工控安全应急响应常见疑难问题解惑 - 网安 - 专业的网络安全产业、社区、知识平台

“中国制造2025”推进信息化与工业化深度整合，国内各行业企业都在推进生产过程自动化并向智能化转变，生产网络规模逐步扩大，不断进行横向集成、纵向集成与端到端集成；工业控制系统在生产过程中的扮演着重要角色，关系到企业的根本利益。近些年来针对工业网络的勒索病毒、网络攻击等网络安全事件频发，给企业带来的损害越发严重。

在威努特协助客户处理的大量工业控制系统网络安全事件工作中总结发现，工业企业用户普遍在出现工控网络安全事件后，第一时间进行了系统还原，恢复现场生产。这与工控系统对高“可用性”要求一致，但是对工控安全事件溯源与分析总结带来巨大困难。如何能够科学的、体系化的预防、分析、处理工控网络安全事件，建立有效工控网络安全应急体系是摆在企业面前的一个难题。在政策法规层面，国家各职能部门也不断出台相关文件，指导要求企业进行标准化应急保障能力建设。

图一：各监管部门强化应急保障能力的要求

网络安全应急体系建设包括建立网络安全应急预案，完善网络安全应急组织机构，加强网络安全监测和预警，建立网络安全事件处理机制，提高网络安全应急响应能力，加强网络安全培训和演练，加强合作共享与交流，及时发布安全咨询和警示信息等内容。在工控网络中工控系统对CIA三性中“可用性”的要求最高，工控系统的连续稳定运行直接关注了企业的根本。因此为避免出现影响工控系统生产稳定的情况出现，应将应急响应工作重心前移，加强准备（防御）与检测（发现）阶段的工作。

图二：工控系统应急响应技术框架

在与众多企业进行工控系统“网络安全应急响应”体系建设探讨过程中发现普遍存在以下几个方面的问题。

工控系统应急响应如何着手建设

很多企业想进行应急体系建设但又不知道从那里下手，工控安全评估可以很好的解决这个问题，安全评估是一切网络安全保障工作的起点，对网络安全应急响应也不例外，风险识别和处理的过程是应急响应工作准备阶段的前序。“知己知彼，百战不殆”，通过安全评估过程确保应急准备工作有的放矢，而应急响应又是安全评估工作的一种优化反馈输入，可以说两者之间是相互结合、互为补充的关系。

一方面，安全评估过程中的风险识别阶段会针对资产、脆弱性和威胁的识别，发现企业工控网络存在的安全风险，并进行“可落地”的安全规划，这对于应急响应工作有重要的指导意义，且安全评估残余风险的监控和应对也是应急响应工作的重要组成部分;另一方面，安全事件发生后的优化阶段也是对网络安全风险重新评估的指南针，网络安全事件的处置和反馈，是周期性地开展风险研判和安全评估工作的重要输入。

图三：安全评估-找问题、查根源、做规划

工控系统涉及多个职能部门，工控系统应急安全小组应如何建立？

《信息安全技术关键信息基础设施网络安全应急体系框架》公开征求意见稿中提出“运营者设立专门安全管理机构，机构的领导由运营者最高管理层的分管领导担任，成员包括各相关部门负责人、技术支撑人员、咨询专家和对内、对外联络人员等。”因此，工控应急领导小组的最高领导需要组织主要领导担任或授权,有助于推进各项保障措施的落实。

其次工控应急小组一定要根据自身的业务、组织结构等情况构建，独立于业务部门和IT部门，最好能略高于业务部门和IT部门，明确应急专家小组、应急技术保障小组、应急日常运行小组及应急实施小组的组成人员、工作流程和职责并下发通知到应急组织的每一个成员。使管理人员作用充分的发挥，使安全应急的各项工作得到推动，进而使得安全应急的效果趋向于理想化。工业控制系统与企业生产息息相关，更加注重系统的连续性，因此岗位设置方面应急领导小组需要仪表、机动、工艺等相关生产业务部门主管的参与或者支持才能有效的贯彻落实。

图四：应急响应典型组织架构

工控系统网络安全应急响应如何做到发生安全事件后能够快速恢复生产的同时又能为日后的事件追溯总结提供证据支持？

大部分企业在规划工控安全建设的时候往往只关注边界与终端的安全防护，却忽略工控网络安全监测类技术手段实施。通过工控协议流量检测、工控入侵检测、工控安全威胁情报及工业态势感知等技术手段可以实时获取工控设备相关日志与工控网络流量信息并有效记录工控网络安全状况。一旦发生工控网络安全事件后，能够快速及时发现并能够在快速恢复系统的前提下提供事件追溯总结证据支撑。

图五：威努特下一代工控监测审计

总的来说，工控网络安全应急响应就是企业为了应对网络安全事件(威胁)，事前采取的准备，事件发生时采取的反应和事件发生后进行的善后处置的活动总和。企业为了应对工控网络安全事件，事前应该准备什么，需要哪些资源，网络安全事件发生时如何快速发现和定位，应该采取什么样的处置方式，事后如何优化自己的网络安全应急工作，这三方面均有深刻的内涵。

定义正确的总体安全策略，才能真正做好准备；网络安全事件发生时，尽早发现，完善的保护机制，清晰的应急流程，正确的处置方式，均决定了事件发生时的活动有效性；事后完善的总结机制，详细的回溯和判定，改进工作计划和处置方式，形成工控网络安全应急响应闭环的关键工作。