1、 方案背景與目標

鋼鐵企業(yè)是典型的生產(chǎn)、資金、技術(shù)密集型企業(yè)，其生產(chǎn)連續性強，生產(chǎn)系統耦合性高，加之近年我國眾多鋼鐵企業(yè)不斷推進(jìn)智能化建設，尤其是在工業(yè)控制系統方面大量投入，以實(shí)現企業(yè)的智能化升級轉型，其主要應用的工業(yè)控制系統主要是PCS、DCS、PLC、SCADA等，不僅越來(lái)越注重系統開(kāi)放性設計，且多采用第三方集成，操作端PC化，這一改進(jìn)大大降低了用戶(hù)的投資與維護成本，但與此同時(shí)，面臨的網(wǎng)絡(luò )風(fēng)險也越來(lái)越嚴峻。如何有效地防范來(lái)自?xún)炔炕蛲獠康墓?，做好工控系統網(wǎng)絡(luò )安全的防護工作，確保生產(chǎn)系統的穩定可靠，是鋼鐵行業(yè)工控系統信息安全亟待解決的問(wèn)題。從應用案例經(jīng)驗總結來(lái)看，目前鋼鐵行業(yè)的工控系統管理缺失、防護手段落后、工業(yè)網(wǎng)絡(luò )病毒、設備漏洞和后門(mén)、持續性威脅APT、無(wú)線(xiàn)技術(shù)等問(wèn)題是其重要關(guān)注點(diǎn)，這些問(wèn)題一旦發(fā)生，將會(huì )導致重大經(jīng)濟損失，威脅人員安全，造成惡劣的社會(huì )影響。

本方案將以工信部發(fā)布的工業(yè)互聯(lián)網(wǎng)絡(luò )企業(yè)網(wǎng)絡(luò )安全分類(lèi)分級指南相關(guān)要求為基礎，結合《工業(yè)互聯(lián)網(wǎng)安全框架》、《數據安全法》、《工業(yè)互聯(lián)網(wǎng)企業(yè)分類(lèi)分級管理試點(diǎn)方案》及《工業(yè)互聯(lián)網(wǎng)平臺安全總體（防護）要求》，分析工業(yè)互聯(lián)網(wǎng)鋼鐵類(lèi)的實(shí)際安全需求，結合其業(yè)務(wù)的實(shí)際特性，建立符合系統實(shí)際安全需求的網(wǎng)絡(luò )安全保障體系框架，設計安全保障體系方案，綜合提升系統的安全保障能力和防護水平，確保系統的安全穩定運行。

通過(guò)開(kāi)展工業(yè)互聯(lián)網(wǎng)企業(yè)分類(lèi)分級安全防護工作，結合分類(lèi)分級具體防護要求、工業(yè)互聯(lián)網(wǎng)企業(yè)數據安全防護規范、聯(lián)網(wǎng)工業(yè)企業(yè)安全防護規范、等級保護2.0等相關(guān)政策標準，分析鋼鐵企業(yè)的實(shí)際安全需求，結合其業(yè)務(wù)的實(shí)際特性，建立符合系統實(shí)際安全需求的網(wǎng)絡(luò )安全保障體系框架，設計安全保障體系方案，綜合提升工業(yè)控制系統的安全保障能力和防護水平，確保系統的安全穩定運行。

項目建設主要從工業(yè)設備安全防護、控制安全防護、網(wǎng)絡(luò )安全防護、數據安全防護、工業(yè)APP應用安全防護等角度進(jìn)行安全防護設計和建設；針對工控系統內部網(wǎng)絡(luò )流量和協(xié)議的安全審計層面進(jìn)行數據安全防護，到達對工業(yè)互聯(lián)網(wǎng)企業(yè)分類(lèi)分級增強級（三級）安全防護,逐步實(shí)施，最終滿(mǎn)足工業(yè)聯(lián)網(wǎng)企業(yè)分類(lèi)分級管理防護的相關(guān)要求。

2、 方案詳細介紹

建成一套基于人工智能的工業(yè)網(wǎng)絡(luò )安全防護系統，其涉及的技術(shù)及產(chǎn)品是涉及多個(gè)不同安全技術(shù)領(lǐng)域的復雜工作。為保證最終目標的達成。

制定鞍山鋼鐵工業(yè)控制系統網(wǎng)絡(luò )安全防護建設規劃

鋼鐵行業(yè)工業(yè)控制網(wǎng)絡(luò )拓撲結構復雜，受產(chǎn)品類(lèi)型、廠(chǎng)商及工業(yè)流程等影響，企業(yè)內部也會(huì )呈現類(lèi)型各異的網(wǎng)絡(luò )接入方式和拓撲架構，對工業(yè)網(wǎng)絡(luò )的安全防護，需要能夠適應網(wǎng)絡(luò )層、應用層及內容層與IT網(wǎng)絡(luò )的巨大差異，進(jìn)行有針對性的識別與控制，并屏蔽工業(yè)網(wǎng)絡(luò )自身的差異性，實(shí)現一致的安全防護效果。

網(wǎng)絡(luò )安全防護從防護對象、防護措施及防護管理三個(gè)視角構建，形成網(wǎng)絡(luò )安全防護框架。針對不同的防護對象部署相應的安全防護措施，根據實(shí)時(shí)監測結果發(fā)現網(wǎng)絡(luò )中存在的或即將發(fā)生的安全問(wèn)題并及時(shí)做出響應。同時(shí)加強防護管理，明確基于安全目標持續改進(jìn)的管理方針，保障工業(yè)互聯(lián)網(wǎng)的持續安全。安全框架如圖所示：

其中，防護對象視角涵蓋設備、控制、網(wǎng)絡(luò )、應用和數據五大安全重點(diǎn)；防護措施視角包括威脅防護、監測感知和處置恢復三大環(huán)節，威脅防護環(huán)節針對五大防護對象部署主被動(dòng)安全防護措施，監測感知和處置恢復環(huán)節通過(guò)信息共享、監測預警、應急響應等一系列安全措施、機制的部署增強動(dòng)態(tài)安全防護能力；防護管理視角根據工業(yè)互聯(lián)網(wǎng)安全目標對其面臨的安全風(fēng)險進(jìn)行安全評估，并選擇適當的安全策略作為指導，實(shí)現防護措施的有效部署。

網(wǎng)絡(luò )安全防護安全框架的三個(gè)防護視角之間相對獨立，但彼此之間又相互關(guān)聯(lián)。從防護對象視角來(lái)看，安全框架中的每個(gè)防護對象，都需要采用一組合理的防護措施并配備完備的防護管理流程對其進(jìn)行安全防護；從防護措施視角來(lái)看，每一類(lèi)防護措施都有其適用的防護對象，并在具體防護管理流程指導下發(fā)揮作用；從防護管理視角來(lái)看，防護管理流程的實(shí)現離不開(kāi)對防護對象的界定，并需要各類(lèi)防護措施的有機結合使其能夠順利運轉。工業(yè)互聯(lián)網(wǎng)安全框架的三個(gè)防護視角相輔相成、互為補充，形成一個(gè)完整、動(dòng)態(tài)、持續的防護體系。

為幫助相關(guān)企業(yè)應對工業(yè)互聯(lián)網(wǎng)所面臨的各種挑戰，防護措施視角從生命周期、防御遞進(jìn)角度明確安全措施，實(shí)現動(dòng)態(tài)、高效的防御和響應。防護措施視角主要包括威脅防護、監測感知和處置恢復三大環(huán)節：

威脅防護：針對五大防護對象，部署主被動(dòng)防護措施，阻止外部入侵，構建安全運行環(huán)境，消減潛在安全風(fēng)險。

監測感知：部署相應的監測措施，實(shí)時(shí)感知內部、外部的安全風(fēng)險。

處置恢復：建立響應恢復機制，及時(shí)應對安全威脅，并及時(shí)優(yōu)化防護措施，形成閉環(huán)防御。

建設基于人工智能技術(shù)的網(wǎng)絡(luò )安全綜合防御平臺

鋼鐵企業(yè)工業(yè)網(wǎng)絡(luò )安全邊界劃分不明確，并允許從其他安全分區（如辦公內網(wǎng)）甚至可能允許與Internet連接的設備進(jìn)行訪(fǎng)問(wèn)。當一個(gè)安全區域內的網(wǎng)絡(luò )受到攻擊和入侵時(shí)，會(huì )迅速向其他區域橫向擴散，造成大規模嚴重性安全事件。為此，嚴格劃分網(wǎng)絡(luò )區域，并在邊界處部署防護系統是安全建設的基礎。

建設工業(yè)網(wǎng)絡(luò )安全防護系統，工業(yè)控制系統安全防護系統主要針對工業(yè)控制設備的安全防護。在PLC等控制設備本身難以快速實(shí)現安全能力集成的情況下，通過(guò)在接入網(wǎng)絡(luò )層的增加工業(yè)網(wǎng)絡(luò )安全防護系統實(shí)現防攻擊、防病毒、防入侵、防竊密、防控制能力。

建設工業(yè)主機安全防護系統，加強工業(yè)APP的安全防護，工業(yè)主機是工控網(wǎng)絡(luò )中較為脆弱的節點(diǎn)，自身漏洞較多，操作版本老舊往往已經(jīng)失去了補丁支持；工業(yè)APP軟件多數是定制開(kāi)發(fā)的，軟件開(kāi)發(fā)程序不規范，具有較多的漏洞和安全風(fēng)險；操作系統和工業(yè)APP軟件由人操作帶來(lái)惡意操作和誤操作的可能性增加，且性能、更新和兼容性問(wèn)題導致一般的防病毒機制難以生效。多方面的隱患下，工業(yè)主機的極高權限造成一旦攻擊突破單臺設備即可對工控網(wǎng)絡(luò )造成嚴重的破壞，對其的防護必須根據工業(yè)主機自身的特點(diǎn)，進(jìn)行特殊的功能集合設計，通過(guò)較低的系統開(kāi)銷(xiāo)，實(shí)現對攻擊行為的有效控制。

建設工業(yè)數據保護系統，工業(yè)應用與數據的保護，其重點(diǎn)在于對主客體的細粒度控制和攻擊洞察，確保被授權人在授權的訪(fǎng)問(wèn)內妥善的執行業(yè)務(wù)并操作數據，同時(shí)識別并阻斷其中的攻擊行為，實(shí)現對工業(yè)應用及數據的保護。

建設基于人工智能技術(shù)的威脅檢測與安全防護系統

建設一套完整的“事前有防范、事中有應對、事后有追溯”的主動(dòng)防御的網(wǎng)絡(luò )安全技術(shù)體系，實(shí)現全網(wǎng)的網(wǎng)絡(luò )安全狀態(tài)快速預警，協(xié)調全網(wǎng)安全設備和網(wǎng)絡(luò )設備實(shí)現持續防護和快速處置。傳統的網(wǎng)絡(luò )安全建設往往停留在被動(dòng)防御狀態(tài)，導致網(wǎng)絡(luò )安全運維人員無(wú)法看清全網(wǎng)網(wǎng)絡(luò )安全狀態(tài)，無(wú)法回答“當前網(wǎng)絡(luò )有沒(méi)有網(wǎng)絡(luò )安全問(wèn)題，問(wèn)題的來(lái)源在哪里，會(huì )不會(huì )擴散”等網(wǎng)絡(luò )安全治理的本質(zhì)問(wèn)題，即使建設了等級保護的技術(shù)體系，也無(wú)法對未知威脅和高級威脅進(jìn)行識別和防護，無(wú)法抵御高級持續性威脅APT攻擊。通過(guò)挖掘海量數據關(guān)聯(lián)關(guān)系，自動(dòng)發(fā)現企業(yè)內網(wǎng)數據資產(chǎn)，建立數據資產(chǎn)臺賬，構建清晰的資產(chǎn)互訪(fǎng)拓撲，并評估資產(chǎn)風(fēng)險狀況；通過(guò)采集各類(lèi)日志數據、原始流量及元數據（netflow），識別出網(wǎng)絡(luò )內資產(chǎn)的源IP地址和目標IP地址、URL數據和SQL語(yǔ)句數據以及特定的數據，結合IP地址識別并過(guò)濾出應用服務(wù)器和數據庫服務(wù)器，利用SQL解析識別出數據表、字段及表間關(guān)系，利用URL解析識別出目標頁(yè)面，使業(yè)務(wù)系統中的頁(yè)面對應的功能、頁(yè)面訪(fǎng)問(wèn)數據的邏輯，以及數據的組成達到全面掌握，解決數據血緣關(guān)系自動(dòng)識別的工作，從而為數據安全提供保障；針對每個(gè)攻擊事件，采用攻擊鏈聚合對每個(gè)攻擊階段進(jìn)行回溯分析，并留存攻擊取證報文，通過(guò)豐富的可視化技術(shù)進(jìn)行多維呈現。

建設基于人工智能技術(shù)的安全態(tài)勢監測與風(fēng)險評估系統，實(shí)時(shí)監測安全風(fēng)險

基于人工智能技術(shù)的安全態(tài)勢監測與風(fēng)險評估系統作為構建一體化動(dòng)態(tài)綜合防御體系的基石，是安全綜合防護系統面向安全和系統管理人員進(jìn)行統一的管理、整體趨勢查看、安全事件追溯的綜合辦事中心，應以安全態(tài)勢感知為基礎，對日常安全防護中需要的用戶(hù)身份、策略調試、遠程運維及資產(chǎn)與漏洞狀態(tài)等進(jìn)行統一的運維管控，并將重要信息報送至安全態(tài)勢感知平臺，同時(shí)通過(guò)態(tài)勢感知系統的智能分析與建議功能，全面提高安全防護的水平。

3、 代表性及推廣價(jià)值

（1）實(shí)現網(wǎng)絡(luò )安全態(tài)勢從未知到已知

通過(guò)建立生產(chǎn)控制系統信息安全監管與預警系統，摸清家底，感知網(wǎng)絡(luò )中的資產(chǎn)信息，實(shí)現網(wǎng)絡(luò )資產(chǎn)可視化。通過(guò)摸清家底，了解網(wǎng)絡(luò )中存在哪些設備、對應的責任人是誰(shuí)、使用什么操作系統、安裝了哪些軟件和應用，分別是什么組件、什么版本，分別存在哪些漏洞、已經(jīng)修補了哪些補丁等等，真正做到底數清、情況明確。

（2）實(shí)現網(wǎng)絡(luò )安全防御從被動(dòng)到主動(dòng)

通過(guò)建立生產(chǎn)控制系統監管預警系統，利用安全大數據、態(tài)勢感知、攻擊鏈模型和算法，結合最新的全球網(wǎng)絡(luò )安全威脅情報，持續監測，準確及時(shí)地發(fā)現各種潛在威脅和攻擊，并進(jìn)行通報預警，提前感知攻擊者的下一步攻擊計劃，采取有效處置措施，構建彈性防御體系，以期最大限度上避免、轉移、降低信息系統所面臨的風(fēng)險。

（3）實(shí)現從單一設備防護到協(xié)同聯(lián)動(dòng)

通過(guò)建立生產(chǎn)控制系統監管與預警系統，作為聯(lián)動(dòng)樞紐，實(shí)現網(wǎng)絡(luò )中所有安全設備的數據匯總分析、數據共享及策略協(xié)同，打通終端、邊界協(xié)同聯(lián)動(dòng)，有機整合各種網(wǎng)絡(luò )安全技術(shù)，達到“智能檢測”、“智能上報”、“智能響應”，建立一個(gè)以威脅情報為驅動(dòng)，終端安全、邊界安全、大數據分析等多層次、縱深智能協(xié)同的安全防御體系，有效提升整體網(wǎng)絡(luò )防護能力。

（4）實(shí)現網(wǎng)絡(luò )安全縱深防御防護體系

通過(guò)工控系統安全防護要求，對生產(chǎn)控制系統網(wǎng)絡(luò )安全進(jìn)行整改防護；在強化邊界防護的基礎上，加強內部的物理安全、網(wǎng)絡(luò )安全、操作系統安全、應用安全、數據安全防護以及安全運維管控，構建縱深防線(xiàn)，實(shí)現智能制造企業(yè)生產(chǎn)控制系統網(wǎng)絡(luò )安全的縱深防御、綜合防護。

3.1 技術(shù)示范效應：

本技術(shù)方案適合于當前工控系統信息安全的形勢和政策要求，可提升工業(yè)企業(yè)網(wǎng)絡(luò )安全監測和態(tài)勢感知能力，實(shí)現網(wǎng)絡(luò )安全事件和風(fēng)險的監測、分析、審計、追蹤溯源和風(fēng)險可視化；增強工業(yè)企業(yè)網(wǎng)絡(luò )安全情報共享和預警通報能力，實(shí)現跨部門(mén)之間信息共享和預警通報的通道，做到信息共享和預警通報及時(shí)、客觀(guān)、準確、完整；提升工業(yè)企業(yè)網(wǎng)絡(luò )安全事件與報警管理能力、全防護能力評估能力、工控安全威脅感知能力。

3.2 商業(yè)價(jià)值：

隨著(zhù)工業(yè)企業(yè)信息系統規模不斷擴大、需求不斷更新、自動(dòng)化程度不斷提高，這些工業(yè)信息系統，在給社會(huì )和公眾創(chuàng )造效益的同時(shí)，它們本身的脆弱性，也給工業(yè)企業(yè)的發(fā)展、國家經(jīng)濟建設、甚至國家安全帶來(lái)嚴重的負面影響，隨著(zhù)工業(yè)信息系統安全狀況與企業(yè)經(jīng)濟效益越來(lái)越密切，工業(yè)安全問(wèn)題將直接影響到工業(yè)企業(yè)的企業(yè)經(jīng)營(yíng)和形象。本技術(shù)方案的實(shí)施，能減少上工業(yè)企業(yè)因為工業(yè)安全問(wèn)題造成的經(jīng)濟損失，間接帶來(lái)經(jīng)濟效益。

若按照近年各行業(yè)事故數量和經(jīng)濟損失統計估算，本技術(shù)方案推廣應用可以減少30%的事故，提升了社會(huì )的安全穩定，可以減輕企業(yè)上億元的經(jīng)濟損失，保障了人民生活質(zhì)量；同時(shí)有助于各個(gè)應用單位保持安全生產(chǎn)的領(lǐng)先地位和夯實(shí)創(chuàng )新發(fā)展的基礎。

3.3 社會(huì )價(jià)值：

工業(yè)企業(yè)工業(yè)控制系統核心技術(shù)和產(chǎn)品自主可控水平低，高端產(chǎn)品基本被國外壟斷，通過(guò)常規防御手段無(wú)法完全消除國外產(chǎn)品的后門(mén)、漏洞和缺陷，急需我國自主知識產(chǎn)權的工業(yè)網(wǎng)絡(luò )安全防護產(chǎn)品問(wèn)世及規模應用。通過(guò)本方案網(wǎng)絡(luò )安全技術(shù)的應用，會(huì )加快網(wǎng)絡(luò )安全核心技術(shù)和產(chǎn)品的自主研發(fā)可控及國產(chǎn)化水平。通過(guò)產(chǎn)品應用和配合，相關(guān)標準的推廣，大大提高了我國網(wǎng)絡(luò )安全核心技術(shù)和產(chǎn)品的國產(chǎn)化水平，形成針對工業(yè)企業(yè)的典型的產(chǎn)品應用和深度的行業(yè)融合，形成新型工業(yè)化產(chǎn)業(yè)示范基地（工業(yè)信息安全），發(fā)揮先行先試和示范帶動(dòng)作用。