★周?chē)本┗荻乜萍加邢薰?/span>

關(guān)鍵詞：白名單自學(xué)習；實(shí)戰化；輕量級信任

1　項目概況

1.1　項目背景

在“兩化”融合的行業(yè)發(fā)展需求下，現代工業(yè)控制系統的技術(shù)進(jìn)步主要表現在兩大方面：一是信息化與工業(yè)化的深度融合；二是為了提高生產(chǎn)高效運行和生產(chǎn)管理效率，國內眾多行業(yè)大力推進(jìn)工業(yè)控制系統自身的集成化、集中化管理。系統的互聯(lián)互通性逐步加強，工控網(wǎng)絡(luò )與辦公網(wǎng)、互聯(lián)網(wǎng)也存在千絲萬(wàn)縷的聯(lián)系。

德國的工業(yè)4.0標準、美國的“工業(yè)互聯(lián)網(wǎng)”以及“先進(jìn)制造業(yè)國家戰略計劃”、日本的“科技工業(yè)聯(lián)盟”、英國的“工業(yè)2050戰略”、中國的“互聯(lián)網(wǎng)+”和“中國制造2025”等相繼出臺，它們對工業(yè)控制系統的通用性與開(kāi)放性提出了更高的要求。未來(lái)工業(yè)控制系統將會(huì )有一個(gè)長(cháng)足發(fā)展，工業(yè)趨向于自動(dòng)化、智能化，系統之間的互聯(lián)互通也更加緊密，面臨的安全威脅也會(huì )越來(lái)越多。

習酒作為自動(dòng)化程度較高的醬香白酒生產(chǎn)企業(yè)，在享受自動(dòng)化、數字化帶來(lái)的產(chǎn)能提升、人力釋放的收益的同時(shí)，也會(huì )面臨因生產(chǎn)工業(yè)設備聯(lián)網(wǎng)而帶來(lái)的網(wǎng)絡(luò )安全風(fēng)險。

1.2　項目簡(jiǎn)介

參照《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》、《工業(yè)控制系統信息安全防護指南》等國家標準要求，在現有安全保護措施的基礎上，我們全面梳理分析安全保護需求，并結合風(fēng)險評估和調研過(guò)程中發(fā)現的問(wèn)題隱患，按照“一個(gè)中心（安全管理中心）、三重防護（安全通信網(wǎng)絡(luò )、安全區域邊界、安全計算環(huán)境）”的要求，開(kāi)展網(wǎng)絡(luò )安全建設和整改加固，全面落實(shí)安全保護技術(shù)措施，并依據《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò )安全分類(lèi)分級管理指南》做好企業(yè)自身分級分類(lèi)自評及備案準備。

加強網(wǎng)絡(luò )安全管理，建立完善人員、教育培訓、系統安全建設和運維等管理制度，加強機房、設備和介質(zhì)安全管理，強化重要數據和個(gè)人信息保護，制定操作規范和工作流程，加強日常監督和考核，確保各項管理措施有效落實(shí)。

1.3　項目目標

白酒行業(yè)的工業(yè)化進(jìn)程，分別在制曲機械化、發(fā)酵工藝機械化、蒸餾工業(yè)機械化、調酒計算機集成制造技術(shù)和灌裝、包裝、成品庫智能管理五個(gè)領(lǐng)域展開(kāi)，將推進(jìn)我國白酒傳統生產(chǎn)方式的機械化升級，進(jìn)而推動(dòng)整個(gè)行業(yè)向信息化、智能化轉型。

習酒工業(yè)生產(chǎn)線(xiàn)包括了半自動(dòng)生產(chǎn)線(xiàn)和全自動(dòng)化生產(chǎn)線(xiàn)，工藝內容包括準備酒瓶、清洗、吹干、灌裝、瓶蓋、打標、漏液檢測、液位測試、水平傳輸、噴碼、分瓶、分盒、AI識別、裝盒、垂直傳輸、機械手搬運、裝箱、打捆、機械手臂分揀、AGV小車(chē)搬運、立體倉庫等自動(dòng)化控制內容。

但習酒工控系統在防護措施中和在缺少防護措施時(shí)系統所具有的弱點(diǎn)，而工控系統內部的脆弱性問(wèn)題是導致系統易受攻擊的主要因素。脆弱性問(wèn)題的根源可概括為以下幾個(gè)方面：通信協(xié)議漏洞、操作系統漏洞、應用軟件漏洞、工控設備后門(mén)和漏洞、網(wǎng)絡(luò )結構漏洞、安全策略和管理流程漏洞、外部風(fēng)險來(lái)源、商業(yè)外部滲透。

本項目工控安全建設將依據網(wǎng)絡(luò )安全等級保護相關(guān)標準和指導規范，對習酒工業(yè)控制網(wǎng)絡(luò )按照“整體保護、綜合防控”的原則進(jìn)行安全建設方案的設計，按照等級保護三級的要求進(jìn)行安全建設的規劃，并對安全建設進(jìn)行統一規劃和設備選型，實(shí)現方案合理、組網(wǎng)簡(jiǎn)單、擴容靈活、標準統一、經(jīng)濟適用的建設目標。

本項目將在保證系統可用性的前提下，對習酒工業(yè)控制系統進(jìn)行防護，實(shí)現“垂直分層、水平分區、邊界控制、內部監測”。

“垂直分層、水平分區”即對工業(yè)控制系統垂直方向劃分為三層：現場(chǎng)設備層、現場(chǎng)控制層、監督控制層；水平分區指各工業(yè)控制系統之間應該從網(wǎng)絡(luò )上隔離開(kāi)，處于不同的安全區。

“邊界控制，內部監測”即對系統邊界即各操作站、工業(yè)控制系統連接處、無(wú)線(xiàn)網(wǎng)絡(luò )等要進(jìn)行邊界防護和準入控制，對工業(yè)控制系統內部要監測網(wǎng)絡(luò )流量數據以發(fā)現入侵、業(yè)務(wù)異常、訪(fǎng)問(wèn)關(guān)系異常和流量異常等問(wèn)題。

系統面臨的主要安全威脅來(lái)自黑客攻擊、惡意代碼（病毒蠕蟲(chóng)）、越權訪(fǎng)問(wèn)（非授權接入、移動(dòng)介質(zhì)、弱口令、操作系統漏洞、誤操作和業(yè)務(wù)異常等），因此，其安全防護在以下方面予以重點(diǎn)完善和強化：（1）入侵檢測及防御；（2）惡意代碼防護；（3）內部網(wǎng)絡(luò )異常行為的檢測；（4）邊界訪(fǎng)問(wèn)控制和系統訪(fǎng)問(wèn)控制策略；（5）工業(yè)控制系統開(kāi)發(fā)與維護的安全；（6）身份認證和行為審計；（7）賬號唯一性和口令安全，尤其是管理員賬號和口令的管理；（8）操作站操作系統安全；（9）移動(dòng)存儲介質(zhì)的標記、權限控制和審計。

2　項目實(shí)施

2.1　系統架構

本項目系統架構圖如圖1所示。

圖1 系統架構圖

2.2　技術(shù)方案

邊界隔離：在各邊界之間部署工業(yè)防火墻，通過(guò)工業(yè)協(xié)議深度解析，結合自學(xué)習白名單安全防護策略，實(shí)現細粒度的邊界訪(fǎng)問(wèn)控制和安全隔離，通過(guò)最小化規則盡可能規避來(lái)自外部系統的非法/違規數據訪(fǎng)問(wèn)。

高級威脅監測：通過(guò)在核心交換機上旁路部署高級威脅檢測系統，對網(wǎng)絡(luò )流量進(jìn)行實(shí)時(shí)分析，利用沙箱、多AV病毒檢測、流量基因檢測和文件基因檢測等先進(jìn)技術(shù)對惡意樣本、惡意流量、行為異常等威脅進(jìn)行重點(diǎn)識別，彌補生產(chǎn)網(wǎng)自身業(yè)務(wù)系統脆弱的不足，發(fā)現高危漏洞主機，發(fā)現潛伏的惡意文件和惡意流量通訊行為，識別惡意文件的擴散，保護生產(chǎn)網(wǎng)安全。

主機防護：對工控網(wǎng)絡(luò )內的主機進(jìn)行安全防護，主要是針對域內的主機，建議部署工業(yè)主機安全衛士，通過(guò)主機應用程序白名單機制，阻止非工作程序在主機上的操作運行，阻斷由于操作系統漏洞、應用軟件漏洞而引起的惡意攻擊，同時(shí)通過(guò)安全U盤(pán)實(shí)現移動(dòng)安全數據存儲。

網(wǎng)絡(luò )實(shí)時(shí)監測與審計：在生產(chǎn)網(wǎng)旁路部署工業(yè)安全審計（利用既有的工業(yè)審計學(xué)系統），建立業(yè)務(wù)通信模型實(shí)現對工控指令攻擊、控制參數篡改、病毒和蠕蟲(chóng)等惡意代碼攻擊行為的實(shí)時(shí)監測和告警，同時(shí)對網(wǎng)絡(luò )中的攻擊行為、網(wǎng)絡(luò )會(huì )話(huà)、數據流量、重要操作等進(jìn)行審計，實(shí)現安全事件的日志回溯和取證；在服務(wù)器區旁路部署數據庫審計，對數據庫的操作行為進(jìn)行審計。

統一安全管理：建立安全監管平臺，對工控網(wǎng)絡(luò )中的相關(guān)防護產(chǎn)品進(jìn)行統一的管理及運維，對整網(wǎng)防護設備進(jìn)行策略配置下發(fā)、對各設備進(jìn)行集中化策略配置下發(fā)、存儲、備份、查詢(xún)、審計、告警、響應，并出具豐富的報表和報告，實(shí)時(shí)掌握工業(yè)控制網(wǎng)絡(luò )情況，獲悉工業(yè)控制網(wǎng)絡(luò )整體的安全狀態(tài)，實(shí)現全生命周期的日志管理。

2.3　應用場(chǎng)景分析

本項目依據網(wǎng)絡(luò )安全等級保護三級標準，按照“統一規劃、重點(diǎn)明確、合理建設”的基本原則，在安全物理環(huán)境、安全通信網(wǎng)絡(luò )、安全區域邊界、安全計算環(huán)境和安全管理中心等方面進(jìn)行安全規劃與建設，確?！熬W(wǎng)絡(luò )建設合規、安全防護到位”。

最終使習酒工控網(wǎng)絡(luò )安全達到安全等級保護第三級要求。經(jīng)過(guò)建設后，使其整個(gè)網(wǎng)絡(luò )形成一套完善的安全防護體系，使其整體網(wǎng)絡(luò )安全防護能力得到提升。

對于習酒工業(yè)控制系統，經(jīng)過(guò)統一安全規劃建設，其網(wǎng)絡(luò )在統一的安全保護策略下具有了抵御大規模和較強惡意攻擊的能力、抵抗較為嚴重的自然災害的能力，以及防范計算機病毒和惡意代碼危害的能力；具有了檢測、發(fā)現、報警及記錄入侵行為的能力；具有了對安全事件進(jìn)行響應處置，并能夠追蹤安全責任的能力；遭到損害后，具有了能夠較快恢復正常運行狀態(tài)的能力；對于服務(wù)保障性要求高的網(wǎng)絡(luò )，能夠快速恢復正常運行狀態(tài)；具有了對網(wǎng)絡(luò )資源、用戶(hù)、安全機制等進(jìn)行集中控管的能力。

綜上所述：遵循等級保護的相關(guān)標準和規范要求，結合信息系統安全建設的實(shí)際狀態(tài)，針對信息系統中存在的安全隱患進(jìn)行系統建設，可以加強信息系統的信息安全保護能力，使其達到相應等級的等級保護安全要求。

2.4　實(shí)際應用效果

（1）網(wǎng)絡(luò )隔離與邊界防護

在控制網(wǎng)絡(luò )和非控制網(wǎng)絡(luò )邊界處通常需要部署工控專(zhuān)用防火墻,該防火墻可以實(shí)施訪(fǎng)問(wèn)控制、惡意代碼防護和入侵防護,從而避免來(lái)自本層其他區域、其他層網(wǎng)絡(luò )的惡意代碼攻擊及入侵行為,切斷網(wǎng)絡(luò )間的攻擊路徑。由于工控防火墻具備感知和理解工控應用層協(xié)議及操作行為的能力,因此除基于IP地址、端口、MAC地址等主機特征進(jìn)行訪(fǎng)問(wèn)控制外,還可根據具體需求設置更細致的防護策略。

基于工控網(wǎng)絡(luò )的相對封閉性,工控防火墻常通過(guò)開(kāi)啟基于通信協(xié)議的“白名單”功能,對來(lái)自其他層的不符合規范的協(xié)議攻擊、惡意操作和誤操作行為進(jìn)行攔截。這種基于“白名單”的防護思路相比傳統防火墻或入侵防護系統的“黑名單”技術(shù),不僅能防護各類(lèi)未知特征的攻擊和異常操作,還能保證正常的通信行為和訪(fǎng)問(wèn)行為不被攔截。

（2）主機和終端安全管理

通過(guò)部署基于“白環(huán)境”的主機安全軟件,避免各類(lèi)已知和未知的木馬、蠕蟲(chóng)等惡意軟件進(jìn)入主機傳播到整個(gè)工控網(wǎng)絡(luò )。

由于自動(dòng)化系統的主機應用環(huán)境相對固定,通過(guò)主機安全軟件建立起各類(lèi)正常工作環(huán)境時(shí)的操作系統和應用的可執行文件白名單,建立起主機運行的白環(huán)境,啟用白名單功能,確保只有在白名單列表中的程序或軟件才能運行。

主機和終端的身份鑒別至關(guān)重要,通過(guò)采用單因子鑒別(如操作員口令)、雙因子鑒別(如工程師、值班長(cháng)、網(wǎng)絡(luò )設備管理員等)等手段加強管理。在登錄工控系統進(jìn)行組態(tài)下裝和重要參數修改時(shí),必須進(jìn)行身份鑒別。

（3）攻擊事件的監控與審計

任何的安全措施,“看見(jiàn)和發(fā)現”攻擊是第一步。通過(guò)在不同的安全區域邊界部署工控安全監測終端,配合集中監測和審計管理,可實(shí)時(shí)發(fā)現網(wǎng)絡(luò )中的各類(lèi)攻擊方式、違規操作和誤操作行為,可在攻擊事件發(fā)生后根據存儲的記錄和操作者的權限,進(jìn)行查詢(xún)、統計、管理、維護等,追溯攻擊行為的起源,做到事前監控、事中記錄、事后審計。

（4）高級威脅檢測與告警

基于特征檢測和行為檢測的傳統威脅檢測手段已經(jīng)越來(lái)越難以應對新型的安全攻擊手法，難以識別安全攻擊事件。且近年來(lái)隨著(zhù)人工智能技術(shù)的發(fā)展，攻擊方在掃描、利用、破壞等攻擊工具中對人工智能技術(shù)的應用，進(jìn)一步加劇了對目標系統的破壞，縮短了攻擊進(jìn)程，隱藏了攻擊特征。通過(guò)高級威脅檢測系統將人工智能、大數據技術(shù)與安全技術(shù)相結合，實(shí)時(shí)分析網(wǎng)絡(luò )流量，監控可疑威脅行為，可對APT攻擊鏈進(jìn)行檢測、識別分析和告警。

（5）數據庫安全審計

數據是信息系統的核心，如何保證防范針對數據庫的惡意操作、誤操作、惡意攻擊等是解決數據庫安全的重中之重。數據庫審計系統可以有效解決對數據庫操作的安全監控難題，可以實(shí)現對數據庫所有操作的實(shí)時(shí)監測、完整記錄、還原審計，可以及時(shí)發(fā)現對數據庫的非法操作，快速應對異常事件，解除對數據庫的安全威脅，可以滿(mǎn)足對數據庫的運行監測和操作審計的合規性要求，滿(mǎn)足等級保護2.0標準要求。

（6）運維操作管控與審計

在運維過(guò)程中，通常為了運維便利性，存在賬號共享、授權不清等運維行為，事后也缺乏運維操作審計。通過(guò)運維安全網(wǎng)關(guān)，邏輯上將人和目標設備分離，建立“人→主賬號→授權→從賬號→目標設備”的管理模式。在此模式下，通過(guò)基于唯一身份標識的集中賬號與訪(fǎng)問(wèn)控制策略，與各服務(wù)器、網(wǎng)絡(luò )設備等無(wú)縫連接，實(shí)現集中精細化運維操作管控與審計。

3  案例亮點(diǎn)及創(chuàng )新性

滿(mǎn)足安全合規要求：本次項目立足于等保2.0和工信部451號文《安全防護指南》及監管要求，結合企業(yè)的生產(chǎn)業(yè)務(wù)特點(diǎn)，在防護框架的指導下開(kāi)展了企業(yè)工業(yè)控制系統網(wǎng)絡(luò )安全防護建設，防護建設項滿(mǎn)足等保對應防護技術(shù)項的要求，企業(yè)在完成其他需要自建項后，可以啟動(dòng)申報等保保護測評。

優(yōu)化資源配置：本方案站在習酒業(yè)務(wù)的角度設計，在滿(mǎn)足合規要求的同時(shí)最大限度利用了企業(yè)本身現有資源，同時(shí)有效地結合同行業(yè)單位的運營(yíng)模式，在有限資源條件下最大限度地提升安全防護水平。

提高安全防護性：本次項目成果為企業(yè)相關(guān)信息網(wǎng)絡(luò )、工業(yè)控制系統網(wǎng)絡(luò )的安全穩定運行提供了基礎保障，實(shí)現了病毒、木馬等惡意程序的防護，可防范內外部人員攻擊、軟件后門(mén)利用等多種威脅，顯著(zhù)加強了企業(yè)自身工控系統在當前愈加惡劣的網(wǎng)絡(luò )環(huán)境下的防范和預警感知能力，有效保障了企業(yè)穩定發(fā)展。

作者簡(jiǎn)介

周　圍（1995-），男，湖南湘潭人，工程師，本科，現就職于北京惠而特科技有限公司，主要從事信息安全、工控安全方面的研究。

摘自《自動(dòng)化博覽》2024年1月刊