下载文档原格式
一、目的和依据为保障我国工业控制系统信息安全,预防和应对信息安全事件,根据《中华人民共和国网络安全法》、《中华人民共和国突发事件应对法》等相关法律法规,结合我国工业控制系统安全现状,特制定本预案。
二、适用范围本预案适用于我国境内所有工业控制系统,包括但不限于电力、石化、交通、能源、制造等行业。
三、事件分类1. 信息安全事件:指工业控制系统遭受黑客攻击、病毒感染、恶意软件植入等,导致系统功能异常、数据泄露、设备损坏等事件。
2. 设备故障:指工业控制系统设备因硬件、软件、网络等原因导致的故障。
3. 自然灾害:指地震、洪水、火灾等自然灾害对工业控制系统造成的影响。
四、应急组织体系1. 成立工业信息安全应急指挥部,负责全面领导和协调应急工作。
2. 设立应急办公室,负责具体组织、协调、指导和监督应急工作的实施。
3. 成立应急专家组,负责提供技术支持和专业指导。
五、应急响应程序1. 事件监测与预警(1)建立健全信息安全监测体系,实时监测工业控制系统安全状况。
(2)对监测到的异常情况,及时进行分析和评估,预警相关信息。
2. 应急响应(1)根据事件性质、影响范围和严重程度,启动相应级别的应急响应。
(2)应急指挥部立即召开会议,研究制定应急措施,明确责任分工。
(3)应急办公室负责协调相关部门和单位,共同应对事件。
3. 应急处置(1)针对信息安全事件,采取隔离、修复、清除病毒等措施,确保系统恢复正常。
(2)针对设备故障,尽快修复或更换故障设备,确保生产正常运行。
(3)针对自然灾害,采取应急措施,确保人员安全和设备安全。
4. 事件善后处理(1)对事件原因进行调查分析,总结经验教训,完善应急预案。
(2)对受影响的人员和单位进行慰问和赔偿。
(3)对相关责任单位和人员进行责任追究。
六、保障措施1. 加强信息安全意识教育,提高员工安全防护能力。
2. 完善信息安全管理制度,规范操作流程。
3. 定期开展应急演练,提高应急处置能力。
一、前言随着工业信息化的快速发展,工业信息网络安全问题日益突出。
为确保工业信息网络安全,预防和减少网络安全事件对工业生产、企业利益和社会稳定的影响,特制定本预案。
二、预案目标1. 预防和减少网络安全事件的发生,降低事件影响范围和程度。
2. 提高工业信息网络安全防护能力,保障工业信息系统的正常运行。
3. 建立健全网络安全应急响应机制,提高应急处置能力。
三、预案范围本预案适用于我国工业信息网络安全事件的预防和应对,包括但不限于以下领域:1. 工业控制系统(如PLC、DCS等);2. 工业互联网平台;3. 企业内部信息系统;4. 工业大数据中心。
四、组织机构与职责1. 应急领导小组:负责统筹协调网络安全事件应急处置工作,研究制定应急预案,指挥调度应急处置力量。
2. 应急指挥部:负责组织实施应急预案,协调各部门、各单位开展应急处置工作。
3. 技术保障组:负责网络安全事件的技术分析、处置和修复工作。
4. 信息发布组:负责网络安全事件的信息收集、整理和发布工作。
5. 应急保障组:负责物资、装备、人员等保障工作。
五、应急预案措施1. 预防措施(1)加强网络安全意识教育,提高员工网络安全防护能力。
(2)完善网络安全管理制度,明确网络安全责任。
(3)定期开展网络安全风险评估,制定针对性防护措施。
(4)加强网络安全技术防护,部署防火墙、入侵检测系统、漏洞扫描系统等安全设备。
(5)加强数据备份和恢复能力,确保关键数据安全。
2. 应急处置措施(1)事件报告:发现网络安全事件后,立即向应急指挥部报告。
(2)应急响应:应急指挥部接到报告后,迅速启动应急预案,组织相关部门开展应急处置工作。
(3)事件分析:技术保障组对网络安全事件进行技术分析,确定事件原因和影响范围。
(4)应急处置:根据事件原因和影响范围,采取相应措施,如隔离受感染设备、修复漏洞、恢复数据等。
(5)事件恢复:恢复正常运行后,对受影响系统进行安全加固和风险评估,防止类似事件再次发生。
一、编制目的为确保工业控制系统信息安全,预防和应对可能发生的网络与信息安全突发事件,最大限度地减少损失,保障工业生产安全和稳定运行,特制定本预案。
二、编制依据1. 《中华人民共和国网络安全法》2. 《中华人民共和国信息安全技术工业控制系统安全》3. 《中华人民共和国计算机信息系统安全保护条例》4. 《工业控制系统信息安全指南》5. 国家和地方相关法律法规及行业标准三、适用范围本预案适用于我国境内所有工业控制系统,包括但不限于电力、石油、化工、交通运输、制造等行业。
四、预案组织架构1. 领导小组:负责组织、协调、指导应急处置工作。
2. 应急指挥部:负责应急处置工作的具体实施。
3. 应急工作组:负责应急处置工作的具体落实。
五、应急处置流程1. 预防阶段- 建立健全工业控制系统安全管理制度,明确安全责任。
- 定期开展安全检查,及时发现和消除安全隐患。
- 加强安全培训,提高员工安全意识。
- 建立安全事件报告制度,及时上报安全事件。
2. 监测阶段- 建立网络安全监测系统,实时监测工业控制系统安全状况。
- 及时发现异常情况,预警信息发布。
- 定期分析网络安全态势,评估安全风险。
3. 应急处置阶段- 确认安全事件,启动应急预案。
- 应急指挥部组织应急工作组进行处置。
- 采取隔离、断网、修复等措施,控制安全事件蔓延。
- 分析安全事件原因,采取措施防止类似事件再次发生。
4. 恢复阶段- 恢复工业控制系统正常运行。
- 分析安全事件原因,制定整改措施。
- 对相关人员进行追责。
六、应急处置措施1. 隔离措施- 对受影响的工业控制系统进行物理隔离。
- 关闭网络连接,防止安全事件蔓延。
2. 断网措施- 断开受影响工业控制系统的网络连接。
- 防止恶意攻击和病毒传播。
3. 修复措施- 修复受影响的工业控制系统。
- 恢复系统正常运行。
4. 预防措施- 加强安全防护,提高系统安全性。
- 定期更新安全补丁,修复漏洞。
- 加强安全监控,及时发现和处理安全事件。
一、预案概述为提高我单位工业信息安全防护能力,保障工业生产安全稳定运行,制定本预案。
本预案适用于我单位所有工业控制系统及其相关设备,针对可能发生的各类信息安全事件,明确事件处理流程、应急响应措施及职责分工。
二、组织机构1. 成立工业信息安全事件应急指挥部,负责统一指挥、协调和调度工业信息安全事件应急工作。
2. 设立应急指挥部办公室,负责日常应急管理工作的具体实施。
3. 成立应急专家组,负责对工业信息安全事件进行分析、评估和处置。
三、事件分类与分级1. 事件分类(1)自然灾害:地震、洪水、台风等自然灾害导致的工业控制系统故障。
(2)事故灾难:设备故障、电气火灾、爆炸等事故导致的工业控制系统故障。
(3)人为破坏:黑客攻击、病毒感染、恶意代码等人为因素导致的工业控制系统故障。
(4)系统故障:软件、硬件故障等导致的工业控制系统故障。
2. 事件分级根据事件的可控性、严重程度和影响范围,将事件分为以下三个等级:(1)一级事件:严重影响生产,可能引发重大安全事故的事件。
(2)二级事件:对生产有一定影响,可能引发一般安全事故的事件。
(3)三级事件:对生产有一定影响,但不会引发安全事故的事件。
四、应急响应措施1. 事件发现与报告(1)发现工业信息安全事件时,立即向应急指挥部报告。
(2)应急指挥部接到报告后,立即启动应急预案,组织应急力量开展处置工作。
2. 事件分析与评估(1)应急专家组对事件进行分析,评估事件的影响范围、严重程度和可控性。
(2)根据评估结果,制定应急处置方案。
3. 事件处置(1)针对不同类型的事件,采取相应的处置措施。
(2)对自然灾害、事故灾难等事件,立即启动应急预案,确保人员安全,尽可能减少损失。
(3)对人为破坏、系统故障等事件,立即开展调查,查明原因,采取技术措施进行修复。
4. 事件善后处理(1)对事件进行总结,分析原因,制定整改措施。
(2)加强工业信息安全防护,提高安全防护能力。
五、职责分工1. 应急指挥部负责统一指挥、协调和调度工业信息安全事件应急工作。
一、编制目的为有效应对工业和信息化领域网络安全事件,降低网络安全风险,保障国家信息安全和社会稳定,根据《中华人民共和国网络安全法》、《中华人民共和国网络安全事件应急预案》等相关法律法规,特制定本预案。
二、编制依据1. 《中华人民共和国网络安全法》2. 《中华人民共和国网络安全事件应急预案》3. 《工业和信息化部网络安全事件应急预案》4. 相关行业标准和规范三、适用范围本预案适用于工业和信息化部及各级工业和信息化管理部门、企事业单位在网络安全事件发生时的应急响应工作。
四、组织架构1. 应急指挥部:由工业和信息化部主要领导担任总指挥,分管领导担任副总指挥,相关部门负责人担任成员。
负责统一领导和指挥网络安全事件应急响应工作。
2. 应急工作小组:由相关部门负责人组成,负责具体实施网络安全事件应急响应工作。
3. 应急技术支持小组:由网络安全专家和技术人员组成,负责提供技术支持和保障。
五、应急处置原则1. 及时响应:发现网络安全事件后,立即启动应急预案,采取有效措施,迅速控制事态发展。
2. 科学处置:依据事件性质、影响范围等因素,科学评估风险,制定合理的处置方案。
3. 协同配合:加强部门间、地区间协作,形成合力,共同应对网络安全事件。
4. 信息公开:及时、准确、客观地发布网络安全事件信息,回应社会关切。
六、应急处置流程1. 信息报告:发现网络安全事件后,立即向应急指挥部报告,内容包括事件发生时间、地点、性质、影响范围等。
2. 应急响应:应急指挥部启动应急预案,组织相关部门和单位开展应急响应工作。
3. 调查评估:对网络安全事件进行调查评估,查明事件原因、影响范围等。
4. 处置措施:根据事件性质和影响范围,采取相应的处置措施,包括:a. 采取技术措施,阻止网络攻击、病毒传播等。
b. 恢复网络系统正常运行。
c. 加强网络安全防护,防止类似事件再次发生。
5. 善后处理:对网络安全事件进行总结,分析原因,提出改进措施,完善应急预案。
信息安全应急处理预案一、引言随着信息技术的发展和普及,信息安全问题日益凸显。
一旦发生信息安全事件,不仅会对组织的正常运营造成严重影响,还可能直接威胁组织的利益和声誉。
因此,建立一套完善的信息安全应急处理预案显得尤为重要。
本文通过论述信息安全应急处理预案的目标、原则、流程和关键措施,旨在为组织提供一份实用的指导,以便在信息安全事件发生时能够快速、有效地进行应急处理。
二、目标和原则1. 目标:信息安全应急处理的目标是在最短的时间内对信息安全事件进行处置,最大限度地减少损失,并尽可能恢复信息系统的正常运行。
2. 原则:(1) 快速反应:及时察觉、发现和验证信息安全事件,并立即采取相应的应急措施。
(2) 协同配合:信息安全应急处理是一个复杂的工作,需要各部门之间充分合作和配合,形成强大的团队力量。
(3) 管理规范:按照相关法律法规和组织内部的管理规定进行应急处理,确保处置过程的合法性和合规性。
(4) 信息共享:及时将应急处理过程中的关键信息和经验教训进行共享,提供给其他组织参考和借鉴。
三、流程1. 预案制定:a. 成立应急处理小组:由信息安全责任人牵头成立应急处理小组,明确小组成员的职责和权限。
b. 定期演练:定期组织演练,检验应急处理预案的有效性和可行性。
2. 事件察觉和验证:a. 监控预警:建立和完善监控预警机制,及时察觉和发现信息安全事件。
b. 事件验证:对信息安全事件进行初步验证,并评估事件的严重程度和影响范围。
3. 事件响应和处置:a. 应急响应:根据事件的紧急程度和影响范围,启动相应的应急响应级别,并通知相关人员参与应急处理。
b. 信息收集:组织相关人员收集事件发生时的详细信息,包括事件的起因、过程和影响等。
c. 安全隔离和恢复:迅速采取安全隔离措施,防止事件扩散和进一步损害,同时恢复受影响的信息系统和数据。
d. 事件追溯和溯源:对事件进行追溯和溯源,找出事件的来源和责任人,为后续的法律调查和追责提供依据。
一、总则1.1 编制目的为确保工厂信息安全,降低信息安全事故对工厂运营的影响,提高应急响应能力,特制定本预案。
1.2 指导思想坚持“预防为主、防治结合、应急响应”的方针,确保工厂信息系统安全稳定运行。
1.3 适用范围本预案适用于工厂所有信息系统及网络,包括但不限于办公自动化系统、生产控制系统、数据中心等。
二、组织体系2.1 应急领导小组成立工厂信息安全应急领导小组,负责组织、协调、指挥信息安全应急响应工作。
2.2 应急工作小组设立信息安全应急工作小组,负责具体实施应急响应措施。
三、应急响应流程3.1 信息收集1. 及时发现信息安全事件,收集相关信息,包括事件发生时间、地点、涉及范围等。
2. 分析事件性质,判断事件严重程度。
3.2 初步判断1. 根据收集到的信息,初步判断事件类型,如病毒感染、恶意攻击、系统故障等。
2. 确定应急响应级别。
3.3 启动应急预案1. 根据事件严重程度,启动相应级别的应急预案。
2. 通知应急工作小组成员,组织相关人员参与应急响应。
3.4 应急处置1. 采取技术手段,隔离受影响系统,防止事件扩散。
2. 恢复受影响系统,确保工厂运营不受影响。
3. 对事件原因进行深入调查,找出问题根源。
3.5 事件总结1. 对事件进行调查分析,总结经验教训。
2. 完善应急预案,提高应急响应能力。
四、应急响应措施4.1 病毒感染1. 使用杀毒软件对受感染系统进行扫描和清理。
2. 更新病毒库,防止病毒再次感染。
3. 加强员工信息安全意识培训。
4.2 恶意攻击1. 隔离受攻击系统,防止攻击扩散。
2. 恢复受影响系统,确保工厂运营不受影响。
3. 修改系统配置,提高系统安全性。
4.3 系统故障1. 检查系统日志,查找故障原因。
2. 恢复受影响系统,确保工厂运营不受影响。
3. 优化系统配置,提高系统稳定性。
五、应急保障5.1 人员保障1. 建立应急工作小组,明确职责分工。
2. 加强员工信息安全意识培训。
2024年信息系统安全措施应急处理预案范文一、前言随着信息技术的迅猛发展,网络攻击和数据泄露等安全问题越来越成为我们面临的重要挑战。
为了保护公司的信息系统安全,应急处理预案就显得尤为重要。
本文将主要探讨2024年信息系统安全措施应急处理预案的制定和实施。
二、安全风险评估在制定应急处理预案之前,必须首先进行安全风险评估。
安全风险评估的目的是识别和评估可能影响信息系统安全的因素和事件,以便制定相应的应对措施。
1. 风险识别:通过对公司信息系统进行全面的风险识别,包括网络攻击、数据泄露、恶意软件等方面的风险,确定存在的安全问题。
2. 风险评估:评估已识别的风险的严重性和潜在影响程度,确定哪些风险对公司信息系统安全构成最大威胁。
3. 风险分类:将已评估的风险按照优先级进行分类,分为高风险、中风险和低风险。
4. 风险解决方案:对每类风险提出相应的解决方案,包括技术措施、管理措施和应急响应措施。
三、应急处理预案制定信息系统安全的应急处理预案是保障信息系统安全的重要手段之一。
应急处理预案主要包括预防措施、应对措施和后续改进。
1. 预防措施(1)建立安全保障体系通过建立信息系统安全保障体系,确保系统的安全可控。
包括建立网络安全管理制度、信息资产管理制度、安全审计制度等,明确责任和权限。
(2)加强网络安全设施建设加强网络安全设施的建设,包括防火墙、入侵检测系统、安全监控系统等,确保网络的安全稳定。
(3)加强员工安全意识培养通过定期开展安全教育培训,提高员工的安全意识和应对能力,减少安全漏洞的出现。
2. 应对措施(1)及时发现和报告建立健全的网络监控系统,及时发现异常情况,并及时上报,确保能够及时采取应对措施。
(2)快速阻断攻击在发现网络攻击时,要及时采取阻断措施,包括关闭受攻击的服务器、隔离网络等,以减少攻击对系统的损害。
(3)追踪攻击源头对于恶意攻击行为,要进行追踪,并向有关执法机构报案,维护公司利益和法律权益。
一、编制目的为确保我国工业控制系统(以下简称工控系统)信息安全,有效预防和应对工控信息安全事件,降低事件发生频率和影响程度,保障工业生产安全稳定运行,特制定本预案。
二、编制依据1. 《中华人民共和国网络安全法》2. 《工业控制系统信息安全防护指南》3. 《工业控制系统信息安全事件应急响应规范》4. 国家及地方有关工控信息安全政策法规三、适用范围本预案适用于我国境内各类工控系统,包括但不限于生产制造、能源、交通、水利、电力等领域。
四、预案组织体系1. 成立工控信息安全应急指挥部,负责组织、协调、指挥工控信息安全应急工作。
2. 应急指挥部下设应急办公室,负责日常应急管理工作。
3. 各相关部门和单位应成立应急小组,负责本部门、本单位的工控信息安全应急工作。
五、应急响应程序1. 信息收集与报告(1)各相关部门和单位应建立健全工控信息安全信息收集机制,及时收集工控系统安全事件相关信息。
(2)发现工控系统安全事件时,应及时向应急指挥部报告。
2. 事件评估(1)应急指挥部根据收集到的信息,对工控系统安全事件进行初步评估。
(2)根据事件严重程度,将事件分为一般、较大、重大、特别重大四个等级。
3. 应急处置(1)针对不同等级的事件,采取相应的应急处置措施。
(2)一般事件:由相关部门和单位自行处理,并报告应急指挥部。
(3)较大、重大、特别重大事件:由应急指挥部组织协调,相关部门和单位共同处置。
4. 事件调查与善后处理(1)事件发生后,应急指挥部组织开展调查,查明事件原因,提出整改措施。
(2)针对事件原因,加强工控系统安全防护,防止类似事件再次发生。
六、应急保障措施1. 人员保障:应急指挥部、应急办公室及相关部门和单位应配备充足的专业人员,负责工控信息安全应急工作。
2. 技术保障:加强工控系统安全技术研究,提高工控系统安全防护能力。
3. 资金保障:确保工控信息安全应急工作所需资金投入。
4. 信息保障:建立健全工控信息安全信息共享机制,提高信息传递效率。
工业信息安全应急处置解决方案比亚迪“永恒之蓝”病毒应急处置和安全解决方案在工业信息安全领域,以集团管控为核心,通过办公自动化、财务一体化、内控风险管控等管理信息系统为主要建设对象,提高办公效率、实现全集团有效监控。
公司对两化融合工作进行系统、全面的整体规划,按照“统一规划、分布实施”的总体实施策略,制定了分阶段的两化融合可实施路线。
通过合理规划和有序实施,构建出行业领先的工程机械全产业链信息化业务管理平台,实现了技术融合、产品融合、业务融合与资源融合,取得了在产品全生命周期集成应用、业务模式创新等方面的系列成果。
一、项目概况1.项目背景由于工业控制系统(以下简称工控系统)上位机操作系统老旧且长期运行未升级,存在很多的安全隐患,病毒问题一直是威胁工控系统主机安全的一个棘手问题,从震网病毒到2017 年末的工业破坏者,这些如幽灵般游荡在工控系统网络中的杀手总是伺机而动,一旦得手就会带来巨大的危害。
2.项目简介制造产线遭受病毒侵袭,生产制造产线几台上位机莫名出现频繁蓝屏死机现象,并迅速蔓延至整个生产园区内大部分上位机,产线被迫停止生产。
企业日产值超千万,停产直接损失严重,信息安全部门采取了若干紧急处理措施,防止病毒扩散的同事,尽快解决问题恢复生产,同时寻求安全厂商共同制定长期有效的安全解决方案。
3.项目目标解决生产厂区感染WannaCry 病毒带来的蓝屏重启问题,提升上位机的主动防御能力,实现上位机从启动、加载到持续运行过程的全生命周期安全保障。
二、项目实施概况1.安全问题研判工业现场的上位机大多老旧,服役10 年以上仍在运行的主机也很常见,而工业现场的相对封闭性,使得补丁升级、病毒处理变成一件很复杂的事情。
工业生产的稳定性往往会面临上位机脆弱性的挑战,一旦感染病毒就会造成巨大影响。
企业生产网络与办公网络连通,未部署安全防护措施进行隔离;生产制造产线上位机运行异常,重复重启或蓝屏,初步断定为病毒入侵。
由于上位机操作系统都是老旧的Windows XP,感染病毒之后频繁蓝屏重启,无法在问题终端采样进行病毒分析。
在生产网络核心交换机位置旁路部署工业安全检查评估系统对生产网络数据流量进行检测,基于安全大数据能力生成多维度海量恶意威胁情报数据库,对工业控制网络进行自动化数据采集与关联分析,识别网络中存在的各种安全威胁。
借助工业安全检查评估系统的强大检测分析能力,安服人员很快判定该上位机感染了“永恒之蓝”蠕虫病毒(也称为WannaCry)。
比亚迪生产环境有如下复杂的特性:(1)场景复杂性比亚迪有IT、汽车、新能源和轨道交通四大产业,每个产业群都有多个生产工厂、车间,如:电池、电子、手机、PAD、笔记本电脑、汽车电子、汽车零配件、发动机、动力电池、储能设备、云轨、云巴、轨道通信等多达上百个大大小小的车间。
(2)应用复杂性公司生产应用系统、软件复杂多样,MES、PLC、DCS 等等,不同的产业群、产品车间,都有不同的产品测试、检测、调校、数据采集、分析等各类生产应用。
(3)网络复杂性管理层面已规划办公网络、生产网络、无线网络、有线网络、独立局域网络,但很多生产网络环境并没有严格隔离,网络情况复杂。
(4)适配复杂性各种IT、汽车、储能、轨道交通车间的检测机、测试板卡、数据采集卡、烧录器、U 盘、SD 卡、扫描器等外设设备的适配。
(5)实施复杂性集团产业多样、工业园分布全球各地,生产车间业务繁忙,给予的时间、人员协调有限,必须要准备充分,根据不同生产线准备对应的应急响应措施。
在信息安全技术方面存在的问题主要表现在以下几个方面:(1)系统网络未进行严格的安全划分,区域间未设置严格的访问控制措施;(2)缺少信息安全风险监控技术,不能及时发现信息安全问题,出现问题后靠人员经验排除;(3)操作系统安全配置薄弱,防病毒软件安装不全面;(4)工程师缺少身份认证和接入控制,且权限很大;(5)存在使用移动存储介质不规范问题,易引入病毒及黑客攻击程序;(6)第三方运维生产系统无审计措施,不能追根溯源;(7)生产上线前未进行信息安全测试,存在安全风险漏洞;在信息安全管理方面存在的问题主要表现在以下几个方面:(1)组织结构人员职责不完善,工控安全人员缺乏;(2)生产信息安全管理制度和流程不够完善;(3)应急响应机制不健全,需进一步提供安全事件应对能力;(4)人员信息安全培训不足,人员安全意识有待提高;(5)尚需完善第三方人员管理体制。
2.对策与措施安服人员发现上位机感染WannaCry 病毒之后,为了避免上位机中数据被加密带来进一步的危害,紧急在生产网络中部署一台伪装病毒服务器,域名设定为病毒网站,并通过策略设置将生产网上位机DNS 指向此伪装服务器,阻止了WannaCry 病毒的后续影响。
企业生产园区占地范围很大,感染病毒的上位机几乎遍布各个园区,单纯依靠人力难以逐一定位问题终端。
工业安全检查评估工具在此过程中发挥了巨大作用,不仅给出了感染病毒的准确研判,而且详细统计出所有问题终端的IP 地址和MAC 地址,结合企业提供的资产清单,安服人员和厂方技术人员很快确定了绝大部分问题终端的具体位置。
完成定位之后,安服人员第一时间关闭了网络和终端的445 端口,避免病毒进一步扩散。
经过现场细致排查沟通,确定以下信息:(1)上位机硬件配置资源有限,无法安装杀毒软件;(2)专用的生产软件对操作系统版本有严格限制,无法对操作系统进行打补丁操作;(3)重装系统会导致专用软件授权失效,带来经济损失。
结合上述信息,安服人员只能对问题终端采取杀毒处理。
为了避免杀毒过程中对上位机系统和数据造成影响,安服人员首先备份了问题终端系统及数据,然后用WannaCry 病毒专杀工具进行杀毒处理,清除感染的病毒。
3.具体应用场景和解决方案为了避免处理完成的上位机再次感染病毒,安服人员在上位机上部署安装了工业主机安全防护软件,该软件基于轻量级“应用程序白名单”技术,能够智能学习并自动生成工业主机操作系统及专用工业软件正常行为模式的“白名单”防护基线,放行正常的操作系统进程及专用工业软件,主动阻断未知程序、木马病毒、恶意软件、攻击脚本等运行,为工业主机创建干净安全的运行环境。
同时,针对可联网的上位机,通过部署网络版的工业主机安全防护软件进行分组管理、策略制定下发、终端软硬件资产管理、安全日志收集告警等,从而实现统一管理、配置和安全风险管控。
4.其他亮点图 1 工业主机安全防护部署架构图(1)工业专用的主机防护软件:a.针对比亚迪工业主机复杂性特点,工业主机防护系统须进行老旧操作系统(如winXP)的兼容、比亚迪工业软件C15/MES 系统、专用的电池软件等几十种工业软件的适配支持以及各类工业主机硬件的支持。
b.比亚迪生产线上工控系统不允许在运行期间进行升级,白名单技术无需进行病毒库升级,能够智能学习并自动生成工业主机操作系统及专用工业软件正常行为模式的“白名单”防护基线,并且白名单支持三种工作模式,告警、防护、关闭一键切换。
(2)工业主机“永恒之蓝”防御:a.针对比亚迪的“永恒之蓝”勒索病毒,白名单在防护模式下会放行正常的操作系统进程及专用工业软件,主动阻断未知程序、木马病毒、恶意软件、攻击脚本等运行,同时结合漏洞防御进行永恒之蓝的超前防御,可以形成关卡一样层层拦截模式。
b.针对比亚迪生产线上通过U 盘进行文件拷贝容易造成病毒传播的情况,工业主机安全防护可针对主机插入的USB 移动存储进行权限管控,通过针对USB 移动存储的硬件ID 进行识别和匹配,对所允许的外设进行权限管控(读和读写),对不允许的外设进行禁用。
从而,避免工业主机通过USB 移动存储进行病毒传播和非法外设进行文件读取。
(3)工业资产全面可见a.针对比亚迪生产线中工业主机资产难以梳理,并依靠手工登记汇总的情况,工业主机防护具有强大的终端发现功能,通过定义网络IP 段分组,对指定的网络分组进行周期性地发现与统计网络中的终端数量及类型。
从而了解生产线上工业主机数量和工业主机安全防护系统终端的安装量,为比亚迪进行工业主机管理和安全运维提供有效的参考。
b.比亚迪生产线中,当存在大量工业主机、设备时,尤其出现安全风险或问题时,需要一台一台主机和设备进行安全排查,工业主机防护具有软件化的控制中心,可以针对主机上客户端进行集中管理和安全风险分析,基于用户组织架构进行安全风险管理并可以进行终端功能进行单点维护和定制化。
三、下一步实施计划1.进行全面的资产排查,检查产线中是否还存在遗漏的未进行安全防护的工业主机。
2.做好此次事件的总结,制定好工控应急响应计划和定期演练,避免再次出现病毒大规模扩散传播,及造成产线停产带来的严重经济损失。
3.针对新购置和上线的机器进行安全防护措施,如上线前安装工业主机安全防护软件并进行白名单设置和U 盘管控。
四、项目创新点和应用价值1.项目先进性及创新点工业安全检查评估工具和工业主机防护软件是解决工业主机脆弱性问题的一剂良药。
工业主机安全防护软件基于轻量级“应用程序白名单”技术,以及基于ID 的U 盘管控技术,高稳定、低开销、无需升级库文件、网络版资产管理及安全风险管理等特点,真正贴合了工业企业的实际需求,操作简单的特点也符合生产技术人员的操作习惯。
该方案能够适用于大部分工业控制系统,是一套成熟可靠的安全解决方案。
2.实施效果针对比亚迪“永恒之蓝”的安全问题,通过在全国各地园区生产线上共计部署17000 多点工业主机安全防护软件,自部署以来运行稳定。
通过工业主机安全防护软件,能够自动生成工业主机操作系统及专用工业软件正常行为模式的“白名单”防护基线,以及针对单个U 盘的管控,为比亚迪工业主机创建安全的运行环境,让比亚迪信息基础设施运行的更安全、更可靠。
在比亚迪所有园区生产线中工业主机均部署了工业主机防护软件:(1)对生产线中裸奔的工业主机实现了安全防护,防止恶意程序攻击,保障生产稳定运行;(2)对生产线中工业主机进行了全面梳理,有利于实现资产统计和分析;(3)对生产线中的可联网工业主机进行全面风险监控和集中管理,能够在第一时间发现工业主机安全风险;(4)积攒了生产线中工业主机软件安装和生产之间的协调经验,有利于后续产线工业软件安装和处置。
3.实施价值(1)整体化的安全方案从设备安全来看,从技术层面出发,全网终端形成了统一的防病毒体系,有效抵御病毒及木马的入侵,并结合终端管理软件对终端进行集中管理,安全策略集中部署、补丁下发控制、资产收集统计、终端行为控制与审计、流氓软件识别、安全控制等方面进行了整体部署。
从管理角度出发,工控态势感知、漏洞检测、安全审计和监测、功能的引入将实现对全网工控行为、漏洞、状态、安全趋势的完全管理。
从运维安全角度来看,规范本行操作人员和第三方代维厂商的操作行为。
