工业互联网安全能力指南(安全服务)

攻防
28天前

  工业互联网的安全产品能力固然重要,但是当前来看,自动化能力还远远不足以支撑整体的工业互联网安全建设。因此,工业互联网的安全依然需要人员进行维护。然而,工业企业同样是安全人员匮乏的重灾区——尤其是能精确平衡安全与工业生产的网络安全人员。在这样的情况下,工业互联网安全厂商就需要通过安全服务的形式,输出安全能力。

  最基础的安全服务包括了渗透测试、安全加固、安全运营等工控攻防类服务,以及对安全实践的基础咨询类服务。但是,如今工业互联网中的安全服务,已经不再是局限于安全攻防、合规评估、安全技术落地解决方案设计这些领域,还有系统化的培训、攻防演练、安全研究这些新的安全服务类型出现。

  随着安全服务的类型的多样化,对安全人才的要求反而进一步提升。因为只有能全方位理解工业互联网中的安全需求,以及安全价值,才能实现符合客户场景的安全服务。这不仅需要安全厂商有足够的底蕴以及安全积累,也需要其安全专家对工业互联网认知有足够的广度以及深度。

  工业互联网安全服务是一个持续贯彻的过程,需要从工业互联网安全建设之初就开始考虑:在购买防护类以及检测/审计类产品确保自身生产安全之前,需要通过咨询考虑合规性,以及实际面临的风险,具体需要部署的防护能力;当开始启用安全管理平台进行统一管理的时候,需要通过安全专家进行安全态势的分析;在工业靶场落地后,也会需要安全研究服务等进一步分析自身环境的安全问题。同时,安全评估、渗透测试、安全教育、安全意识培训等都需要持续进行。

关键发现

  • 随着工业互联网安全需求的增多,安全服务也需要有新的形态与之配合,除了工控攻防服务之外,安全教育、攻防演练、安全研究的需求也将增多。另一方面,安全评估与咨询也将不止于合规咨询,而是从工业企业整体安全出发,基于真正面临的风险。

  • 在工业互联网安全服务的评估当中,安全厂商的专家能力固然最为重要,但是安全厂商的相关安全产品能力,以及对工业互联网安全领域的经验积累都不可忽视。

  • 由于2020年至今的疫情影响,工业互联网安全服务因驻场不便的因素,导致收入增长放缓。但是,数世咨询认为,随着防疫常态化、疫情控制规范化,工业互联网安全服务的收入增长速率会有所恢复。

  • 受各行业、各区域监管型工业互联网安全管理平台的建设影响,监管机构用户群体在整体工业互联网安全服务收入中占比最高,主要需求为工业互联网安全管理平台建设规划与咨询,以及工业互联网安全管理平台运营。

工业互联网安全服务能力点阵图

工业互联网安全服务01.png

  本次参与工业互联网安全服务能力点阵图的厂商共有19家,分别为:安帝科技、安恒信息、博智安全、长扬科技、烽台科技、恒安嘉新、惠而特、立思辰安科、六方云、绿盟科技、木链科技、齐安科技、启明星辰、圣博润、天地和兴、天融信、威努特、英赛克。

工业互联网安全服务主要能力形态

  在调研过程中发现,工业互联网安全服务能力的形态种类很多。但是,最终数世咨询将工业互联网安全服务能力的形态,抽象为五种类型。

1、工控攻防

  工控攻防指在工控系统场景下的安全攻防服务,包括渗透测试、安全运营、攻防演练技术支持、主机加固、安全检测、安全态势分析等。其核心在于针对已有的工控环境,从实际技术操作层面,进行攻防相关的服务内容。

  工控攻防的服务属于比较传统和基础的工业互联网安全服务内容,也是大部分专注于工业互联网安全的厂商能够提供的服务。工控攻防服务能够最直接地为工业企业带来安全价值:渗透测试、安全检测等服务能从技术层面发现环境中的隐患;主机加固能够通过服务提升环境自身的防护能力;安全运营和演练支援能够直接弥补工业企业在实际安全攻防中的人才短缺。

  工控攻防服务可以很大程度上帮助工业企业解决人才缺口的问题,同时有能帮助工业企业节省一定的人员成本。因此,工控攻防虽然属于传统的工业互联网安全服务,但是依然会在长期时间有稳定的需求。

2、安全评估与咨询

  近年来,由于等保2.0的出现,网络安全已经是工业企业必须面临的课题。但是,绝大部分工业相关企业都缺乏足够的网络安全经验与网络安全积累。因此,需要借助外部的力量,根据自身的具体情况,来评估自己的如何满足合规要求。

  安全合规咨询只是整体安全咨询中的一部分,却是近年来促进整体安全咨询业务发展的重要因素。除了合规咨询之外,安全咨询还包括了对企业整体安全规划的建设。在工业互联网场景中,安全咨询包括了对整体工业互联网安全体系的架构建设、在工业互联网安全环境中各类安全能力的部署建设、人员制度的安全建设等。

  安全咨询的最终价值,在于实现从一个整体的角度,自上而下,从架构到落地,进行统一的协调和管理。合规要求只是实现企业整体安全规划的底线,但是在实际企业运营过程中,依然有许多具体的风险需要去解决。工业相关企业需要从企业整体对自身的安全性进行评估,发现自身环境中,无论是技术环境或工作环境——存在的工业互联网安全隐患,基于安全评估结果 ,进行整体安全发展的规划。

  在企业整体工业互联网安全规划过程中,需要结合自身的业务发展需求,整合出符合自身企业发展的工业互联网安全发展规划,先从整体上确定安全的投入方向。再从具体的产品选择、部署架构、人员制度等多个方面,具体细化深入,完成企业整体的工业互联网安全规划方案。

  如果说合规咨询是安全咨询的关键驱动力以及必要因素,那么对企业整体的安全咨询是企业在自身安全投入逐渐增加后的必然结果。因此,随着工业相关企业对工业互联网安全越来越重视,对于企业整体的安全评估与咨询服务,需求也会越来越多。

3、安全教育

  安全服务的核心是人才,而人才是需要培养的。安全教育是安全服务不可或缺的一环。

  安全教育从服务对象来看,可以分为两种类型:院校与企业。

  从院校角度来看,高等院校与职业技术学院需要有工业互联网安全相关的课程,以及技术实操培训。通过院校的培养,可以有大量初级的工业互联网安全人才进入行业,做到最基础的安全运维能力。

  而从企业层面,企业需要自己的安全人员不断提升能力:提升攻防技巧可以更游刃有余地处理自身环境里的安全问题;提升安全管理思维能够更妥善地平衡业务与安全的矛盾;提升安全视野能够紧跟安全行业发展,为今后企业工业互联网安全的整体发展提供有力支持。

  安全教育同样是一个需要持续的服务:威胁在增加,需求在改变,技术在演进。安全教育的内容需要顺应当下的业务需求与技术要点进行改变,才有机会培养出真正适合工业互联网场景下需要的安全人才。

4、攻防演练

  攻防演练会是一个逐渐兴起的安全服务领域。除了国家性的大型演练,各地地方政府也逐渐开始组织区域性的中小规模攻防演练,发现各个企业存在的网络安全隐患,提升企业自身的网络安全能力。

  尽管现在来看,大部分企业都不具备自身与其他厂商、组织进行攻防演练的余力。但是,从未来来看,企业自发地进行攻防演练,会更有效地促进企业攻防能力的提升,在企业网络安全能力具备一定实力的时候,这种需求会逐渐增大。

  以工业互联网安全中的攻防演练服务来看,工业互联网安全服务的供应商能够提供的价值有协助组织演练活动、对接演练参与方、提供演练环境、演练后协助分析研讨等。

5、安全研究

  许多安全厂商都有自身的安全攻防实验室、安全研究团队。一般情况下,安全攻防实验室和安全研究团队都主要是基于安全厂商自身安全研发的需求,以及对现有系统提前发现漏洞并提前准备解决方案。

  安全研究服务则是将这一能力对外输出,不再是只给安全厂商自己使用。安全厂商可以和监管机构、工控设备制造商、研究机构等合作,基于其他机构的需求,协同对相关的系统、设备进行研究、验证,发现其中潜在的威胁以及漏洞。

  相比于安全厂商自身的安全研究,安全研究服务对安全厂商而言也是一个提升自身企业安全底蕴的机会。相关合作方会需要安全厂商的安全研究能力,发现目标系统、设备的安全隐患,而在合作过程中,提供安全研究服务的厂商也有机会更进一步了解研究目标,对于双方的合作,最终能够实现双赢。

  安全研究服务为相关组织与机构提供了另一种接受安全厂商安全能力的途径。尤其在工业互联网领域,许多工控设备因为其特有的协议、运行机制等因素,需要更多专注的安全研究人对其安全性进行分析。另一方面,我国国产化,尤其是工业领域的国产化的安全性,也需要安全企业参与,确保设备、系统的底层安全。

工业互联网安全服务落地要点

  安全厂商的工业互联网安全服务的能力可以从“人、技、企”三个维度来评估。

1、以人为本

  安全服务的本质依然是人。因此,在工业互联网安全服务领域中,企业的工业互联网安全人才能力十分关键,尤其是在工控攻防、安全评估与咨询、以及安全研究三个方面。

  工控场景有着对业务高敏感性的特点,需要业务与生产的高可持续性。但是同时,工控场景往往系统环境复杂,这对工控攻防人员,尤其在实际生产环境中进行工控攻防操作的人员,带来了不小的挑战。工控攻防人员需要有相当丰富的经验,对系统的风险与安全问题进行精准的判断;除此以外,还要有能力采取适合的措施——如何阻断请求、如何终止进程,甚至是否需要下线哪些设备,都是不仅仅需要单纯的理论知识和操作技能,更要求相关服务人员有足够的工控领域的攻防积累,才能实现在对业务与生产最小影响的情况下,解决威胁。

  同理,在安全研究方面,安全研究人员需要对工控设备、系统有大量的积累和经验,才能更为全面地发现设备、系统中潜藏的隐患。

  而在安全评估与咨询方面,要求安全专家不仅有对工业互联网安全的理解,同时要能够协助工业相关企业,贴合企业的业务需求、规划,结合工业互联网安全的合规、技术、实践,才能规划出最贴合客户需求的工业互联网安全解决方案。这不仅需要安全专家有足够的工业互联网安全理解深度,还需要从业务层面对工业企业、工业生产有理解的广度。

2、技术为辅

  除了人才之外,企业自身能提供的安全相关产品也是工业互联网安全服务能力的一个重要体现。不同的工业互联网安全服务,都会有不同的相关安全产品,能够提升安全人员的服务能力。

  在工控攻防服务中,许多安全服务人员都会使用其所属的安全厂商自己研发的工业互联网安全工具箱。该产品尽管也会作为安全检测/审计相关的产品进行销售,但是总体市场体量目前来看很小。但是,如果作为工控安全检查的配套产品,配合安全厂商自身专业的安全服务人员,就能更全面地发挥安全服务人员的能力,提升工控攻防服务的效果。

  在安全教育、攻防演练、安全研究方面,往往需要用到虚拟仿真环境——即工业靶场。如果相关安全厂商有完善的工业靶场产品,就能够实现更为贴近现实的工业互联网仿真环境,使技术实践、攻防演练更为真实。尤其在安全研究领域,一般很难在完全真实的环境下测试、分析相关的工业设备、系统,那就对虚拟仿真环境的有极高的要求。只有在高仿真的工业靶场的加持下,安全研究才能真正实现其安全服务的价值。

  在安全服务人员的能力之上,安全厂商自身的相关安全技术能力能够真正发挥出安全服务人员的技术,同时也能够拓宽安全厂商的服务范围,满足更多工业企业的安全服务需求。

3、企业积累

  工业互联网安全服务的另一个关键点在于企业自身的工业互联网安全积累。

  在大量的案例实践下,工业互联网安全厂商能够对工业互联网安全建立起自身的知识库,包括攻防技术、漏洞库、工控设备与系统的信息等。这些积累,不只是企业中安全专家的经验与知识的集合,而是将企业落地的案例中的关键价值、重要思路进行提炼,作为企业自身的安全知识建设,从而可持续地对外输出安全服务能力。

  对于安全厂商而言,深厚的行业经验,不仅能够更快洞悉客户的安全需求,为客户提供精准的解决方案,同时对安全厂商自身的可持续发展也有帮助。如果安全厂商能够提炼自己的安全积累,就能制定出一套完整的人员培训体系,帮助企业的安全服务人员快速成长,将安全能力给有效地传递给客户,同时避免大量的误区。

  这一点对于工业互联网安全尤为重要。对于工业互联网的高业务可持续性而言,如何快速辨别安全行为对业务的影响就非常关键——这原本就需要安全专家的能力。但是,如果安全厂商能够将安全专家的能力沉淀,作为企业的积累,就能帮助之后的安全专家更快速地成长。另一方面,工业互联网的环境非常复杂,不同行业使用的设备、系统都不尽相同,面临的安全威胁也各有不同。只有安全厂商能够对客户所处的业务环境、所使用的的设备与系统有足够深的认知,才能为客户提供最佳的安全解决方案。

  企业在工业互联网安全上的积累,能够为工业互联网安全服务提供额外的经验支持,基于以往的最佳实践,提供可靠切合的安全服务。

工业互联网安全服务市场情况

1、能力收入

  根据本次调研的方向,2019年我国工控防护能力收入总体约为2.61亿元,2020年总体收入约为3.88亿元,预计2021年收入为6.18亿元,2022年有望达到9.28亿元。工业互联网安全服务由于需要进行现场沟通、实施,尤其在当下工控攻防为主要市场方向的情况下,受到2020年疫情影响,增幅缓慢。但是,随着防疫常态化、疫情管控规范化,工业互联网安全服务能力的收入增幅也会逐渐提升。

工业互联网安全服务02.png

2、交付模式

  工业互联网安全服务能力当前以定制化交付为主,占58%。单一标准化的服务交付占26%,作为功能交付及其他模式占16%。工业互联网安全服务由于需要根据工业相关企业的行业、面临风险、企业IT能力与OT能力的差异、企业安全能力的水平高低,进行针对性的服务,因此对定制化的要求很高。但是,在某些场景下,标准化的渗透测试、安全检查等依然会有需求出现。

工业互联网安全服务03.png

3、销售方式

  从销售方式来看,工业互联网安全服务能力以直接输出自身企业能力为主,占65%。通过渠道,或者协助其他相关厂商合作的案例也会存在,共占35%。

工业互联网安全服务04.png

4、落地行业

  当前来看,工控防护能力的主要落地用户为监管机构,占26%。近年来,监管机构都逐步开始建设行业类、区域级的监管型工业互联网安全管理平台(态势感知平台),在建设初期需要通过咨询的服务形式构建适应自身需求的工业互联网安全管理平台架构;另一方面,对于一部分已经投入使用的监管型工业互联网安全管理平台,监管机构也需要通过安全运营服务的协助将其效果最大化。其余超过10%的行业还有包括教育、烟草等行业的其他分类总和,以及电力、石油石化、燃气/热力/供水/电网。

工业互联网安全服务05.png

案例四:某钢铁企业工业网络安全保障体系建设案例(本案例由烽台科技提供)

背景介绍

  钢铁行业具有高耗能、高排放、高危险、工艺复杂等特点,安全问题、环保问题已逐渐成为制约行业发展的重要因素。随着两化融合的不断推进,信息化的建设也逐步渗透到钢铁行业的各个生产环节里,工业互联网、大数据、人工智能等新技术手段,为钢铁行业提供了新型的能源管控、安全管控解决方案,提升行业内企业整体精细化管控水平的同时,也让钢铁行业面临了更多来自互联网的威胁。

需求分析

  当前钢铁行业企业信息安全相关需求包括两类,一类是客观需求,另一类是主观需求。客观需求主要来自国家/行业/地区对于企业的监管要求,即企业的合规性需求,要求企业安全建设方案能够达到相关法律/标准/规范所对应内容;主观需求来自于企业内部,伴随着工业互联网、物联网技术发展及智能制造能力水平提升,多数企业逐步建设完成能源管理系统(EMS)、生产制造执行系统(MES)、环保监控、智慧工厂等工业相关信息化系统。日常生产运营过程中,工业控制系统、工业控制相关信息化安全稳定运行正在起到越来越关键的作用。当前国际、国内工业网络安全形式的严峻、安全事件的多发对钢铁企业的正常生产运营造成威胁,钢铁企业需要通过工业网络安全保障体系建设解决上述两大方面的问题。

解决方案

  本方案基于某钢铁企业现有内外部安全现状、控制系统管理组织结构、业务结构(关键业务、非关键业务)、网络结构、管理制度、安全人员岗位情况等,由我公司安全服务人员以安全咨询服务的形式,按照相关标准规范要求,并依托《工控安全保障体系建设框架》为用户梳理工业网络安全保障体系内容,帮助用户从技术、管理、制度、人员等方面实现安全体系化、全生命周期化建设,保障钢铁企业工控系统的安全稳定运行。

  通过对钢铁集团及下属炼铁厂、炼钢厂、烧结厂等进行现场核查与评估,发现工业控制系统整体安全建设有待完善,当前安全现状与工信部《工业控制系统信息安全防护指南》和公安部《信息安全技术网络安全等级保护基本要求》所提出的各项安全要求的合规中,存在技术、管理方面的诸多差距,特提具体建设思路,对钢铁集团进行整体安全整改。

  通过分步建设摸清集团内整体工控安全现状,逐步完善工控系统各项安全技术、管理措施,确保系统能够达到国家对工控系统所提出的安全要求,建成覆盖安全技术、安全管理、安全人员全面保障能力的工业网络安全保障体系,确保工业控制系统安全稳定运行。建设方案基于从工控安全策略制定、评估分析、方案设计、工程实施、运行管理、应急响应到安全教育七个阶段的全生命周期保障思路,包含技术、人员、管理三个维度安全能力建设。

(1)策略制定阶段

  工业网络安全策略是组织实现工业网络安全技术和管理措施的前提,能够为整个组织工业网络安全工作提供指导,为具体的工业网络安全建设内容提供纲领性规划。

  工业企业决策、管理、规划设计人员站在组织整体的角度,从策略、组织、管理、技术、资源等多方面进行综合考虑,由组织管理者、规划设计者按照组织业务特点,结合组织发展需要和国家标准、监管机构要求等确定工业网络安全目标和工业网络安全策略。

  策略制定阶段具体工作包括企业外部工业网络安全因素分析、企业内部工业网络安全因素分析、制定工业网络安全策略目标、形成安全方针策略文件发布、安全策略专家评审、策略实施与执行、策略维护与改进。目标形成几十项制度或方案,如:

  •《保障体系建设项目工作计划》

  •《集团及各分厂风险评估报告》

  •《工控设备管理运维工作规范》

  •《脆弱性管理运维工作规范》

  •《工控安全应急响应预案》

  •《工业互联网企业级集中化监测平台需求调研与分析报告》

(2)评估分析阶段

  评估分析阶段主要是依据现有的合规规范,如《等保》《关保》《防护指南》《信息安全技术 工业控制系统风险评估实施指南》等相关标准,对钢铁集团进行工业控制系统信息安全风险评估与合规性差距评估,包括:合规性差距评估、资产评估、威胁评估、脆弱性评估、保障能力评估、渗透测试、配置核查、风险分析等多个方面,评估范围覆盖集团钢铁生产的全工艺流程,包括采矿、烧结、炼铁、炼钢、轧钢、动力各主要工艺环节。评估阶段发现各厂在安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全运维管理、安全通信网络、安全建设管理等方面存在不同情况的问题与风险。评估中共发现信息安全风险413个,其中极高风险0个,高风险72个,中风险139个,低风险197个,极低风险5个;经分析,确定PLC类的71个风险中,69个为高风险,2个为低风险;确定InTouch软件为高风险,Wincc、STEP7、Workbench和Vijeo Citect软件为中风险,RSLinx软件为低风险;确定计算机类的323个风险中,3个为高风险,139个为中风险,176个为低风险。

(3)方案设计阶段

  通过对钢铁集团合规性评估和全面风险评估的成果进行分析,规划集团工业安全保障体系。保障体系将安全生产作为核心安全目标,一切技术、管理安全措施应优先保证安全生产这一核心安全任务;在此基础上,方案设计主要包括分析各生产业务场景的重要程度、消除当前不可接受风险、符合多部门安全监管要求和形成长期可持续的安全保障能力四大目标。

  方案设计过程中,综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对被评估方的影响。风险值与资产、威胁、脆弱性、保障能力关系如下所示:

工业互联网安全服务06.jpg

  资产风险值分析过程

工业互联网安全服务07.jpg

  • 对资产进行识别,并对资产的价值进行赋值;

  • 对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;

  • 对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;

  • 根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性;

  • 根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失。

  根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。

(4)工程实施阶段

  钢铁集团工业安全保障体系建设主要包含安全技术能力提升方案、安全管理能力提升方案和安全人员能力提升方案组成。

  工程实施由安全监测体系、安全防护体系、仿真验证体系三大体系构成。总体技术框架如下图:

工业互联网安全服务08.jpg

  安全监测体系作为企业安全运营的核心,围绕企业级集中化安全监测平台、安全通报与共享平台进行构建。

  安全防护体系作为企业安全运营的防护能力主要支撑,包括网络隔离、主机防护、数据保护、边界防护、配置核查、入侵检测、安全审计等基础安全能力,形成符合企业实际需求的工业企业安全纵深防御解决方案。

  仿真验证体系作为企业安全运营的仿真验证能力支撑,提供烧结、炼铁、炼钢等典型工控系统仿真的基础测试仿真环境,可用于安全配置测试、设备漏洞测试、安全设备测试等安全相关验证测试,并提供场景化应急演练及安全培训能力。

  安全监测体系、安全防护体系、仿真验证体系共同组成工业企业网络安全综合防护平台能够为钢铁工业企业内工控系统安全事件的监测、通报、验证、防御、取证、处置、应急等综合能力,实现工业企业网络安全综合防护。

(5)运行管理阶段

  结合钢铁企业自身情况,安全运营中心建设过程中将逐渐形成围绕钢铁企业安全发展需要的典型应用,包括工业企业的信息融合处置中心、安全监测中心、方案验证中心、产品测试中心、应急演练中心、人才培养中心等。

工业互联网安全服务09.jpg

  根据企业规模、信息化/自动化水平的差异,支撑工业网络安全运营工作的相关人员可根据工业网络安全建设阶段的不同逐步构建建制齐备的专业化工业网络安全运营团队。

工业互联网安全服务10.jpg

(6)应急响应阶段

  应急响应是企业工业网络安全防护水平的重要保障,企业应通过制定严密的工控安全应急响应预案保障工控系统在遭受攻击、系统异常等情况时能够快速响应并有效处理问题。应急响应工作是体系化工作,由事件分类与定级、制定应急响应预案、建立应急响应组织、组织应急演练等内容组成。

  事件分类与分级:根据工业企业实际情况对工业企业可能出现的工业网络安全事件进行分类和分级,后续对不同事件的应急响应依据出现事件的类别和级别采取对应的响应措施。

  制定应急响应预案:应急响应预案中包括应急组织与职责、检测与预警、应急处置流程、应急保障措施等内容,企业应定期对系统相关的人员进行应急预案培训和应急预案的演练。

  建立应急响应组织:可组建包含内部应急响应团队加外部专家团队的应急响应组织。应急响应组织可包含应急响应领导小组、应急响应技术保障小组、应急响应专家小组、应急响应实施小组和应急响应日常运行小组等。

  组织应急演练:通过组织应急演练,可以有效检验制约组织网络安全事件应急能力的不利因素,并为消除或减小这些不利因素提供有价值的参考信息。应急响应工作中应定期组织应急演练,明确应急演练目的,合理做好应急响应规划,制定详细应急演练工作方案,编织具体应急响应演练脚本,确定应急演练流程,最终对应急演练成果进行评估,做好各种应急演练的保障措施。

(7)安全教育阶段

  人员是工业网络安全保障工作中的主要组成部分,随着工业网络安全攻防技术的发展,持续提升工业网络安全保障工作参与人员所需能力是保证安全技术、管理措施有效发挥应有价值的重要工作。该阶段工作主要解决工业网络安全保障工作中人员的相关问题,对参与工控系统日常使用、管理的各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施。针对不同岗位制定不同的培训计划,对信息安全基础知识、岗位操作规程等进行培训,并形成完整的考核机制,定期对不同岗位的人员进行技能考核。

  安全意识教育:通过工业网络安全意识的培养,员工能够了解到工业企业生产网络面临的信息安全风险,理解个人信息安全意识在整体组织的信息安全保障体系中的重要性,学会如何养成良好的信息安全习惯、具备正确的信息安全意识,使个人能够依靠自身良好的信息安全意识与素养支持所在单位的信息安全保障体系建设、理解和遵守企业的信息安全管理制度、维护工业企业的信息安全和商业秘密,以保障工业生产相关系统、网络、设备的安全可靠与稳定运行。 

  岗位技能教育:为匹配工业企业信息安全保障体系的落地实施,需要对主要信息安全专业岗位进行技能培训,以满足工业网络安全保障体系实施的技能需求。主要针对规划设计人员、运行维护人员、应急响应人员的专业技能进行培训,以保证安全体系的全生命周期所需要的能力有对应岗位的人员技能支撑。岗位技能主要培养:工业企业策略制修订能力、安全测试评估能力、安全规划设计能力、工程实施能力、运行维护能力、应急响应处置能力及安全自培训能力。

客户价值

1、实现生产安全与信息安全紧耦合

  工控安全运营中心充分对接工控安全基础设施与当前生产相关信息化系统,进行信息安全与生产安全的信息融合、关联影响分析,以业务的角度实现生产安全与信息安全的紧耦合。

2、立体化安全防护能力

  工控安全运营中心同时包含安全运营人员、运营管理制度、运营基础设施,覆盖工控安全人员、管理、技术多维度防护能力。

3、闭环化风险管理能力

  工控安全运营中心除实现常见的安全监测、防护外,还提供工控安全风险处置所必需的验证环境,实现风险发现、验证、处置、恢复的闭环化风险管理。

4、融合多项工控安全职能

  工控安全运营中心同时作为工业企业的信息融合中心、安全监测中心、应急演练中心、人才培养中心、方案验证中心、产品测试中心,持续输出综合工控安全保障能力。

5、注重安全能力交付

  不迷信于安全盒子堆砌,以安全能力建设为核心,注重工控安全运营各阶段所必需的安全能力交付。

6、乐高化安全运营

  对于中小规模/大型/特大型工业企业,新建/存量工控系统,都可以弹性选择安全运营中心建设内容,灵活适配符合企业现状的工控安全运营,避免过度投入。

客户反馈

  基于烽台科技提供的安全运营中心建设项目,可对本企业料场、烧结、炼铁、炼钢、轧钢、动力等各板块的网络安全提供综合监测、态势感知、测试验证、应急响应等能力,不仅保护了本集团与二级单位网络安全与信息资产安全,全面提升本集团网络安全综合保障能力,同时可以协助培养一批从事钢铁行业网络安全实施、运维及服务的专业技术人才,为行业大范围实施网络安全保障能力提升建设提供人才储备。



参考阅读

工业互联网安全能力指南(防护及检测审计)

工业互联网安全能力指南(概况)

数世观察:《工业互联网安全架构白皮书》出炉