工業互聯網安全能力指南(安全服務)
工業互聯網的安全產品能力固然重要,但是當前來看,自動化能力還遠遠不足以支撐整體的工業互聯網安全建設。因此,工業互聯網的安全依然需要人員進行維護。然而,工業企業同樣是安全人員匱乏的重災區——尤其是能精確平衡安全與工業生產的網絡安全人員。在這樣的情況下,工業互聯網安全廠商就需要通過安全服務的形式,輸出安全能力。
最基礎的安全服務包括了滲透測試、安全加固、安全運營等工控攻防類服務,以及對安全實踐的基礎咨詢類服務。但是,如今工業互聯網中的安全服務,已經不再是局限于安全攻防、合規評估、安全技術落地解決方案設計這些領域,還有系統化的培訓、攻防演練、安全研究這些新的安全服務類型出現。
隨著安全服務的類型的多樣化,對安全人才的要求反而進一步提升。因為只有能全方位理解工業互聯網中的安全需求,以及安全價值,才能實現符合客戶場景的安全服務。這不僅需要安全廠商有足夠的底蘊以及安全積累,也需要其安全專家對工業互聯網認知有足夠的廣度以及深度。
工業互聯網安全服務是一個持續貫徹的過程,需要從工業互聯網安全建設之初就開始考慮:在購買防護類以及檢測/審計類產品確保自身生產安全之前,需要通過咨詢考慮合規性,以及實際面臨的風險,具體需要部署的防護能力;當開始啟用安全管理平臺進行統一管理的時候,需要通過安全專家進行安全態勢的分析;在工業靶場落地后,也會需要安全研究服務等進一步分析自身環境的安全問題。同時,安全評估、滲透測試、安全教育、安全意識培訓等都需要持續進行。
關鍵發現
? 隨著工業互聯網安全需求的增多,安全服務也需要有新的形態與之配合,除了工控攻防服務之外,安全教育、攻防演練、安全研究的需求也將增多。另一方面,安全評估與咨詢也將不止于合規咨詢,而是從工業企業整體安全出發,基于真正面臨的風險。
? 在工業互聯網安全服務的評估當中,安全廠商的專家能力固然最為重要,但是安全廠商的相關安全產品能力,以及對工業互聯網安全領域的經驗積累都不可忽視。
? 由于2020年至今的疫情影響,工業互聯網安全服務因駐場不便的因素,導致收入增長放緩。但是,數世咨詢認為,隨著防疫常態化、疫情控制規范化,工業互聯網安全服務的收入增長速率會有所恢復。
? 受各行業、各區域監管型工業互聯網安全管理平臺的建設影響,監管機構用戶群體在整體工業互聯網安全服務收入中占比最高,主要需求為工業互聯網安全管理平臺建設規劃與咨詢,以及工業互聯網安全管理平臺運營。
工業互聯網安全服務能力點陣圖
本次參與工業互聯網安全服務能力點陣圖的廠商共有19家,分別為:安帝科技、安恒信息、博智安全、長揚科技、烽臺科技、恒安嘉新、惠而特、立思辰安科、六方云、綠盟科技、木鏈科技、齊安科技、啟明星辰、圣博潤、天地和興、天融信、威努特、英賽克。
工業互聯網安全服務主要能力形態
在調研過程中發現,工業互聯網安全服務能力的形態種類很多。但是,最終數世咨詢將工業互聯網安全服務能力的形態,抽象為五種類型。
1、工控攻防
工控攻防指在工控系統場景下的安全攻防服務,包括滲透測試、安全運營、攻防演練技術支持、主機加固、安全檢測、安全態勢分析等。其核心在于針對已有的工控環境,從實際技術操作層面,進行攻防相關的服務內容。
工控攻防的服務屬于比較傳統和基礎的工業互聯網安全服務內容,也是大部分專注于工業互聯網安全的廠商能夠提供的服務。工控攻防服務能夠最直接地為工業企業帶來安全價值:滲透測試、安全檢測等服務能從技術層面發現環境中的隱患;主機加固能夠通過服務提升環境自身的防護能力;安全運營和演練支援能夠直接彌補工業企業在實際安全攻防中的人才短缺。
工控攻防服務可以很大程度上幫助工業企業解決人才缺口的問題,同時有能幫助工業企業節省一定的人員成本。因此,工控攻防雖然屬于傳統的工業互聯網安全服務,但是依然會在長期時間有穩定的需求。
2、安全評估與咨詢
近年來,由于等保2.0的出現,網絡安全已經是工業企業必須面臨的課題。但是,絕大部分工業相關企業都缺乏足夠的網絡安全經驗與網絡安全積累。因此,需要借助外部的力量,根據自身的具體情況,來評估自己的如何滿足合規要求。
安全合規咨詢只是整體安全咨詢中的一部分,卻是近年來促進整體安全咨詢業務發展的重要因素。除了合規咨詢之外,安全咨詢還包括了對企業整體安全規劃的建設。在工業互聯網場景中,安全咨詢包括了對整體工業互聯網安全體系的架構建設、在工業互聯網安全環境中各類安全能力的部署建設、人員制度的安全建設等。
安全咨詢的最終價值,在于實現從一個整體的角度,自上而下,從架構到落地,進行統一的協調和管理。合規要求只是實現企業整體安全規劃的底線,但是在實際企業運營過程中,依然有許多具體的風險需要去解決。工業相關企業需要從企業整體對自身的安全性進行評估,發現自身環境中,無論是技術環境或工作環境——存在的工業互聯網安全隱患,基于安全評估結果 ,進行整體安全發展的規劃。
在企業整體工業互聯網安全規劃過程中,需要結合自身的業務發展需求,整合出符合自身企業發展的工業互聯網安全發展規劃,先從整體上確定安全的投入方向。再從具體的產品選擇、部署架構、人員制度等多個方面,具體細化深入,完成企業整體的工業互聯網安全規劃方案。
如果說合規咨詢是安全咨詢的關鍵驅動力以及必要因素,那么對企業整體的安全咨詢是企業在自身安全投入逐漸增加后的必然結果。因此,隨著工業相關企業對工業互聯網安全越來越重視,對于企業整體的安全評估與咨詢服務,需求也會越來越多。
3、安全教育
安全服務的核心是人才,而人才是需要培養的。安全教育是安全服務不可或缺的一環。
安全教育從服務對象來看,可以分為兩種類型:院校與企業。
從院校角度來看,高等院校與職業技術學院需要有工業互聯網安全相關的課程,以及技術實操培訓。通過院校的培養,可以有大量初級的工業互聯網安全人才進入行業,做到最基礎的安全運維能力。
而從企業層面,企業需要自己的安全人員不斷提升能力:提升攻防技巧可以更游刃有余地處理自身環境里的安全問題;提升安全管理思維能夠更妥善地平衡業務與安全的矛盾;提升安全視野能夠緊跟安全行業發展,為今后企業工業互聯網安全的整體發展提供有力支持。
安全教育同樣是一個需要持續的服務:威脅在增加,需求在改變,技術在演進。安全教育的內容需要順應當下的業務需求與技術要點進行改變,才有機會培養出真正適合工業互聯網場景下需要的安全人才。
4、攻防演練
攻防演練會是一個逐漸興起的安全服務領域。除了國家性的大型演練,各地地方政府也逐漸開始組織區域性的中小規模攻防演練,發現各個企業存在的網絡安全隱患,提升企業自身的網絡安全能力。
盡管現在來看,大部分企業都不具備自身與其他廠商、組織進行攻防演練的余力。但是,從未來來看,企業自發地進行攻防演練,會更有效地促進企業攻防能力的提升,在企業網絡安全能力具備一定實力的時候,這種需求會逐漸增大。
以工業互聯網安全中的攻防演練服務來看,工業互聯網安全服務的供應商能夠提供的價值有協助組織演練活動、對接演練參與方、提供演練環境、演練后協助分析研討等。
5、安全研究
許多安全廠商都有自身的安全攻防實驗室、安全研究團隊。一般情況下,安全攻防實驗室和安全研究團隊都主要是基于安全廠商自身安全研發的需求,以及對現有系統提前發現漏洞并提前準備解決方案。
安全研究服務則是將這一能力對外輸出,不再是只給安全廠商自己使用。安全廠商可以和監管機構、工控設備制造商、研究機構等合作,基于其他機構的需求,協同對相關的系統、設備進行研究、驗證,發現其中潛在的威脅以及漏洞。
相比于安全廠商自身的安全研究,安全研究服務對安全廠商而言也是一個提升自身企業安全底蘊的機會。相關合作方會需要安全廠商的安全研究能力,發現目標系統、設備的安全隱患,而在合作過程中,提供安全研究服務的廠商也有機會更進一步了解研究目標,對于雙方的合作,最終能夠實現雙贏。
安全研究服務為相關組織與機構提供了另一種接受安全廠商安全能力的途徑。尤其在工業互聯網領域,許多工控設備因為其特有的協議、運行機制等因素,需要更多專注的安全研究人對其安全性進行分析。另一方面,我國國產化,尤其是工業領域的國產化的安全性,也需要安全企業參與,確保設備、系統的底層安全。
工業互聯網安全服務落地要點
安全廠商的工業互聯網安全服務的能力可以從“人、技、企”三個維度來評估。
1、以人為本
安全服務的本質依然是人。因此,在工業互聯網安全服務領域中,企業的工業互聯網安全人才能力十分關鍵,尤其是在工控攻防、安全評估與咨詢、以及安全研究三個方面。
工控場景有著對業務高敏感性的特點,需要業務與生產的高可持續性。但是同時,工控場景往往系統環境復雜,這對工控攻防人員,尤其在實際生產環境中進行工控攻防操作的人員,帶來了不小的挑戰。工控攻防人員需要有相當豐富的經驗,對系統的風險與安全問題進行精準的判斷;除此以外,還要有能力采取適合的措施——如何阻斷請求、如何終止進程,甚至是否需要下線哪些設備,都是不僅僅需要單純的理論知識和操作技能,更要求相關服務人員有足夠的工控領域的攻防積累,才能實現在對業務與生產最小影響的情況下,解決威脅。
同理,在安全研究方面,安全研究人員需要對工控設備、系統有大量的積累和經驗,才能更為全面地發現設備、系統中潛藏的隱患。
而在安全評估與咨詢方面,要求安全專家不僅有對工業互聯網安全的理解,同時要能夠協助工業相關企業,貼合企業的業務需求、規劃,結合工業互聯網安全的合規、技術、實踐,才能規劃出最貼合客戶需求的工業互聯網安全解決方案。這不僅需要安全專家有足夠的工業互聯網安全理解深度,還需要從業務層面對工業企業、工業生產有理解的廣度。
2、技術為輔
除了人才之外,企業自身能提供的安全相關產品也是工業互聯網安全服務能力的一個重要體現。不同的工業互聯網安全服務,都會有不同的相關安全產品,能夠提升安全人員的服務能力。
在工控攻防服務中,許多安全服務人員都會使用其所屬的安全廠商自己研發的工業互聯網安全工具箱。該產品盡管也會作為安全檢測/審計相關的產品進行銷售,但是總體市場體量目前來看很小。但是,如果作為工控安全檢查的配套產品,配合安全廠商自身專業的安全服務人員,就能更全面地發揮安全服務人員的能力,提升工控攻防服務的效果。
在安全教育、攻防演練、安全研究方面,往往需要用到虛擬仿真環境——即工業靶場。如果相關安全廠商有完善的工業靶場產品,就能夠實現更為貼近現實的工業互聯網仿真環境,使技術實踐、攻防演練更為真實。尤其在安全研究領域,一般很難在完全真實的環境下測試、分析相關的工業設備、系統,那就對虛擬仿真環境的有極高的要求。只有在高仿真的工業靶場的加持下,安全研究才能真正實現其安全服務的價值。
在安全服務人員的能力之上,安全廠商自身的相關安全技術能力能夠真正發揮出安全服務人員的技術,同時也能夠拓寬安全廠商的服務范圍,滿足更多工業企業的安全服務需求。
3、企業積累
工業互聯網安全服務的另一個關鍵點在于企業自身的工業互聯網安全積累。
在大量的案例實踐下,工業互聯網安全廠商能夠對工業互聯網安全建立起自身的知識庫,包括攻防技術、漏洞庫、工控設備與系統的信息等。這些積累,不只是企業中安全專家的經驗與知識的集合,而是將企業落地的案例中的關鍵價值、重要思路進行提煉,作為企業自身的安全知識建設,從而可持續地對外輸出安全服務能力。
對于安全廠商而言,深厚的行業經驗,不僅能夠更快洞悉客戶的安全需求,為客戶提供精準的解決方案,同時對安全廠商自身的可持續發展也有幫助。如果安全廠商能夠提煉自己的安全積累,就能制定出一套完整的人員培訓體系,幫助企業的安全服務人員快速成長,將安全能力給有效地傳遞給客戶,同時避免大量的誤區。
這一點對于工業互聯網安全尤為重要。對于工業互聯網的高業務可持續性而言,如何快速辨別安全行為對業務的影響就非常關鍵——這原本就需要安全專家的能力。但是,如果安全廠商能夠將安全專家的能力沉淀,作為企業的積累,就能幫助之后的安全專家更快速地成長。另一方面,工業互聯網的環境非常復雜,不同行業使用的設備、系統都不盡相同,面臨的安全威脅也各有不同。只有安全廠商能夠對客戶所處的業務環境、所使用的的設備與系統有足夠深的認知,才能為客戶提供最佳的安全解決方案。
企業在工業互聯網安全上的積累,能夠為工業互聯網安全服務提供額外的經驗支持,基于以往的最佳實踐,提供可靠切合的安全服務。
工業互聯網安全服務市場情況
1、能力收入
根據本次調研的方向,2019年我國工控防護能力收入總體約為2.61億元,2020年總體收入約為3.88億元,預計2021年收入為6.18億元,2022年有望達到9.28億元。工業互聯網安全服務由于需要進行現場溝通、實施,尤其在當下工控攻防為主要市場方向的情況下,受到2020年疫情影響,增幅緩慢。但是,隨著防疫常態化、疫情管控規范化,工業互聯網安全服務能力的收入增幅也會逐漸提升。
2、交付模式
工業互聯網安全服務能力當前以定制化交付為主,占58%。單一標準化的服務交付占26%,作為功能交付及其他模式占16%。工業互聯網安全服務由于需要根據工業相關企業的行業、面臨風險、企業IT能力與OT能力的差異、企業安全能力的水平高低,進行針對性的服務,因此對定制化的要求很高。但是,在某些場景下,標準化的滲透測試、安全檢查等依然會有需求出現。
3、銷售方式
從銷售方式來看,工業互聯網安全服務能力以直接輸出自身企業能力為主,占65%。通過渠道,或者協助其他相關廠商合作的案例也會存在,共占35%。
4、落地行業
當前來看,工控防護能力的主要落地用戶為監管機構,占26%。近年來,監管機構都逐步開始建設行業類、區域級的監管型工業互聯網安全管理平臺(態勢感知平臺),在建設初期需要通過咨詢的服務形式構建適應自身需求的工業互聯網安全管理平臺架構;另一方面,對于一部分已經投入使用的監管型工業互聯網安全管理平臺,監管機構也需要通過安全運營服務的協助將其效果最大化。其余超過10%的行業還有包括教育、煙草等行業的其他分類總和,以及電力、石油石化、燃氣/熱力/供水/電網。
案例四:某鋼鐵企業工業網絡安全保障體系建設案例(本案例由烽臺科技提供)
背景介紹
鋼鐵行業具有高耗能、高排放、高危險、工藝復雜等特點,安全問題、環保問題已逐漸成為制約行業發展的重要因素。隨著兩化融合的不斷推進,信息化的建設也逐步滲透到鋼鐵行業的各個生產環節里,工業互聯網、大數據、人工智能等新技術手段,為鋼鐵行業提供了新型的能源管控、安全管控解決方案,提升行業內企業整體精細化管控水平的同時,也讓鋼鐵行業面臨了更多來自互聯網的威脅。
需求分析
當前鋼鐵行業企業信息安全相關需求包括兩類,一類是客觀需求,另一類是主觀需求。客觀需求主要來自國家/行業/地區對于企業的監管要求,即企業的合規性需求,要求企業安全建設方案能夠達到相關法律/標準/規范所對應內容;主觀需求來自于企業內部,伴隨著工業互聯網、物聯網技術發展及智能制造能力水平提升,多數企業逐步建設完成能源管理系統(EMS)、生產制造執行系統(MES)、環保監控、智慧工廠等工業相關信息化系統。日常生產運營過程中,工業控制系統、工業控制相關信息化安全穩定運行正在起到越來越關鍵的作用。當前國際、國內工業網絡安全形式的嚴峻、安全事件的多發對鋼鐵企業的正常生產運營造成威脅,鋼鐵企業需要通過工業網絡安全保障體系建設解決上述兩大方面的問題。
解決方案
本方案基于某鋼鐵企業現有內外部安全現狀、控制系統管理組織結構、業務結構(關鍵業務、非關鍵業務)、網絡結構、管理制度、安全人員崗位情況等,由我公司安全服務人員以安全咨詢服務的形式,按照相關標準規范要求,并依托《工控安全保障體系建設框架》為用戶梳理工業網絡安全保障體系內容,幫助用戶從技術、管理、制度、人員等方面實現安全體系化、全生命周期化建設,保障鋼鐵企業工控系統的安全穩定運行。
通過對鋼鐵集團及下屬煉鐵廠、煉鋼廠、燒結廠等進行現場核查與評估,發現工業控制系統整體安全建設有待完善,當前安全現狀與工信部《工業控制系統信息安全防護指南》和公安部《信息安全技術網絡安全等級保護基本要求》所提出的各項安全要求的合規中,存在技術、管理方面的諸多差距,特提具體建設思路,對鋼鐵集團進行整體安全整改。
通過分步建設摸清集團內整體工控安全現狀,逐步完善工控系統各項安全技術、管理措施,確保系統能夠達到國家對工控系統所提出的安全要求,建成覆蓋安全技術、安全管理、安全人員全面保障能力的工業網絡安全保障體系,確保工業控制系統安全穩定運行。建設方案基于從工控安全策略制定、評估分析、方案設計、工程實施、運行管理、應急響應到安全教育七個階段的全生命周期保障思路,包含技術、人員、管理三個維度安全能力建設。
(1)策略制定階段
工業網絡安全策略是組織實現工業網絡安全技術和管理措施的前提,能夠為整個組織工業網絡安全工作提供指導,為具體的工業網絡安全建設內容提供綱領性規劃。
工業企業決策、管理、規劃設計人員站在組織整體的角度,從策略、組織、管理、技術、資源等多方面進行綜合考慮,由組織管理者、規劃設計者按照組織業務特點,結合組織發展需要和國家標準、監管機構要求等確定工業網絡安全目標和工業網絡安全策略。
策略制定階段具體工作包括企業外部工業網絡安全因素分析、企業內部工業網絡安全因素分析、制定工業網絡安全策略目標、形成安全方針策略文件發布、安全策略專家評審、策略實施與執行、策略維護與改進。目標形成幾十項制度或方案,如:
?《保障體系建設項目工作計劃》
?《集團及各分廠風險評估報告》
?《工控設備管理運維工作規范》
?《脆弱性管理運維工作規范》
?《工控安全應急響應預案》
?《工業互聯網企業級集中化監測平臺需求調研與分析報告》
(2)評估分析階段
評估分析階段主要是依據現有的合規規范,如《等保》《關保》《防護指南》《信息安全技術 工業控制系統風險評估實施指南》等相關標準,對鋼鐵集團進行工業控制系統信息安全風險評估與合規性差距評估,包括:合規性差距評估、資產評估、威脅評估、脆弱性評估、保障能力評估、滲透測試、配置核查、風險分析等多個方面,評估范圍覆蓋集團鋼鐵生產的全工藝流程,包括采礦、燒結、煉鐵、煉鋼、軋鋼、動力各主要工藝環節。評估階段發現各廠在安全區域邊界、安全計算環境、安全管理中心、安全管理制度、安全管理機構、安全運維管理、安全通信網絡、安全建設管理等方面存在不同情況的問題與風險。評估中共發現信息安全風險413個,其中極高風險0個,高風險72個,中風險139個,低風險197個,極低風險5個;經分析,確定PLC類的71個風險中,69個為高風險,2個為低風險;確定InTouch軟件為高風險,Wincc、STEP7、Workbench和Vijeo Citect軟件為中風險,RSLinx軟件為低風險;確定計算機類的323個風險中,3個為高風險,139個為中風險,176個為低風險。
(3)方案設計階段
通過對鋼鐵集團合規性評估和全面風險評估的成果進行分析,規劃集團工業安全保障體系。保障體系將安全生產作為核心安全目標,一切技術、管理安全措施應優先保證安全生產這一核心安全任務;在此基礎上,方案設計主要包括分析各生產業務場景的重要程度、消除當前不可接受風險、符合多部門安全監管要求和形成長期可持續的安全保障能力四大目標。
方案設計過程中,綜合安全事件所作用的資產價值及脆弱性的嚴重程度,判斷安全事件造成的損失對被評估方的影響。風險值與資產、威脅、脆弱性、保障能力關系如下所示:
資產風險值分析過程
? 對資產進行識別,并對資產的價值進行賦值;
? 對威脅進行識別,描述威脅的屬性,并對威脅出現的頻率賦值;
? 對脆弱性進行識別,并對具體資產的脆弱性的嚴重程度賦值;
? 根據威脅及威脅利用脆弱性的難易程度判斷安全事件發生的可能性;
? 根據脆弱性的嚴重程度及安全事件所作用的資產的價值計算安全事件造成的損失。
根據安全事件發生的可能性以及安全事件出現后的損失,計算安全事件一旦發生對組織的影響,即風險值。
(4)工程實施階段
鋼鐵集團工業安全保障體系建設主要包含安全技術能力提升方案、安全管理能力提升方案和安全人員能力提升方案組成。
工程實施由安全監測體系、安全防護體系、仿真驗證體系三大體系構成。總體技術框架如下圖:
安全監測體系作為企業安全運營的核心,圍繞企業級集中化安全監測平臺、安全通報與共享平臺進行構建。
安全防護體系作為企業安全運營的防護能力主要支撐,包括網絡隔離、主機防護、數據保護、邊界防護、配置核查、入侵檢測、安全審計等基礎安全能力,形成符合企業實際需求的工業企業安全縱深防御解決方案。
仿真驗證體系作為企業安全運營的仿真驗證能力支撐,提供燒結、煉鐵、煉鋼等典型工控系統仿真的基礎測試仿真環境,可用于安全配置測試、設備漏洞測試、安全設備測試等安全相關驗證測試,并提供場景化應急演練及安全培訓能力。
安全監測體系、安全防護體系、仿真驗證體系共同組成工業企業網絡安全綜合防護平臺能夠為鋼鐵工業企業內工控系統安全事件的監測、通報、驗證、防御、取證、處置、應急等綜合能力,實現工業企業網絡安全綜合防護。
(5)運行管理階段
結合鋼鐵企業自身情況,安全運營中心建設過程中將逐漸形成圍繞鋼鐵企業安全發展需要的典型應用,包括工業企業的信息融合處置中心、安全監測中心、方案驗證中心、產品測試中心、應急演練中心、人才培養中心等。
根據企業規模、信息化/自動化水平的差異,支撐工業網絡安全運營工作的相關人員可根據工業網絡安全建設階段的不同逐步構建建制齊備的專業化工業網絡安全運營團隊。
(6)應急響應階段
應急響應是企業工業網絡安全防護水平的重要保障,企業應通過制定嚴密的工控安全應急響應預案保障工控系統在遭受攻擊、系統異常等情況時能夠快速響應并有效處理問題。應急響應工作是體系化工作,由事件分類與定級、制定應急響應預案、建立應急響應組織、組織應急演練等內容組成。
事件分類與分級
根據工業企業實際情況對工業企業可能出現的工業網絡安全事件進行分類和分級,后續對不同事件的應急響應依據出現事件的類別和級別采取對應的響應措施。
制定應急響應預案
應急響應預案中包括應急組織與職責、檢測與預警、應急處置流程、應急保障措施等內容,企業應定期對系統相關的人員進行應急預案培訓和應急預案的演練。
建立應急響應組織
可組建包含內部應急響應團隊加外部專家團隊的應急響應組織。應急響應組織可包含應急響應領導小組、應急響應技術保障小組、應急響應專家小組、應急響應實施小組和應急響應日常運行小組等。
組織應急演練
通過組織應急演練,可以有效檢驗制約組織網絡安全事件應急能力的不利因素,并為消除或減小這些不利因素提供有價值的參考信息。應急響應工作中應定期組織應急演練,明確應急演練目的,合理做好應急響應規劃,制定詳細應急演練工作方案,編織具體應急響應演練腳本,確定應急演練流程,最終對應急演練成果進行評估,做好各種應急演練的保障措施。
(7)安全教育階段
人員是工業網絡安全保障工作中的主要組成部分,隨著工業網絡安全攻防技術的發展,持續提升工業網絡安全保障工作參與人員所需能力是保證安全技術、管理措施有效發揮應有價值的重要工作。該階段工作主要解決工業網絡安全保障工作中人員的相關問題,對參與工控系統日常使用、管理的各類人員進行安全意識教育和崗位技能培訓,并告知相關的安全責任和懲戒措施。針對不同崗位制定不同的培訓計劃,對信息安全基礎知識、崗位操作規程等進行培訓,并形成完整的考核機制,定期對不同崗位的人員進行技能考核。
安全意識教育
通過工業網絡安全意識的培養,員工能夠了解到工業企業生產網絡面臨的信息安全風險,理解個人信息安全意識在整體組織的信息安全保障體系中的重要性,學會如何養成良好的信息安全習慣、具備正確的信息安全意識,使個人能夠依靠自身良好的信息安全意識與素養支持所在單位的信息安全保障體系建設、理解和遵守企業的信息安全管理制度、維護工業企業的信息安全和商業秘密,以保障工業生產相關系統、網絡、設備的安全可靠與穩定運行。
崗位技能教育
為匹配工業企業信息安全保障體系的落地實施,需要對主要信息安全專業崗位進行技能培訓,以滿足工業網絡安全保障體系實施的技能需求。主要針對規劃設計人員、運行維護人員、應急響應人員的專業技能進行培訓,以保證安全體系的全生命周期所需要的能力有對應崗位的人員技能支撐。崗位技能主要培養:工業企業策略制修訂能力、安全測試評估能力、安全規劃設計能力、工程實施能力、運行維護能力、應急響應處置能力及安全自培訓能力。
客戶價值
1、實現生產安全與信息安全緊耦合
工控安全運營中心充分對接工控安全基礎設施與當前生產相關信息化系統,進行信息安全與生產安全的信息融合、關聯影響分析,以業務的角度實現生產安全與信息安全的緊耦合。
2、立體化安全防護能力
工控安全運營中心同時包含安全運營人員、運營管理制度、運營基礎設施,覆蓋工控安全人員、管理、技術多維度防護能力。
3、閉環化風險管理能力
工控安全運營中心除實現常見的安全監測、防護外,還提供工控安全風險處置所必需的驗證環境,實現風險發現、驗證、處置、恢復的閉環化風險管理。
4、融合多項工控安全職能
工控安全運營中心同時作為工業企業的信息融合中心、安全監測中心、應急演練中心、人才培養中心、方案驗證中心、產品測試中心,持續輸出綜合工控安全保障能力。
5、注重安全能力交付
不迷信于安全盒子堆砌,以安全能力建設為核心,注重工控安全運營各階段所必需的安全能力交付。
6、樂高化安全運營
對于中小規模/大型/特大型工業企業,新建/存量工控系統,都可以彈性選擇安全運營中心建設內容,靈活適配符合企業現狀的工控安全運營,避免過度投入。
客戶反饋
基于烽臺科技提供的安全運營中心建設項目,可對本企業料場、燒結、煉鐵、煉鋼、軋鋼、動力等各板塊的網絡安全提供綜合監測、態勢感知、測試驗證、應急響應等能力,不僅保護了本集團與二級單位網絡安全與信息資產安全,全面提升本集團網絡安全綜合保障能力,同時可以協助培養一批從事鋼鐵行業網絡安全實施、運維及服務的專業技術人才,為行業大范圍實施網絡安全保障能力提升建設提供人才儲備。
