工业网络安全运维攻略

一、 安全运维之风险排查

1、安全日志分析

日志分析主要是定期为用户信息系统内安全设备、操作系统和网络设备产生的海量日志进行分析，从IP分布、时间分布、事件分布，行为分布、告警趋势这五个维度对用户信息系统内产生的日志进行梳理，发现潜在的风险点，得出安全现状结论。 通过日志分析报告，及时掌握网络运行状态和安全隐患。

2、漏洞扫描

利用带有安全漏洞知识库的扫描工具，对工控系统资产进行基于网络或本机层面的安全扫描，检测工控系统所存在的安全隐患和漏洞。

漏洞扫描可以识别工控设备开放的服务端口、用户帐号、系统漏洞等信息。尤其在对大范围IP进行漏洞检查的时候，扫描评估能对被评估目标进行覆盖面广泛的安全漏洞查找，能较真实地反映工控设备、网络设备所存在的网络安全问题和面临的网络安全威胁。

漏洞扫描应遵循如下原则：

▶ 选取适当的扫描策略

进行漏洞扫描时，会依据不同类型的扫描对象、不同的应用情况，选择不同的扫描策略。除了利用扫描工具自身所集成的扫描策略外，对承载较复杂应用的评估对象，需要按照不同的安全需求，编辑或生成适合于被评估对象的专用策略，应用量身定制的策略进行扫描，提高系统扫描效率，并达到更好的扫描效果。

▶ 选取适当的扫描时间

为减轻漏洞扫描对网络和工控设备的影响，漏洞扫描时间尽量安排在业务量不大的时段或晚上；或者对工控设备进行离线漏洞测试，避免影响工控设备正常工作。

▶ 单点试扫，主备分开

对于重要的设备，先小范围进行扫描，确认系统不受较大影响后再进行大规模扫描。对双机热备的设备在一次扫描会话中只选取其中一台进行扫描。

3、工业网络架构分析

工控系统的网络结构是整个工控系统的承载基础，网络架构分析是对整个工控系统进行风险评估的重要环节，可以及时发现网络结构、网络负载、网络设备等方面存在的安全隐患。

可以从以下几个方面进行分析：

工控网络层次：分析网络层次设计是否合理，是否采用了管理层、控制层、设备层等划分原则，网络关键点是否采用了冗余备份，网络设备与所处网络位置是否匹配等。

工控网络协议：分析路由协议、数采协议、控制协议设计是否合理，是否存在协议设计混乱、不规范的情况，是否采用安全路由协议等。

工控网络流量：分析整个网络流量分布是否合理；是否部署了流量监控系统。

工控网络规范性：分析网络建设的规范性，检查配置是否严格遵循相关的设计规范，IP规划及VLAN 分配是否合理等。

工控网络边界：检查网络边界的访问控制配置，评估整个系统的安全区域划分是否合理、各安全域之间的访问控制是否严格。

工控网络管理：检查网管配置情况（包括带内网管和带外网管）、工业防火墙布署情况、主机防护软件部署情况、日志系统的布署情况。

QoS： 分析流量控制工程是否调配合理，重要的应用系统是否能够得到QOS保证等。

二、安全运维之安全监控

网络安全运维过程中应重点对整体网络安全态势进行实时监控、安全事件分析及响应，工作安排如下：

三、安全运维之应急预案

当发生安全事件时企业应当根据安全事件等级启动响应预案。

企业应按照企业业务特点和性质制定应急预案，下面的指标参数标准可作参考：