工控安全應急響應常見疑難問題解惑 - 網安 - 專業的網絡安全產業、社區、知識平臺

“中國制造2025”推進信息化與工業化深度整合，國內各行業企業都在推進生產過程自動化并向智能化轉變，生產網絡規模逐步擴大，不斷進行橫向集成、縱向集成與端到端集成；工業控制系統在生產過程中的扮演著重要角色，關系到企業的根本利益。近些年來針對工業網絡的勒索病毒、網絡攻擊等網絡安全事件頻發，給企業帶來的損害越發嚴重。

在威努特協助客戶處理的大量工業控制系統網絡安全事件工作中總結發現，工業企業用戶普遍在出現工控網絡安全事件后，第一時間進行了系統還原，恢復現場生產。這與工控系統對高“可用性”要求一致，但是對工控安全事件溯源與分析總結帶來巨大困難。如何能夠科學的、體系化的預防、分析、處理工控網絡安全事件，建立有效工控網絡安全應急體系是擺在企業面前的一個難題。在政策法規層面，國家各職能部門也不斷出臺相關文件，指導要求企業進行標準化應急保障能力建設。

圖一：各監管部門強化應急保障能力的要求

網絡安全應急體系建設包括建立網絡安全應急預案，完善網絡安全應急組織機構，加強網絡安全監測和預警，建立網絡安全事件處理機制，提高網絡安全應急響應能力，加強網絡安全培訓和演練，加強合作共享與交流，及時發布安全咨詢和警示信息等內容。在工控網絡中工控系統對CIA三性中“可用性”的要求最高，工控系統的連續穩定運行直接關注了企業的根本。因此為避免出現影響工控系統生產穩定的情況出現，應將應急響應工作重心前移，加強準備（防御）與檢測（發現）階段的工作。

圖二：工控系統應急響應技術框架

在與眾多企業進行工控系統“網絡安全應急響應”體系建設探討過程中發現普遍存在以下幾個方面的問題。

工控系統應急響應如何著手建設

很多企業想進行應急體系建設但又不知道從那里下手，工控安全評估可以很好的解決這個問題，安全評估是一切網絡安全保障工作的起點，對網絡安全應急響應也不例外，風險識別和處理的過程是應急響應工作準備階段的前序。“知己知彼，百戰不殆”，通過安全評估過程確保應急準備工作有的放矢，而應急響應又是安全評估工作的一種優化反饋輸入，可以說兩者之間是相互結合、互為補充的關系。

一方面，安全評估過程中的風險識別階段會針對資產、脆弱性和威脅的識別，發現企業工控網絡存在的安全風險，并進行“可落地”的安全規劃，這對于應急響應工作有重要的指導意義，且安全評估殘余風險的監控和應對也是應急響應工作的重要組成部分;另一方面，安全事件發生后的優化階段也是對網絡安全風險重新評估的指南針，網絡安全事件的處置和反饋，是周期性地開展風險研判和安全評估工作的重要輸入。

圖三：安全評估-找問題、查根源、做規劃

工控系統涉及多個職能部門，工控系統應急安全小組應如何建立？

《信息安全技術關鍵信息基礎設施網絡安全應急體系框架》公開征求意見稿中提出“運營者設立專門安全管理機構，機構的領導由運營者最高管理層的分管領導擔任，成員包括各相關部門負責人、技術支撐人員、咨詢專家和對內、對外聯絡人員等。”因此，工控應急領導小組的最高領導需要組織主要領導擔任或授權,有助于推進各項保障措施的落實。

其次工控應急小組一定要根據自身的業務、組織結構等情況構建，獨立于業務部門和IT部門，最好能略高于業務部門和IT部門，明確應急專家小組、應急技術保障小組、應急日常運行小組及應急實施小組的組成人員、工作流程和職責并下發通知到應急組織的每一個成員。使管理人員作用充分的發揮，使安全應急的各項工作得到推動，進而使得安全應急的效果趨向于理想化。工業控制系統與企業生產息息相關，更加注重系統的連續性，因此崗位設置方面應急領導小組需要儀表、機動、工藝等相關生產業務部門主管的參與或者支持才能有效的貫徹落實。

圖四：應急響應典型組織架構

工控系統網絡安全應急響應如何做到發生安全事件后能夠快速恢復生產的同時又能為日后的事件追溯總結提供證據支持？

大部分企業在規劃工控安全建設的時候往往只關注邊界與終端的安全防護，卻忽略工控網絡安全監測類技術手段實施。通過工控協議流量檢測、工控入侵檢測、工控安全威脅情報及工業態勢感知等技術手段可以實時獲取工控設備相關日志與工控網絡流量信息并有效記錄工控網絡安全狀況。一旦發生工控網絡安全事件后，能夠快速及時發現并能夠在快速恢復系統的前提下提供事件追溯總結證據支撐。

圖五：威努特下一代工控監測審計

總的來說，工控網絡安全應急響應就是企業為了應對網絡安全事件(威脅)，事前采取的準備，事件發生時采取的反應和事件發生后進行的善后處置的活動總和。企業為了應對工控網絡安全事件，事前應該準備什么，需要哪些資源，網絡安全事件發生時如何快速發現和定位，應該采取什么樣的處置方式，事后如何優化自己的網絡安全應急工作，這三方面均有深刻的內涵。

定義正確的總體安全策略，才能真正做好準備；網絡安全事件發生時，盡早發現，完善的保護機制，清晰的應急流程，正確的處置方式，均決定了事件發生時的活動有效性；事后完善的總結機制，詳細的回溯和判定，改進工作計劃和處置方式，形成工控網絡安全應急響應閉環的關鍵工作。