1、背景介紹

新型工業(yè)化在信息技術(shù)和其他高新技術(shù)的驅動(dòng)下，通過(guò)改變生產(chǎn)方式、組織形式和經(jīng)營(yíng)模式，使各行業(yè)進(jìn)程朝向更高效、清潔、低碳、智能化的方向延伸。鋼管行業(yè)在新型工業(yè)化的推進(jìn)下，積極采用大數據、互聯(lián)網(wǎng)、自動(dòng)檢測技術(shù)和識別技術(shù)等先進(jìn)技術(shù)，大力建設鋼管行業(yè)創(chuàng )新基礎設施，夯實(shí)數字底座，以數字化賦能綠色化、高質(zhì)化、強鏈化發(fā)展，打造新質(zhì)生產(chǎn)力，從而為鋼管行業(yè)數字化轉型和高質(zhì)量發(fā)展注入新的活力。隨著(zhù)工業(yè)控制系統的數字化和網(wǎng)絡(luò )化程度提高，OT、IT的逐步融合，使得鋼管行業(yè)生產(chǎn)過(guò)程更加自動(dòng)化和智能化，但同時(shí)也使安全風(fēng)險更加復雜，攻擊點(diǎn)增多、攻擊面擴大，增加了網(wǎng)絡(luò )攻擊的風(fēng)險。大量數據交互過(guò)程中的數據泄露風(fēng)險也隨之增加，不僅涉及企業(yè)商業(yè)機密，還可能影響到整個(gè)產(chǎn)業(yè)鏈的穩定。

某鋼管制造企業(yè)的工業(yè)控制系統由多個(gè)生產(chǎn)工藝流程混合而成，包括煉鐵、煉鋼、軋管等生產(chǎn)制造環(huán)節。其生產(chǎn)網(wǎng)絡(luò )架構極為復雜，不僅多種通信方式并存，而且控制系統品牌繁多，新老系統交織在一起。這種復雜的系統架構和多元化的技術(shù)集成導致潛在的網(wǎng)絡(luò )安全漏洞層出不窮，使得系統容易受到黑客的攻擊和利用，生產(chǎn)網(wǎng)絡(luò )所面臨的網(wǎng)絡(luò )安全威脅也日趨多元化和多發(fā)性。

因此，為能夠有效應對和管理新型工業(yè)化下工業(yè)場(chǎng)景所面臨的安全風(fēng)險，必須深化網(wǎng)絡(luò )安全與數字化建設的協(xié)同運營(yíng)，實(shí)現兩者緊密結合，確保該鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò )穩定可靠運行，保障生產(chǎn)業(yè)務(wù)的連續性和安全性。

2、目標與原則

2.1項目目標

n  提升企業(yè)安全運維能力，降低安全管理難度

目前該鋼管制造企業(yè)生產(chǎn)環(huán)境較為分散且網(wǎng)絡(luò )規模較大，在生產(chǎn)網(wǎng)絡(luò )中部署的安全防護設備數量也較多，存在安全策略更新不及時(shí)、安全管理分散及管理成本高等瓶頸。因此，需要采取技術(shù)手段對安全設備進(jìn)行集中管控，降低管理難度及人工成本。

通過(guò)借助集中管理平臺，統一監控工業(yè)安全設備，對網(wǎng)絡(luò )配置、系統服務(wù)、安全策略、升級策略和配置備份等進(jìn)行配置，方便快捷的實(shí)現對大規模安全設備管理。同時(shí)免去逐一配置策略的繁瑣操作，提升安全運維能力，降低安全管理過(guò)程中的管理難度及成本。

n  提升安全監測預警能力，快速處置安全事件

當前生產(chǎn)網(wǎng)絡(luò )安全形勢日益嚴峻，安全風(fēng)險呈現多元化特征，安全隱患發(fā)現難度更高，出現安全告警時(shí)無(wú)法第一時(shí)間感知。因此，網(wǎng)絡(luò )安全監測手段需同步進(jìn)行補充與提升。

通過(guò)借助安全態(tài)勢感知平臺，綜合異構數據采集、協(xié)議深度解析、用戶(hù)畫(huà)像、大數據分析、AI等技術(shù)，采用威脅情報及安全事件關(guān)聯(lián)分析的機制，實(shí)時(shí)感知系統和設備的運行狀況、風(fēng)險隱患等信息，及時(shí)對潛在的網(wǎng)絡(luò )安全威脅和風(fēng)險進(jìn)行預警。在出現安全威脅時(shí)，通過(guò)協(xié)同聯(lián)動(dòng)網(wǎng)絡(luò )中各類(lèi)安全設備及時(shí)進(jìn)行抑制，防止安全威脅的進(jìn)一步蔓延，為企業(yè)安全生產(chǎn)提供保障。

n  消除信息孤島，提升安全風(fēng)險感知能力

目前該鋼管制造企業(yè)的廠(chǎng)區內各設備和系統的安全數據缺乏統一匯聚和分析的手段，安全數據與分析結果沒(méi)有實(shí)現共享，存在“信息孤島”現象，從而引發(fā)無(wú)法對當前網(wǎng)絡(luò )安全現狀進(jìn)行評估、無(wú)法及時(shí)感知網(wǎng)絡(luò )安全現狀等安全風(fēng)險。

借助日志收集分析等手段，對跨區域、跨產(chǎn)品的安全信息統一收集與處理，實(shí)現對全網(wǎng)各類(lèi)安全事件、預警信息的統一預處理、匯總、整理與分析，提升安全風(fēng)險感知能力。

2.2 設計原則

（1）分層分域防護原則

根據企業(yè)工業(yè)控制系統業(yè)務(wù)流程合理劃分網(wǎng)絡(luò )層級和安全域，以切割網(wǎng)絡(luò )風(fēng)險，即任意一點(diǎn)遭受攻擊或網(wǎng)絡(luò )風(fēng)暴不會(huì )對其它生產(chǎn)過(guò)程產(chǎn)生影響，同時(shí)方便管理策略的執行。

（2）以關(guān)鍵業(yè)務(wù)為核心的整體防控原則

企業(yè)工業(yè)控制系統的安全保護應以確保關(guān)鍵業(yè)務(wù)的安全運行為核心目標，對業(yè)務(wù)所涵蓋的一個(gè)或多個(gè)網(wǎng)絡(luò )及信息系統實(shí)施系統化的安全設計策略，以構建一個(gè)全面、整合的安全防護體系。

（3）協(xié)同防御原則

通過(guò)整合安全技術(shù)、安全管理和安全服務(wù)，構建起信息共享和協(xié)同聯(lián)動(dòng)的防御體系，實(shí)現增強企業(yè)工業(yè)控制系統抵御大規模網(wǎng)絡(luò )攻擊的能力。

3、案例實(shí)施與應用情況

本方案旨在針對鋼管制造企業(yè)的煉鐵、煉鋼、軋管等生產(chǎn)車(chē)間開(kāi)展網(wǎng)絡(luò )安全規劃與建設。

方案在嚴格遵守《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》（GB/T 22239-2019）、《工業(yè)控制系統網(wǎng)絡(luò )安全防護指南》等國家的政策要求基礎上，采用“行為基線(xiàn)”分析、“白名單防護”策略及“數據變化率”監測等先進(jìn)技術(shù)手段，并通過(guò)安全服務(wù)、安全技術(shù)與產(chǎn)品應用以及安全管理體系構建等手段相結合的方式，實(shí)現安全能力的全面整合與提升，有效提升鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò )安全技術(shù)防護能力、安全管理能力以及安全運營(yíng)能力。

3.1 智能工廠(chǎng)信息化架構

圖1  智能工廠(chǎng)信息化架構

該鋼管制造企業(yè)參考智能工廠(chǎng)框架，在企業(yè)內部實(shí)現了MES、ERP、SCADA等信息系統的應用，將車(chē)間的各類(lèi)生產(chǎn)數據進(jìn)行采集、分析與決策，實(shí)現了多個(gè)數字化車(chē)間的統一管理與協(xié)同生產(chǎn)。同時(shí)，由于信息網(wǎng)絡(luò )集成程度的不斷提高，與其他信息網(wǎng)絡(luò )的互聯(lián)程度也隨之加深。網(wǎng)絡(luò )中各種未授權的接入與操作、誤操作、違規操作、未授權的程序安裝、外部接口濫用以及新型攻擊（APT）對集團信息系統安全構成極大的威脅。

若信息系統不加強主動(dòng)防護、監測審計、集中監管及預警響應等安全措施的建設，那么各類(lèi)威脅將得以趁虛而入，進(jìn)而可能對生產(chǎn)業(yè)務(wù)產(chǎn)生嚴重的負面影響。因此，需圍繞企業(yè)未來(lái)發(fā)展趨勢與安全建設需求，進(jìn)行全方位的生成網(wǎng)絡(luò )安全防護體系設計。

3.2方案規劃

方案總體規劃架構以資產(chǎn)為基礎，以事件為主線(xiàn)，以風(fēng)險為核心，采用多層次技術(shù)措施和防護手段，對網(wǎng)絡(luò )設備、安全設備、服務(wù)器等進(jìn)行全方位安全監測。同時(shí)，結合安全事件模型、業(yè)務(wù)模型、威脅情報等信息，實(shí)現對網(wǎng)絡(luò )威脅的及時(shí)預警和快速處置，通過(guò)一系列措施，實(shí)現鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò )態(tài)勢實(shí)時(shí)感知、威脅持續監測、安全協(xié)同聯(lián)動(dòng)、風(fēng)險主動(dòng)預警及事件應急處置的目標，全面提升鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò )的安全防護水平。       

圖 2  總體框架設計

態(tài)勢感知：通過(guò)實(shí)時(shí)收集全網(wǎng)網(wǎng)絡(luò )流量、系統日志、用戶(hù)行為等數據，并基于大數據分析及機器學(xué)習等技術(shù)，對收集的數據進(jìn)行清洗、格式轉換等預處理操作，實(shí)現對資產(chǎn)、脆弱性、告警、攻擊、系統運行狀態(tài)實(shí)時(shí)監測及可視化展現，為主動(dòng)預警和事件追溯提供數據支撐。

持續監測：通過(guò)實(shí)時(shí)數據采集與分析、威脅監測預警、日志與事件管理以及可視化展示等功能，實(shí)現對網(wǎng)絡(luò )安全狀況的持續監測。

聯(lián)動(dòng)防護：通過(guò)匯總各類(lèi)安全數據，運用關(guān)聯(lián)分析、用戶(hù)畫(huà)像、業(yè)務(wù)安全基線(xiàn)、模型分析、威脅情報等手段，形成安全聯(lián)動(dòng)、動(dòng)態(tài)感知的整體安全分析能力。

主動(dòng)預警：通過(guò)實(shí)時(shí)采集與處理安全數據，結合安全模型、業(yè)務(wù)模型及威脅情報等信息，實(shí)現對潛在威脅的精準識別與快速定位。在發(fā)現安全事件時(shí)觸發(fā)預警機制，實(shí)現安全防御的主動(dòng)性。

應急處置：通過(guò)實(shí)時(shí)分析網(wǎng)絡(luò )流量、安全日志等數據源，快速檢測并識別潛在的安全威脅，并在安全威脅檢測后，觸發(fā)告警機制，并將告警信息發(fā)送至相關(guān)人員，進(jìn)行事件處置。

n  安全技術(shù)防護體系

基于行為基線(xiàn)技術(shù)路線(xiàn)，建立鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò )中業(yè)務(wù)通信與控制過(guò)程模型，綜合數據變化率、白名單防護等技術(shù)手段，確保在通信、控制、應用等多個(gè)層面的細粒度安全管控，避免對生產(chǎn)過(guò)程形成安全威脅。

n  安全管理體系

從安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理等層面進(jìn)行網(wǎng)絡(luò )安全各項工作所需遵循的基本原則和方針的明確，與安全技術(shù)防護體系、安全運營(yíng)體系、安全服務(wù)體系形成緊密耦合的安全防護機制，保障所有生產(chǎn)車(chē)間的生產(chǎn)安全和穩定運行。

n  安全服務(wù)體系

以安全管理手段、安全技術(shù)手段作為支持，采用風(fēng)險評估、安全加固、新系統上線(xiàn)檢查等手段進(jìn)行風(fēng)險識別及風(fēng)險處置等，與安全管理體系、安全技術(shù)防護體系及安全運營(yíng)體系形成層次化的安全策略體系。

n  安全運營(yíng)體系

通過(guò)異構數據采集、用戶(hù)畫(huà)像、大數據分析、AI等技術(shù)，統一收集和分析網(wǎng)絡(luò )流量、操作內容、運行日志、異常告警等信息，為鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò )構建安全監測、日志分析、威脅預警、安全處置等綜合安全運營(yíng)能力，從全局視角實(shí)現企業(yè)網(wǎng)絡(luò )安全風(fēng)險管控和運營(yíng)分析管理。

3.3方案實(shí)施與應用

3.3.1 安全技術(shù)防護體系設計

3.3.1.1    各生產(chǎn)車(chē)間訪(fǎng)問(wèn)控制設計

在煉鐵車(chē)間、煉鋼車(chē)間、軋管、管加工等各車(chē)間區域邊界與生產(chǎn)核心交換機處部署工業(yè)防火墻，基于工業(yè)協(xié)議深度解析技術(shù)，可以實(shí)現基于訪(fǎng)問(wèn)行為的細粒度控制。                   

圖 3  工業(yè)協(xié)議解析技術(shù)

3.3.1.2 企業(yè)生產(chǎn)網(wǎng)絡(luò )入侵行為檢測設計

在生產(chǎn)核心交換機處應用工業(yè)入侵檢測系統的入侵檢測技術(shù)，對煉鐵車(chē)間、煉鋼車(chē)間、軋管、管加工等生產(chǎn)網(wǎng)絡(luò )中的數據流量進(jìn)行深度檢測、實(shí)時(shí)分析，并對網(wǎng)絡(luò )中的攻擊行為進(jìn)行監測，動(dòng)態(tài)地發(fā)現來(lái)自?xún)炔亢屯獠烤W(wǎng)絡(luò )攻擊的行為，并發(fā)出報警。

圖 4  業(yè)務(wù)行為審計

3.3.1.3 企業(yè)工業(yè)主機安全管控設計

在煉鐵車(chē)間、煉鋼車(chē)間、軋管、管加工等各區域操作站、工程師站、服務(wù)器等主機終端上安裝基于“白名單”的工業(yè)主機安全防護產(chǎn)品，通過(guò)對終端運行進(jìn)程、服務(wù)等以白名單方式進(jìn)行識別，策略范圍外進(jìn)程、服務(wù)禁用，實(shí)現對各車(chē)間主機終端的安全管控。

3.3.1.4 企業(yè)生產(chǎn)網(wǎng)絡(luò )操作行為安全審計設計

在煉鐵車(chē)間、煉鋼車(chē)間、軋管、管加工等各匯聚交換機處部署工業(yè)監測審計系統，實(shí)現對工業(yè)報文內容的深度解析，閾值的設定，以及對數據變化速度范圍的設定，以此來(lái)實(shí)現對下屬節點(diǎn)數據變化以及寫(xiě)操作內容的審計。

圖 5  工業(yè)流量審計

3.3.1.5 運維人員操作行為安全設計

在運維管理區部署工業(yè)運維審計系統，通過(guò)應用運維安全審計手段，實(shí)現對運維賬號統一管理，資源和權限進(jìn)行統一分配，對客戶(hù)從登錄到退出的全程操作行為進(jìn)行審計，加強遠程維護的安全管理，降低人為安全風(fēng)險。

3.3.1.6 企業(yè)生產(chǎn)網(wǎng)絡(luò )日志集中管理與分析設計

在運維管理區部署工業(yè)日志收集與分析系統，通過(guò)應用日志審計類(lèi)手段，對鋼管制造企業(yè)網(wǎng)絡(luò )設備、安全設備、主機和應用系統日志進(jìn)行全面的標準化處理，基于關(guān)聯(lián)分析引擎能力，及時(shí)發(fā)現各種安全威脅、異常行為事件。

圖 6  工業(yè)日志收集與分析

3.3.1.7 企業(yè)生產(chǎn)網(wǎng)絡(luò )脆弱性檢測設計

在運維管理區部署工業(yè)漏洞掃描系統，通過(guò)應用工業(yè)漏洞掃描技術(shù)，對鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò )進(jìn)行脆弱性分析和評估。同時(shí)還支持對生產(chǎn)網(wǎng)絡(luò )中所特有的設備/系統，比如SCADA、PLC等進(jìn)行已知漏洞的識別和檢測，及時(shí)發(fā)現安全漏洞。          

圖 7  工業(yè)漏掃資產(chǎn)掃描評估

3.3.1.8 企業(yè)生產(chǎn)網(wǎng)絡(luò )中安全設備、安全策略集中管控能力設計

在運維管理區部署工業(yè)集中管理系統，通過(guò)應用集中管理手段，實(shí)現對工業(yè)防火墻、工業(yè)入侵檢測系統、工業(yè)安全監測審計、工業(yè)主機衛士等安全產(chǎn)品的統一監控、日志采集、安全分析、策略下發(fā)，為鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò )安全運營(yíng)提供決策支持，加強安全事件響應速度與安全運維能力，提升鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò )整體信息安全水平。             

圖 8  資產(chǎn)集中管理

3.3.1.9 企業(yè)辦公網(wǎng)與生產(chǎn)網(wǎng)區域邊界隔離設計

針對中心機房與辦公網(wǎng)進(jìn)行現場(chǎng)監測數據交互過(guò)程實(shí)現單向隔離傳輸機制，通過(guò)在辦公網(wǎng)與生產(chǎn)區域邊界部署工業(yè)隔離與交換系統，對辦公網(wǎng)的邊界流量進(jìn)行單向隔離，該隔離為應用層單向即辦公網(wǎng)對訪(fǎng)問(wèn)控制策略允許的目標設備進(jìn)行只讀操作，禁用對鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò )的寫(xiě)操作行為。

3.3.1.10整體部署實(shí)施

綜上所述，方案整體的部署實(shí)施圖見(jiàn)下圖。

圖 9   整體部署實(shí)施圖

3.3.2 安全管理體系設計

通過(guò)建立組織架構管理、安全策略管理、資產(chǎn)安全管理等鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò )安全管理制度，明確網(wǎng)絡(luò )安全各項工作所需遵循的基本原則和方針；并組建人員成立安全管理機構，對安全管理人員定期開(kāi)展網(wǎng)絡(luò )安全教育、培訓等提高鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò )安全整體管理水平。

同時(shí)，在建設和運維方面也做出安全管理要求，制定安全運維管理制度、安全事件處置制度等，規范鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò )安全建設和運維細則，加強在鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò )建設和運維環(huán)節的把控，實(shí)現鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò )安全管理的規范化、標準化與制度化。

33.3 安全服務(wù)體系設計

3.3.3.1 風(fēng)險評估服務(wù)

通過(guò)對鋼管制造企業(yè)業(yè)務(wù)系統關(guān)鍵資產(chǎn)所存在脆弱性及其所面臨的威脅的量化分析，最終以全面、準確、量化的分析結果呈現其面臨的各種風(fēng)險，并提供針對性的安全風(fēng)險控制方法，消除安全風(fēng)險，提高業(yè)務(wù)系統運轉效率。

3.3.3.2 新系統上線(xiàn)檢查

通過(guò)漏洞檢測、基線(xiàn)核查、滲透測試方式對鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò )進(jìn)行測試，找出新上線(xiàn)業(yè)務(wù)系統（網(wǎng)絡(luò )設備、主機、應用系統、數據庫系統）中存在的安全配置錯誤及漏洞信息，并提供針對性的建議方案，以免新上線(xiàn)業(yè)務(wù)系統存在的安全隱患給用戶(hù)的業(yè)務(wù)和生產(chǎn)帶來(lái)危害。

3.3.3.3 安全加固服務(wù)

針對鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò )服務(wù)器操作系統、數據庫及應用中間件等軟件系統，通過(guò)強化帳號安全、修改安全配置、優(yōu)化訪(fǎng)問(wèn)控制策略、堵塞漏洞及“后門(mén)”，合理進(jìn)行安全性加強，提高其健壯性和安全性，增加攻擊者入侵的難度。

3.3.3.4 滲透測試服務(wù)

通過(guò)模擬黑客的攻擊方法，采用工具+人工驗證的方式對系統和網(wǎng)絡(luò )進(jìn)行非破壞性質(zhì)的攻擊性測試。該檢測方式能夠綜合驗證系統技術(shù)防護手段和安全管理手段的有效性，可以發(fā)現邏輯性更強、更深層次的弱點(diǎn)，讓管理者能夠直觀(guān)的了解自己網(wǎng)絡(luò )和系統的安全狀態(tài)。

3.3.3.5 基線(xiàn)核查服務(wù)

通過(guò)對鋼管制造企業(yè)網(wǎng)絡(luò )設備、安全設備、主機、系統及應用等進(jìn)行基線(xiàn)的合規性核查，出具基線(xiàn)核查報告及建議；對于非標準系統，根據系統特點(diǎn)進(jìn)行人工核查，并協(xié)助客戶(hù)定制基線(xiàn)標準；通過(guò)全局的安全基線(xiàn)核查，掌握網(wǎng)絡(luò )整體安全現況；依據安全基線(xiàn)核查結果與客戶(hù)業(yè)務(wù)模式特點(diǎn)，提供有針對性的安全修補建議，防止安全隱患再次被利用而產(chǎn)生的安全危害。

3.3.3.6 駐場(chǎng)服務(wù)

通過(guò)派遣專(zhuān)業(yè)的安服工程師為客戶(hù)提供駐場(chǎng)服務(wù)，定期向客戶(hù)工作人員提交網(wǎng)絡(luò )的安全狀態(tài)報告，幫助客戶(hù)實(shí)現安全動(dòng)態(tài)的實(shí)時(shí)監控，突發(fā)事件的應急處置、針對當前安全問(wèn)題的安全建議，幫助客戶(hù)了解掌控網(wǎng)絡(luò )安全風(fēng)險，保障網(wǎng)絡(luò )的安全運行。

3.3.4 安全運營(yíng)體系設計

3.3.4.1 技術(shù)架構

平臺整合了終端、應用系統、數據流量等各類(lèi)感知數據源，采用大數據分析挖掘技術(shù)，使用智能算法和安全模型，將看似毫無(wú)聯(lián)系、混亂無(wú)序的各類(lèi)安全數據轉化成直觀(guān)的可視化信息，實(shí)現威脅發(fā)現、精準預警和綜合安全防護。

其中數據采集層通過(guò)資產(chǎn)發(fā)現、脆弱性檢測、流量審計等各類(lèi)探針對被監管網(wǎng)絡(luò )的資產(chǎn)、脆弱性、流量、日志等工業(yè)安全數據進(jìn)行檢測和收集，安全數據經(jīng)過(guò)數據匯入后存儲到存儲計算引擎中，核心業(yè)務(wù)對工業(yè)安全數據進(jìn)行分析后形成安全態(tài)勢和安全風(fēng)險通過(guò)集中展示層展現給客戶(hù)，所有工業(yè)安全風(fēng)險可以通過(guò)安全處置子系統進(jìn)行多人協(xié)同處置。

圖 10  平臺技術(shù)架構

3.3.4.2 安全設計

在運維管理區部署工業(yè)互聯(lián)網(wǎng)態(tài)勢分析與安全管理系統，將鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò )內所有安全設備采集到的流量信息、人員操作行為、異常告警信息進(jìn)行統一收集和整理分析，進(jìn)而掌握整個(gè)企業(yè)生產(chǎn)網(wǎng)絡(luò )中存在的安全隱患和風(fēng)險，通過(guò)對行為內容進(jìn)行建模分析，評估當前網(wǎng)絡(luò )的安全風(fēng)險指數和潛在的受攻擊路線(xiàn)信息，結合對安全告警事件的種類(lèi)、次數、等級的安全態(tài)勢分析，自動(dòng)生成一套符合當前安全需要的安全防護策略建議?；诎踩雷o策略，衍生出當前的安全預警分析基線(xiàn)，對于明顯不符合當前網(wǎng)絡(luò )操作行為，做到事前有效預警和事中及時(shí)防護，減少不必要的生產(chǎn)損失。

同時(shí)，系統可實(shí)現安全事件追溯功能，結合機器自學(xué)習的方式以及安全漏洞庫和攻擊特征庫等，有效識別、跟蹤分析和判斷各項操作行為和動(dòng)作的合規性與安全性，對于超出當前安全基線(xiàn)的行為提供全程的行為審計和事件還原能力，為安全管理人員提供高效的安全事件追溯功能。

3.3.4.2.1 威脅識別與預測

通過(guò)將功能安全數據、信息安全數據與生產(chǎn)過(guò)程中的重要監測數據相互結合，形成面向系統、業(yè)務(wù)、威脅等狀態(tài)的多維度關(guān)聯(lián)性安全分析，并將安全措施與工業(yè)控制過(guò)程深度融合，實(shí)現安全威脅的快速預測、處置及管理。         

圖 11  威脅識別與預測

3.3.4.2.2 安全事件閉環(huán)處置

通過(guò)關(guān)聯(lián)分析系統日志、運行狀態(tài)、安全日志、告警信息等數據，實(shí)現安全事件識別，并結合業(yè)務(wù)模型、安全模型及最新的網(wǎng)絡(luò )安全威脅情報等信息，準確及時(shí)地發(fā)現各種潛在威脅和攻擊，進(jìn)行威脅快速定位及事件取證，采取有效處置措施，最終實(shí)現安全處置的閉環(huán)管理。        

圖 12  安全事件閉環(huán)處置

3.3方案創(chuàng )新性

n  面向生產(chǎn)網(wǎng)絡(luò )漏洞利用攻擊的輕量級靶向性虛擬補丁

通過(guò)構建控制系統檢測引擎，并結合規則庫分級分類(lèi)、漏洞規則庫新增等技術(shù)手段實(shí)現在網(wǎng)絡(luò )層面對于漏洞的加固，同時(shí)采用靶向性的技術(shù)手段避免了高延時(shí)、誤報的問(wèn)題形成對鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò )已知漏洞的安全閉環(huán)。

n  基于數據變化率檢測的控制領(lǐng)域信息安全行為識別方法

通過(guò)對鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò )中流量的數據報文進(jìn)行完整性還原,識別報文中的控制指令依據業(yè)務(wù)的通信行為與指令進(jìn)行關(guān)聯(lián)分析，并建立業(yè)務(wù)的控制行為基線(xiàn)，通過(guò)行為基線(xiàn)構建深度分析體系，同時(shí)與態(tài)勢感知安全信息進(jìn)行匹配分析，識別異?？刂菩袨?。

n  采用基于數據字典的行為內容識別技術(shù)

在對工業(yè)協(xié)議、工業(yè)通信原理的分析基礎之上，在其中加入通信主從站間數據字典能力，將報文監測的信息與物理數據信息進(jìn)行關(guān)聯(lián)，進(jìn)而實(shí)現對數據處理權限的控制，解決了僅通過(guò)對通信報文監測，無(wú)法獲取數據信息的難題。

n  雙安融合應用

方案創(chuàng )新性將信息安全與功能安全相互融合，將功能安全產(chǎn)生的信息作為數據支撐，利用信息安全中的技術(shù)優(yōu)化功能安全的過(guò)程通信傳輸過(guò)程，將分析處置對象從寄存器轉變?yōu)槲锢碜兞?，在構建通信傳輸信息安全能力的同時(shí)保障通信業(yè)務(wù)功能的安全可靠。同時(shí)將安全管理技術(shù)與運營(yíng)分析技術(shù)進(jìn)行融合，通過(guò)功能安全數據、信息安全數據與生產(chǎn)過(guò)程中的重要監測數據相互結合，擴大分析所采用的數據范圍，構建工業(yè)流程模型，進(jìn)行基于模型的檢測，判定安全運營(yíng)狀態(tài)，保障企業(yè)安全運營(yíng)。

3.4 存在的網(wǎng)絡(luò )安全問(wèn)題及解決思路

ü  兩化融合致生產(chǎn)網(wǎng)絡(luò )安全風(fēng)險劇增

通過(guò)在生產(chǎn)網(wǎng)絡(luò )邊界采取邊界隔離措施，明確網(wǎng)絡(luò )邊界，配置不同安全域間訪(fǎng)問(wèn)控制策略，對非授權或越權跨越邊界行為阻斷報警，解決網(wǎng)絡(luò )安全風(fēng)險蔓延的隱患。

ü  工業(yè)主機惡意程序影響業(yè)務(wù)正常進(jìn)行

操作員站、服務(wù)器等主機部署“白名單”安全防護軟件，通過(guò)白名單防護、外設管理、基線(xiàn)加固等措施，提升工業(yè)主機安全防護能力。

ü  網(wǎng)絡(luò )攻擊行為易造成業(yè)務(wù)中斷

在生產(chǎn)網(wǎng)絡(luò )邊界采取入侵檢測措施，發(fā)現控制網(wǎng)絡(luò )入侵攻擊、異常流量等安全威脅，對外來(lái)威脅及時(shí)告警，以便立即采取技術(shù)措施，防止業(yè)務(wù)中斷。

ü  操作行為不規范易導致生產(chǎn)業(yè)務(wù)停滯

應用工業(yè)安全監測審計手段，針對區域內操作站、PLC異常通信、違規操作、協(xié)議規約異常以及關(guān)鍵事件等告警、記錄。

ü  安全漏洞致網(wǎng)絡(luò )攻擊行為發(fā)生

應用脆弱性檢測技術(shù)，定期開(kāi)展針對生產(chǎn)網(wǎng)絡(luò )非運行狀態(tài)及未上線(xiàn)前主機、應用及控制器脆弱性?huà)呙?，?shí)現對生產(chǎn)網(wǎng)絡(luò )及系統脆弱性識別。

ü  缺乏統一安全運營(yíng)操作平臺導致安全運維效率低下

應用集中管控技術(shù)，對工業(yè)防火墻、工業(yè)入侵等安全設備進(jìn)行統一策略下發(fā)，提高整體安全運維效率。

ü  安全盲區易導致攻擊行為趁虛而入

搭建工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺，從全局視角實(shí)現企業(yè)網(wǎng)絡(luò )安全風(fēng)險管控和運營(yíng)分析管理，解決安全盲區問(wèn)題。

4、應用價(jià)值與效益

n  減少網(wǎng)絡(luò )安全問(wèn)題導致企業(yè)停工停產(chǎn)帶來(lái)的經(jīng)濟損失

通過(guò)建立工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺，可實(shí)時(shí)監測鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò )關(guān)鍵節點(diǎn)的安全風(fēng)險和脆弱性，對發(fā)現的重大威脅提前進(jìn)行安全風(fēng)險預警，有效提升鋼管制造企業(yè)應對網(wǎng)絡(luò )攻擊風(fēng)險的能力，減少因為網(wǎng)絡(luò )安全問(wèn)題導致企業(yè)停工停產(chǎn)帶來(lái)的經(jīng)濟損失，保證生產(chǎn)業(yè)務(wù)的連續性、安全性。

n  提升對安全事件的處置效率

通過(guò)建立工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺，幫助客戶(hù)打破安全數據交互壁壘，統籌安全能力，形成以漏洞管理、基線(xiàn)管理、事件管理、風(fēng)險管理等多方面的安全合力，通過(guò)分析處理海量安全數據，挖掘數據真正價(jià)值，使得客戶(hù)網(wǎng)絡(luò )安全事件處置效率提升98%。

n  動(dòng)態(tài)進(jìn)行安全防御，提升安全事件響應速度

通過(guò)聯(lián)動(dòng)網(wǎng)內各類(lèi)安全設備，可以對發(fā)現的安全問(wèn)題快速定位，并制定有效的安全防御手段，利用系統的安全策略集中管理能力，可以動(dòng)態(tài)調整設備安全策略，快速封堵安全漏洞，及時(shí)處置安全事件，最大程度的降低事件影響范圍。