安思易率先提出数字安全与运营管理服务解决方案——构建数字化运营管理大安全保障体系。以安全合规为基础,集中管控技术中台为核心,数字化管理体系、数字化服务体系与智慧运营体系为支撑,帮助用户进行等保合规、管理技术中台建设,实现数字化管理、数字化服务和智慧运营,构建企业级智慧运营管理大脑。
一、实施背景
进入数字化时代,随着云计算、大数据、移动互联网等新技术应用,网络安全变得更为重要。为了保障网络安全,购置大量的安全设备系统,投入大量资金和人力,运营管理成本与日俱增,然而很多安全风险依然存在。根据专业调研机构报告显示,65%的安全问题来自内部,内部的不作为、疏忽、误操作、泄露、恶意破坏等,都是运营管理问题,三分技术七分管理,运营管理成为安全保障的瓶颈。加强运营管理建设不仅仅是技术需求,更是合法合规的必要基础,其重要性不言而喻。
红豆集团初创于1957年,旗下工业互联网公司致力于服装生产管理解决方案输出以及纺织服装产业生态构建。依托65年成熟管理经验,采用红豆方案的服装加工厂已超500家,自主研发的“红豆工业互联网云平台”评为工信部纺织服装行业的唯一试点示范项目,旨在解决中小服装厂信息化管理难点,以平台管理为载体提供中小加工厂智慧加工厂解决方案、智慧门店解决方案。
为了落实国家有关网络安全文件要求,加强信息系统网络安全等保合规建设与运行管理,建立工业互联网信息系统安全等级保护体系,加强在管理和技术方面的安全保障能力,做好业务信息系统的定级、备案、审查和测评工作,顺利完成等保测评备案工作,保证信息化的持续健康稳定发展。
二、方案创新点描述
采用集中管控技术与工控网络安全防护技术,基于数字化安全运维管理,建设集中管控技术体系、数字化运营管理体系、一站式服务体系,建立全新的工控网络安全防护模式,通过集中管控与安全防护一体化的方式,从分散管理的产品堆叠,到一体化集中管控;从各自运行的数据孤岛,到全面采集汇聚、数据关联与综合利用,实现工控网络一体化安全建设与管理,极大节约建设成本与管理成本,切实做到管理的落地执行,显著提高工控网络安全防护效果。实现系统运行、管理过程、服务过程的集中管控,实现技术、管理、服务的深度融合,实现多维度关联关系与协同联动机制,数据共享、统一运营策略,实现安全合规、一体化数字运营管理、一站式服务。在提升工控网络整体管理水平和防护能力的同时,保障生产控制系统的稳定运行,有效支撑企业生产经营工作的顺利开展。
1、集中管控技术体系:建立统一管理、统一监控、统一审计、综合分析、协同处置、持续安全运维的一体化运营管理闭环,建立多维度关联关系、数据共享、协同联动。
2、数字化运营管理体系:建立数字化运营管理体系,构建统一运营管理中心,实现体系化管理,系统流程驱动管理,保障管理策略执行与管理安全,数据驱动促进智能化管理。
3、运营服务体系:统一服务入口,建立安全可靠的服务机制、在线服务模式,共享专业技术资源,实现一站式运营服务。
通过集中管控提供“集中、数字、智能”的管理模式,建立“任务、流程、协同”的管理机制,消除“发现、解决、预防”的管理难题,实现“安全、快速、可视”的管理体验。
围绕技术目标与设计理念,重点加强了八个方面的技术能力建设,从而提高管理能力和效率,加强管理安全和体验,降本增效、创造管理价值。
三、方案主要内容
1.概述
随着信息化技术的发展与广泛应用,工业化与信息化深度融合,工业生产控制系统在企业生产工作中发挥越来越重要的作用。近些年网络安全事件频发,工控系统在为企业生产带来极大推动作用的同时,也暴露出了工控系统存在较为严重的网络安全问题,并且严重威胁到工控系统的安全稳定运行。因此,确保工控网络安全,已经成为当前保障企业生产工作顺利开展的当务之急。
依据国家等保2.0安全管理体系,采用集中管控技术与工控网络安全防护技术,为网络安全建立全新管理机制,实现动态防御、主动防御;建立一体化集中管控,实现数据共享,精准防护、纵深防御;建立统一平台,实现体系化管理,整体防护、联防联控。应用体系化、数字化安全运维管理模式,将被动防御向主动防御方式转变,实现工控网络整体安全防护,为企业安全生产保驾护航。
2.技术解决方案
采用集中管控技术,结合工控网络安全防护技术,为企业构建工控网络集中管控技术体系、数字化安全运维管理体系、工控网络安全防护体系、一站式服务体系,对企业系统资产、业务应用、制度流程、组织人员开展全面统一管理,实现系统运行、安全防护、管理过程、服务过程的集中管控,建立技术、管理、服务的深度融合,建立多维度关联关系与协同联动机制,数据共享、统一运营策略,实现创新的集中管控的工控网络数字化安全运维管理体系。
基于集中管控功能架构,建立集中管控、实时监测、快速处置、持续预防的运营管理闭环,全面的数据采集与监测、多维度关联与智能分析,把孤立的管理行为建立联动机制,通过数据驱动精细化运营管理。
1.工控网络安全解决方案
研究工控系统协议解析、设备漏洞挖掘、安全指纹信息采集等工控网络安全防护技术,开展前沿技术探索,实现生产控制设备安全服务保障。
(1)工控防火墙
对于不同安全等级的工控网络之间,采用工控防火墙技术实现安全隔离防护。通过对主流工业协议深度解析,综合运用工控威胁特征识别技术、机器自学习与可信白名单技术,可有效抵御各类针对工控系统的网络攻击和恶意破坏,为生产系统的稳定运行提供安全保障。
(2)工控漏洞扫描
采用设备指纹、漏洞库等为支撑的工控漏洞扫描技术,对工控网络设备、主机、应用或系统进行扫描、识别,检测生产控制系统存在已知漏洞,通过扫描分析报告形式给出修复建议和预防措施,从而在漏洞全面评估的基础上实现安全风险全面掌控。
(3)工控安全评估
依据工控相关的国家标准及行业安全规范,采用工控安全评估技术,对工控网络开展脆弱性检测与安全评估,及时发现安全隐患,及时完成安全整改。
(4)工控安全审计
采用流量检测分析技术,对工控网络流量进行行为分析与安全监测,全面记录网络通信行为,快速识别工控网络中的非法操作、异常事件、外部攻击等。支撑完成安全整改的同时,还可对调查取证提供依据。
(5)工控入侵检测
采用工控网络入侵检测与分析技术,对工控网络进行威胁检测、分析。通过对工控系统的工控语言进行专项解读,形成针对性的工控网络检测策略,实现工控网络的有效威胁检测。
(6)日志审计与分析
面向工控网络开展数据采集、归并、留存,通过大数据分析与搜索技术,对海量日志进行关联分析,实现安全事件溯源、安全监视、审计追踪、调查取证。
(7)运维安全审计
针对工控网络中的工控主机、网络设备、安全设备等操作进行监控,实现账号集中管理、高强度认证加固、细粒度访问授权控制、加密和图形操作协议的审计,将内部人员、第三方人员的操作处于可管、可控、可见、可审的状态,规范运维操作步骤,避免误操作和非授权操作带来的隐患。
(8)物联网接入控制
采用物联网终端设备管控技术和边界防护技术,针对工控网络中的物联网接入终端设备,实行严格、全方位、细粒度管控,确保物联网接入终端合法、合规、可信,全天候、全方位掌控网络边界动态,对安全问题及时发现、及时处理。
2.实施部署
平台部署简单,部署架构具备极强伸缩性,能够通过弹性的部署方式适应各种用户网络环境,以及各种管理要求。
(1)单级部署
单级部署是指仅部署一个管理中心的模式。此时,在网络中仅部署一个管理中心部件,所有的用户都通过登录到该管理中心的方式进行访问。平台通过系统权限设置来区分不同的管理职责。在单级部署模式下,又分为单机部署和分布式多机部署。
(2)多级部署
多级部署是指部署多个管理中心,并构建起一个总中心连接若干个分中心的部署模式。此时,在网络中部署了多个管理中心部件,各个分中心的管理员通过浏览器登录各自的分中心对所辖网络进行安全管理,总中心的管理员则通过浏览器登录总管理中心进行全网的统一管理、集中展现,并可以监督各个分中心的管理工作。
该模式适用于对于具有分支机构或者垂直管理下属机构的单位,以适应用户多级管理的体制。