★ 北京神州綠盟科技有限公司

1 項目概況

1.1 項目背景

為深化落實(shí)國家局轉發(fā)的通知中（國煙辦綜〔2016〕257號）進(jìn)一步加強行業(yè)工業(yè)控制系統網(wǎng)絡(luò )安全管理及要求，《國家煙草專(zhuān)賣(mài)局辦公室關(guān)于卷煙工業(yè)企業(yè)信息化建設的指導意見(jiàn)》，以及“工業(yè)互聯(lián)網(wǎng)+安全生產(chǎn)”行動(dòng)計劃，烏魯木齊市煙草局以煙草物流場(chǎng)景為試點(diǎn)，展開(kāi)工業(yè)安全建設工作。首先以分級分域、全面建設、動(dòng)態(tài)調整、綜合防范為原則打造烏魯木齊煙草局工業(yè)安全態(tài)勢感知平臺，并最終建成全場(chǎng)景、可信任、實(shí)戰化的安全保障體系。

1.2 項目目標

本項目選用物流安全場(chǎng)景為試點(diǎn)，通過(guò)本次安全建設，將依據煙草行業(yè)網(wǎng)絡(luò )安全總體策略“分級分域、整體保護、積極預防、動(dòng)態(tài)管理”，建立適合烏魯木齊市煙草局自身的信息安全保障體系模型和框架，并建立烏魯木齊市煙草局信息安全策略體系，明確信息安全各項工作所需遵循的基本原則和方針，為后續煙草行業(yè)工業(yè)安全態(tài)勢感知建設的復制和推廣提供依據。

（1）分級分域：根據信息系統運行安全需求、數據和信息內容安全需求，以及應用范圍，確定信息系統的安全保護等級，劃分信息系統運行環(huán)境的安全域，針對不同安全域制定相應的分項安全策略，實(shí)行等級保護。

（2）整體保護：按照相互關(guān)聯(lián)、相互均衡的原則，在網(wǎng)絡(luò )以及信息系統運行應用的各環(huán)節，全面部署防攻擊、防病毒、防篡改、防癱瘓、防竊密等技術(shù)安全設施，并按照組件化、平臺化、集成化技術(shù)路線(xiàn)進(jìn)行整合，實(shí)現協(xié)同防御。

（3）積極預防：加強對重要信息技術(shù)產(chǎn)品的漏洞和后門(mén)程序檢查，定期開(kāi)展風(fēng)險評估工作；堅持安全保障和運維保障一體化建設與管理，運用信息化監控手段，全面感知安全狀態(tài)，提高安全事件預警化能力，增強應急處置能力。

（4）動(dòng)態(tài)管理：緊密跟蹤行業(yè)信息化發(fā)展變化情況與網(wǎng)絡(luò )安全攻防技術(shù)的發(fā)展狀況，適時(shí)調整、完善和創(chuàng )新安全管理方法，持續提升、改進(jìn)和強化技術(shù)防護手段，保證行業(yè)網(wǎng)絡(luò )安全水平與行業(yè)信息化發(fā)展水平相適應。

2 項目實(shí)施

針對工業(yè)控制網(wǎng)絡(luò )安全現狀，建議通過(guò)工業(yè)控制系統安全風(fēng)險評估和安全產(chǎn)品部署相結合，通過(guò)專(zhuān)業(yè)的工控安全監測產(chǎn)品，使工業(yè)控制系統安全防護能力顯著(zhù)提升，進(jìn)而逐步實(shí)現安全技術(shù)能力、安全管理能力的全面提升，實(shí)現管、控、防一體化。具體功能如下：

2.1 全流量學(xué)習

工業(yè)網(wǎng)絡(luò )中設備眾多，網(wǎng)絡(luò )通信復雜，用戶(hù)很難全面掌握網(wǎng)絡(luò )中所必須的業(yè)務(wù)通信需求，這給安全設備的規則配置帶來(lái)很大的困難。為了方便用戶(hù)進(jìn)行異常行為檢測規則的配置，提高規則配置的準確性，減少規則配置的工作量，工控安全審計系統檢測采用全流量學(xué)習。如圖1所示，該功能采用被動(dòng)檢測的方式從網(wǎng)絡(luò )中采集數據包，并進(jìn)行數據包的解析，智能地與系統內置的協(xié)議特征、設備對象等進(jìn)行匹配，生成可供參考的網(wǎng)絡(luò )交互信息列表，幫助用戶(hù)以最便捷的方式了解和掌握網(wǎng)絡(luò )中的業(yè)務(wù)通信狀態(tài)，發(fā)現網(wǎng)絡(luò )潛在的安全風(fēng)險。

圖1 全流量學(xué)習

2.2 工控協(xié)議深度解析

基于對工控環(huán)境的理解，本項目針對工控環(huán)境使用的規約進(jìn)行了相關(guān)的分析和研究，對協(xié)議的內容進(jìn)行了完全的解碼，可以深入到指令級別的分析，對從上位機控制端到下位機操控指令進(jìn)行了有效的合規性定義。通過(guò)鏡像方式對流量進(jìn)行深入解碼，分析其中的操作是否符合定義的操作要求，如發(fā)現其中有任何的違規操作，及時(shí)進(jìn)行報警，由管理員來(lái)進(jìn)行相關(guān)的處理。

工控協(xié)議深度解析如圖2所示。

圖2 工控協(xié)議深度解析

2.3 工控網(wǎng)絡(luò )異常行為監測告警

針對不同客戶(hù)在審計工控中的需求，針對工控協(xié)議的操作指令進(jìn)行有效的識別，定義其中存在的高危操作，并能夠及時(shí)進(jìn)行報警。

異常行為告警包括：任何外接設備入場(chǎng)告警；模型內設備間不符合模型訪(fǎng)問(wèn)時(shí)間、頻率告警；模型內設備間不符合基線(xiàn)原行為操作告警；模型內設備間不符合基線(xiàn)原行為路徑操作告警等。

圖3 工控網(wǎng)絡(luò )異常行為監測告警

2.4 入侵檢測智能協(xié)議識別和輔助規則生成

工業(yè)網(wǎng)絡(luò )中設備眾多，網(wǎng)絡(luò )通信復雜，用戶(hù)很難全面掌握網(wǎng)絡(luò )安全狀態(tài)。在工控安全審計中融合入侵檢測規則，通過(guò)全流量的自學(xué)習功能，自動(dòng)調用相匹配的協(xié)議檢測規則，從而進(jìn)一步發(fā)現通信流量中的攻擊行為。

2.5 傳統IT網(wǎng)絡(luò )行為審計

在生產(chǎn)網(wǎng)中，由于業(yè)務(wù)需要，往往流量中包含傳統IT協(xié)議，產(chǎn)品功能上也支持對傳統IT網(wǎng)絡(luò )環(huán)境使用的HTTP、FTP等協(xié)議的文件傳輸進(jìn)行審計，支持對TELNET、FTP等業(yè)務(wù)操作進(jìn)行命令級審計，從而確保檢測全面性。審計系統采用旁路部署，通過(guò)流量鏡像的方式對工控網(wǎng)絡(luò )進(jìn)行全流量數據監聽(tīng)，不主動(dòng)發(fā)包，對工控系統“無(wú)擾動(dòng)，零風(fēng)險”，不做網(wǎng)絡(luò )的任何修改；可覆蓋DCS網(wǎng)絡(luò )、PLC網(wǎng)絡(luò )、數控機床DNC網(wǎng)絡(luò )等不同行業(yè)應用場(chǎng)景的工控系統。

圖4 審計系統

2.6 工業(yè)安全綜合預警

工業(yè)網(wǎng)絡(luò )安全監測預警平臺從工業(yè)控制系統安全的角度，對工控系統的各類(lèi)IT和OT設備數據進(jìn)行采集，包括業(yè)務(wù)設備日志采集、安全設備事件收集、網(wǎng)絡(luò )流量數據采集、安全設備配置采集等功能。平臺對采集得到的結果進(jìn)行統一分析與展示，發(fā)現工控網(wǎng)絡(luò )內部的異常行為，如新增資產(chǎn)、時(shí)間異常、新增關(guān)系、負載變更、異常訪(fǎng)問(wèn)等行為，實(shí)現對工控現場(chǎng)安全事件的預警與響應。

圖5 工業(yè)網(wǎng)絡(luò )安全監測預警平臺

工業(yè)網(wǎng)絡(luò )安全監測預警平臺可以對工業(yè)網(wǎng)絡(luò )中各類(lèi)上位機服務(wù)器、工控終端、網(wǎng)絡(luò )交換設備及工控安全設備進(jìn)行集中化的性能狀態(tài)監控、安全事件的集中展示、安全風(fēng)險的評估、工控分區分域的健康等級，以及依賴(lài)于工控知識庫的安全響應與處置。

2.7 全面的日志集中管理

支持SYSLOG、SNMPTrap、FTP、SFTP、JDBC、ODBC、Netflow等多種日志采集方式。支持但不限于網(wǎng)絡(luò )設備，如上位機、工業(yè)安全網(wǎng)關(guān)、工控安全審計、主機安全衛士入侵檢測等，并進(jìn)行日志關(guān)聯(lián)和量化分析。

圖6 日志審計系統

2.8 可視化的綜合態(tài)勢管理

工業(yè)網(wǎng)絡(luò )安全監測預警平臺可以通過(guò)網(wǎng)絡(luò )拓撲或直觀(guān)呈現的方式表現網(wǎng)絡(luò )環(huán)境及各設備的運行狀態(tài)和安全狀態(tài)，從而達到對工控網(wǎng)絡(luò )中的各類(lèi)設備進(jìn)行集中的狀態(tài)及性能監控的目的。目前主要通過(guò)定制化工控拓撲的方式來(lái)實(shí)現工控網(wǎng)絡(luò )綜合態(tài)勢的管理和呈現，呈現在首頁(yè)的工控網(wǎng)絡(luò )拓撲可根據工業(yè)現場(chǎng)需求進(jìn)行定制化的拓撲繪制。

同時(shí)，針對不同行業(yè)工業(yè)現場(chǎng)網(wǎng)絡(luò )架構的特異性，平臺內置具有行業(yè)特性的工控網(wǎng)絡(luò )安全監控拓撲，用戶(hù)可根據自身行業(yè)特點(diǎn)選擇相應行業(yè)的網(wǎng)絡(luò )拓撲結構，并在其基礎上進(jìn)行組態(tài)化的拓撲繪制，使最終呈現的工控網(wǎng)絡(luò )拓撲符合展示及監控要求。綜合態(tài)勢管理還包括可視化的攻擊鏈狀況展示、風(fēng)險儀表盤(pán)展示、告警事件類(lèi)型分布展示、資產(chǎn)風(fēng)險分布展示、最新安全事件列表等可視化模塊。

2.9 強大的分析引擎

平臺中預制關(guān)聯(lián)分析引擎，預制引擎構成分析平臺的核心功能并且對專(zhuān)項分析提供基礎能力，如風(fēng)險分析、脆弱性分析、態(tài)勢分析、資產(chǎn)分析、攻擊鏈條分析等。分析引擎采用的分布式設計能夠進(jìn)行橫向擴展，面臨工業(yè)網(wǎng)絡(luò )數據量時(shí)能夠實(shí)現按需擴展，將分析引擎分散到其他更多的機器中，實(shí)現按需進(jìn)行計算資源擴展。

2.10 可靠的主機防護體系

工業(yè)控制系統中的監控主機、工程師站、操作站、數據服務(wù)器等設備進(jìn)行安全加固的終端安全防護產(chǎn)品，針對工控終端業(yè)務(wù)環(huán)境相對固定、穩定第一的特點(diǎn)，系統采用了白名單機制，攔截一切未知程序和腳本的執行，既可有效抵御已知和未知的惡意代碼，又規避了傳統殺毒軟件病毒庫更新不及時(shí)的問(wèn)題，從根本上保障主機運行環(huán)境的安全。主機防護體系如圖7所示。

圖7 主機防護體系

2.11 完善的漏洞管理流程

安全管理不只是技術(shù)，更重要的是通過(guò)流程制度對安全脆弱性風(fēng)險進(jìn)行控制。很多公司制定了安全流程制度，但仍然有安全事故發(fā)生。人員對流程制度的執行起到關(guān)鍵作用，他們如何融入管理流程，并促進(jìn)流程的執行是安全脆弱性管理產(chǎn)品需要解決的問(wèn)題。

圖8 漏洞管理流程

安全管理流程制度一般包括預警、檢測、分析管理、修補、審計等幾個(gè)環(huán)節，結合安全流程中的預警、檢測、分析管理和審計環(huán)節，并通過(guò)事件告警督促安全管理人員進(jìn)行風(fēng)險修補。

2.12 項目部署

系統采用分層模塊化架構設計，各模塊在業(yè)務(wù)功能邏輯上相互獨立，采用松耦合接口方式進(jìn)行數據交互，使得系統部署方式靈活，能適應各種用戶(hù)網(wǎng)絡(luò )場(chǎng)景。

部署圖如圖9所示。

圖9 部署圖

2.13 應用效果

（1）構建了以態(tài)勢感知平臺為核心的工業(yè)安全防護體系

覆蓋評估、防護、檢測及響應的安全體系，保障煙草物流系統全周期正常運行。工業(yè)安全網(wǎng)關(guān)提供從網(wǎng)絡(luò )邊界到終端的全方位安全防護，同時(shí)通過(guò)部署工控漏洞掃描系統和工控安全審計系統、運維審計系統實(shí)現資產(chǎn)和網(wǎng)絡(luò )異常的檢測和告警。工業(yè)網(wǎng)絡(luò )安全態(tài)勢感知平臺從保障客戶(hù)業(yè)務(wù)安全的角度，通過(guò)對安全設備的統一管理以及對工業(yè)網(wǎng)絡(luò )日志、流量等各類(lèi)數據進(jìn)行采集、統一分析和展示，實(shí)現對工業(yè)網(wǎng)絡(luò )安全事件的預警與響應。

（2）降低了煙草物流控制系統網(wǎng)絡(luò )安全運維難度

工業(yè)網(wǎng)絡(luò )安全態(tài)勢感知平臺通過(guò)自主學(xué)習能力，對煙草控制系統網(wǎng)絡(luò )安全態(tài)勢進(jìn)行實(shí)時(shí)感知，結合匹配煙草業(yè)務(wù)場(chǎng)景的知識庫，實(shí)現從防護、檢測、響應到恢復的閉環(huán)安全能力，大大降低了煙草控制系統網(wǎng)絡(luò )安全運維難度。

（3）提升了煙草物流系統網(wǎng)絡(luò )安全防護水平

通過(guò)煙草控制系統縱深防御體系、動(dòng)態(tài)檢測體系、威脅管理體系、應急響應體系、組織體系及管理體系的建設，建立煙草風(fēng)險識別能力、安全防御能力、安全檢測能力、安全響應能力與安全恢復能力，實(shí)現了風(fēng)險可視化、防御主動(dòng)化和運行自動(dòng)化的安全目標，保障了企業(yè)生產(chǎn)業(yè)務(wù)的安全。

3 案例亮點(diǎn)及創(chuàng )新性

3.1 深刻理解和有效適配了煙草行業(yè)工業(yè)控制系統業(yè)務(wù)場(chǎng)景

項目開(kāi)創(chuàng )性地探索出煙草行業(yè)控制系統的有效網(wǎng)絡(luò )安全整體解決方案，解決了傳統煙草行業(yè)工業(yè)控制系統網(wǎng)絡(luò )安全問(wèn)題，提升了煙草行業(yè)工業(yè)控制系統網(wǎng)絡(luò )安全防護水平，而且對國內其它煙草行業(yè)安全防護起到了很好的示范作用。

3.2 運用輕量化工控漏洞掃描技術(shù)

工控漏洞掃描系統獨家采用了無(wú)損掃描技術(shù)，如圖10所示，通過(guò)對支持的工控資產(chǎn)進(jìn)行梳理和信息收集，工控漏洞掃描系統可以實(shí)現遠程與非接觸式的安全評估，在不影響業(yè)務(wù)的前提下完成漏洞掃描。

圖10 工控漏掃系統

3.3 IT系統與OT系統漏洞掃描的全覆蓋

根據不同的資產(chǎn)特性定制不同漏洞掃描策略。工業(yè)互聯(lián)網(wǎng)與智能制造時(shí)代下，工業(yè)生產(chǎn)企業(yè)網(wǎng)絡(luò )越發(fā)龐大復雜，多個(gè)網(wǎng)絡(luò )層級為同一套業(yè)務(wù)平臺進(jìn)行支撐的情況也屢見(jiàn)不鮮，這要求我們的安全設備要有更強的兼容性。本項目中的漏洞掃描系統既能對傳統的IT層主機發(fā)現、端口掃描及服務(wù)識別，也支持各主流數據庫（Oracle、MySql、Postgresql等）漏洞掃描和虛擬化組件漏洞掃描，同時(shí)還覆蓋SCADA、DCS、PLC等OT層應用系統。

3.4 安全運行體系整合

本項目中所使用的安全解決方案，是以平臺為“大腦”的一體化安全解決方案。

根據信息安全保障體系框架設計，整合各類(lèi)安全防護系統以及管理制度、運維流程，實(shí)現管理與技術(shù)的融合，并通過(guò)安全管控平臺與運維平臺整合，實(shí)現了主要安全管理工作的自動(dòng)化，提高了管理效率。

采用數據采集技術(shù)、安全監控技術(shù)和漏洞掃描技術(shù)，實(shí)現對信息系統、人員操作行為及安全狀況的整體監控，并能夠利用大數據分析技術(shù)進(jìn)行關(guān)聯(lián)分析，實(shí)現準確、及時(shí)告警和集中展現。

《自動(dòng)化博覽》2023年1月刊暨《工業(yè)控制系統信息安全專(zhuān)刊（第九輯）》