基于主動(dòng)防御的電子制造基地安全方案
1、 項(xiàng)目概況
1. 項(xiàng)目背景
該電子制造企業(yè)既有自己的工廠又有眾多的外協(xié)工廠,且外協(xié)工廠分布式在全世界多個(gè)國(guó)家。目前該企業(yè)已經(jīng)實(shí)現(xiàn)“云上辦公”和“生產(chǎn)管理系統(tǒng)上云”,企業(yè)各園區(qū)之間采用企業(yè)專網(wǎng)進(jìn)行通信,生產(chǎn)基地和外協(xié)廠基本上通過租借的專網(wǎng)進(jìn)行通信,部分供應(yīng)商采用TLS VPN進(jìn)行通信,廠區(qū)內(nèi)部還根據(jù)不同的應(yīng)用場(chǎng)景采用不同的通信方式,除了有線通信之外,還有WiFi 和eLTE等無線通信方式,工廠和外協(xié)工廠之間通過該企業(yè)的云平臺(tái)實(shí)現(xiàn)生產(chǎn)協(xié)同
正是企業(yè)制造智能化和管理IT化的水平比較高, 使其制造業(yè)務(wù)的面臨安全挑戰(zhàn)非常大,且制造業(yè)務(wù)的安全要求和公司的通用IT安全要求有所不同,前者重點(diǎn)是保障業(yè)務(wù)的連續(xù)性和可靠性,后者重點(diǎn)是確保數(shù)據(jù)的安全性和可控性。因此制造業(yè)務(wù)部門在基于公司通用的IT安全部署和安全管理之上,提出制造基地獨(dú)立的安全防護(hù)體系和安全管理機(jī)制。
2. 項(xiàng)目簡(jiǎn)介
該電子制造基地的安全實(shí)施,以保證業(yè)務(wù)連續(xù)性為目標(biāo),采取管理約束和技術(shù)保證雙管齊下的策略,根據(jù)生產(chǎn)實(shí)際述求,本著先改造IT后增強(qiáng)OT的安全實(shí)施理念,提出了被動(dòng)的靜態(tài)防御和主動(dòng)防御相結(jié)合的安全部署方式, 通過嚴(yán)格的安全隔離和訪問控制機(jī)制等傳統(tǒng)的靜態(tài)防御手段,為生產(chǎn)基地構(gòu)建獨(dú)立的網(wǎng)絡(luò)安全防護(hù)圍墻;在此基礎(chǔ)上,引入主動(dòng)防御的安全工具,通過先進(jìn)的安全防御工具,來彌補(bǔ)攻防的不對(duì)稱問題,提高應(yīng)對(duì)未知威脅的反應(yīng)能力和預(yù)警能力,確保工控系統(tǒng)運(yùn)行環(huán)境的安全性。
3. 項(xiàng)目目標(biāo)
項(xiàng)目的安全目標(biāo)是確保業(yè)務(wù)的連續(xù)性,避免因攻擊事件造成生產(chǎn)線的停機(jī)。項(xiàng)目安全方案的前提條件是不對(duì)工控系統(tǒng)的可用性、實(shí)時(shí)性和可靠性產(chǎn)生任何影響,制造基地的數(shù)據(jù)安全保護(hù)已經(jīng)由公司的云平臺(tái)安全保護(hù)體系進(jìn)行保護(hù),不在本項(xiàng)目考慮之內(nèi)。
目在增強(qiáng)傳統(tǒng)的靜態(tài)防御手段基礎(chǔ)上,采用“先提高IT免疫力,后增強(qiáng)OT安全”的思想,分兩期部署主動(dòng)安全防御系統(tǒng):第一期主要給制造基地IT網(wǎng)絡(luò)和OT邊緣區(qū)增加主動(dòng)防御,建立數(shù)據(jù)交換區(qū)來隔離安全風(fēng)險(xiǎn),車間內(nèi)的數(shù)據(jù)以安全監(jiān)控為主;第二期,將主動(dòng)防御系統(tǒng)的行為建模能力擴(kuò)展到OT網(wǎng)絡(luò)和工業(yè)協(xié)議,實(shí)現(xiàn)OT、IT和CT網(wǎng)絡(luò)的全方位監(jiān)控。通過這兩期的安全方案部署,加強(qiáng)了網(wǎng)絡(luò)安全縱深防御和聯(lián)動(dòng)協(xié)防能力,建立有效應(yīng)對(duì)APT攻擊防御的全網(wǎng)協(xié)同的智能“自我免疫”的安全防御體系,實(shí)現(xiàn)對(duì)全網(wǎng)威脅的態(tài)勢(shì)感知。實(shí)現(xiàn)網(wǎng)絡(luò)安全“智能檢測(cè)”、“智能處置”和“智能運(yùn)維”,從被動(dòng)、單點(diǎn)防御到主動(dòng)、整網(wǎng)防御,從人工運(yùn)維到智能運(yùn)維。
二、項(xiàng)目實(shí)施概況
1.項(xiàng)目的面臨的挑戰(zhàn)和對(duì)策
? 主要挑戰(zhàn)
終端安全手段難以部署,停機(jī)維護(hù)不可接受;生產(chǎn)線無人值守,工控設(shè)備高自動(dòng)低智能;生產(chǎn)網(wǎng)絡(luò)是專用的封閉系統(tǒng),與外部情報(bào)共享不方便;另外面對(duì)APT高級(jí)持續(xù)威脅和WannaCry等這種新型勒索病毒,傳統(tǒng)單點(diǎn)和靜態(tài)防護(hù)手段常常束手無策,等到攻擊事件爆發(fā)時(shí)才知道已經(jīng)為時(shí)已。
? 應(yīng)對(duì)策略
采用不依賴終端的網(wǎng)絡(luò)旁路部署方案;威脅檢測(cè)不依賴威脅情報(bào),而是基于AI和業(yè)務(wù)環(huán)境自適應(yīng)的智能檢測(cè)與響應(yīng)技術(shù);通過建立數(shù)據(jù)交換區(qū),最大限度避免外部攻擊和威脅直接進(jìn)入生產(chǎn)網(wǎng),部署誘捕網(wǎng)絡(luò),與智能檢測(cè)與響應(yīng)系統(tǒng)進(jìn)行聯(lián)動(dòng),提高對(duì)未知威脅的攻擊意圖分析能力和全網(wǎng)的動(dòng)態(tài)安全響應(yīng)能力。
2. 項(xiàng)目總體架構(gòu)和主要安全部署策略
項(xiàng)目采用靜態(tài)安全防護(hù)和主動(dòng)安全防御相結(jié)合的方案,安全解決總體解決方案示意圖如圖1所示,項(xiàng)目采取下面的安全部署策略:
? 多層次的安全隔離措施:在企業(yè)的大專網(wǎng)中,劃分一個(gè)生產(chǎn)專網(wǎng),將辦公網(wǎng)絡(luò)和生產(chǎn)網(wǎng)絡(luò)區(qū)分開,在生產(chǎn)網(wǎng)絡(luò)中再進(jìn)一步劃分若干個(gè)子網(wǎng);生產(chǎn)區(qū)根據(jù)設(shè)備和業(yè)務(wù)特點(diǎn),劃分不同安全區(qū)域,每個(gè)區(qū)域?qū)?yīng)一個(gè)網(wǎng)絡(luò)子網(wǎng)。通過嚴(yán)格的安全隔離措施,來彌補(bǔ)工控系統(tǒng)自身防護(hù)能力弱的問題。
? 嚴(yán)格的網(wǎng)絡(luò)訪問控制:每個(gè)子網(wǎng)分配私有IP地址段,子網(wǎng)之間通信需要通過網(wǎng)關(guān)進(jìn)行訪問控制;設(shè)備接入生產(chǎn)大專網(wǎng)時(shí),采用設(shè)備和用戶的雙因子鑒權(quán)機(jī)制,設(shè)備需要先通過云的合規(guī)性和殺毒檢測(cè)等常規(guī)性健康檢查之外,進(jìn)入生產(chǎn)區(qū)還需要進(jìn)行未知威脅的檢測(cè);各生產(chǎn)子網(wǎng)的訪問權(quán)限由云平臺(tái)統(tǒng)一管理,實(shí)現(xiàn)全局訪問監(jiān)控。
? 定義數(shù)據(jù)交換的專門安全隔離區(qū)域:在生產(chǎn)大網(wǎng)前面,專門設(shè)計(jì)一個(gè)安全隔離區(qū),作為OT網(wǎng)絡(luò)和IT網(wǎng)絡(luò)之間的數(shù)據(jù)交換的唯一場(chǎng)所,也是新來的設(shè)備和文件進(jìn)入OT網(wǎng)絡(luò)前的健康檢查區(qū)域,設(shè)立該安全隔離區(qū)目的是盡量將外部攻擊阻止在該隔離區(qū),避免其進(jìn)入OT網(wǎng)絡(luò)。
? 部署主動(dòng)防御系統(tǒng):在保留原有的防火墻和IDS的安全能力上,疊加一個(gè)動(dòng)態(tài)的安全防護(hù)系統(tǒng),來提高安全檢測(cè)和響應(yīng)能力,并在安全隔離區(qū)專門設(shè)立一個(gè)誘捕網(wǎng)絡(luò),通過誘捕網(wǎng)絡(luò)來分析攻擊意圖
?
圖1 主動(dòng)防御系統(tǒng)的部署總體示意圖
3方案的關(guān)鍵組件
該項(xiàng)目的主動(dòng)安全防御方案均采用華為的安全產(chǎn)品進(jìn)行部署,關(guān)鍵組件之間的關(guān)系如圖2所示:
圖1 主動(dòng)防御系統(tǒng)各組件之間關(guān)系圖
? CIS:基于AI技術(shù)的智能安全分析器,通過檢測(cè)探針上報(bào)的流量特征和日志、終端行為等數(shù)據(jù)分析,識(shí)別未知威脅,并聯(lián)動(dòng)安全控制器下發(fā)安全策略
? SecoManager:智能的安全控制,實(shí)現(xiàn)安全設(shè)備和網(wǎng)絡(luò)設(shè)備的統(tǒng)一調(diào)度,提高全網(wǎng)聯(lián)動(dòng)能力,安全控制器接受安全分析器的安全處置措施,編排成為設(shè)備可執(zhí)行的策略,并自動(dòng)下發(fā)給安全執(zhí)行器進(jìn)行執(zhí)行,是全網(wǎng)的主動(dòng)防御系統(tǒng)的安全資源調(diào)配中心。
? 安全執(zhí)行器,包含防火墻和IPS,一方面向分析器提供安全分析的數(shù)據(jù)輸入,另一方面接收控制器下發(fā)的具體指令,執(zhí)行安全策略的實(shí)施,實(shí)現(xiàn)安全處置閉環(huán),同時(shí)對(duì)接CIS,實(shí)現(xiàn)本地信譽(yù)升級(jí)。
? 探針:流量探針部署在各子網(wǎng)關(guān)口處和網(wǎng)絡(luò)邊界處,探測(cè)流量的行為特征和用戶行為,日志探針采集交換機(jī)、防火墻和IPS的安全日志,并上報(bào)CIS。
? 沙箱:檢測(cè)未知的惡意代碼,與防火墻和IPS具備聯(lián)動(dòng)功能,防火墻和IPS從流量中提取可疑文件,送到沙箱檢測(cè)。 所有新文件和新設(shè)備都需要進(jìn)行沙箱檢測(cè)。
? 網(wǎng)絡(luò)誘捕系統(tǒng):向攻擊者呈現(xiàn)虛假資源,誘導(dǎo)攻擊,把攻擊引入蜜罐,與攻擊者交互,通過某些技術(shù)手段,確認(rèn)攻擊意圖,以便采取對(duì)應(yīng)措施。
? 堡壘機(jī):對(duì)各種資源的帳號(hào)、認(rèn)證、授權(quán)和審計(jì)的集中管理和控制,部署在安全隔離區(qū),所有對(duì)生產(chǎn)區(qū)的設(shè)備運(yùn)維,都需要堡壘機(jī)進(jìn)行集中管控。
4.方案部署的關(guān)鍵要點(diǎn)
1.對(duì)原有的防火墻和IPS進(jìn)行升級(jí),在保留原有的安全防護(hù)能力基礎(chǔ)上,使其能支持與安全分析器、安全控制器和沙箱等進(jìn)行聯(lián)動(dòng),成為安全執(zhí)行器。
2、所有子網(wǎng)的邊界處部署流量探針,防火墻、IPS、路由器和交換機(jī)部署日志探針。
3. 在安全隔離區(qū)安全部署一臺(tái)CIS和SecoManager,CIS和生產(chǎn)區(qū)內(nèi)外的探針進(jìn)行對(duì)接,并和SecoManager進(jìn)行聯(lián)動(dòng),由SecoManager來統(tǒng)一調(diào)配安全隔離區(qū)和邊界處的安全資源。
4.在安全隔離區(qū)部署專門的誘捕網(wǎng)絡(luò),禁止在生產(chǎn)網(wǎng)絡(luò)的系統(tǒng)中安裝TeamViewer等遠(yuǎn)程控制軟件,所有生產(chǎn)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的數(shù)據(jù)和文件都需要經(jīng)過誘捕網(wǎng)絡(luò)。
4.在安全隔離區(qū)專門部署文件交換服務(wù)器,同時(shí)部署沙箱,所有文件進(jìn)入生產(chǎn)網(wǎng)絡(luò)之前,需要先經(jīng)過常規(guī)IT檢測(cè)、誘捕網(wǎng)絡(luò)和沙箱的檢測(cè),然后才能上載在文件交換服務(wù)器,只有經(jīng)過安全檢測(cè)的設(shè)備才能在文件交換服務(wù)器進(jìn)行下載。
5. 在安全隔離區(qū)部署堡壘機(jī)和跳板機(jī),通過跳板實(shí)現(xiàn),外部的運(yùn)維方對(duì)生產(chǎn)區(qū)進(jìn)行運(yùn)維時(shí),需要先經(jīng)過跳板機(jī),登錄到堡壘機(jī)進(jìn)行用戶行為審計(jì),然后才能運(yùn)維生產(chǎn)設(shè)備。
5.方案的應(yīng)用
? 場(chǎng)景1:U盤管理/文件傳輸時(shí)的安全保障
如圖3所示,U盤拷入文件服務(wù)器的文件需經(jīng)過主機(jī)病毒掃描,網(wǎng)絡(luò)防火墻病毒掃描,沙箱未知病毒、木馬程序掃描,同時(shí)經(jīng)過漏洞掃描系統(tǒng)漏掃測(cè)試。在文件傳輸過程還要經(jīng)過誘捕系統(tǒng)進(jìn)行誘捕異常掃描、嗅探偵測(cè)網(wǎng)絡(luò)行為的檢測(cè)。
圖3 U盤和文件的傳輸管理時(shí)的安全保障
? 場(chǎng)景2:外來供應(yīng)商運(yùn)維管理或者外來電腦管理
如圖4所示,外來廠家的運(yùn)維管理,首先要登錄到數(shù)據(jù)交互區(qū)的跳板機(jī),通過跳板機(jī)再登錄堡壘機(jī),運(yùn)維人員行為經(jīng)過堡壘機(jī)審計(jì),對(duì)于非法遠(yuǎn)程控制軟件行為進(jìn)行禁止。
圖4 設(shè)備運(yùn)維時(shí)的安全保障
? 場(chǎng)景3,新機(jī)臺(tái)接入網(wǎng)絡(luò)的安全保障
如圖5所示,新機(jī)臺(tái)接入生產(chǎn)區(qū)之前需要先接入數(shù)據(jù)交互區(qū),機(jī)臺(tái)潛伏的病毒經(jīng)過數(shù)據(jù)交換區(qū)的異常流量檢測(cè)模型,誘捕系統(tǒng)識(shí)別并控制在數(shù)據(jù)交換區(qū);在數(shù)據(jù)交互區(qū)48小時(shí)后,檢測(cè)異常或者學(xué)習(xí)到正常基線,無風(fēng)險(xiǎn)的機(jī)臺(tái)正式接入生產(chǎn)網(wǎng)絡(luò)區(qū)。
圖5,新設(shè)備加入生產(chǎn)區(qū)的安全保障
? 場(chǎng)景4,機(jī)臺(tái)和設(shè)備的準(zhǔn)入控制
為了防止假冒機(jī)臺(tái)和設(shè)備接入網(wǎng)絡(luò),或者為經(jīng)過健康檢查的設(shè)備和機(jī)臺(tái)非法接入網(wǎng)絡(luò),需要進(jìn)行準(zhǔn)入控制,新設(shè)備在數(shù)據(jù)隔離區(qū)48小時(shí)后,需要經(jīng)過準(zhǔn)入控制檢查后才能接入生產(chǎn)區(qū)。
如圖6所示,部署網(wǎng)絡(luò)安全準(zhǔn)入系統(tǒng)做終端和機(jī)臺(tái)的準(zhǔn)入控制,終端、機(jī)臺(tái)接入前的健康度檢查、補(bǔ)丁安裝巡檢、合規(guī)檢測(cè)等。各設(shè)備接入準(zhǔn)入系統(tǒng)時(shí),需要強(qiáng)制進(jìn)行漏洞修復(fù),對(duì)于特定終端,如啞終端,無法進(jìn)行正常的健康檢查,由準(zhǔn)入系統(tǒng)進(jìn)行白名單檢查。
圖6,設(shè)備的準(zhǔn)入安全控制。
? 場(chǎng)景5,生產(chǎn)區(qū)間的行為檢查和隔離措施
新機(jī)臺(tái)之間有相互感染風(fēng)險(xiǎn),一臺(tái)機(jī)臺(tái)感染病毒,會(huì)傳播到其他機(jī)臺(tái),攻擊者會(huì)利用機(jī)臺(tái)已知漏洞進(jìn)行攻擊。
如圖7所示,機(jī)臺(tái)之間通過交換機(jī)Muxvlan技術(shù)進(jìn)行隔離,不需要傳輸數(shù)據(jù)的機(jī)臺(tái)之間進(jìn)行隔離;需要進(jìn)行交互的機(jī)臺(tái)交互數(shù)據(jù)通過防火墻進(jìn)行隔離,通過漏洞檢測(cè)和防護(hù),過濾已知漏洞。
圖7,生產(chǎn)區(qū)的設(shè)備的隔離措施
三、下一步實(shí)施計(jì)劃
1. 將主動(dòng)防御系統(tǒng)進(jìn)一步延伸到OT網(wǎng)絡(luò)中,主動(dòng)防御系統(tǒng)的行為建模能力擴(kuò)展到OT網(wǎng)絡(luò)和工業(yè)協(xié)議。
2.推廣該安全實(shí)踐經(jīng)驗(yàn)和解決方案,將方案推廣到其他行業(yè)的制造基地,目前已經(jīng)和某芯片先進(jìn)制造企業(yè)進(jìn)行聯(lián)合研究,將方案部署到其芯片制造基地
四、項(xiàng)目創(chuàng)新點(diǎn)和實(shí)施效果
1. 項(xiàng)目先進(jìn)性及創(chuàng)新點(diǎn)
? 首創(chuàng)提出安全隔離區(qū)是新文件和新設(shè)備進(jìn)入生產(chǎn)區(qū)OT網(wǎng)絡(luò)的唯一通道。
? 基于AI建立行為基線,檢測(cè)未知攻擊,通過構(gòu)建安全威脅態(tài)勢(shì)感知、安全策略智能管理和網(wǎng)絡(luò)誘捕系統(tǒng),形成“三位一體”的主動(dòng)防御體系,提高未知威脅感知能力和響應(yīng)能力;
? 無需對(duì)現(xiàn)有網(wǎng)絡(luò)和設(shè)備進(jìn)行大規(guī)模改造,主動(dòng)防御體系不影響現(xiàn)有生產(chǎn)網(wǎng)數(shù)據(jù)通信,項(xiàng)目方案可以復(fù)制性強(qiáng),可以復(fù)制到其他行業(yè)的生產(chǎn)基地。
2. 實(shí)施效果
安全方案全面覆蓋了工業(yè)互聯(lián)網(wǎng)TOP10安全風(fēng)險(xiǎn),具體風(fēng)險(xiǎn)處置應(yīng)對(duì)措施如下:
No. | 安全風(fēng)險(xiǎn) | 應(yīng)對(duì)方案 | 殘余風(fēng)險(xiǎn) | |
1 | 外來U盤帶入病毒風(fēng)險(xiǎn),供應(yīng)商或者員工使用U盤拷貝文件,容易遭受病毒或擺渡攻擊,將威脅帶入IT或OT網(wǎng)絡(luò)。 | 所有U盤數(shù)據(jù)只能先拷貝到安全隔離區(qū),通過沙箱對(duì)已知和未知威脅檢測(cè)通過后才能傳入IT或OT網(wǎng)絡(luò) | 有病毒漏報(bào)風(fēng)險(xiǎn),如有漏報(bào),還有事中檢測(cè)的方案 | |
2 | 外來電腦帶入病毒風(fēng)險(xiǎn),供應(yīng)商或者第三方運(yùn)維人員通過外來便攜電腦直接接入網(wǎng)絡(luò),將威脅帶入IT或OT網(wǎng)絡(luò)。 | 所有外來電腦只能接入安全隔離區(qū),通過安全健康檢查后才能使用 | 有病毒漏報(bào)風(fēng)險(xiǎn),如有漏報(bào),還有事中檢測(cè)的方案 | |
3 | 新機(jī)臺(tái)帶入病毒風(fēng)險(xiǎn),供應(yīng)商新機(jī)臺(tái)存在病毒,接入OT網(wǎng)絡(luò)后擴(kuò)散到整個(gè)網(wǎng)絡(luò)。 | 供應(yīng)商的新機(jī)臺(tái)需要接入安全隔離區(qū)運(yùn)行規(guī)定時(shí)間(通常建議三個(gè)月),確認(rèn)安全無毒之后才能正式切換到直接接入OT網(wǎng)絡(luò) | 可能存在長(zhǎng)時(shí)間潛伏的威脅,還有事中檢測(cè)的方案 | |
4 | 雙網(wǎng)卡辦公電腦風(fēng)險(xiǎn),辦公人員為了方便,同一臺(tái)電腦同時(shí)接入IT和OT網(wǎng)絡(luò),容易成為跳板攻擊OT網(wǎng)絡(luò)。 | 禁止采用雙網(wǎng)卡同時(shí)接入IT和OT網(wǎng)絡(luò),應(yīng)通過遠(yuǎn)程桌面連接到部署在IT網(wǎng)絡(luò)的桌面云進(jìn)行日常辦公操作 | 可能存在漏網(wǎng)之魚,還有事中檢測(cè)的方案 | |
5 | 工控操作系統(tǒng)老舊風(fēng)險(xiǎn),工控計(jì)算機(jī)所使用的系統(tǒng)多為Windows或Linux的早期版本,存在漏洞容易被攻擊。 | 在網(wǎng)關(guān)防火墻處針對(duì)OS已知漏洞部署IPS規(guī)則(虛擬補(bǔ)丁),防范跨防火墻針對(duì)已知漏洞發(fā)動(dòng)的網(wǎng)絡(luò)攻擊 | 可能IPS規(guī)則庫更新不及時(shí),如條件允許可考慮及時(shí)升級(jí)補(bǔ)丁 | |
6 | 工控軟件系統(tǒng)老舊風(fēng)險(xiǎn),現(xiàn)網(wǎng)多數(shù)工控軟件系統(tǒng)版本老舊,存在漏洞容易被攻擊 | 在網(wǎng)關(guān)防火墻處針對(duì)OS已知漏洞部署IPS規(guī)則(虛擬補(bǔ)丁),防范跨防火墻針對(duì)已知漏洞發(fā)動(dòng)的網(wǎng)絡(luò)攻擊 | 可能IPS規(guī)則庫更新不及時(shí),如條件允許可考慮及時(shí)升級(jí)補(bǔ)丁 | |
7 | 運(yùn)維人員特權(quán)操作風(fēng)險(xiǎn),運(yùn)維人員誤操作、違規(guī)操作或惡意操作易導(dǎo)致系統(tǒng)異常或敏感信息泄露等問題,難回溯。 | 在特定區(qū)域接入安全隔離區(qū),通過登錄部署在安全隔離區(qū)的堡壘機(jī)對(duì)OT網(wǎng)絡(luò)設(shè)備進(jìn)行運(yùn)維操作 | 可能存在無需登錄堡壘機(jī)也能運(yùn)維的情況,如果存在需要優(yōu)化安全策略 | |
8 | 裝遠(yuǎn)程控制軟件風(fēng)險(xiǎn),在系統(tǒng)中安裝TeamViewer等遠(yuǎn)程控制軟件,容易繞過邊界安全防護(hù)措施,帶來安全風(fēng)險(xiǎn)。 | 原則上禁止在OT網(wǎng)絡(luò)的系統(tǒng)中安裝TeamViewer等遠(yuǎn)程控制軟件,避免繞過邊界安全防護(hù)措施,帶來安全風(fēng)險(xiǎn);如需遠(yuǎn)程運(yùn)維,建議采用VPN接入安全隔離區(qū),通過登錄堡壘機(jī)對(duì)網(wǎng)內(nèi)設(shè)備進(jìn)行運(yùn)維操作 | 可能存在漏網(wǎng)之魚,可以可考慮在相應(yīng)邊界防火墻設(shè)置策略阻斷相關(guān)遠(yuǎn)程連接端口 | |
9 | 缺乏合理安全區(qū)域風(fēng)險(xiǎn),生產(chǎn)區(qū)網(wǎng)絡(luò)沒有劃分合理的安全區(qū)域并實(shí)施邊界保護(hù),病毒一旦爆發(fā)波及整個(gè)網(wǎng)絡(luò)。 | 將安全區(qū)域劃分為最小單位(推薦以一個(gè)車間為單位),有病毒入侵時(shí)將威脅控制在特定區(qū)域,防止整網(wǎng)擴(kuò)散 | 區(qū)域劃分最小顆粒但還是擴(kuò)散風(fēng)險(xiǎn),但還有事中檢測(cè)方案 | |
10 | 來自外部網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn),合作伙伴網(wǎng)絡(luò)受攻擊后,做為跳板攻擊IT或者OT網(wǎng)絡(luò)。 | 在與合作伙伴外部網(wǎng)絡(luò)互聯(lián)的邊界部署防火墻、IPS、網(wǎng)絡(luò)探針和誘捕系統(tǒng)實(shí)現(xiàn)該區(qū)域邊界保護(hù) | 可能存在安全策略配置不到位風(fēng)險(xiǎn),建議定期評(píng)估安全策略有效性 |
聲明
本報(bào)告所載的材料和信息,包括但不限于文本、圖片、數(shù)據(jù)、觀點(diǎn)、建議,不構(gòu)成法律建議,也不應(yīng)替代律師意見。本報(bào)告所有材料或內(nèi)容的知識(shí)產(chǎn)權(quán)歸工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟所有(注明是引自其他方的內(nèi)容除外),并受法律保護(hù)。如需轉(zhuǎn)載,需聯(lián)系本聯(lián)盟并獲得授權(quán)許可。未經(jīng)授權(quán)許可,任何人不得將報(bào)告的全部或部分內(nèi)容以發(fā)布、轉(zhuǎn)載、匯編、轉(zhuǎn)讓、出售等方式使用,不得將報(bào)告的全部或部分內(nèi)容通過網(wǎng)絡(luò)方式傳播,不得在任何公開場(chǎng)合使用報(bào)告內(nèi)相關(guān)描述及相關(guān)數(shù)據(jù)圖表。違反上述聲明者,本聯(lián)盟將追究其相關(guān)法律責(zé)任。
AII微信公眾號(hào)
AII頭條號(hào)