★ 新華三信息安全技術(shù)有限公司

1 項目概況

1.1 項目背景

針對該輪胎企業(yè)各廠(chǎng)工控安全現狀進(jìn)行風(fēng)險評估，結合評估結果進(jìn)行整體方案設計。方案設計后首先對該輪胎各廠(chǎng)發(fā)現的高危風(fēng)險進(jìn)行消除，借助當前系統內現有安全措施或設備自帶安全機制，通過(guò)漏洞修補、安全加固實(shí)現系統安全能力加固，并進(jìn)行安全基礎設施建設。圍繞各類(lèi)安全基礎設施，逐步建立運行維護制度及應急響應體系，與此同時(shí)建立工業(yè)企業(yè)人員安全教育體系。方案建設完成后，確保工業(yè)企業(yè)各廠(chǎng)的安全技術(shù)、管理體系和人員水平得到提升。

1.2 項目簡(jiǎn)介

基于該輪胎工業(yè)有限公司及股份有限公司其他下屬企業(yè)的工業(yè)網(wǎng)絡(luò )安全防護需求，依靠工業(yè)信息安全保障建設框架，建設網(wǎng)絡(luò )安全縱深防御體系框架，設計工業(yè)企業(yè)網(wǎng)絡(luò )安全綜合防護平臺基礎機構，建設安全態(tài)勢感知與主動(dòng)防御平臺，建設工業(yè)企業(yè)安全運營(yíng)與管理平臺，提升輪胎制造業(yè)安全態(tài)勢感知與主動(dòng)防御能力，提升工業(yè)企業(yè)安全與運營(yíng)管理能力，構建多層次、一體化工業(yè)網(wǎng)絡(luò )安全防御能力，為工業(yè)企業(yè)的數字化轉型升級提供保障。

1.3 項目目標

通過(guò)工業(yè)信息安全保障工作中所涉及的安全人員、安全技術(shù)、安全管理三個(gè)維度內容，從策略制定、評估分析、方案設計、工程實(shí)施、運行管理、應急響應和安全教育七個(gè)方面，針對企業(yè)工控安全建設制定全生命周期的方案。

2 項目實(shí)施

方案設計中按照企業(yè)工控安全方針策略，結合公司及各下屬企業(yè)當前安全現狀，以企業(yè)當前安全需求為出發(fā)點(diǎn)，為達成目標而合理規劃企業(yè)工控安全建設內容、建設重點(diǎn)、建設順序，形成合理的工控安全保障方案。

工程實(shí)施是將前期設計的保障方案中各項安全措施進(jìn)行具體實(shí)現的過(guò)程，工程實(shí)施質(zhì)量直接影響前期設計方案的實(shí)現效果。工程實(shí)施過(guò)程應由企業(yè)項目管理人員進(jìn)行管理，本項目將委托第三方機構評價(jià)實(shí)施效果。

建設內容包括：縱深防護體系、綜合防護平臺和仿真驗證體系。

構建基于主機安全、設備安全、網(wǎng)絡(luò )安全、數據安全、內生安全的多層次縱深防御體系，形成工業(yè)企業(yè)安全防護服務(wù)能力。針對該企業(yè)工業(yè)發(fā)展現狀，圍繞“本質(zhì)安全”“架構安全”和“行為安全”三個(gè)維度，將企業(yè)信息系統劃分為4個(gè)不同層級的安全域。網(wǎng)絡(luò )層級和安全域根據自身特點(diǎn)和重要性程度制定相應的安全防護策略，并結合安全管理和安全運維，構建全面防護且持續改進(jìn)的縱深防御體系。

鑒于輪胎制造業(yè)企業(yè)在工業(yè)領(lǐng)域的至關(guān)重要性，在智能制造的重塑與改進(jìn)下，要實(shí)施嚴格的訪(fǎng)問(wèn)控制策略、操作行為監管及審計機制，以確保在不同安全屬性的系統和不同安全級別的安全域間進(jìn)行安全的信息交換。

本項目通過(guò)部署工業(yè)安全網(wǎng)關(guān)、工業(yè)入侵檢測平臺、工業(yè)流量審計平臺、主機加固軟件、工業(yè)數據安全管理系統、企業(yè)互聯(lián)互通平臺通訊數據分析平臺、企業(yè)互聯(lián)互通平臺通訊數據展示平臺、隱私數據分發(fā)保障系統、高交互威脅狩獵與溯源系統及工業(yè)企業(yè)防火墻系統，完成縱深防御體系的建設。

綜合防護平臺的核心目標是提高企業(yè)的整體安全水平，提升運維效率，體現安全效果和價(jià)值。通過(guò)建設包括人員、工具、流程三大體系的安全運營(yíng)中心，打造感知、分析、決策、響應4個(gè)維度的自動(dòng)安全處置閉環(huán)能力。因此，整體思路和理念是：綜合防護平臺通過(guò)態(tài)勢感知平臺、主動(dòng)防御平臺和安全運營(yíng)管理平臺，提高“威脅感知、分析定位、智能決策、響應處置”的快速安全閉環(huán)能力，幫助工控企業(yè)實(shí)現安全效果，提升安全運維和安全管理效率，展現安全成果，最終實(shí)現“自動(dòng)響應閉環(huán)、持續安全運營(yíng)”的目標。

本項目具有實(shí)現工業(yè)現場(chǎng)威脅感知及主動(dòng)防御能力，具備針對工業(yè)控制系統防惡意軟件傳播、防惡意控制指令、防邊界滲透等安全防護能力。

通過(guò)在工業(yè)企業(yè)網(wǎng)絡(luò )出口、工業(yè)網(wǎng)絡(luò )內部部署工業(yè)互聯(lián)網(wǎng)安全蜜罐，仿真正常運行的工業(yè)互聯(lián)網(wǎng)設備或系統，可誘捕惡意網(wǎng)絡(luò )攻擊，及時(shí)發(fā)現在網(wǎng)絡(luò )中傳播的惡意代碼病毒，溯源黑客組織，捕獲惡意樣本，提升工業(yè)現場(chǎng)威脅感知及主動(dòng)防御能力。

面向工業(yè)企業(yè)工控設備的被動(dòng)威脅監測及態(tài)勢感知系統分為服務(wù)支撐、工控設備及業(yè)務(wù)仿真、威脅監測三部分。服務(wù)支撐部分提供流量重定向、數據采集、訪(fǎng)問(wèn)控制和數據分析功能；工控設備及業(yè)務(wù)仿真部分提供設備指紋、業(yè)務(wù)功能、通信協(xié)議和操作指令仿真功能；威脅監測部分提供攻擊來(lái)源監測、惡意文件監測、攻擊工具監測和攻擊步驟監測功能。

2.1 入侵檢測

威脅感知傳感器具備入侵檢測功能，可實(shí)時(shí)監控所有“影子系統”以及虛擬網(wǎng)絡(luò )流量，自動(dòng)檢測可疑行為，分析來(lái)自網(wǎng)絡(luò )外部的入侵信號和來(lái)自網(wǎng)絡(luò )內部的非法活動(dòng)，在攻擊者攻擊關(guān)鍵業(yè)務(wù)系統前發(fā)出警告，對攻擊做出實(shí)時(shí)響應，并提供補救措施，最大程度地保障系統安全。

2.2 工控安全管理平臺

在工業(yè)信息網(wǎng)絡(luò )環(huán)境中做整體的安全防護，勢必要掌握全網(wǎng)的運行狀況與安全狀況，要處理大量設備產(chǎn)生的安全數據和監控信息，要通過(guò)集中高效的告警機制快速發(fā)現、定位問(wèn)題，并快速地處置安全故障和威脅，要解決工業(yè)企業(yè)信息安全集中監控與統一管理問(wèn)題。

系統為三層的管理架構，最下一層為被保護的工業(yè)控制及管理環(huán)境設備對象，包括從生產(chǎn)管理層、MES層到控制層的各類(lèi)設備，比如操作員站、工程師站、RTU、PLC、DCS等。

系統通過(guò)采集層對所有被保護對象進(jìn)行集中的信息采集，包括收集網(wǎng)絡(luò )中所部署的各類(lèi)安全設備的事件及告警信息。該層提供豐富的數據接口，所采集的信息包括：資產(chǎn)、拓撲、性能、事件、漏洞、流量及工控指令等。同時(shí)，信息采集裝置可以在復雜網(wǎng)絡(luò )中分布式部署，并且對網(wǎng)絡(luò )性能影響極小甚至無(wú)影響。采集到的所有信息都會(huì )進(jìn)行預處理，將其轉換為統一的內部格式，并提交給上層的核心功能處理層的相應組件進(jìn)行處理和分析。采集層之上是數據處理與展示層，該層提供了系統的核心處理功能，主要包括了設備監控、安全信息管理、工控威脅管理和統一接口四大功能組塊。設備監控功能組塊主要提供了被監控對象的識別梳理和基礎信息支撐，主要包括設備管理、工控拓撲構建、設備及鏈路性能狀態(tài)監控，以及識別監測各工控設備的能力；安全信息管理組塊提供了工控網(wǎng)中安全事件信息與漏洞信息的綜合管理功能，主要包括安全事件的集中管理和查詢(xún)、漏洞信息的集中管理、防護產(chǎn)品的安全信息管理及安全知識庫功能；工控威脅管理組塊綜合了設備鏈路的監控以及各類(lèi)安全信息，形成了面向威脅的展現和分析功能，主要提供了風(fēng)險管理、工控業(yè)務(wù)健康度分析、關(guān)聯(lián)分析以及KPI威脅分析等功能；統一接口組塊綜合了對外的各種接口，主要提供了對企業(yè)集中監控輸出的告警接口、第三方防護產(chǎn)品信息采集接口及國家層面監控系統的探針管理與信息交換接口。

工控安全事件與報警管理系統由管理中心和采集器兩部分組成。管理中心主要是數據處理與展示層功能，同時(shí)內置了事件采集、性能采集等采集器功能；采集器包括事件（日志）采集器、性能采集器及流量采集器。

2.3 資產(chǎn)發(fā)現

資產(chǎn)發(fā)現用于發(fā)現未在管理系統中的企業(yè)資產(chǎn)。通過(guò)系統用戶(hù)手動(dòng)、一鍵確認和自動(dòng)確認，將識別到的資產(chǎn)加入企業(yè)新管控的資產(chǎn)。

2.4 資產(chǎn)監控

2.4.1 健康度模型

健康度模型用來(lái)評價(jià)資產(chǎn)的健康狀態(tài)，健康度分為健康、過(guò)載和失聯(lián)，如圖1所示。健康狀態(tài)不言而喻，表示資產(chǎn)運行狀態(tài)良好；過(guò)載狀態(tài)表示資產(chǎn)負載過(guò)高，系統持續運行有潛在威脅；失聯(lián)代表資產(chǎn)處于不可達狀態(tài)，已經(jīng)無(wú)法獲得資產(chǎn)的任何信息。

健康狀態(tài)的評估標準因不同類(lèi)型的資產(chǎn)而不一樣，傳統IT與OT對于資產(chǎn)健康狀態(tài)的標準也不一樣。相對而言，傳統IT的資產(chǎn)健康狀態(tài)主要聚焦于CPU、內存、磁盤(pán)空間和網(wǎng)絡(luò )等維度。一般的評估健康度的方法要么片面地依賴(lài)某一指標或幾個(gè)指標，要么與現實(shí)認識有差別。

圖1 資產(chǎn)健康度評估流程圖

本項目中的健康度模型綜合各種維度的評估項，并經(jīng)過(guò)現實(shí)驗證，具有一定現實(shí)參考意義，評估的資產(chǎn)健康度基本靠近實(shí)際認知。

2.4.2 在線(xiàn)狀態(tài)模型

系統的在線(xiàn)狀態(tài)監控有幾種通用實(shí)現模型：

（1）定期掃描或者探測；

（2）通過(guò)所接收的日志分析更新設備狀態(tài)。

以上兩種模型放置在工業(yè)環(huán)境中都有一定缺陷：定期掃描或者探測會(huì )消耗占用一段時(shí)間的網(wǎng)絡(luò )帶寬。

對于工業(yè)終端而言其較脆弱的協(xié)議棧以及處理能力，即使是簡(jiǎn)單的ICMP或者SYN探測都有可能導致其故障引發(fā)事故。

而通過(guò)日志分析更新設備狀態(tài)，這就是一種M*N級別的低效分析，導致性能整體下降。而直接通過(guò)探針攜帶資產(chǎn)狀態(tài)的方案，在一個(gè)資產(chǎn)被多個(gè)探針所管理時(shí)會(huì )出現狀態(tài)不一致的錯亂，進(jìn)而導致一些異常分析。

本項目提出的是一種高低在線(xiàn)狀態(tài)保護期的模型。通過(guò)探針攜帶設備心跳，設備分為在線(xiàn)、離線(xiàn)、脫管三種資產(chǎn)狀態(tài)，分別代表設備在線(xiàn)、設備離線(xiàn)、設備已屬無(wú)探針管理狀態(tài)。從前到后，狀態(tài)變遷優(yōu)先級遞減，而從后至前優(yōu)先級遞增，保證了在一定窗口保護期，有任何一個(gè)探針在管理這些資產(chǎn)時(shí)就能評估出更接近事實(shí)的狀態(tài)。

2.5 互聯(lián)監控

系統可對資產(chǎn)互聯(lián)及區域互聯(lián)情況進(jìn)行監控。

（1）資產(chǎn)互聯(lián)

資產(chǎn)互聯(lián)展示的是所監控資產(chǎn)間的網(wǎng)絡(luò )互聯(lián)關(guān)系，并且可根據統計信息決策為黑名單（禁止）訪(fǎng)問(wèn)或白名單（允許）訪(fǎng)問(wèn)，如圖2所示。

圖2 資產(chǎn)互聯(lián)

（2）區域互聯(lián)

區域互聯(lián)展示的是所監控邏輯區域間的網(wǎng)絡(luò )互聯(lián)關(guān)系，并且可根據統計信息決策為黑名單（禁止）訪(fǎng)問(wèn)或白名單（允許）訪(fǎng)問(wèn)，如圖3所示。

圖3 區域互聯(lián)

2.6 資產(chǎn)畫(huà)像

工控安全事件與報警管理系統可對資產(chǎn)進(jìn)行畫(huà)像。資產(chǎn)畫(huà)像力圖對所管控資產(chǎn)就資產(chǎn)的基礎屬性、運行信息、日志信息和異常信息建立全面的知識庫，一目可了解資產(chǎn)的歷史和當前信息狀態(tài)。

（1）合規監控

依據工信部頒布的《工業(yè)控制系統信息安全防護指南》，以合規能力監控為目標系統逐項予以安全評估，并最終給予評分。參考防護指南評估引擎，數據來(lái)源于靜態(tài)防護指南日志以及動(dòng)態(tài)評估的防護指南相關(guān)日志予以評估后的數據，如圖4所示。

圖4 合規監控

（2）告警監控

工控安全事件與報警管理系統可對告警進(jìn)行監控，通過(guò)告警行為發(fā)現系統的異常。系統為避免重復告警導致待處理告警數目過(guò)多，對告警數據做了聚合，同時(shí)兼顧了時(shí)間要素，保證最新觸發(fā)的告警排序靠前。告警需進(jìn)行確認后才會(huì )消失，如圖5所示。

圖5 告警監控

（3）大屏監控

大屏監控以大屏監控全網(wǎng)為視角，動(dòng)態(tài)體現全網(wǎng)、廠(chǎng)區、資產(chǎn)信息以及防護信息日志和告警日志，如圖6所示。

圖6 大屏監控

2.7 工業(yè)探針管理

工控安全事件與報警管理系統可對主機探針、PLC探針、網(wǎng)絡(luò )探針、遠程探針以及多源探針進(jìn)行管理。

（1）主機探針管理

主機探針管理提供了主機探針的主動(dòng)注冊（自動(dòng)發(fā)現探針）、軟件上傳及下載。

（2）PLC探針管理

發(fā)現探針），關(guān)聯(lián)或注冊所采集資產(chǎn)。PLC探針主要提供了PLC探針的主動(dòng)注冊（自動(dòng)

（3）網(wǎng)絡(luò )探針管理

網(wǎng)絡(luò )探針主要提供了網(wǎng)絡(luò )探針的主動(dòng)注冊（自動(dòng)發(fā)現探針）、資產(chǎn)間網(wǎng)絡(luò )互聯(lián)黑白名單管理、區域間網(wǎng)絡(luò )互聯(lián)黑白名單管理。

（4）遠程探針管理

遠程探針主要提供了遠程探針的主動(dòng)注冊（自動(dòng)發(fā)現探針），關(guān)聯(lián)資產(chǎn)。

（5）多源探針管理

多源探針主要提供了多源探針的主動(dòng)注冊（自動(dòng)發(fā)現探針），以關(guān)聯(lián)資產(chǎn)。

2.8 工業(yè)日志聚合

（1）多源日志收集

工控安全事件與報警管理系統通過(guò)主機、PLC、網(wǎng)絡(luò )、遠程以及多源探針進(jìn)行工控系統內各類(lèi)設備日志收集并進(jìn)行歸一化處理，供后續分析、處理、記錄。

（2）日志審計

工控安全事件與報警管理系統可對工控系統內各類(lèi)設備日志進(jìn)行審計。通過(guò)日志查詢(xún)系統可以查詢(xún)到資產(chǎn)名、資產(chǎn)IP、資產(chǎn)類(lèi)型、事件時(shí)間、分類(lèi)、等級、摘要等日志信息。

（3）日志管理

日志管理主要提供對存儲的審計日志導出、導入，設定磁盤(pán)空間閾值清理日志，定期自動(dòng)備份日志。

（4）日志異常分析

工控安全事件與報警管理系統可對日志異常進(jìn)行分析，包括潛在危害、異常行為等。

3 案例亮點(diǎn)及創(chuàng )新性

安全基礎設施建設完成后，進(jìn)入運行維護階段。工控安全運維工作可通過(guò)建設安全運營(yíng)管理平臺提高運維團隊運行維護能力。

安全運營(yíng)管理平臺包括以下功能：工控設備管理、安全事件管理、日志管理、脆弱性管理等。

《自動(dòng)化博覽》2023年1月刊暨《工業(yè)控制系統信息安全專(zhuān)刊（第九輯）》