近期,天融信主力参编的《t/zisia 1-2023工业互联网企业资产分类分级安全管理指南》(以下简称“管理指南”)团体标准正式发布并实施。
《管理指南》明确工业互联网企业资产分类分级的适用范围、资产分类和分级的原则及方法,并提供了工业互联网企业资产安全管理的指导。《管理指南》的实施,对强化工业互联网企业安全防护能力,推动网络安全产业高质量发展具有推动意义。
本文结合《管理指南》对资产的安全管理要求,为开展资产分类分级安全管理工作的企业提供方法与思路,进一步提升企业资产安全管控能力。
《工业互联网企业资产分类分级安全管理指南》框架
工业互联网企业资产安全管理要求关联资产级别构建安全管理措施,在一级资产安全管理要求中提出5项要求,二级与三级中提出6项要求,本次将各级别安全管理要求汇总归纳,对要求和应对措施进行阐述。
管理要求一:资产管理体系
管理要求
1、设立资产管理岗位,建立资产台账,并进行台账动态维护和定期盘点。
2、发布和执行管理体系文件,并实施资产授权管理。
3、建立资产安全运营体系,实现持续动态的安全运营。
应对措施
设立专门的资产管理岗位并明确职责,将各项任务及责任明确落实到人,确保资产妥善管理和有效利用。
通过资产分类、资产标识、资产维护等信息建立资产安全管理流程体系,并形成配套制度文件,制定资产安全策略,明确资产使用管理要求,强化身份认证和访问控制,确保只有授权人员可以访问资产与使用。
建立资产的访问控制、入侵检测、安全审计、脆弱性检测、集中管理、策略联动等技术手段,对各类资产的未授权访问、入侵行为、异常流量、系统漏洞等进行全面监测,持续性收集和分析资产运营过程中的安全数据,识别潜在的安全风险,采取措施进行预防和应对,结合安全威胁与发展趋势不断进行安全运营体系的改进,实现持续动态的安全运营。
管理要求二:资产识别和发现
管理要求
1、明确资产识别的需求和范围,并在不影响业务运行的前提下采取主动、被动等技术手段进行资产的发现与识别。
2、建立资产指纹库,支撑资产识别。
3、建立资产画像,实现资产关联分析。
应对措施
结合人工 资产探测、流量和日志分析、指纹识别等主动、被动技术手段,对台账所需的资产必要属性进行识别与记录,包括但不限于登记时间、资产名称、区域或位置、ip、型号、版本号等。
统计和梳理当前资产的系统、版本、类型、范围等信息,建立资产识别规则,形成资产指纹库,提高资产信息的识别完整性。
根据资产之间的访问关系,为每个资产建立画像,包括但不限于资产ip地址、设备名称、设备状态、mac地址、厂商、设备类型等,便于资产的管理及关联性分析。
管理要求三:资产风险评估与处置
管理要求
1、定期开展资产的网络安全风险和合规遵循风险等风险评估,并按照资产风险评估结果及时开展风险处置相关活动。
2、跟踪资产漏洞信息、资产威胁情报等,并及时预警和开展风险处置活动。
3、评估工业控制系统等特定资产漏洞风险时,需在不影响业务运行的前提下进行。
4、建立和执行供应链安全、上线安全、运行安全、资产转移和废弃过程的风险评估和管控流程。
应对措施
采用风险评估、资产探测、漏洞检测等服务进行资产网络安全风险评估,识别潜在的安全风险和合规风险,根据风险评估的结果,采取风险规避、风险降低、风险转移等风险处置活动。
通过定期扫描方式,收集所有与资产相关的漏洞信息,并持续关注cve、cnnvd、cnvd等平台的最新漏洞信息,进行资产漏洞管理;同时结合第三方威胁情报服务及时更新情报信息,快速发现、告警并第一时间处置威胁。
采用工业漏洞扫描系统 人工评估方式进行资产漏洞风险评估,提前了解资产潜在安全漏洞及薄弱点。
企业应确保资产在供应链管理、产品上线、日常运营、资产转移以及废弃处理等环节中的安全性,通过风险评估、基线核查、资产探测、漏洞检测、渗透测试等服务,对资产信息、资产脆弱性等进行识别与评估,并采取措施降低或消除风险,实现资产全生命周期风险管控。
管理要求四:资产防护
管理要求
1、具有访问控制机制,管理资产使用权限,并定期审查和维护。
2、根据资产分类分级实施包括但不限于物理环境、通信环境、网络边界、计算环境的安全防护措施。
3、构建资产统一安全管理平台,实现对基础防护设备的安全集中管理。
4、构建资产安全协同防护体系,实现对资产风险、安全事件、业务状态的安全运营,并与安全防护系统协同联动。
应对措施
通过密码、动态口令、ukey等身份认证和授权管理方式,根据用户角色与职责,为不同人员或部门分配特定的权限,确认权限与使用资产相对应。
采取物理访问控制、监控和报警等措施,限制对关键资产的物理访问,确保只有授权人员能够访问关键资产;根据资产的重要性和风险等级,实施不同的网络隔离和安全策略;通过建立资产的入侵检测、访问控制、安全审计等技术手段,限制未经授权访问,及时发现异常行为和潜在威胁。
企业应对应用的基础安全防护设备进行集中统一管理,利用集中化管理系统或平台,对例如工业防火墙、工业安全监测审计、工业主机卫士等工业安全设备进行集中管理及统一监控,提升安全设备运维效率。
企业应对资产建立资产安全协同防护体系,实现对网络中的资产、流量、日志等安全数据全面处理分析,以及对资产风险、安全事件、业务状态等全面监测,并协同边界安全、入侵检测等安全防护系统进行联动,提高资产应对安全威胁的应急响应能力。
管理要求五:资产监测
管理要求
1、综合考虑资产安全需求和重要程度,明确需监测的资产范围,在不影响业务运转的前提下,监测资产运行状态。
2、实施多层次、多维度的资产安全事件监测。
3、建立综合性监测平台,实现威胁情报共享和信息集成,结合大数据和人工智能等新技术,将资产监测与数据分析相结合,建立资产安全威胁级别和智能预警机制。
应对措施
根据资产分类分级要求及资产对企业业务运行的重要程度等因素,确定需要重点监测和保护的资产范围,并对资产的使用情况、性能指标等信息进行监测,及时发现并消除潜在问题。
资产安全事件应围绕资产脆弱性、安全威胁等进行监测和分析,通过建立资产的访问控制、入侵检测、流量审计、脆弱性识别等技术手段,对各类资产的未授权访问、入侵行为、异常流量、系统漏洞等进行全面监测,从多层次、多维度保障资产安全。
企业应对资产建立智能化安全威胁预警机制,通过整合第三方威胁情报中心、漏洞报送平台等外部威胁情报以及资产脆弱性、资产安全威胁等内部威胁情报信息,并利用大数据及智能化分析技术,对网络的资产、流量、日志等相关的安全数据进行综合分析,基于资产等级、数据分析结果等,对资产安全威胁的严重性、影响范围等进行分级,并结合威胁情报等信息,构建对资产安全威胁的智能预警机制,实现预警信号的精准推送和风险信息的充分挖掘,为企业资产构建深层次安全防护能力。
管理要求六:资产应急响应
管理要求
1、制定应急处置机制,明确责任人及其职责。
2、预备应急资源,对重要资产采取备份措施。
3、配置安全取证及溯源设备,用于安全事件应急响应。
4、定期开展应急响应培训,安全事件应急演练;搭建仿真环境,定期开展安全事件模拟演练,优化预案、提升技能、加强协作。
5、建立协同应急机制,实现信息共享、资源协调和相互支援。
应对措施
成立由各部门代表组成的应急处置小组,为每个部门或角色指定主要责任人,并为其分配具体的职责和任务。
重要资产应通过本地备份、异地备份等备份措施,对数据库、文件、系统等资产进行备份管理,确保数据不会因突发事件或安全威胁而丢失。
安全事件应急响应应对已经发生或可能发生的安全事件进行监控、分析,通过收集、分析与安全事件相关流量、日志等,发现恶意流量、网络攻击和异常行为,为溯源分析提供支撑,同时可发现攻击行为的模式及共性,从而制定更有效的防御策略,提升安全事件应急响应能力。
开展人工授课、视频教学等形式进行应急响应培训,提升人员的网络安全意识,加强应急事件应变能力。进行仿真环境搭建,模拟真实业务场景及业务流程,定期开展安全事件模拟演练,并每次根据演练结果进行评估,依据评估结果对应急预案进行不断优化。
定期组织会议,建立实时沟通渠道等,确保信息共享。
基于《工业互联网企业资产分类分级安全管理指南》,天融信可提供全面的安全能力,如风险评估、基线核查、资产探测、漏洞检测、渗透测试等多种安全服务,实现对资产信息进行有效识别,同时可对资产面临的威胁、存在的脆弱性进行全面评估与分析。
此外,天融信工业防火墙、工业漏洞扫描系统、工业入侵检测与审计、工业互联网态势分析与安全管理系统等产品,可对企业进行资产探测与采集、资产安全运行监测、资产指纹识别、资产脆弱性检测等,帮助企业进一步强化资产安全威胁的应对能力,提升资产的安全管理过程。
伴随工业互联网企业网络安全分类分级管理工作的推进,资产安全管理问题愈发成为企业关注的焦点。在工业互联网安全市场及工业互联网企业网络安全分类分级管理工作快速发展形势下,未来,天融信将持续在工业互联网安全领域深耕与探索,加速推出创新性产品与服务,赋能工业互联网企业网络安全分类分级管理工作的开展,为工业互联网安全产业的发展提供有力支撑。