安恒信息“大型汽车制造集团工控安全体系规划项目”入选2023中国互联网大会创新成果

2023-07-27 17:13:12     来源:


近日,由中国互联网协会主办的2023中国互联网大会“数字化转型发展论坛”在北京举行。会上,安恒信息《大型汽车制造集团工控安全体系规划项目》入选2023(第二十二届)中国互联网大会创新成果。

安恒信息深耕工业信息安全领域多年,总结汽车制造行业特点和需求,结合自身实践经验,梳理符合行业要求的工业控制系统安全防护解决方案,践行全栈安全防护思路,涵盖安全合规、安全能力提升、安全运营能力版块,持续推进汽车制造行业安全防护体系建设,为汽车工业安全建设保驾护航。

大型汽车制造集团工控安全体系规划方案

行业现状和问题

随着数字化转型工作的不断推进,IT/OT通过人、机、物的全面互联实现网络融合,构建起全要素、全产业链、全价值链、全面连接的新型工业生产制造和服务体系,传统信息网络所面临的病毒、木马、入侵攻击、拒绝服务等安全威胁正在向工业控制系统扩散。

同样,汽车制造行业也打破了传统工业相对封闭可信的生产环境,安全管理和技术防护跨域运维能力不足、安全人员技术水平不足、安全防护水平残差不齐,亟需打造专业的安全管理体系与防护技术标准,全面提升安全防护能力。

建设目标

基于《工业控制系统信息安全防护能力成熟度模型》3-4级基本要求,为用户企业打造专业的安全管理体系、安全技术体系和安全运营体系,全面提升安全防护能力,降低安全事件的发生与被攻击的概率。通过引进专业技术力量,实现内外部协同、人员能力共同成长,建立统一的工控安全基线,切实提升用户企业的工控安全水平,全面提升安全防护能力。

技术方案

本方案中工控安全体系建设的重点内容包括:梳理资产、风险评估、安全测试验证和体系建设。

盘点资产,明确安全保护对象

对工艺车间(冲压、焊接、涂装和总装等)的工控资产(例如:工业控制主机,如操作员站、工控机、一体机、服务器等;工业控制设备,如PLC、HMI、机器人、各类工艺控制器等;其他设备,如网络设备及其他通过网络连接、可能引入网络安全风险的组件等)开展资产信息收集和梳理,形成工控资产台账,构建资产与业务系统之间的关系,明确安全保护对象,最终输出工控资产信息统计表。

风险评估,确定现场安全风险

通过现场访谈、问卷、资料收集、工具评估、人工审计等方式,对目前管理、技术现状、资产等进行安全评估。通过对重点部门核心人员进行跨部门、跨岗位访谈,结合工控系统设计、采购、实施、验收、运营等过程现状,分析当前工控系统全生命周期存在的问题,利用工控安全检查工具箱对企业工控网络进行风险识别和评估,形成工控安全检查报告,最后输出工控系统安全风险评估报告。

风险验证,梳理攻击面与攻击路径

对各工艺车间(冲压、焊接、涂装和总装等)的数据库服务器、SCADA系统、OPC服务器上位机、控制器、视频摄像头等不同类型的工控系统开展安全测试,在生产场景中通过办公网对生产管理网、生产控制网等进行远程操作。基于测试结果分析工控系统存在的安全风险以及危害,与风险评估中的安全风险进行比对,进一步分析风险成因,提出针对性解决办法或缓解措施。对安全测试攻击思路、攻击方法、攻击工具进行总结梳理,赋能工控安全人员,提升人员技术能力。针对工控系统工艺特点、工控资产类型等因素,对不同类型工控主机或设备制定安全测试办法,固化成基本套路/工具,使工控安全人员能够快速开展针对特定工控资产的安全测试、现状安全评估等工作。

建立工控安全保障体系,制定企业安全防护基线

建立工控安全体系运行机制,运行机制活动内容覆盖工控系统全生命周期,实现有效安全管控。梳理出符合汽车制造工业场景的工控安全基线、工控安全防护指南、工控安全防护技术架构、工控安全管理规定和工控安全事件响应流程等,涵盖管理规定、流程、规范、表单等4层文件体系,通过试点来验证有效性和合理性,便于在集团或行业内推广。

价值成效

完成工控安全体系建设,为不同数字化程度的企业提供弹性的安全建设框架

工控安全体系主要包括整体管理要求、项目安全管理、运营安全管理以及风险评估、威胁预警、应急处置相关流程,覆盖工控系统从建设到运营使用全生命周期,形成管理规定、流程、规范等体系文件,根据企业的数字化建设程度,制定具有针对性的工控安全体系。

梳理工控安全渗透测工具集和方法,提高工控安全人员的技能

通过对企业办公网数据中心、生产管理网和控制网的车间进行远程渗透测试,利用信息收集、漏洞扫描、地址探测、端口扫描、web访问、脚本测试等测试手段发现问题,并在安全测试过程中,针对汽车制造业生产场景进行攻击路径、攻击界面、攻击效果的验证,同时对不同类型工控主机或设备制定安全测试办法,固化成基本套路/工具等,赋能用户企业工控安全人员,提升人员技术能力。

打通工控安全运营与资产平台对接,实现线上化管理

对用户各工艺车间的工控资产开展资产信息收集和梳理,梳理出资产与业务的关系,资产的类型、运营人员、风险值等,形成工控资产信息表和工控资产点位图;构建统一的工控全体系建设总体架构。

安恒信息大型汽车制造集团工控安全体系规划方案以《工业控制系统信息安全防护能力成熟度模型》3-4级为基本要求,根据行业工控现状建立了适合本行业的工控系统全生命周期安全标准规范及管控措施,补齐存量资产短板,完善增量资产的体系管理;围绕网络安全、主机安全、设备安全、控制安全等9个方面建立工控安全基线,嵌入到工控建设流程中,为用户企业打造专业的安全管理体系与防护技术标准,建立完整的工控安全管理和运营体系,构建集团统一的工控安全防护基线,提升用户企业的安全防护能力。

免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。

标签:

猜你喜欢

专访瑞尔集团北京瑞泰口腔医院副院长侯喜朋—手握手术刀 心中有温情
中手游携手蔚领时代,打造空间互联网时代杀手级爆品
「纯净护肤」朵水源再亮新王牌:红甜菜润透洁肤泥膜
围美辣妈携手加盟商,共创美丽事业
友发集团(601686)上榜2023年《财富》中国500强排行榜
国际粮价再次大涨,带动钾肥价格有望持续回升
极速体育直播平台:高清免费+纯净无广,赛事观看首选
三一云都︱第十五届深创赛龙华预选赛智能制造专题揭榜赛线下决赛活动圆满结束
众安保险跻身2023年《财富》中国500强排行榜,保险科技吸睛
昌乐农商银行暖心服务 圆梦新市民创业致富梦
昌乐农商银行打造老年人的“暖心银行”
昌乐农商银行减费让利助实体 惠企利民见成效
昌乐农商银行“贷”动夏粮丰收“粮满仓”
让孩子的天赋自由“呼吸”!《成长二次方》带您发掘孩子的无限可能
御湘湖国际健康城荣获第十二届财经峰会“2023大健康创新典范奖”
猿辅导小猿学练机拒绝“臃肿”,为孩子创造沉浸式无干扰学习环境
12载铸就雇主品牌 恒昌蝉联“卓越雇主奖”
国风动画《怪兽小馆》 传统水墨与非遗南音的创新交融
7月28日,“知感冒防流感全民科普公益行”走进重庆渝北,带你无忧度“夏”!
产教科融合 网易数创携手重庆智能工程职业学院打造数字化人才培养基地
奥斯芬AEVUM SPA与美学
“方瓴甄选”24小时无人便利店项目获1000万天使轮投资
新格局·新动能·新发展——中能国泰董事长沈泰安参加“浙江·台湾合作周”
理财魔方荣膺“2023中国金融科技百强企业”榜
湖南省软件业务半年营收超900亿 万兴科技麒麟信安等被重点提及
量子之歌助力《国民金融素养白皮书》编订及发布
猎聘联合海南多家产业园举办人力资源赋能沙龙活动 助力园区企业高质量发展
将爱老助老贯彻落实 昆仑健康保险广东分公司为老年人普及金融知识
腩爷&腾讯王者人生 首届王者荣耀争霸赛圆满落幕
共建一带一路,缦合·北京助推中国企业与牙买加驻华大使馆签约合作