该怎样提升工控系统安全防护等级?
时间:2022-03-28 04:45:01 | 来源:行业动态
时间:2022-03-28 04:45:01 来源:行业动态
认识到问题,当然要解决问题,李航给出了六步提升安全防护等级建议:
1、资产发现及梳理:对工控网络中的IT资产和OT资产进行发现、识别和梳理,定位资产类型、数量、位置等信息,摸清互联关系、网络拓扑和数据流向。
2、通过流量分析确定感染面:根据工控网络拓扑,在关键或核心交换节点上,部署采用最新威胁情报驱动的非侵入式被动流量监测手段,掌握工业网络运行现状、进行实时流量检测,发现威胁进行实时告警并生成攻击事件。对于DNS管理相对集中的企业,还可以对DNS的流量进行更精准的监测分析。通过对流量以及DNS流量的分析,确认威胁事件的感染面。
3、隔离感染面,防止威胁扩散:对于通过技术手段确认威胁的感染面,尽快采取应急的隔离手段。根据工业网络的业务特点,对网络进行分区分域,在区域之间部署具有工业协议解析能力和入侵监测能力的网关设备,针对特殊的工控通信协议进行解析,识别并防御其中的安全事件,布置相关防御策略,保障网络安全。对工业网络上的工业主机升级可用补丁,部署基于白名单的工业主机防护软件,保障端点安全。针对工业网络中应用的虚拟化主机进行统一管理,部署针对虚拟化技术特殊风险的虚拟主机防护软件。
4、采取应急措施尽快恢复业务:在确定了威胁的感染面或威胁终端后,要采取应急措施尽快保证业务的恢复。可以在工控机上部署安全产品进行威胁的处置,对于无法部署安全产品的终端,可以通过恢复备份的方式尽快恢复业务。
5、通过网络监测设备进行存量病毒和漏洞处置:一般情况下可以通过流量分析和漏洞扫描对工控网络中的存量病毒和漏洞进行发现,进而通过安装工控主机安全防护系统等手段进行病毒和漏洞问题的处理。对于一些运行着重要业务的工控机,应尽量避免漏洞扫描可能引发的业务中断的风险,可以通过威胁评估系统对工控主机进行全面的安全评估。
6、建立或完善安全组织机构,实现安全运营:在一把手授权下,建立主管工业网络安全的组织机构、权责范围、配合安全服务建立事前检测,事中响应,事后分析的安全运营体系。通过对单次威胁事件的溯源分析设计整改方案和检查标准,进一步推进整改方案和检查标准的落地并不断完善、持续监测,形成安全运营的闭环。
在线咨询
