌入到工控建设流程中,为用户企业打造专业的安全管理体系与防护技术标准,建立完整的工控安全管理和运营体系,构建集团统一的工控安全防护基线,提升用户企业的安全防护能力。