★首鋼京唐鋼鐵聯(lián)合有限責任公司

1　方案目標和概述

隨著(zhù)國家“智能制造”、“互聯(lián)網(wǎng)+”、“工業(yè)互聯(lián)網(wǎng)”戰略的持續推進(jìn)，冶金行業(yè)迎來(lái)了新一輪發(fā)展機遇，融合數字化、網(wǎng)絡(luò )化、智能化的先進(jìn)生產(chǎn)系統，使原本相對獨立的DCS、PLC、儀器儀表等控制系統通過(guò)網(wǎng)絡(luò )連為一體，實(shí)現對工業(yè)生產(chǎn)、能源管理、業(yè)務(wù)調度的扁平一體化管理。

但由于大量信息系統和新興技術(shù)的應用，也使工業(yè)行業(yè)面臨著(zhù)普遍歷史性和新興技術(shù)帶來(lái)的雙重安全風(fēng)險威脅。工業(yè)行業(yè)普遍存在歷史性、系統性存量網(wǎng)絡(luò )安全問(wèn)題與5G、云計算、大數據、物聯(lián)網(wǎng)等新興技術(shù)應用帶來(lái)的新風(fēng)險新問(wèn)題的疊加，形成更為復雜嚴峻的網(wǎng)絡(luò )安全挑戰和現實(shí)威脅。

本方案針對工業(yè)控制網(wǎng)絡(luò )面臨的安全問(wèn)題，采用了工業(yè)自適應綜合防護技術(shù)形成縱深防御體系，以加強和提升工業(yè)控制網(wǎng)絡(luò )的安全防護能力。具體目前如下：（1）通過(guò)執行單元組件，對工業(yè)控制系統中訪(fǎng)問(wèn)控制、協(xié)議指令、勒索病毒、未知病毒、進(jìn)程安全、流量異常等威脅進(jìn)行安全防護與行為監測。

（2）通過(guò)工業(yè)自適應綜合防護技術(shù)，對工業(yè)控制系統全網(wǎng)資產(chǎn)資源、安全資源、數據資源進(jìn)行整合，有效聯(lián)動(dòng)，結合威脅情報各安全資源進(jìn)行智能持續分析決策，預判系統薄弱點(diǎn)與被攻擊方向，實(shí)現全局性質(zhì)的安全監測預警和動(dòng)態(tài)防護。

（3）通過(guò)基于工業(yè)安全自適應綜合防護技術(shù)平臺的建設，針對目前網(wǎng)絡(luò )中存在的已知威脅進(jìn)行檢測分析，對未知威脅進(jìn)行監測和智能分析，通過(guò)全天全方位監測與分析工業(yè)控制系統的網(wǎng)絡(luò )與主機安全，實(shí)現防護、監測、響應為一體的三層閉環(huán)防護體系，建設工業(yè)網(wǎng)絡(luò )的“大腦”，為工業(yè)網(wǎng)絡(luò )安全保駕護航。

2　方案介紹

本方案通過(guò)網(wǎng)絡(luò )執行單元、流量執行單元、主機執行單元對整個(gè)工業(yè)自動(dòng)化控制網(wǎng)絡(luò )中的行為與流量進(jìn)行防護、監控、采集、傳輸。結合自適應平臺對采集到的數據進(jìn)行整合、分析。形成警告快速處理、快速配置和工業(yè)網(wǎng)絡(luò )安全全局可視化的管理界面，最終構建一個(gè)可感知、易運營(yíng)的分布式多元安全組件的自適應平臺。實(shí)現預判攻擊、事件防御、實(shí)時(shí)監測、快速響應的自適應安全技術(shù)方案。

圖1 方案架構圖

2.1　執行單元

2.1.1　網(wǎng)絡(luò )執行單元網(wǎng)絡(luò )執行單元支持工業(yè)協(xié)議的深度解析功能?？蓮V泛應用于工控網(wǎng)絡(luò )邊界防護、區域防護、重要監控系統、控制設備防護等場(chǎng)景，有效解決工業(yè)企業(yè)工控系統組網(wǎng)安全、信息孤島、控制指令不可信、網(wǎng)絡(luò )數據不安全、網(wǎng)絡(luò )數據采集以及合規性等問(wèn)題，為工業(yè)安全智能綜合防護平臺提供高性能的網(wǎng)絡(luò )防護。支持ModbusTCP、OPC、IEC60870-5-104、SiemensS7、EIP等多種工業(yè)協(xié)議。

具備工控協(xié)議指令級“4S”深度防護專(zhuān)利技術(shù)，支持多種訪(fǎng)問(wèn)控制規則、協(xié)議深度分析、VPN、流量控制、安全審計等安全防護功能，且具備Dos、ARP攻擊防護和自身訪(fǎng)問(wèn)控制功能，可有效保障自身和工控網(wǎng)絡(luò )的雙重安全。

針對首鋼京唐現如今網(wǎng)絡(luò )情況，本方案利用網(wǎng)絡(luò )執行單元如下技術(shù)對首鋼京唐網(wǎng)絡(luò )進(jìn)行了全面的網(wǎng)絡(luò )安全防護：

（1）“4S”深度防護技術(shù)針對首鋼京唐一二級工業(yè)網(wǎng)絡(luò )協(xié)議的類(lèi)型及分布特點(diǎn)，通過(guò)廣泛的協(xié)議收集和逆向分析，形成了基于白名單的工業(yè)指令級“4S”深度防護技術(shù)。

此技術(shù)從工業(yè)協(xié)議的“規約符合度即完整性”、“功能碼”、“地址范圍”和“工藝參數范圍”等維度，逐步深入對工業(yè)協(xié)議應用層全字段進(jìn)行解析和過(guò)濾，可有效阻斷病毒、木馬等惡意軟件攻擊與傳播，無(wú)需借助病毒庫、漏洞庫、入侵庫，無(wú)誤殺誤報，真正適用于一線(xiàn)工業(yè)生產(chǎn)網(wǎng)絡(luò )。

圖2 4S深度防護技術(shù)原理圖

（2）工業(yè)協(xié)議自定義技術(shù)

由于歷史原因和控制系統廠(chǎng)商限制，一二級工業(yè)網(wǎng)絡(luò )內存在大量私有協(xié)議和非公開(kāi)協(xié)議，綜合項目進(jìn)度和成本等因素無(wú)法實(shí)現對所有協(xié)議的全部?jì)戎?。本項目首?chuàng )工業(yè)協(xié)議自定義技術(shù)方法，針對私有協(xié)議和系統沒(méi)有內置的工業(yè)協(xié)議可進(jìn)行快速自定義添加，從而保障系統的廣泛適應性。

工業(yè)協(xié)議自定義技術(shù)分為工業(yè)協(xié)議特征識別和工業(yè)協(xié)議指令級深度防護兩類(lèi)場(chǎng)景。

（3）OPCNAT轉換技術(shù)

OPC協(xié)議基于微軟的OLE、COM和DCOM等技術(shù)，在通訊過(guò)程中通過(guò)傳統NAT僅替換IP數據包的IP地址及端口，不能實(shí)現業(yè)務(wù)通訊，因為OPC協(xié)議的連接信息在OPC協(xié)議應用數據中，必須將應用數據中的相關(guān)信息也進(jìn)行類(lèi)似的NAT轉換，才能實(shí)現OPC應用的正常工作。

本項目在工業(yè)協(xié)議深度解析的基礎上，可對OPC協(xié)議的通訊和連接過(guò)程進(jìn)行持續監視，通過(guò)對OPC客戶(hù)端與服務(wù)器遠程調用過(guò)程的持續解析，實(shí)現OPC端口的動(dòng)態(tài)開(kāi)放，保證OPC通訊端口打開(kāi)數量的最小化，解決傳統防火墻無(wú)法對OPC協(xié)議進(jìn)行有效防護的問(wèn)題。

與此同時(shí)，系統深度分析OPC協(xié)議的應用層數據，根據配置將OPC協(xié)議應用中的連接信息進(jìn)行替換，實(shí)現：拆包-替換-封包的功能，達到OPC應用NAT的功能，可以有效的隱藏真正的服務(wù)器信息，有效解決當前一二級網(wǎng)絡(luò )OPC數據采集與同網(wǎng)段地址沖突等組網(wǎng)問(wèn)題。

2.1.2　主機執行單元

主機執行單元自動(dòng)適配所有版本的windows、Linux系統物理機、虛擬機。運行穩定、消耗低。從而實(shí)現對主機異常的采集、分析、存儲并由平臺進(jìn)行告警、防護、學(xué)習等響應實(shí)施動(dòng)作，執行其下發(fā)的任務(wù)，主動(dòng)發(fā)現主機問(wèn)題，實(shí)現工業(yè)部分主機系統過(guò)于老舊無(wú)法防護與數采問(wèn)題。

針對首鋼京唐現如今網(wǎng)絡(luò )情況，本方案利用主機執行單元如下技術(shù)對首鋼京唐網(wǎng)絡(luò )進(jìn)行了全面的網(wǎng)絡(luò )安全防護：

（1）智能化補丁與軟件更新技術(shù)

白名單生成：通過(guò)一鍵固化，自動(dòng)掃描功能，建立白名單

白名單導入導出：提供白名單的導入導出功能

白名單的手動(dòng)更新：支持告警程序的一鍵加白；支持基于目錄的程序掃描追加；

手動(dòng)軟件更新：支持本地手動(dòng)安裝軟件，并追加更新的程序到白名單庫中；

軟件智能更新：支持基于軟件更新平臺的自動(dòng)化軟件更新和基于信任軟件庫的軟件更新場(chǎng)景下的更新程序自動(dòng)追蹤，并添加到白名單中，不影響更新后軟件的使用；

補丁智能更新：支持操作系統的補丁更新，系統后臺智能跟蹤更新過(guò)程，并將更新文件追加到白名單庫中。

白名單技術(shù)是一種相對于黑名單的安全技術(shù)，借助可信機制將“白”程序、“白”網(wǎng)絡(luò )、“白”外設等通過(guò)算法生成白名單庫，只有在“白”庫內的應用或流量才可運行或通過(guò)。隨著(zhù)首鋼京唐生產(chǎn)業(yè)務(wù)的持續發(fā)展，一二級主機存在系統和工業(yè)控制軟件更新等場(chǎng)景，本項目通過(guò)智能化補丁與軟件更新技術(shù)，可對系統更新和軟件更新安裝過(guò)程進(jìn)行智能化追蹤與捕捉，從而實(shí)現白名單庫的動(dòng)態(tài)、自動(dòng)化更新管理。

（2）輕量化資源需求與廣泛的系統支持技術(shù)

設備管理：設置硬件USBKey設備的用戶(hù)名稱(chēng)，安全事件追蹤到指定責任人。

口令重置：在硬件USBKey設備因口令錯誤鎖定后，進(jìn)行口令重置等操作后恢復使用。

用戶(hù)綁定：將硬件USBKey設備與操作系統內的用戶(hù)關(guān)聯(lián)，一個(gè)設備僅能關(guān)聯(lián)一個(gè)用戶(hù)，且只有關(guān)聯(lián)的用戶(hù)才允許登錄。

登錄增強：操作系統用戶(hù)在登錄系統、解鎖系統、切換用戶(hù)等操作時(shí)，必須驗證USBKey設備口令通過(guò)后，才能進(jìn)行密碼驗證，實(shí)現登錄等功能。

（3）已知與未知威脅主動(dòng)防御技術(shù)

①阻止已知病毒及其變種

系統針對工控網(wǎng)絡(luò )中的主機（操作員站、工程師站、服務(wù)器各類(lèi)終端），提供貼合一二級生產(chǎn)主機特殊需求的安全防護，不影響原有業(yè)務(wù)的運行；為保障關(guān)鍵業(yè)務(wù)的運行，可建立穩定的運行環(huán)境，同時(shí)有效遏止至今已經(jīng)爆發(fā)的工控病毒（如“震網(wǎng)”、Havex、“勒索”等）及其變種的運行。

②防范未知的威脅，不需要額外的成本

主機執行單元通過(guò)建立穩定的計算環(huán)境，能對未知的病毒“免疫”。無(wú)論是黑客通過(guò)社會(huì )工程學(xué)的方式，還是利用零日漏洞的高級可持續性威脅攻擊，都無(wú)法侵入可信的計算環(huán)境。主機執行單元不需要做任何更新就能抵御不明的攻擊行為，沒(méi)有軟件更新和維護成本。

傳統防病毒方案以“病毒庫”為核心，需保障及時(shí)的庫更新才能有效發(fā)揮殺毒作用，更新周期需保持為小時(shí)、天級，但由于“病毒庫”技術(shù)是一項滯后于病毒發(fā)現的技術(shù)（即在發(fā)現某類(lèi)病毒并分析完成后，才可對其進(jìn)行防護與查殺），導致無(wú)法對未知或在野病毒進(jìn)行有效防護，本項目采用“白名單+可信機制”進(jìn)行主機防護。

2.1.3　流量執行單元

流量執行單元，是一款專(zhuān)門(mén)針對于工業(yè)控制網(wǎng)絡(luò )的數據安全產(chǎn)品。以工控協(xié)議指令級“4S”深度檢測技術(shù)為技術(shù)核心，支持多種工控協(xié)議（ModbusTCP、OPC、IEC60870-5-104、SiemensS7、EIP等）的深度報文解析，通過(guò)建立工控網(wǎng)絡(luò )安全通信矩陣，實(shí)時(shí)發(fā)現惡意指令、破壞行為、違規使用等安全事件，能夠持續收集并通過(guò)固定端口向Sever端上傳的所有日志。從而實(shí)現平臺對工控網(wǎng)絡(luò )數據的采集、分析、存儲并由平臺進(jìn)行告警、防護、學(xué)習等響應實(shí)施動(dòng)作。

流量執行單元的功能如下：

（1）流量異常檢測

（2）實(shí)時(shí)流量審計

（3）實(shí)時(shí)網(wǎng)絡(luò )連接審計

（4）實(shí)時(shí)主機數量審計

（5）基于業(yè)務(wù)的安全審計

（6）協(xié)議內容審計及工業(yè)協(xié)議深度解析

（7）日志審計

（8）通信管理

2.2  工業(yè)自適應平臺

作為核心平臺的信息處理中樞，支持橫向擴展分布式部署，能夠持續分析檢測從各個(gè)執行單元上接收到的信息和行為并進(jìn)行保存，可從各個(gè)維度的信息中發(fā)現漏洞、弱密碼、工業(yè)網(wǎng)絡(luò )薄弱點(diǎn)等安全風(fēng)險和Webshell寫(xiě)入行為、異常登錄行為、異常網(wǎng)絡(luò )連接行為、異常命令調用行為、工業(yè)協(xié)議篡改、入侵攻擊等異常行為，從而實(shí)現對入侵行為實(shí)時(shí)預警與防護。

圖3 工業(yè)自適應平臺

在工業(yè)網(wǎng)絡(luò )生產(chǎn)管理層或過(guò)程監控層部署工業(yè)自適應平臺，對全網(wǎng)各節點(diǎn)安全檢測執行單元的數據進(jìn)行收集，采用分布式計算和搜索引擎技術(shù)對所有數據進(jìn)行處理，能夠支撐大并發(fā)量計算及查詢(xún)的業(yè)務(wù)需求，并通過(guò)可視化的形式為用戶(hù)呈現網(wǎng)絡(luò )業(yè)務(wù)資產(chǎn)及針對網(wǎng)絡(luò )關(guān)鍵業(yè)務(wù)資產(chǎn)的攻擊與潛在威脅。

根據工業(yè)安全態(tài)勢感知平臺功能特點(diǎn)，本方案將安全分析引擎與平臺方案劃分為多元數據采集、信息理解分析、態(tài)勢可視化呈現三個(gè)過(guò)程單元。

2.2.1　多元數據采集

工業(yè)網(wǎng)絡(luò )安全數據通過(guò)部署在各廠(chǎng)區的網(wǎng)絡(luò )執行單元、流量執行單元、主機執行單元進(jìn)行采集、初步分析和上傳，平臺以資產(chǎn)為核心進(jìn)行數據收集、存儲、分類(lèi)，以備進(jìn)一步安全分析與應用。

通過(guò)對工業(yè)網(wǎng)相關(guān)數據進(jìn)行采集，形成統一的數據池，為后續的安全分析和態(tài)勢感知提供基礎支撐，由于數據采集方式的不同，以及相關(guān)設備的部署位置區別，將數據采集分為如下幾個(gè)方面：日志數據采集、流量信息采集、其他系統數據采集。安全數據通過(guò)各類(lèi)分布式執行單元采集完成后，采用加密的方式傳輸至自適應平臺系統。

2.2.2　信息理解分析

理解分析過(guò)程包含數據標準化處理、數據存儲、數據安全分析三部分。

（1）數據標準化處理在海量的原始數據中存在著(zhù)大量的不完整（有缺失值）、不一致、有異常的數據，嚴重影響到數據挖掘建模的執行效率，甚至可能導致挖掘結果的偏差，所以進(jìn)行數據清洗顯得尤為重要，數據清洗完成后接著(zhù)進(jìn)行或者同時(shí)進(jìn)行數據歸一化、集成、變換等一系列的處理，該過(guò)程就是數據標準化處理。

數據標準化處理將傳輸至平臺的安全數據按統一標準進(jìn)行數據清洗、數據歸約、歸一化和富化后進(jìn)行存儲和分析。

（3）數據安全存儲

工業(yè)自適應平臺采用大數據架構，而數據存儲是大數據的核心，針對結構化數據及非結構化數據實(shí)現數據集中存儲、管理與維護，能夠支持數據緩存、數據存儲、數據索引、數據分析等。數據存儲支持分布式存儲系統，為采集到的企業(yè)網(wǎng)各類(lèi)數據提供各種存儲接口實(shí)現對數據的快速寫(xiě)入、讀取等。分布式存儲要實(shí)現結構化數據、半結構化數據的存儲，同時(shí)要保證數據存儲的可靠性，保證數據高效可靠存儲。

工業(yè)自適應平臺可對多源異構的海量數據進(jìn)行存儲，支持對原始數據文件的分布式存儲，支持文本、鍵值對、對象等多種數據特征的存儲，最終滿(mǎn)足業(yè)務(wù)系統復雜數據源類(lèi)型的存儲需求。平臺支持對結構化數據、半結構化數據和非結構化數據的存儲，支持可伸縮的分布式數據存儲架構，滿(mǎn)足數據量持續增長(cháng)需求，支持集群的計算資源管理。

（3）數據安全分析

數據安全分析是工業(yè)自適應平臺的核心部分，數據安全分析通過(guò)關(guān)聯(lián)分析、場(chǎng)景分析、數據統計分析、機器學(xué)習等分析引擎發(fā)現安全事件。發(fā)現的安全事件將通過(guò)安全事件檢測、安全事件響應機制反饋到業(yè)務(wù)層中相關(guān)應用進(jìn)行人機交互。

①關(guān)聯(lián)分析引擎

關(guān)聯(lián)分析是數據挖掘中一項基礎又重要的技術(shù)，是一種在大型數據集合中發(fā)現變量之間復雜關(guān)系的方法。關(guān)聯(lián)規則其實(shí)是兩個(gè)項集之間的蘊涵表達式。如果我們有兩個(gè)不相交的項集X和Y，就可以有規則X→Y。項集和項集之間組合可以產(chǎn)生很多規則，但不是每個(gè)規則都是有用的，關(guān)聯(lián)分析可在一些限定條件來(lái)幫助我們找到強度高的規則。

工業(yè)自適應平臺關(guān)聯(lián)分析引擎能夠在大數據量級下，對數據進(jìn)行實(shí)時(shí)關(guān)聯(lián)分析。支持接入各種類(lèi)型和維度的數據，并支持對輸出結果進(jìn)行回注分析。關(guān)聯(lián)分析引擎提供如下計算單元：日志過(guò)濾、日志連接、聚類(lèi)統計、閾值比較和序列分析，可通過(guò)組合計算單元來(lái)實(shí)現自定義威脅事件發(fā)現規則。提供豐富的語(yǔ)義，包含統計、基線(xiàn)、關(guān)聯(lián)和序列等，以覆蓋各類(lèi)安全場(chǎng)景的威脅建模和發(fā)現。

②場(chǎng)景分析引擎場(chǎng)景是指在特定的主題下，通過(guò)引擎的一系列圖、表等可視化手段，依據攻防等經(jīng)驗構造的數據展示形式。旨在提供多維視角來(lái)查看相關(guān)數據，為發(fā)現、判斷網(wǎng)絡(luò )安全問(wèn)題提供幫助。解決了規則判定時(shí)，無(wú)法確定具體閾值的問(wèn)題，可根據自己網(wǎng)絡(luò )特點(diǎn)和經(jīng)驗進(jìn)行判斷。

場(chǎng)景化分析采用插件式架構，分為輸入插件、場(chǎng)景分析插件、輸出插件三種插件。

輸入插件：為場(chǎng)景化分析提供數據源，根據英賽克大數據平臺中數據存儲模塊的設計，數據將存儲于數據平臺中，各個(gè)場(chǎng)景化可通過(guò)配置一個(gè)輸入插件獲取數據源，各輸入插件相互獨立。

場(chǎng)景分析插件：各場(chǎng)景化分析核心邏輯，它們根據輸入插件而獲取的數據源進(jìn)行分析，并根據輸出插件，輸出結果并保存，中間結果（如緩存內容）由場(chǎng)景分析提供接口。

輸出插件：用于保存場(chǎng)景分析插件分析而得到的最終結果。

③機器學(xué)習引擎

機器學(xué)習可以概括為“使用正確的特征來(lái)構建正確的模型，以完成既定的任務(wù)”。特征（feature）是一種對問(wèn)題域中相關(guān)對象的描述，一旦獲得對問(wèn)題域中對象的某種恰當的特征表示，我們便不必再去關(guān)注這些對象本身。任務(wù)（task）是對我們所期望解決的、與問(wèn)題域對象有關(guān)問(wèn)題的一種抽象表示（例如兩類(lèi)或多類(lèi)分類(lèi)問(wèn)題）。許多任務(wù)都可以抽象為一個(gè)從數據點(diǎn)到輸出的映射，我們將這種映射稱(chēng)為模型（model），而這種映射或模型本身又是應用于訓練數據的某個(gè)機器學(xué)習算法的輸出。

④數據統計引擎

日常的安全分析中經(jīng)常會(huì )使用各種統計手段，傳統系統中經(jīng)常使用簡(jiǎn)單的SQL語(yǔ)句來(lái)完成相關(guān)數據庫日志的處理。但是在海量數據情況下，利用SQL已經(jīng)不再可能，而大數據平臺所提供的批處理手段雖然能夠實(shí)現數據統計，但往往需要等待很長(cháng)時(shí)間，無(wú)法滿(mǎn)足實(shí)時(shí)安全分析與響應的需要。

工業(yè)安全態(tài)勢感知平臺基于搜索基礎之上開(kāi)發(fā)了實(shí)時(shí)的統計分析功能，該功能可以針對日志的某一字段進(jìn)行數據歸并，并在以此數據為主鍵的前提下對其他字段進(jìn)行包括計數、排序、累加等相關(guān)操作。保證了在相對較小數據量的情況下可以快速反饋相關(guān)結果，為儀表板、調查分析等上層安全應用功能的使用提供了強有力的幫助。

同時(shí)為了應對大時(shí)間范圍數據的統計需要，工業(yè)安全態(tài)勢感知平臺也支持批量定時(shí)的統計任務(wù)，相關(guān)功能被報表應用使用的最為廣泛。

系統支持對資產(chǎn)、漏洞、告警自定義各種維度的可視化統計分析，這些維度包括資產(chǎn)組、資產(chǎn)操作系統類(lèi)型、資產(chǎn)責任人、資產(chǎn)廠(chǎng)家、IP地址、漏洞編號、告警類(lèi)型、告警狀態(tài)等，可以進(jìn)行兩個(gè)維度的對比使用，統計出所關(guān)注的各種維度的數量等信息?？梢陨筛鞣N所需維度的視圖并進(jìn)行展示，展示方式包括統計視圖，視圖種類(lèi)包括柱狀圖、折線(xiàn)圖、條形圖、面積圖、餅圖、詞云圖、玫瑰圖、表格等。同時(shí)自定義的可視化視圖可以被儀表板及報表系統調用。針對告警用戶(hù)可以指定告警加白策略，指定哪些條件下的告警內容不進(jìn)行告警展示。

2.2.3　自適應安全評估

（1）威脅評估

結合聚類(lèi)分析、關(guān)聯(lián)分析和序列模式分析等大數據分析方法對發(fā)現的惡意代碼、流量信息等威脅項進(jìn)行跟蹤分析。利用相關(guān)圖等相關(guān)性的方法檢測并擴建威脅列表,對網(wǎng)絡(luò )異常流量、網(wǎng)絡(luò )異常行為、已知攻擊手段、組合攻擊手段、未知漏洞攻擊和未知代碼攻擊、APT攻擊等多種類(lèi)型的地鐵網(wǎng)絡(luò )安全威脅數據進(jìn)行統計建模與評估。只有通過(guò)安全威脅評估，才能完成從數據到信息、從信息到網(wǎng)絡(luò )安全威脅情報的完整轉化過(guò)程,才能做到對攻擊行為、網(wǎng)絡(luò )系統異常等狀況的及時(shí)發(fā)現與檢測預測,實(shí)現全貌還原攻擊過(guò)程、攻擊者意圖目的,客觀(guān)評估攻擊投入和防護效能,為威脅溯源提供必要的線(xiàn)索支撐。

（2）自適應評估

以工業(yè)網(wǎng)絡(luò )安全事件監測為驅動(dòng),以安全威脅線(xiàn)索為牽引,對安全相關(guān)信息進(jìn)行匯聚融合,將多個(gè)安全事件聯(lián)系在一起進(jìn)行綜合評估與決策支撐,實(shí)現對整體網(wǎng)絡(luò )安全狀況的判定。

對安全事件尤其是對工業(yè)網(wǎng)絡(luò )空間安全相關(guān)信息進(jìn)行匯聚融合后所形成針對人、物、地、事和關(guān)系的多維安全事件知識圖譜,是安全自適應分析的關(guān)鍵。工控安全自適應與決策支撐技術(shù)從“人”的角度評估攻擊者的身份、團伙關(guān)系、行為和動(dòng)機意圖；從“物”的角度評估其工具手段、網(wǎng)絡(luò )要素、虛擬資產(chǎn)和保護目標；從“地”的角度評估其地域、關(guān)鍵部位、活動(dòng)場(chǎng)所和途徑軌跡；從“事”的角度評估攻擊事件的相似關(guān)系、同源關(guān)系。

（3）自適應防護通過(guò)結合工業(yè)協(xié)議分析、威脅評估、自適應評估等所有安全分析與評估結果，對工控網(wǎng)絡(luò )進(jìn)行綜合評估，并對其網(wǎng)絡(luò )薄弱點(diǎn)、事件發(fā)生、疑似威脅點(diǎn)采取對應的防護措施，下發(fā)任務(wù)給執行單元，并作出相對應的告警通知。

3　代表性及推廣價(jià)值

該項目實(shí)施前，工控系統網(wǎng)絡(luò )安全防護采用傳動(dòng)模式，即工程師站、操作員站、HMI服務(wù)器、數據服務(wù)器、工藝服務(wù)器、模型服務(wù)器等安裝賽門(mén)鐵克、諾頓等主流通用型殺毒軟件，按授權時(shí)間費用不等，軟件授權到期后更新授權、更新病毒庫需再次發(fā)生費用。項目實(shí)施后，主要經(jīng)濟效益包括兩部分：

目前公司工控系統主機配置共1478臺/套，基本處于無(wú)防護狀態(tài)，若按集團系統優(yōu)化部要求配備賽門(mén)鐵克殺毒軟件（系統中賽門(mén)鐵克端點(diǎn)安全12.1版、50用戶(hù)、3年升級服務(wù)價(jià)格為21800元），年均節約費用為：1478×21800/50/3=21.48萬(wàn)元

項目實(shí)施后完成了公司工控系統主機防護和關(guān)鍵網(wǎng)絡(luò )隔離，能夠保障公司各產(chǎn)線(xiàn)生產(chǎn)運行穩定，有效抵御病毒攻擊造成的生產(chǎn)停機。從統計數據分析，平均事故處理時(shí)間為15.1小時(shí)，結合近兩年煉鋼鑄機中毒、冷軋表檢儀服務(wù)器中毒、中厚板4300剪切線(xiàn)中毒、鋼軋藍屏4起問(wèn)題，按照每年抵御2次網(wǎng)絡(luò )病毒攻擊，有效減少停機30.2小時(shí)，以煉鋼廠(chǎng)工序為標準，按停機損失進(jìn)行效益評估，煉鋼部年損失合計為1067.92萬(wàn)元。

綜上，項目總年效益預計為1089.4萬(wàn)元。

此方案結合自適應技術(shù)，形成的一套涵括工業(yè)互聯(lián)網(wǎng)云、管、邊、端各層面安全需求的整體解決方案。該解決方案可廣泛應用與冶金、水處理、電力、煤炭、石油石化、港口、軌道交通、煙草、汽車(chē)等多個(gè)行業(yè)企業(yè)，切實(shí)為客戶(hù)解決工業(yè)互聯(lián)網(wǎng)安全威脅。

摘自《自動(dòng)化博覽》2023年4月刊