★敖翔中國煙草總公司遼寧省公司

關(guān)鍵詞：網(wǎng)絡(luò )安全監測；網(wǎng)絡(luò )安全防護；網(wǎng)絡(luò )安全管理；網(wǎng)絡(luò )安全服務(wù)

1　項目概況

1.1　項目背景

近些年來(lái)，網(wǎng)絡(luò )安全環(huán)境逐漸惡化，基于工業(yè)網(wǎng)絡(luò )的獨特性和脆弱性，針對工控系統的網(wǎng)絡(luò )攻擊已經(jīng)愈演愈烈，安全威脅已經(jīng)蔓延至工業(yè)信息系統。我單位下屬13個(gè)地市公司各建設了一個(gè)物流分揀系統，均是由工控設備和工控協(xié)議構成的工業(yè)控制網(wǎng)絡(luò )系統，在兩化融合趨勢下，下屬地市公司的工控網(wǎng)絡(luò )與辦公網(wǎng)絡(luò )互聯(lián)互通是必然之勢。兩化融合在極大地提升生產(chǎn)效率和管理便利性的同時(shí)，也帶來(lái)了一系列的安全隱患。隨著(zhù)行業(yè)網(wǎng)絡(luò )安全建設的不斷深入，行業(yè)頭部先后發(fā)布了一系列網(wǎng)絡(luò )安全建設指導規范，我單位基于業(yè)務(wù)現狀出發(fā)，積極響應國家及行業(yè)頭部號召，“腳踏實(shí)地、大膽創(chuàng )新”，緊密貼合業(yè)務(wù)實(shí)際需求開(kāi)展工業(yè)系統網(wǎng)絡(luò )安全監測防護體系建設，形成了獨有的“1+N”安全監測及服務(wù)支撐模式，有效保障了我單位工業(yè)信息系統的穩定運行。

1.2　項目簡(jiǎn)介

中國煙草總公司遼寧省公司基于業(yè)務(wù)現狀出發(fā)，經(jīng)充分調研論證以“1+2+2+13”為建設思路建成省公司+13個(gè)地市公司的工業(yè)安全監測防護體系。

1個(gè)目標：物流分揀系統網(wǎng)絡(luò )安全穩定運行；

2個(gè)思路：安全運行技術(shù)監測、安全管理服務(wù)支撐；

2個(gè)體系：工業(yè)安全監測技術(shù)體系、工業(yè)安全服務(wù)支撐體系；

13個(gè)地市：覆蓋13個(gè)地市公司的工業(yè)安全監測防護體系。

依托“1+2+2+13”建設思路，我單位通過(guò)技術(shù)與服務(wù)相結合，在13個(gè)地市公司物流分揀系統內部署安全設備，將安全監測數據實(shí)時(shí)上報至省公司工業(yè)態(tài)勢感知平臺，并通過(guò)安全服務(wù)支撐體系，依托省公司技術(shù)團隊為主體實(shí)現對下屬13個(gè)地市公司的安全服務(wù)支撐及安全周期檢查。我單位以安全監測體系為基礎，以安全服務(wù)體系為支撐，以安全監管和安全檢查為驅動(dòng)力，推動(dòng)了“1+N”工業(yè)安全監測防護體系的運行，保障了全省物流分揀系統網(wǎng)絡(luò )運行安全。

1.3　項目目標

中國煙草總公司遼寧省公司“1+N”工業(yè)安全監測防護體系建設自規劃之初就充分調研安全現狀及安全運維問(wèn)題，現主要歸結為以下三點(diǎn)：

（1）網(wǎng)絡(luò )攻擊風(fēng)險：物流分揀系統高度自動(dòng)化、智能化，同時(shí)需要同辦公網(wǎng)絡(luò )聯(lián)接來(lái)接收生產(chǎn)信息，因為物流分揀系統自身的脆弱性與防護能力欠缺等問(wèn)題，其時(shí)刻承受著(zhù)來(lái)自辦公網(wǎng)絡(luò )以及其他未知的網(wǎng)絡(luò )安全攻擊的可能性。

（2）運維安全風(fēng)險：物流分揀系統運行環(huán)境復雜，運維技術(shù)要求較高，13個(gè)地市公司距離較遠，在安全運維、安全監測、應急響應處理等方面帶來(lái)了技術(shù)難度與建設成本的多方面挑戰。

（3）不足監管風(fēng)險：省公司安全監管能力無(wú)法下沉至物流分揀系統，只能依靠下屬地市公司自行運維自行管理，安全運維及安全基線(xiàn)難以統一，無(wú)法在頂層視角基于13個(gè)地市公司做統一安全監測與規劃，進(jìn)而導致地市公司網(wǎng)絡(luò )安全隱患頻發(fā)。

基于上述隱患，為提升物流分揀系統網(wǎng)絡(luò )安全防御能力、加強安全風(fēng)險監測與識別能力、提升安全運維水平及地市公司應急響應能力，我單位特開(kāi)展“1+N”工業(yè)安全監測防護體系建設，力求實(shí)現工業(yè)安全全局監管、防護水平穩步提升、安全監測降低風(fēng)險、應急機制規避事故、培訓體系夯實(shí)“底線(xiàn)”。

2　項目實(shí)施

2.1　系統架構（如圖1所示）

圖1 系統架構圖

2.2　技術(shù)方案

2.2.1　安全建設思路

基于中國煙草總公司遼寧省公司現狀及安全需求，我單位針對13個(gè)地市公司物流分揀系統的安全建設從兩個(gè)思路出發(fā)做統一規劃：

（1）安全運行技術(shù)監測：基于工業(yè)控制系統的特殊性和復雜性，安全建設主要以安全監測和應急響應為主。為確保物流分揀系統穩定運行，我單位構建了安全運行技術(shù)監測體系，形成了“1+13”模式，一盤(pán)棋、一張圖展現13個(gè)地市公司物流分揀系統的運行狀況，一旦發(fā)生安全問(wèn)題，省公司安全運行中心可以及時(shí)應急預警與響應。

（2）安全管理服務(wù)檢查：13個(gè)地市公司距離較遠，運維及安全建設省公司統一規劃后真正落地成效不一，因此在安全監測體系之外我單位創(chuàng )新構建了安全管理及服務(wù)檢查體系，并制定了針對工業(yè)控制系統的安全應急響應標準、安全運行基線(xiàn)、資產(chǎn)變更上報制度，同時(shí)依托安全監測體系的技術(shù)能力及安全運營(yíng)中心的技術(shù)團隊，對13地市公司進(jìn)行安全周期檢查、網(wǎng)絡(luò )變更風(fēng)險稽查、網(wǎng)絡(luò )安全培訓。我單位在安全監測技術(shù)體系之外以安全管理體系與安全服務(wù)體系為驅動(dòng)力，促使13地市公司物流分揀系統網(wǎng)絡(luò )安全防護水平穩步提升。

2.2.2　安全建設方案

（1）安全監測體系

本項目在13個(gè)地市公司物流分揀系統同辦公網(wǎng)絡(luò )交界處部署工業(yè)安全網(wǎng)關(guān)，在物流分揀系統內部旁路部署工業(yè)入侵監測系統，實(shí)現公司物流分揀系統同辦公網(wǎng)絡(luò )的嚴格訪(fǎng)問(wèn)控制及物流分揀系統的網(wǎng)絡(luò )安全監測。在省公司安全運營(yíng)中心部署工業(yè)態(tài)勢感知系統，13地市公司安全設備日志通過(guò)專(zhuān)網(wǎng)將日志及告警信息上報至工業(yè)態(tài)勢感知系統，實(shí)現13地市物流分揀系統整體安全監控。

在省公司運營(yíng)中心部署工控漏洞掃描系統，周期性地對13個(gè)地市公司物流分揀系統進(jìn)行漏洞掃描，發(fā)現安全威脅，省公司運營(yíng)中心第一時(shí)間做應急通告及安全處置。13個(gè)地市的工業(yè)安全網(wǎng)關(guān)通過(guò)省公司運營(yíng)中心堡壘機可進(jìn)行運維操作，如發(fā)生安全事件地市公司無(wú)法第一時(shí)間應急響應，省公司運營(yíng)中心監測人員第一時(shí)間將物流分揀系統同辦公網(wǎng)絡(luò )進(jìn)行隔離，確保安全威脅在可控區域被有效控制。

依托1+13的安全監測體系，本項目構建應急監測和應急響應與處置于一體的安全防護模式，以監測數據對13地市安全狀況做整體考核，推動(dòng)各地市公司網(wǎng)絡(luò )安全工作的有序推進(jìn)和整體提升，最終實(shí)現安全態(tài)勢清晰掌控、安全應急快速響應、安全運維考核驅動(dòng)。

（2）安全服務(wù)支撐體系

基于安全管理與服務(wù)檢查的安全建設思路，我單位在省公司安全運營(yíng)中心部署工業(yè)漏洞掃描設備及安全建設工具箱，做安全檢查支撐；制定安全應急響應標準、安全運行基線(xiàn)、資產(chǎn)變更上報制度，依托安全監測體系的技術(shù)能力及安全運營(yíng)中心的技術(shù)團隊，對13地市公司進(jìn)行安全周期檢查、網(wǎng)絡(luò )變更風(fēng)險稽查、網(wǎng)絡(luò )安全培訓。具體方案如下：

安全檢查

·每周漏洞掃描：運營(yíng)中心通過(guò)專(zhuān)網(wǎng)對物流分揀系統進(jìn)行漏洞掃描，識別安全隱患，建立漏洞問(wèn)題閉環(huán)機制，識別漏洞下發(fā)地市公司，規定時(shí)間內修復，技術(shù)人員核驗漏洞修復結果。

·安全周期檢查：針對地市公司物流分揀系統，運營(yíng)中心組建技術(shù)團隊采用安全檢查工具箱每月對地市公司進(jìn)行抽查，針對安全管理制度、安全運維執行情況、物流分揀系統安全隱患等進(jìn)行檢查，以技術(shù)+管理兩個(gè)維度進(jìn)行安全檢查。

·資產(chǎn)變更上報：任何同物流分揀系統相關(guān)網(wǎng)絡(luò )變動(dòng)產(chǎn)生資產(chǎn)變更情況強制要求上報審核，確保資產(chǎn)變更無(wú)風(fēng)險方可做變更操作，同時(shí)針對變更結果同安全監測體系監測到的資產(chǎn)信息做比對，確保資產(chǎn)變更風(fēng)險可控。

·網(wǎng)絡(luò )變更核查：因工業(yè)控制系統特殊性，不宜改變其原有結構及引入未知風(fēng)險，任何同物流分揀系統相關(guān)網(wǎng)絡(luò )變動(dòng)產(chǎn)生資產(chǎn)變更情況強制要求進(jìn)行變更稽查，變更資產(chǎn)進(jìn)行風(fēng)險評估，各地市公司在風(fēng)險評估后無(wú)問(wèn)題后新資產(chǎn)方可變更上線(xiàn)。

安全服務(wù)

·安全運行基線(xiàn)：參考等級保護相關(guān)要求并結合業(yè)務(wù)特性針對物流分揀系統建立安全運行基線(xiàn)，從安全計算環(huán)境、安全通信網(wǎng)絡(luò )、安全區域邊界等不同維度建立安全運行基線(xiàn)，要求地市公司自查整改，同時(shí)作為安全周期檢查重要指標。

·安全應急響應：建立雙向應急響應機制，運營(yíng)中心監測發(fā)現問(wèn)題第一時(shí)間通告地市公司并提供遠程應急能力，視情況現場(chǎng)支持。同時(shí)地市技術(shù)人員發(fā)現安全隱患可直接匯報至運營(yíng)中心。以運營(yíng)中心技術(shù)人員為核心成員、以地市公司技術(shù)人員為小組成員組建安全應急響應支撐小組，實(shí)現應急能力高效流轉、應急水平穩步提升、安全風(fēng)險同知同查。

·網(wǎng)絡(luò )安全培訓：以應急響應小組為核心，針對所有技術(shù)人員及物流分揀系統相關(guān)人員開(kāi)展不同類(lèi)型的安全培訓，從應急響應、安全運維、安全基線(xiàn)要求、安全意識等不同維度做知識傳遞與考核。車(chē)間工人定期進(jìn)行安全意識考核，考核通過(guò)方可上崗。

2.2.3　項目應用效果

通過(guò)安全“1+N”工業(yè)安全監測防護體系的建設，本項目實(shí)現了從安全全局監管、安全統一監測、安全運維驅動(dòng)、安全應急響應等多個(gè)維度的能力塑造，填補了我單位工業(yè)安全領(lǐng)域的安全能力缺口；創(chuàng )新事件技術(shù)與服務(wù)結合模式，在大幅降低物流分揀系統威脅告警數量的同時(shí)，實(shí)現了安全風(fēng)險閉環(huán)管理。同時(shí)將安全基線(xiàn)、安全培訓、安全檢查等安全手段應用于工業(yè)安全領(lǐng)域，有效提升了綜合防護水平，降低了風(fēng)險隱患，規避了重大事故，夯實(shí)了“安全底線(xiàn)”，為中國煙草總公司遼寧省公司整體網(wǎng)絡(luò )安全建設工作補齊了安全短板，創(chuàng )造了穩定運行條件，支撐了業(yè)務(wù)發(fā)展。

2.3　項目成果

2.3.1　安全監測體系成果展示

本項目基于工業(yè)安全監測體系的構建，實(shí)現對13個(gè)地市公司物流分揀系統的安全監測。本項目從綜合態(tài)勢感知、脆弱性威脅、安全威脅分析等多個(gè)維度實(shí)現一盤(pán)棋、一張圖展現13個(gè)地市公司物流分揀系統的運行狀況，并清晰展示了13個(gè)地市公司物流分揀系統的工業(yè)安全數據（如：資產(chǎn)風(fēng)險統計、威脅類(lèi)型TOP5、重點(diǎn)安全事件、風(fēng)險資產(chǎn)分布、主要威脅分析等）。

安全監測體系針對工業(yè)信息系統主要威脅（非法外聯(lián)、僵木蠕、工控行為）開(kāi)發(fā)了監測模塊，實(shí)現針對物流分揀系統內部主機非法外聯(lián)的安全監測及統計分析能力，并能及時(shí)發(fā)現、定向處理，確保了主機及系統安全；針對僵木蠕做7×24實(shí)時(shí)監測，結合非法外聯(lián)管控實(shí)現從根本上杜絕針對工業(yè)信息系統常見(jiàn)的僵木蠕及勒索軟件攻擊；同時(shí)基于工業(yè)流量及工控行為建立了安全監測模塊，可以從行為（不局限于攻擊）維度分析工業(yè)信息系統運行態(tài)勢，確保了系統穩定運行。監測成果如圖2~圖6所示。

圖2 脆弱性態(tài)勢感知大屏

圖3 威脅分析大屏

圖4 非法外聯(lián)監測模塊

圖5 僵木蠕監測模塊

圖6 工控行為監測模塊

2.3.2　安全服務(wù)支撐體系成果展示

我單位采用技術(shù)+服務(wù)結合的模式，監測為主服務(wù)為輔，依托安全服務(wù)支撐體系，以應急響應、安全培訓為支撐點(diǎn)，提升了地市公司技術(shù)能力，配合了安全檢測技術(shù)體系監測成果，并以監管為驅動(dòng)，實(shí)現漏洞數量、異常行為、攻擊事件、非法外聯(lián)、僵木蠕等事件的連續降低，切實(shí)提升了地市公司安全建設成效，提升了地市公司防護水平，降低了風(fēng)險隱患，規避了重大事故，夯實(shí)了“安全底線(xiàn)”。同時(shí)依托漏洞安全設備，實(shí)現對體系內所有漏洞信息的統一概覽及漏洞閉環(huán)。

3　案例亮點(diǎn)及創(chuàng )新性

3.1　1+N工業(yè)體系創(chuàng )新

我單位基于現狀，在多分支（13個(gè)地市公司）、覆蓋廣（地理位置廣）、技術(shù)弱（地市技術(shù)能力弱）的情況下大膽探索勇于創(chuàng )新，建成了集工業(yè)安全監測和工業(yè)安全服務(wù)支撐為一體的“1+N”工業(yè)安全監測防護體系，并從安全全局監管、安全統一監測、安全運維驅動(dòng)、安全應急響應等多個(gè)維度為“1+N”業(yè)務(wù)模式提供了創(chuàng )新思路。

3.2　技術(shù)+服務(wù)結合

傳統安全多采用服務(wù)輔助安全建設的模式，在工業(yè)信息安全領(lǐng)域多以監測為主，而安全監測在安全運維過(guò)程中成效較低，難以發(fā)揮實(shí)際應用效果。我單位創(chuàng )新采用技術(shù)+服務(wù)結合的模式，監測為主服務(wù)為輔，實(shí)現了基線(xiàn)建設提升防護水平、安全監測降低風(fēng)險隱患、應急機制規避重大事故、培訓體系夯實(shí)“安全底線(xiàn)”。服務(wù)驅動(dòng)技術(shù)保障為工業(yè)信息安全建設創(chuàng )造了新模式。

3.3　監管+考核驅動(dòng)

工業(yè)信息系統通常都是多分支、多車(chē)間、系統分散，安全建設成本高成效低，并且沒(méi)辦法實(shí)現安全統一化，無(wú)法從高層視角去做統一監管與考核，進(jìn)而往往以合規建設為主要思路。我單位打破常規，改變思路，以安全監管為切入視角，建立安全監測體系實(shí)現全局監管并可對不同分支進(jìn)行考核評價(jià)，以考核結果推動(dòng)合規建設及問(wèn)題閉環(huán)，進(jìn)而實(shí)現安全全局化、全局標準化、標準統一化，有效提升了安全建設成效。

作者簡(jiǎn)介

敖　翔（1980-），男，內蒙古自治區人，中級工程師，學(xué)士，現就職于中國煙草總公司遼寧省公司，主要從事研究信息安全、數據安全方面的研究。

摘自《自動(dòng)化博覽》2024年1月刊