工控安全应急响应常见疑难问题解惑

  “中国制造2025”推进信息化与工业化深度整合，国内各行业企业都在推进生产的全部过程自动化并向智能化转变，生产网络规模逐步扩大，不断进行横向集成、纵向集成与端到端集成；工业控制管理系统在生产的全部过程中的扮演着重要角色，关系到企业的根本利益。近些年来针对工业网络的勒索病毒、网络攻击等网络安全事件频发，给公司能够带来的损害越发严重。

  在威努特协助客户处理的大量工业控制管理系统网络安全事件工作中总结发现，工业公司用户普遍在出现工控网络安全事件后，第一时间进行了系统还原，恢复现场生产。这与工控系统对高“可用性”要求一致，但是对工控安全事件溯源与分析总结带来非常大困难。如何能够科学的、体系化的预防、分析、处理工控网络安全事件，建立有效工控网络安全应急体系是摆在企业面前的一个难题。在政策法规层面，国家各职能部门也不断出台相关文件，指导要求公司进行标准化应急保障能力建设。

  网络安全应急体系建设包括建立网络安全应急预案，完善网络安全应急组织机构，加强网络安全监测和预警，建立网络安全事件处理机制，提高网络安全应急响应能力，加强网络安全培训和演练，加强合作共享与交流，及时发布安全咨询和警示信息等内容。在工控网络中工控系统对CIA三性中“可用性”的要求最高，工控系统的连续稳定运行直接关注了企业的根本。因此为防止影响工控系统生产稳定的情况出现，应将应急响应工作重心前移，加强准备（防御）与检测（发现）阶段的工作。

  在与众多公司进行工控系统“网络安全应急响应”体系建设探讨过程中发现都会存在以下几个方面的问题。

  《信息安全技术 关键信息基础设施网络安全应急体系框架》公开征求意见稿中提出“运营者设立专门安全管理机构，机构的领导由运营者最高管理层的分管领导担任，成员包括各有关部门负责人、技术支撑人员、咨询专家和对内、对外联络人员等。”因此，工控应急领导小组的最高领导需要组织主要领导担任或授权,有助于推进各项保障措施的落实。

  其次工控应急小组一定要依据自己的业务、组织架构等情况构建，独立于业务部门和IT部门，最好能略高于业务部门和IT部门，明确应急专家小组、应急技术保障小组、应急日常运行小组及应急实施小组的组成人员、工作流程和职责并下发通知到应急组织的每一个成员。使管理人员作用充分的发挥，使安全应急的各项工作得到推动，进而时安全应急的效果趋向于理想化。工业控制管理系统与公司制作息息相关，更看重系统的连续性，因此岗位设置方面应急领导小组需要仪表、机动、工艺等相关生产业务部门主管的参与或支持才能有效的贯彻落实。

  工控系统网络安全应急响应怎么样才能做到发生安全事件后能快速恢复生产的同时又能为日后的事件追溯总结提供证据支持？

  大部分企业在规划工控安全建设的时候往往只关注边界与终端的安全防护，却忽略工控网络安全监测类技术手段实施。通过工控协议流量检测、工控入侵检测、工控安全威胁情报及工业态势感知等技术手段可以实时获取工控设备相关日志与工控网络流量信息并有效记录工控网络安全状况。一旦发生工控网络安全事件后，能够快速及时发现并能够在迅速恢复系统的前提下提供事件追溯总结证据支撑。

  总的来说，工控网络安全应急响应就是企业为了应对网络安全事件(威胁)，事前采取的准备，事件发生时采取的反应和事件发生后进行的善后处置的活动总和。企业为了应对工控网络安全事件，事前应该准备什么，要哪一些资源，网络安全事件发生时如何快速发现和定位，应该采取什么样的处置方式，事后如何优化自己的网络安全应急工作，这三方面均有深刻的内涵。

  定义正确的总体安全策略，才能真正准备好；网络安全事件发生时，尽早发现，完善的保护机制，清晰的应急流程，正确的处置方式，均决定了事件发生时的活动有效性；事后完善的总结机制，详细的回溯和判定，改进工作规划和处置方式，形成工控网络安全应急响应闭环的关键工作。

  北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者，是中国国有资本风险投资基金旗下企业。凭借卓越的技术创造新兴事物的能力成为全世界六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。

  威努特依托率先独创的工业网络“白环境”核心技术理念，以自主研发的全系列工控安全产品为基础，为电力、轨道交通、石油石化、市政、烟草、人机一体化智能系统、军工等国家重要行业用户更好的提供全生命周期纵深防御解决方案和专业化的安全服务，迄今已为国内及“一带一路”沿线多家行业客户实现了业务安全合规运行。

  作为中国工控安全国家队，威努特积极推动产业集群建设构建生态圈发展，牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作，始终以保护我国关键信息基础设施安全为己任，致力成为建设网络强国的中坚力量!