★余夢(mèng)達，申屠思倩中控技術(shù)股份有限公司

關(guān)鍵詞：工業(yè)信息安全；三級運營(yíng)防護；數據安全

1　項目概況

1.1項目背景

作為國內首個(gè)4000萬(wàn)噸/年煉油一次性統籌規劃的煉化一體化項目，目前世界上投資最大的單體產(chǎn)業(yè)項目，浙江石油化工有限公司（以下簡(jiǎn)稱(chēng)：浙石化）規模龐大且復雜，其配備多家廠(chǎng)家的控制系統，工業(yè)數據已經(jīng)成為其未來(lái)智能工廠(chǎng)的重要支柱。為了保障生產(chǎn)穩定運行，浙石化在2022年至2023年開(kāi)展了工業(yè)網(wǎng)絡(luò )安全等級保護建設工作，以解決網(wǎng)絡(luò )安全合規以及重要工業(yè)數據安全問(wèn)題。浙石化以“固、防、管體系”為指導思想，遵照數據安全法、網(wǎng)絡(luò )安全法以及工業(yè)企業(yè)數據安全防護要求等相關(guān)標準，在工控系統安全需求的基礎上，構建了一套運營(yíng)、預警、防護、檢測、響應自適應閉環(huán)的數據安全防護體系。該體系可以全面感知工控系統遇到或可能遇到的數據安全風(fēng)險，提升了系統的整體安全防御能力。

1.2項目簡(jiǎn)介

在工業(yè)信息安全三級運營(yíng)防護體系建設過(guò)程中，本項目結合浙石化行業(yè)的特點(diǎn)和上級指導政策的要求，提出了可以適配石化行業(yè)的解決方案，提供信息資產(chǎn)管理、威脅情報聯(lián)動(dòng)、工業(yè)安全實(shí)訓驗證、應急處置、工單處理接口、工業(yè)安全劇本建設等能力，解決了工業(yè)安全防護難題，為智能工廠(chǎng)工業(yè)安全打下了堅實(shí)基礎。

在整個(gè)三級運營(yíng)體系建設過(guò)程中，我們通過(guò)多方調研和取證分析，證明了本項目在多維度工業(yè)資產(chǎn)、信息統一管理和分析等方面具有創(chuàng )新性的建設。且各個(gè)層級的安全防護與數據交互比較容易落地，切合石化行業(yè)場(chǎng)景，具有相對不錯的可推廣性。

1.3項目目標

工業(yè)信息安全三級運營(yíng)體系從內到外構成自主可控的多層次“內建安全（固）、縱深防御（防）、安全運維（管）”技術(shù)體系。在底層構建內建安全產(chǎn)品體系，確?？刂葡到y本身具有網(wǎng)絡(luò )安全“健壯性”；在數據安全方面，采用數據安全檢測、防護、備份恢復等手段，同時(shí)規劃數據安全運維體系，確保數據安全的長(cháng)期、持續有效；在中間層建設包括安全通信網(wǎng)絡(luò )、安全區域邊界、安全計算環(huán)境以及安全管理中心的縱深防御體系，并遵循“零信任”原則；在最上層，捕獲所有產(chǎn)品的數據，包括資產(chǎn)、日志、事件等，進(jìn)行集中資產(chǎn)畫(huà)像、事前情報聯(lián)動(dòng)等分析，實(shí)現本地威脅分析與第三方威脅情報相結合的應急處理機制，實(shí)現安全運維與安全運營(yíng)的目標。

2　項目實(shí)施

本方案以工控系統的主機、網(wǎng)絡(luò )、數據等為對象，根據信息安全相關(guān)服務(wù)標準，實(shí)施安全檢查及運維服務(wù)，并提供高端的全面安全體系建設和細節的技術(shù)解決措施，為企業(yè)提供全面或部分信息安全解決方案，以實(shí)現企業(yè)的信息安全。

工業(yè)信息安全三級運營(yíng)體系整體架構如圖1所示。

圖1 工業(yè)信息安全三級運營(yíng)體系整體架構圖

2.1安管中心

安管中心針對不同的裝置及廠(chǎng)區，以終端安全、邊界安全、入侵檢測、日志審計等為核心，建設縱向和橫向的安全防護體系。

（1）為現場(chǎng)工控上位機與服務(wù)器配置主機安全衛士專(zhuān)業(yè)版，實(shí)現對工業(yè)主機的全面安全防護；根據白名單列表對可執行文件的執行進(jìn)行監控，對白名單內的可執行文件允許執行，對白名單外的可執行文件阻止執行，保障工控主機安全。

（2）參照中控技術(shù)最新發(fā)布的《2020 Q3Windows補丁安裝指南》更新通過(guò)兼容性測試的操作系統補丁。

（3）由中控工程師實(shí)施安全基線(xiàn)配置服務(wù)，關(guān)閉上位機不必要的服務(wù)，如RDP、SMB等高危服務(wù)；關(guān)閉上位機不必要的端口，如3389、445等高危端口；禁用網(wǎng)絡(luò )交換設備不使用的端口。

（4）在邊界部署工業(yè)防火墻，深度解析、智能隔離，使控制網(wǎng)與外網(wǎng)實(shí)現隔離；加固網(wǎng)絡(luò )結構，實(shí)現控制網(wǎng)架構內部分區有效阻止異常數據擴散。

（5）部署工控安管平臺、入侵檢測系統、日志審計系統，同步監測防御計算機病毒攻擊及異常流量，實(shí)現網(wǎng)絡(luò )診斷功能，實(shí)時(shí)監控網(wǎng)絡(luò )狀態(tài)、及時(shí)告警和日志記錄，保護系統安全。

（6）配置數據備份恢復系統，智能備份，提高工控信息安全保障及容災恢復能力。

功能簡(jiǎn)介：主機安全衛士：采用“白名單+黑名單”防護機制提供多層次安全保護。根據白名單列表對可執行文件的執行進(jìn)行監控，對白名單外的可執行文件阻止執行，有效阻止病毒、木馬及0-day漏洞的感染和被利用，保障工控主機安全。同時(shí)具備強大黑名單功能，可對系統文件進(jìn)行深度掃描，識別并查殺惡意代碼。主機安全衛士軟件滿(mǎn)足符合性、連續性、可靠性的設計原則，不影響控制系統的正常運行，內存占用和CPU使用率低，具備強大的自身安全性和易管理性。病毒庫由中控服務(wù)人員定期更新（或定期寄送光盤(pán)，由現場(chǎng)人員自行升級）。

工業(yè)防火墻：是面向工業(yè)控制系統網(wǎng)絡(luò )的邏輯隔離類(lèi)安全防護產(chǎn)品，支持OPC工業(yè)協(xié)議深度防護，支持指令級白名單的訪(fǎng)問(wèn)控制。通過(guò)對工業(yè)控制協(xié)議的深度解析，運用“白名單”技術(shù)建立工控網(wǎng)絡(luò )安全通信模型，可以阻斷一切非法訪(fǎng)問(wèn)，僅允許可信的流量在網(wǎng)絡(luò )上傳輸，為工控網(wǎng)絡(luò )與外部網(wǎng)絡(luò )互聯(lián)、工控網(wǎng)絡(luò )內部區域之間的連接提供了安全保障。

工控安全管理平臺：主要用于統一管理全廠(chǎng)工控安全設備，包括審計日志、分析事件行為、統一配置設備參數等。由硬件設備及內置平臺軟件組成。硬件設備含獨立主板，可安裝操作系統和平臺軟件；平臺軟件基于Linux系統運行，可通過(guò)WEB客戶(hù)端訪(fǎng)問(wèn)，用于查閱數據或配置參數等。

入侵檢測：旁路部署于可網(wǎng)管交換機上，通過(guò)流量鏡像，可以對可能針對DPU、DCS等控制裝置發(fā)動(dòng)的攻擊行為進(jìn)行有效檢測和預防，可以對工業(yè)控制系統可能面臨的攻擊行為進(jìn)行有效檢測，可以針對工業(yè)協(xié)議進(jìn)行深度解析，可以針對工業(yè)網(wǎng)絡(luò )協(xié)議的內容和數據進(jìn)行細致的合規性檢查，并通過(guò)事前告警、事中防護、事后取證三個(gè)角度分析事件。

日志審計：核心交換機處配置日志審計系統，通過(guò)內置的日志采集功能可對大量分散設備的異構日志進(jìn)行集中采集，也可以實(shí)時(shí)采集不同廠(chǎng)商的安全設備、網(wǎng)絡(luò )設備、主機、操作系統以及各種應用系統產(chǎn)生的日志信息，然后經(jīng)過(guò)統一的日志管理過(guò)程，如日志范式化處理等，將采集來(lái)的海量的異構的日志信息進(jìn)行集中化的解析和存儲，結合資產(chǎn)管理模塊、事件告警模塊的相關(guān)規則以及配置，形成事件告警信息。

數據備份恢復系統：在控制系統網(wǎng)絡(luò )中部署專(zhuān)用的數據備份服務(wù)器，可以對現場(chǎng)重要數據服務(wù)器以及工業(yè)主機采用自動(dòng)化的數據備份與恢復服務(wù)，確保關(guān)鍵數據可以得到安全效率的備份，即使在故障發(fā)生時(shí)，也能保證快速地恢復，使得生產(chǎn)業(yè)務(wù)保持連續性。

安全基線(xiàn)配置：開(kāi)展服務(wù)和端口禁用等工業(yè)控制網(wǎng)絡(luò )安全配置、遠程控制管理、默認賬戶(hù)管理等工業(yè)主機安全配置、口令策略合規性等工業(yè)控制設備安全配置，建立相應的配置清單，方便用戶(hù)責任人定期進(jìn)行管理、維護和配置核查審計。安全基線(xiàn)配置須確保與控制系統軟件完美兼容，否則將影響工控系統運行。

協(xié)助建立工控安全管理制度：包括人員安全管理、工業(yè)控制系統設備及網(wǎng)絡(luò )設備配置清單、訪(fǎng)問(wèn)權限、訪(fǎng)問(wèn)日志等方面的審計工作；人員的日常運行、考核培訓、錄用、離職轉崗等管理要求；工業(yè)控制系統信息資產(chǎn)的管理（購買(mǎi)、更新、退役等）、數據資產(chǎn)的安全管理、風(fēng)險評估，數據分級分類(lèi)管理等；關(guān)鍵物理區域、關(guān)鍵系統、重要設備的訪(fǎng)問(wèn)控制管理以及工控主機、服務(wù)器的防病毒安全防護。

3　預警中心

預警中心以漏洞掃描、攻擊檢測與入侵檢測、安全事件日志分析等技術(shù)為支撐構建廠(chǎng)級的管理中心，實(shí)現全廠(chǎng)資產(chǎn)、日志、事件、流量等數據的捕捉與分析，實(shí)現全廠(chǎng)風(fēng)險識別與安全管理。

態(tài)勢感知功能：從資產(chǎn)、漏洞、威脅、行為和攻擊五個(gè)維度分析用戶(hù)安全狀態(tài)，資產(chǎn)態(tài)勢、漏洞態(tài)勢、威脅態(tài)勢、行為態(tài)勢、攻擊態(tài)勢和安全響應五維一體，全方位分析和展示用戶(hù)安全態(tài)勢，為安全管理和運營(yíng)維護提供平臺支撐。

資產(chǎn)管理功能：支持從部門(mén)、業(yè)務(wù)、地理位置等視圖維度進(jìn)行資產(chǎn)維護；平臺內置了主機、網(wǎng)絡(luò )設備、安全設備、數據庫、應用服務(wù)器等100多種資產(chǎn)類(lèi)型，覆蓋了市面上大部分主流設備類(lèi)型。

漏洞管理功能：支持調度漏掃工具、手工增加及文件導入漏洞、漏洞自動(dòng)關(guān)聯(lián)資產(chǎn)；支持漏洞檢索、漏洞跟蹤和漏洞處置，涵蓋漏洞管理全生命周期；支持漏洞態(tài)勢和細粒度監視，包括新增漏洞、高危漏洞、漏洞資產(chǎn)告警、漏洞分布和漏洞趨勢。

4　運營(yíng)中心

運營(yíng)中心部署在集團層級，通過(guò)資產(chǎn)管理、日志及事件捕獲、威脅情報分析、工單管理與應急處理等模塊實(shí)現對安管中心、預警中心所有安全設備、控制系統設備的資產(chǎn)、狀態(tài)、日志、配置等數據的集中管控與分析，并通過(guò)大屏等形式進(jìn)行全數據的集中展示。

用戶(hù)分析功能：通過(guò)分析對事件的威脅類(lèi)別、程度、頻度和偏離度，將所有事件表示的活動(dòng)和行為關(guān)聯(lián)到資產(chǎn)和用戶(hù)，采用多因子風(fēng)險評分智能算法自動(dòng)發(fā)現異常用戶(hù)和行為，無(wú)需預定義分析規則。

事件關(guān)聯(lián)分析功能：事件模塊支持多事件關(guān)聯(lián)查詢(xún)，對于歷史事件可以根據創(chuàng )建的關(guān)聯(lián)條件和時(shí)間段對多個(gè)事件進(jìn)行自動(dòng)關(guān)聯(lián)分析，例如用戶(hù)可以根據需求將來(lái)自不同事件源的事件和日志進(jìn)行關(guān)聯(lián)查詢(xún)和檢索，幫助安全分析人員發(fā)現潛在的高級威脅，查詢(xún)檢索的關(guān)聯(lián)事件可以進(jìn)行字段詳細對比和進(jìn)一步下鉆追溯。

安全編排功能：安全編排自動(dòng)化及響應簡(jiǎn)單地說(shuō)就是通過(guò)可編輯的自動(dòng)化操作實(shí)現事件關(guān)聯(lián)、威脅告警、相關(guān)驗證、聯(lián)動(dòng)響應等安全運營(yíng)全流程。通過(guò)安全編排，在一個(gè)工作流程中關(guān)聯(lián)協(xié)同各類(lèi)安全產(chǎn)品和管理系統，結合威脅情報，可以發(fā)現真正的威脅事件，并自動(dòng)執行處置任務(wù)快速進(jìn)行安全響應。安全編排可以根據預定義的安全場(chǎng)景創(chuàng )建相關(guān)規則劇本，規則劇本啟用后實(shí)時(shí)運行，按照定義的安全編排劇本自動(dòng)關(guān)聯(lián)分析相關(guān)事件、情報、資產(chǎn)、用戶(hù)等數據，觸發(fā)告警并執行相應的處置動(dòng)作。

數據模型與數據視圖功能：針對行業(yè)業(yè)務(wù)應用的不同，平臺提供了可定制的數據模型，根據業(yè)務(wù)需求可對事件、告警、資產(chǎn)等重要數據自定義數據模型，包括自定義數據字段、字典表、日志解析模式等，能夠自動(dòng)適配儀表板、大屏展示、事件探查、告警和報表等。根據業(yè)務(wù)需求可對事件、告警、資產(chǎn)定義多維數據視圖，數據視圖能被儀表板、大屏展示和報表引用。

supSSOC工業(yè)信息安全運維服務(wù)：依托中控在全國上百家5S店長(cháng)期服務(wù)保障，中控工控網(wǎng)絡(luò )安全技術(shù)團隊長(cháng)期支持，提供supSSOC工業(yè)信息安全運維服務(wù)。通過(guò)專(zhuān)業(yè)服務(wù)，對搜集到的服務(wù)器日志、網(wǎng)絡(luò )設備日志、安全設備日志進(jìn)行分析，主動(dòng)發(fā)現服務(wù)器及設備運行中可能存在的異常，并借助已有的網(wǎng)絡(luò )、安全管理平臺對攻擊類(lèi)型、攻擊來(lái)源、流量趨勢等進(jìn)行分析，了解系統面臨的主要威脅，并針對該威脅提出建設性的建議。該服務(wù)實(shí)現了動(dòng)態(tài)預警并能及時(shí)處理工業(yè)信息安全風(fēng)險，為生產(chǎn)穩定運行保駕護航。

安管中心+預警中心+運營(yíng)中心通過(guò)部署及設備多級管控實(shí)現了集團層級工業(yè)信息安全資產(chǎn)的集中管控、統一管理，構建了IT+OT相結合的解決方案案例，在實(shí)現了控制系統內部安全建設及橫向域間安全的同時(shí)，也實(shí)現了IT+OT的縱向安全防護，保證了整個(gè)網(wǎng)絡(luò )的安全。

5　案例亮點(diǎn)及創(chuàng )新性

項目建成后，安管中心+預警中心+運營(yíng)中心的三級運營(yíng)體系有效提高了浙石化工業(yè)現場(chǎng)的安全防護能力，方案相對比較容易落地，切合石化行業(yè)業(yè)務(wù)場(chǎng)景，具有相對不錯的可推廣性。

（1）構建了縱深防御的網(wǎng)絡(luò )安全架構體系

本項目貫徹以人為本的管理理念，引進(jìn)國際先進(jìn)的安全管理技術(shù)體系、管理標準，補充和完善所需的設備和系統，以ISO27001、等保要求為建設基準，構筑了立體化、縱深、可追溯的網(wǎng)絡(luò )安全預警防控系統，形成了安全、合規、全面、穩定、高效的網(wǎng)絡(luò )安全縱深防御體系，充分發(fā)揮和全面提升了存量系統的作用，夯實(shí)了網(wǎng)絡(luò )安全的基本防線(xiàn)。

（2）建立了全面完整的網(wǎng)絡(luò )安全防控體系

本項目引進(jìn)國際領(lǐng)先的DFI、DPI技術(shù)體系，建立了網(wǎng)絡(luò )安全態(tài)勢感知和攻擊溯源系統，形成了縱深、立體化、可追溯的網(wǎng)絡(luò )安全預警防控體系，全面提升了存量系統、增量系統安全設備的整體能力，有效解決了每天數百萬(wàn)計的入侵檢測日志看不了、不會(huì )看的問(wèn)題，全面提高了網(wǎng)絡(luò )安全風(fēng)險評估、風(fēng)險排查，以及網(wǎng)絡(luò )安全事件，特別是蠕蟲(chóng)病毒、APT等未知類(lèi)型的網(wǎng)絡(luò )攻擊的溯源能力，全面解決了全時(shí)段、全流量、全端口的網(wǎng)絡(luò )流量日志長(cháng)期保存的問(wèn)題。

（3）建立了適度保密的信息安全防控體系

本項目建立了可以靈活地根據特定時(shí)間、敏感數據、特殊群體、重點(diǎn)終端進(jìn)行管理的信息安全態(tài)勢感知和安全事件追蹤溯源系統，形成了“進(jìn)不來(lái)、出不去、改不了、賴(lài)不掉、查得到”的信息安全體系。該體系可以根據重點(diǎn)人員、特殊終端、敏感時(shí)期、應用系統等提供按需分配的信息安全追蹤溯源手段和技術(shù)，解決了傳統的信息安全保護技術(shù)受制于網(wǎng)絡(luò )和組織架構、受制于終端和人員數量、受制于應用系統的變化等一系列問(wèn)題，有效防控了信息化建設和發(fā)展過(guò)程中大量使用B/S架構體系帶來(lái)的新的安全風(fēng)險。

（4）建立了全面完整的運行維護防控體系

本項目構建了以關(guān)鍵資產(chǎn)為運維中心的全面、完整和可視化的預警防控系統，可以全面、完整、及時(shí)地掌控網(wǎng)絡(luò )和安全設備，以及賬號、業(yè)務(wù)應用等安全運行態(tài)勢，一攬子解決了已經(jīng)建立的存量系統，以及在建、擬建的增量系統的智能運維問(wèn)題，有效防范了管理人員、運維人員利用賬號口令管理漏洞造成的安全風(fēng)險，形成了IT基礎設施賬號安全管理、設備穩定運行、系統安全運維全面完整的運維防控體系。

綜上，本項目通過(guò)裝置級、廠(chǎng)級、集團級的多層級安全防護架構，完成了全面的縱深防御的網(wǎng)絡(luò )安全架構體系、信息安全防控體系、運行維護防控體系的建設，實(shí)現了整個(gè)集團工業(yè)信息安全設備的安全防護建設，完成了縱深安全防御的目標，切實(shí)保障了方案貼合企業(yè)業(yè)務(wù)場(chǎng)景，使方案具有強大的監測能力和落地性。

作者簡(jiǎn)介

余夢(mèng)達（1990-），男，浙江寧波人，高級工程師，學(xué)士，現就職于中控技術(shù)股份有限公司，主要從事工業(yè)信息安全方面的研究。

申屠思倩（1995-），女，浙江金華人，中級工程師，學(xué)士，現就職于中控技術(shù)股份有限公司，主要從事工業(yè)信息安全方面的研究。

摘自《自動(dòng)化博覽》2024年1月刊