1、方案背景與目標

貴州習酒積極推進(jìn)白酒傳統生產(chǎn)方式機械化升級，從制曲過(guò)程、酒醅發(fā)酵、勾兌過(guò)程、包裝和物流五個(gè)領(lǐng)域開(kāi)展信息化、數字化轉型，對生產(chǎn)、包裝、運輸、銷(xiāo)售過(guò)程進(jìn)行全方位監測，大大保證白酒質(zhì)量，有效提高貴州習酒產(chǎn)品競爭力和市場(chǎng)信譽(yù)度。伴隨貴州習酒數字化轉型的實(shí)施，只能制造中的信息安全問(wèn)題顯得越來(lái)越突出，一旦網(wǎng)絡(luò )被攻陷，一方面會(huì )破壞設備，泄露企業(yè)的技術(shù)信息，損壞企業(yè)形象，另一方面會(huì )對國家和社會(huì )造成嚴重不良影響。故針對貴州習酒工控網(wǎng)絡(luò )開(kāi)展了基于實(shí)戰化的網(wǎng)絡(luò )安全防護體系建設。

2、方案詳細介紹

本方案構建貴州習酒工控網(wǎng)絡(luò )“垂直分層，水平分區。邊界控制，內部監測”的工控安全技術(shù)防護體系，實(shí)現各操作站、工業(yè)控制系統連接處、無(wú)線(xiàn)網(wǎng)絡(luò )等要進(jìn)行邊界防護和準入控制等。對工業(yè)控制系統內部要監測網(wǎng)絡(luò )流量數據以發(fā)現入侵、業(yè)務(wù)異常、訪(fǎng)問(wèn)關(guān)系異常和流量異常等問(wèn)題，構建工控網(wǎng)絡(luò )實(shí)戰化主動(dòng)防御體系，提升工控網(wǎng)絡(luò )未知威脅檢測能力，實(shí)現從被動(dòng)防御變?yōu)橹鲃?dòng)防御，全面提高工控網(wǎng)絡(luò )威脅防御能力，全面快速消除工控網(wǎng)絡(luò )威脅，實(shí)現從單點(diǎn)防御到全工控網(wǎng)協(xié)防，主要建設內容如下：

邊界隔離：在各邊界之間部署工業(yè)防火墻，通過(guò)工業(yè)協(xié)議深度解析，結合自學(xué)習白名單安全防護策略，實(shí)現細粒度的邊界訪(fǎng)問(wèn)控制和安全隔離，通過(guò)最小化規則盡可能規避來(lái)自外部系統的非法/違規數據訪(fǎng)問(wèn)。

高級威脅監測：通過(guò)在核心交換機上旁路部署高級威脅檢測系統，對網(wǎng)絡(luò )流量進(jìn)行實(shí)時(shí)分析，通過(guò)利用沙箱、多AV病毒檢測、流量基因檢測和文件基因檢測等先進(jìn)技術(shù)對惡意樣本、惡意流量、行為異常等威脅進(jìn)行重點(diǎn)識別，彌補生產(chǎn)網(wǎng)自身業(yè)務(wù)系統脆弱的不足，發(fā)現高危漏洞主機，發(fā)現潛伏的惡意文件和惡意流量通訊行為，識別惡意文件的擴散，保護生產(chǎn)網(wǎng)安全。

主機防護：對工控網(wǎng)絡(luò )內的主機進(jìn)行安全防護，主要是針對域內的主機，建議部署工業(yè)主機安全衛士，通過(guò)主機應用程序白名單機制，阻止非工作程序在主機上的操作運行，阻斷由于操作系統漏洞、應用軟件漏洞而引起的惡意攻擊，同時(shí)通過(guò)安全U盤(pán)實(shí)現移動(dòng)安全數據存儲。

網(wǎng)絡(luò )實(shí)時(shí)監測與審計：在生產(chǎn)網(wǎng)旁路部署工業(yè)安全審計，建立業(yè)務(wù)通信模型實(shí)現對工控指令攻擊、控制參數篡改、病毒和蠕蟲(chóng)等惡意代碼攻擊行為的實(shí)時(shí)監測和告警，同時(shí)對網(wǎng)絡(luò )中的攻擊行為、網(wǎng)絡(luò )會(huì )話(huà)、數據流量、重要操作等進(jìn)行審計，實(shí)現安全事件的日志回溯和取證；在服務(wù)器區旁路部署數據庫審計，對數據庫的操作行為進(jìn)行審計。

統一安全管理：建立安全監管平臺，對工控網(wǎng)絡(luò )中的相關(guān)防護產(chǎn)品進(jìn)行統一的管理及運維，對整網(wǎng)防護設備進(jìn)行策略配置下發(fā)、對各設備進(jìn)行集中化策略配置下發(fā)、存儲、備份、查詢(xún)、審計、告警、響應，并出具豐富的報表和報告，實(shí)時(shí)掌握工業(yè)控制網(wǎng)絡(luò )情況，獲悉工業(yè)控制網(wǎng)絡(luò )整體的安全狀態(tài)，實(shí)現全生命周期的日志管理。

方案建設成效：

（1）工業(yè)網(wǎng)絡(luò )和管理網(wǎng)絡(luò )隔離

通過(guò)管理網(wǎng)和生產(chǎn)網(wǎng)隔離確保生產(chǎn)網(wǎng)不會(huì )引入來(lái)自管理網(wǎng)風(fēng)險，保證生產(chǎn)網(wǎng)邊界安全；在各車(chē)間內部工控系統進(jìn)行一定手段的監測、防護，保證車(chē)間內部安全；最后對整個(gè)工控系統進(jìn)行統一安全呈現，將各個(gè)防護點(diǎn)組成一個(gè)全面的防護體系，保障其整個(gè)工業(yè)控制系統安全穩定運行。

（2）車(chē)間內部監測防護

在操作員站、工程師站、HMI等各類(lèi)操作站部署操作站安全系統對主機的進(jìn)程、軟件、流量、U盤(pán)的使用等進(jìn)行監控，防范主機非法訪(fǎng)問(wèn)網(wǎng)絡(luò )其它節點(diǎn)；

部署工控異常監測系統，監測工控網(wǎng)絡(luò )的相關(guān)業(yè)務(wù)異常和入侵行為，通過(guò)工控網(wǎng)絡(luò )中的流量關(guān)系圖形化展示梳理發(fā)現網(wǎng)絡(luò )中的故障，出現異常及時(shí)報警；

（3）實(shí)戰化未知威脅檢測

本方案監測體系中除了具備常規的入侵檢測功能外，還可以從網(wǎng)絡(luò )流量中還原出文件并通過(guò)多病毒檢測引擎有效識別出病毒、木馬等已知威脅；通過(guò)基因圖譜檢測技術(shù)檢測惡意代碼變種； 還可以通過(guò)沙箱行為檢測技術(shù)發(fā)現未知威脅；對抽取的網(wǎng)絡(luò )流量元數據，進(jìn)行情報檢測、異常檢測、流量基因檢測；最后將所有安全威脅進(jìn)行關(guān)聯(lián)分析，實(shí)現對檢測及防御APT攻擊及工控網(wǎng)絡(luò )未知威脅；

（4）建立工控網(wǎng)絡(luò )安全可視化統一管理中心

將工控網(wǎng)中全要素數據進(jìn)行收集整合，實(shí)現全局的網(wǎng)絡(luò )安全動(dòng)態(tài)分析和監測，提升網(wǎng)絡(luò )安全的感知能力；對大量的安全設備統一管理減少運維難度，并且排除環(huán)境中的安全設備分散問(wèn)題，避免形成安全孤島；對大量日志進(jìn)行建模分析，清洗、過(guò)濾、整合，實(shí)現對風(fēng)險趨勢的預測，將工控網(wǎng)絡(luò )的態(tài)勢狀況通過(guò)可視化圖形方式進(jìn)行展示，生成多視圖、多角度、多尺度的工控網(wǎng)絡(luò )安全綜合態(tài)勢全景圖。

3、代表性及推廣價(jià)值

通過(guò)本次工業(yè)控制系統網(wǎng)絡(luò )安全防護項目，積累實(shí)踐經(jīng)驗，以網(wǎng)絡(luò )安全法律規范政策標準為基點(diǎn)，吸收國際先進(jìn)的理念、模型和技術(shù)，面向場(chǎng)景和實(shí)戰需求，系統化規劃和建設，采用新理念、新方法、新架構、新策略，構建新一代的工控網(wǎng)絡(luò )安全防護體系，并積極布局輕量級工業(yè)信任體系，為習酒持續的工控網(wǎng)絡(luò )安全防御體系演進(jìn)提供了空間。

通過(guò)本項目，實(shí)現了安全服務(wù)和安全產(chǎn)品部署同步，提供了有效的工控網(wǎng)絡(luò )安全防御體系，為數字化轉型提供網(wǎng)絡(luò )安全保障；通過(guò)本項目實(shí)踐，形成可橫向推廣經(jīng)驗，也是工業(yè)環(huán)境先進(jìn)網(wǎng)絡(luò )安全防護的場(chǎng)景化實(shí)踐。本項目為習酒工控網(wǎng)絡(luò )安全和數字化轉型提供保障，同時(shí)符合工控等保、關(guān)基保護合規需求，是滿(mǎn)足合規和實(shí)戰化防御雙需求的一次積極實(shí)踐。

本項目方案既可作為整套解決方案，亦可根據需求滿(mǎn)足工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò )安全工作要求，還可定制化網(wǎng)絡(luò )安全服務(wù)滿(mǎn)足相關(guān)管理需求。落地實(shí)現各行業(yè)工控網(wǎng)絡(luò )安全建設工作，示范效應顯著(zhù)，具有廣闊的市場(chǎng)前景，對于工業(yè)互聯(lián)網(wǎng)自身以及帶動(dòng)生產(chǎn)行業(yè)的健康發(fā)展具有非常積極的意義。