★北京網(wǎng)御星云信息技術(shù)有限公司

1 項(xiàng)目概況

1.1 項(xiàng)目背景

在“兩化”融合的行業(yè)發(fā)展需求下，燃?xì)夤境薊RP、CRM以及OA等多數(shù)企業(yè)使用的經(jīng)營(yíng)管理類(lèi)信息系統(tǒng)外，還建立了大量的符合自身需求的生產(chǎn)運(yùn)營(yíng)類(lèi)的系統(tǒng)，包括SCADA系統(tǒng)、生產(chǎn)調(diào)度系統(tǒng)、GIS系統(tǒng)以及其他生產(chǎn)運(yùn)營(yíng)相關(guān)的工控系統(tǒng)等。當(dāng)前燃?xì)馄髽I(yè)正在向“智能管網(wǎng)”的方向邁進(jìn)，對(duì)SCADA系統(tǒng)的依賴(lài)更加嚴(yán)重。

當(dāng)前，國(guó)家對(duì)工業(yè)控制系統(tǒng)的通用性與開(kāi)放性提出了更高的要求。燃?xì)庑袠I(yè)未來(lái)工業(yè)控制系統(tǒng)面臨的安全威脅也會(huì)越來(lái)越多。燃?xì)庾鳛閲?guó)家關(guān)鍵基礎(chǔ)設(shè)施之一，特別是隨著監(jiān)管側(cè)的相關(guān)法律法規(guī)的出臺(tái)，工控網(wǎng)絡(luò)安全建設(shè)需求愈發(fā)迫切。

1.2 項(xiàng)目簡(jiǎn)介

本方案整體思路是建立ICS的全生命周期的安全防護(hù)，即在系統(tǒng)的規(guī)劃設(shè)計(jì)、建設(shè)實(shí)施、運(yùn)行維護(hù)、廢棄各階段進(jìn)行安全防護(hù)。

本方案總體防護(hù)思路如圖1所示。首先對(duì)整個(gè)燃?xì)釯CS進(jìn)行全面風(fēng)險(xiǎn)評(píng)估，掌握目前ICS風(fēng)險(xiǎn)現(xiàn)狀；其次對(duì)ICS進(jìn)行合理的安全域劃分，在區(qū)域之間進(jìn)行邊界隔離，實(shí)現(xiàn)安全域之間的訪問(wèn)控制，并根據(jù)相關(guān)標(biāo)準(zhǔn)，在不同區(qū)域設(shè)置相應(yīng)的監(jiān)測(cè)、防護(hù)策略和技術(shù)措施，保證安全區(qū)域內(nèi)部安全；最后對(duì)整個(gè)ICS進(jìn)行統(tǒng)一安全呈現(xiàn)，將各個(gè)防護(hù)點(diǎn)組成一個(gè)全面的防護(hù)體系，保障整個(gè)ICS安全穩(wěn)定運(yùn)行。

圖1 總體防護(hù)思路

1.3 項(xiàng)目目標(biāo)

本項(xiàng)目整體防護(hù)目標(biāo)的設(shè)計(jì)充分參考了國(guó)內(nèi)外相關(guān)工控安全標(biāo)準(zhǔn)和成熟安全模型，并結(jié)合了行業(yè)工控系統(tǒng)的業(yè)務(wù)特點(diǎn)和安全需求。同時(shí)，按照生產(chǎn)優(yōu)先的原則，以保障工控系統(tǒng)生產(chǎn)任務(wù)正常運(yùn)行為基本出發(fā)點(diǎn)，確保方案中的所有安全防護(hù)措施的部署不會(huì)對(duì)正常工業(yè)生產(chǎn)構(gòu)成影響，并充分考慮了他們和工控系統(tǒng)、網(wǎng)絡(luò)和軟硬件設(shè)備之間的兼容性。

本項(xiàng)目預(yù)期達(dá)成以下目標(biāo)：

燃?xì)釹CADA系統(tǒng)信息安全技術(shù)體系規(guī)劃結(jié)合燃?xì)庑畔⑾到y(tǒng)現(xiàn)狀、安全需求和業(yè)務(wù)發(fā)展實(shí)際需要，分為網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、基礎(chǔ)設(shè)施5個(gè)層面。

（1）網(wǎng)絡(luò)安全：采用工業(yè)防火墻實(shí)現(xiàn)網(wǎng)絡(luò)安全域劃分、工控網(wǎng)與辦公網(wǎng)絡(luò)的技術(shù)隔離，防御外部威脅的侵入，形成從內(nèi)到外的防護(hù)體系。

圖2 總體部署方案

（2）主機(jī)安全：采用工業(yè)控制系統(tǒng)終端安全管理平臺(tái)統(tǒng)一管控工作站和服務(wù)器，實(shí)現(xiàn)補(bǔ)丁分發(fā)、病毒防護(hù)及策略定制，發(fā)現(xiàn)系統(tǒng)存在的漏洞和風(fēng)險(xiǎn)，降低終端維護(hù)和管理工作量，阻止非法程序和未經(jīng)授權(quán)軟件運(yùn)行，保障工作站和服務(wù)器主機(jī)全生命周期的安全。

（3）應(yīng)用安全：采用工控異常監(jiān)測(cè)系統(tǒng)對(duì)燃?xì)釹CADA系統(tǒng)工控網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)測(cè)、記錄和審計(jì)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)操作和異常行為，實(shí)現(xiàn)事前部署、事中監(jiān)控、事后追溯。

（4）數(shù)據(jù)安全：燃?xì)釹CADA系統(tǒng)調(diào)度中心與場(chǎng)站之間通過(guò)工業(yè)防火墻VPN技術(shù)提供安全訪問(wèn)通道，解決工控網(wǎng)絡(luò)數(shù)據(jù)傳輸通道加密的問(wèn)題。

（5）基礎(chǔ)設(shè)施：采用工控統(tǒng)一安全管理平臺(tái)采集、監(jiān)控燃?xì)釹CADA系統(tǒng)中的IFIX服務(wù)器、中心數(shù)據(jù)庫(kù)、前置機(jī)、SCADA工作站、場(chǎng)站無(wú)人值守操作站以及安全設(shè)備的可用性，并對(duì)其日志信息進(jìn)行統(tǒng)一收集、管理和分析。

2 項(xiàng)目實(shí)施

2.1 防護(hù)方案

2.1.1安全域規(guī)劃

本方案采取按功能分層的方式對(duì)燃?xì)釹CADA系統(tǒng)進(jìn)行分析和安全設(shè)計(jì)，并根據(jù)其應(yīng)用、數(shù)據(jù)、用戶及特定接入的不同安全需求由下至上劃分出四層架構(gòu)，具體如圖3所示。

圖3 SCADA系統(tǒng)網(wǎng)絡(luò)架構(gòu)

依據(jù)安全域劃分原則，同一安全域擁有相同的安全等級(jí)和屬性，域內(nèi)是相互信任的，安全風(fēng)險(xiǎn)主要來(lái)自不同的安全域互訪，需要加強(qiáng)安全域邊界的安全防護(hù)。區(qū)域之間依據(jù)業(yè)務(wù)及安全的需要配置安全策略，有效實(shí)現(xiàn)信息系統(tǒng)合理安全域劃分。具體規(guī)劃如圖4所示。

圖4 安全域規(guī)劃

2.1.2 場(chǎng)站終端安全防護(hù)

將導(dǎo)軌式工業(yè)防火墻部署于場(chǎng)站PLC/RTU與上聯(lián)交換機(jī)之間，通過(guò)工業(yè)防火墻特有的應(yīng)用協(xié)議分析功能和業(yè)務(wù)需求指令配置功能，保證關(guān)鍵鏈路只傳遞業(yè)務(wù)必要信息，避免病毒和病毒的相互感染，更重要的是保證生產(chǎn)指令正確、可靠、及時(shí)地傳遞。具體規(guī)劃如圖5所示。

圖5 終端安全防護(hù)圖

實(shí)現(xiàn)效果：

（1）基礎(chǔ)功能：具備基礎(chǔ)防火墻功能，包括基于傳統(tǒng)五元組、協(xié)議、資產(chǎn)、時(shí)間等多元組一體化訪問(wèn)控制；支持透明、路由、混合模式部署；設(shè)備內(nèi)置多種工業(yè)防護(hù)模型，并可以自定義防護(hù)規(guī)則。

（2）工業(yè)DPI：支持多種工業(yè)協(xié)議深度解析，包括OPC、Modbus/TCP、Modbus/RTU、Ethernet/IP、IEC104和EIP等協(xié)議，可以做到指令級(jí)訪問(wèn)控制。

（3）工業(yè)IPS：預(yù)置工控系統(tǒng)攻擊事件庫(kù)，全面提升工業(yè)網(wǎng)絡(luò)安全防護(hù)能力；基于自然語(yǔ)言描述的可擴(kuò)展規(guī)則引擎，支持自定義報(bào)文解析，具備極佳的安全防護(hù)擴(kuò)展能力。

（4）流量自學(xué)習(xí)：流量智能學(xué)習(xí)，自動(dòng)推薦安全策略幫助管理員輕松運(yùn)維；流量可視化，讓管理員洞悉工業(yè)網(wǎng)絡(luò)情況。

（5）集中管理：支持工業(yè)防火墻的大規(guī)模部署，全網(wǎng)策略統(tǒng)一下發(fā)，設(shè)備情況統(tǒng)一展現(xiàn)，日志告警集中顯示。

（6）日志審計(jì)：支持設(shè)備管理日志和系統(tǒng)日志的記錄和外發(fā)。

2.1.3 調(diào)度中心檢測(cè)審計(jì)

在燃?xì)庹{(diào)度中心SCADA安全域接入層交換機(jī)部署工業(yè)異常檢測(cè)系統(tǒng)，并配置鏡像端口對(duì)數(shù)據(jù)流實(shí)施抓取和分析，監(jiān)控所有流經(jīng)主控系統(tǒng)的網(wǎng)絡(luò)流量和訪問(wèn)行為，對(duì)異常流量和行為實(shí)時(shí)監(jiān)控和報(bào)警。在此基礎(chǔ)上增加安全審計(jì)產(chǎn)品，可以更好地對(duì)入侵和安全事件進(jìn)行關(guān)聯(lián)和管理，并采取短信、郵件等形式的告警。

部署專(zhuān)業(yè)審計(jì)設(shè)備（如圖6所示），對(duì)數(shù)據(jù)庫(kù)操作及日志記錄進(jìn)行安全審計(jì)。通過(guò)將SCADA系統(tǒng)所產(chǎn)生的運(yùn)行日志和操作日志寫(xiě)入關(guān)系數(shù)據(jù)庫(kù)中，對(duì)關(guān)系數(shù)據(jù)庫(kù)日志記錄表進(jìn)行審計(jì)。

圖6 調(diào)度中心檢測(cè)審計(jì)部署

審計(jì)設(shè)備對(duì)日志記錄的審計(jì)包含日期和時(shí)間、用戶、事件類(lèi)型、事件操作結(jié)果等審計(jì)記錄，審計(jì)設(shè)備提供審計(jì)記錄導(dǎo)出功能，將定期導(dǎo)出審計(jì)記錄進(jìn)行備份保存。審計(jì)設(shè)備將與系統(tǒng)統(tǒng)一時(shí)鐘源進(jìn)行同步，確保審計(jì)記錄時(shí)間的正確性。

實(shí)現(xiàn)效果：

（1）通用網(wǎng)絡(luò)入侵檢測(cè)：對(duì)采用標(biāo)準(zhǔn)以太網(wǎng)的信息網(wǎng)絡(luò)，檢測(cè)已知的各種木馬、蠕蟲(chóng)、僵尸網(wǎng)絡(luò)、緩沖區(qū)溢出攻擊、DDOS、掃描探測(cè)、欺騙劫持、網(wǎng)站掛馬等。

（2）工控語(yǔ)言專(zhuān)項(xiàng)解讀：支持Modbus協(xié)議、IEC-60870-104協(xié)議、BACnet協(xié)議、DNP3協(xié)議、Modicon協(xié)議、NiagaraFox協(xié)議、SiemensS7協(xié)議等工控協(xié)議的深度解析。

（3）工控網(wǎng)絡(luò)特有檢測(cè)策略：通過(guò)對(duì)工控語(yǔ)言的解讀，研究其中各種入侵途徑，從而形成特有的工控網(wǎng)絡(luò)檢測(cè)策略，并內(nèi)置在產(chǎn)品中。

（4）利用工控漏洞的入侵行為檢測(cè)：支持利用已知工控設(shè)備漏洞的入侵攻擊行為檢測(cè)，支持利用西門(mén)子、羅克韋爾等廠商設(shè)備漏洞的入侵攻擊行為檢測(cè)。

（5）網(wǎng)絡(luò)偽造報(bào)文攻擊檢測(cè)：可發(fā)現(xiàn)惡意構(gòu)造的異常報(bào)文、畸形報(bào)文。

（6）可定制的工控網(wǎng)絡(luò)安全異常檢測(cè)：產(chǎn)品開(kāi)放其靈活、強(qiáng)大的定制檢測(cè)能力，可針對(duì)專(zhuān)用工控網(wǎng)絡(luò)的業(yè)務(wù)操作數(shù)據(jù)進(jìn)行梳理，總結(jié)出相應(yīng)的業(yè)務(wù)白名單，進(jìn)而制定出有效的安全異常檢測(cè)規(guī)則，實(shí)現(xiàn)具有用戶特色的專(zhuān)屬檢測(cè)方式。

2.1.4 操作站安全防護(hù)

工控終端安全管理系統(tǒng)中心服務(wù)器部署在SCADA安全域內(nèi)，方便進(jìn)行管理，更有利于安全接入管理；客戶端部署在調(diào)度中心和站控的操作員站、工程師站、遠(yuǎn)程訪問(wèn)SCADA系統(tǒng)的各個(gè)終端，部署方式可以采用登錄WEB頁(yè)面下載安裝和電子郵件分發(fā)客戶端相結(jié)合的方法。

工控終端安全管理系統(tǒng)中心負(fù)責(zé)燃?xì)釹CADA區(qū)域終端的管理，負(fù)責(zé)全網(wǎng)各業(yè)務(wù)系統(tǒng)終端計(jì)算機(jī)的信息收集與策略下發(fā)，實(shí)現(xiàn)對(duì)終端計(jì)算機(jī)的管理，并在服務(wù)器上配置補(bǔ)丁系統(tǒng)，將補(bǔ)丁文件的存貯、發(fā)放和管理集中在服務(wù)器進(jìn)行。負(fù)責(zé)對(duì)各終端計(jì)算機(jī)進(jìn)行查看，并進(jìn)行策略制定、下發(fā)。

SCADA系統(tǒng)終端安裝客戶端程序，負(fù)責(zé)向服務(wù)器上報(bào)資產(chǎn)、行為、補(bǔ)丁等信息，同時(shí)從服務(wù)器接收策略，并執(zhí)行。

圖7 操作站安全防護(hù)部署

實(shí)現(xiàn)效果：

以燃?xì)庹{(diào)度中心內(nèi)SCADA系統(tǒng)服務(wù)區(qū)及終端計(jì)算機(jī)為管理對(duì)象，通過(guò)傳統(tǒng)桌面管理、終端數(shù)據(jù)防泄密、終端防病毒三大模塊形成全面終端安全解決方案，提升內(nèi)網(wǎng)安全防護(hù)能力和合規(guī)管理水平；構(gòu)建“不可信終端進(jìn)不來(lái)”“入網(wǎng)終端管得住”“敏感數(shù)據(jù)出不去”的內(nèi)網(wǎng)終端安全管理體系，逐漸形成桌面管理、數(shù)據(jù)防泄密、終端防病毒三位一體的終端安全管控產(chǎn)品新業(yè)態(tài)。

（1）終端管理一體化：桌面管理、數(shù)據(jù)防泄密、終端防病毒三功能合一，一個(gè)客戶端解決終端安全管理的所有問(wèn)題，減輕用戶桌面壓力。

（2）全面資產(chǎn)管理：對(duì)終端資產(chǎn)全生命周期進(jìn)行管理，提供終端操作系統(tǒng)漏洞檢測(cè)和修復(fù)、終端平臺(tái)環(huán)境規(guī)范以及遠(yuǎn)程支持和維護(hù)等全方位的終端運(yùn)維管理。

（3）精細(xì)化安全防護(hù)：天珣客戶端內(nèi)置強(qiáng)大的主機(jī)防火墻引擎，采用訪問(wèn)控制、流量控制、ARP欺騙控制、網(wǎng)絡(luò)行為模式控制、非法外聯(lián)控制等手段，實(shí)現(xiàn)針對(duì)計(jì)算機(jī)終端的威脅主動(dòng)防御和網(wǎng)絡(luò)行為控制，從而保證計(jì)算機(jī)終端雙向訪問(wèn)安全、行為受控。

（4）規(guī)范終端行為：從終端審計(jì)、移動(dòng)存儲(chǔ)管理、安全基線設(shè)定等角度，提供全方位的終端合規(guī)管理功能，從規(guī)范終端用戶行為出發(fā)，封堵終端違規(guī)的漏洞，監(jiān)控和規(guī)范終端用戶行為，全面提升終端安全管理水平。

（5）敏感數(shù)據(jù)保護(hù)：從讓用戶了解內(nèi)網(wǎng)敏感數(shù)據(jù)的角度出發(fā)，到發(fā)現(xiàn)敏感數(shù)據(jù)，監(jiān)控?cái)?shù)據(jù)流動(dòng)，檢測(cè)泄密風(fēng)險(xiǎn)并在發(fā)生泄密行為時(shí)及之后進(jìn)行相應(yīng)的阻止和審計(jì)，保證泄密事件發(fā)生前、中、后都能有效地為用戶提供強(qiáng)有力的技術(shù)支撐。

（6）防病毒：集成經(jīng)過(guò)權(quán)威防病毒機(jī)構(gòu)認(rèn)證的終端防病毒引擎，保證內(nèi)網(wǎng)每一個(gè)終端節(jié)點(diǎn)都處于殺毒軟件的實(shí)時(shí)保護(hù)中。

2.1.5兩網(wǎng)隔離

在燃?xì)庹{(diào)度中心SCADA安全域單獨(dú)規(guī)劃，使其擁有獨(dú)立的VM交換機(jī)，在安全域之間使用工控網(wǎng)閘進(jìn)行安全隔離。對(duì)SCADA安全域內(nèi)的服務(wù)器等工控應(yīng)用進(jìn)行安全隔離防護(hù)，避免SCADA域外的安全風(fēng)險(xiǎn)入侵SCADA服務(wù)器。工控網(wǎng)閘在SCADA域與非SCADA域之間進(jìn)行安全隔離，監(jiān)視和控制區(qū)域邊界通信，拒絕所有非必要的網(wǎng)絡(luò)數(shù)據(jù)流，允許例外網(wǎng)絡(luò)數(shù)據(jù)流，識(shí)別邊界入侵行為并有效阻斷。具體兩網(wǎng)隔離部署如圖8所示。

圖8 兩網(wǎng)隔離部署

實(shí)現(xiàn)功能：

（1）OPC應(yīng)用數(shù)據(jù)傳輸：支持DCS/SCADA網(wǎng)絡(luò)與管理網(wǎng)絡(luò)之間的OPC應(yīng)用數(shù)據(jù)的傳輸；支持協(xié)議格式檢查及內(nèi)容過(guò)濾；支持同步、異步監(jiān)測(cè)數(shù)據(jù)的傳輸；支持高安全的自動(dòng)協(xié)商動(dòng)態(tài)端口通訊機(jī)制；支持情景模式，能夠設(shè)置OPC工控應(yīng)用允許通信的時(shí)間；支持端口訪問(wèn)控制。

（2）數(shù)據(jù)庫(kù)訪問(wèn)：實(shí)現(xiàn)對(duì)多種（如MySql、SqlServer、Oracle、DB2、Sybase）主流數(shù)據(jù)庫(kù)系統(tǒng)的安全訪問(wèn)；支持SQLServer和Oracle數(shù)據(jù)庫(kù)SQL語(yǔ)句過(guò)濾功能；支持實(shí)時(shí)數(shù)據(jù)庫(kù)的訪問(wèn)與數(shù)據(jù)傳輸。

（3）數(shù)據(jù)庫(kù)同步：支持Oracle、SQLServer、Sybase、Db2等主流數(shù)據(jù)庫(kù)間單向和雙向同步；支持同構(gòu)、異構(gòu)同步；支持一對(duì)多、多對(duì)一同步；支持字段級(jí)的同步，具有條件同步等多種同步策略；支持詳細(xì)的日志審計(jì)和報(bào)警功能；支持病毒檢測(cè)。

（4）文件同步：實(shí)現(xiàn)文件的安全交換，支持NFS、SMBFS、SAMBA等文件系統(tǒng)；支持跨系統(tǒng)平臺(tái)文件同步；支持有客戶端和無(wú)客戶端方式；可實(shí)現(xiàn)單向和雙向同步；支持多種文件同步控制；支持內(nèi)容過(guò)濾和病毒檢測(cè)。

（5）FTP訪問(wèn)：實(shí)現(xiàn)安全的FTP訪問(wèn)，支持對(duì)用戶、命令、文件類(lèi)型等細(xì)粒度訪問(wèn)控制；支持動(dòng)態(tài)建立數(shù)據(jù)通道，并可對(duì)訪問(wèn)端口號(hào)自由定義；支持中文文件名的過(guò)濾控制等多種功能。

（6）定制訪問(wèn)：實(shí)現(xiàn)特定TCP、UDP協(xié)議的數(shù)據(jù)隔離交換，可合作定制開(kāi)發(fā)針對(duì)特定協(xié)議的安全檢測(cè)，實(shí)現(xiàn)如黑白名單控制、關(guān)鍵字過(guò)濾等；支持對(duì)訪問(wèn)源地址的控制；透明模式支持時(shí)段控制策略，時(shí)間模式可以是一次性或周循環(huán)。

2.1.6 工控信息安全集中管理

工控信息安全管理系統(tǒng)部署于燃?xì)庹{(diào)度中心SCADA安全域，主要由安全信息管理中心、數(shù)據(jù)中心和事件采集代理三大組件構(gòu)成，如圖9所示。

圖9 工控信息安全集中管理部署

管理服務(wù)中心在部署時(shí)可以分為兩部分：服務(wù)器與功能模塊。資產(chǎn)管理子系統(tǒng)、認(rèn)證管理子系統(tǒng)、報(bào)表管理子系統(tǒng)和服務(wù)器層組件（含WEB門(mén)戶服務(wù)器）需統(tǒng)一安裝在一臺(tái)服務(wù)器上，而各功能模塊可以根據(jù)用戶的實(shí)際網(wǎng)絡(luò)規(guī)模與主機(jī)性能由用戶確定安裝主機(jī)。在安裝時(shí)，所有的功能模塊均可以選擇單獨(dú)安裝，或與服務(wù)器共用一臺(tái)主機(jī)，最大限度地保證部署的靈活性與運(yùn)行效率。

根據(jù)等級(jí)保護(hù)中提出的“進(jìn)行集中的安全管理”和“系統(tǒng)運(yùn)維管理”要求，需要實(shí)現(xiàn)主要功能如下：

（1）安全風(fēng)險(xiǎn)管理；（2）風(fēng)險(xiǎn)評(píng)估；（3）風(fēng)險(xiǎn)分析；（4）風(fēng)險(xiǎn)分級(jí)；（5）信息資產(chǎn)管理。

安全管理平臺(tái)應(yīng)能實(shí)現(xiàn)對(duì)信息系統(tǒng)內(nèi)所有的IT資產(chǎn)進(jìn)行集中統(tǒng)一的管理，包括資產(chǎn)的特征、分類(lèi)等屬性；但同時(shí)資產(chǎn)信息管理并不是為了簡(jiǎn)單的統(tǒng)計(jì)，而是在統(tǒng)計(jì)的基礎(chǔ)上來(lái)發(fā)現(xiàn)資產(chǎn)的安全狀況，并納入到平臺(tái)的數(shù)據(jù)庫(kù)中，為其它安全管理模塊提供信息接口。

（1）系統(tǒng)脆弱性管理：各種重要信息資產(chǎn)存在的脆弱性是影響信息系統(tǒng)網(wǎng)絡(luò)安全的重要潛在風(fēng)險(xiǎn)，為了了解其安全脆弱性狀況，安全管理平臺(tái)應(yīng)提供脆弱性管理功能，實(shí)現(xiàn)對(duì)重要信息資產(chǎn)安全脆弱性的收集和管理。該模塊收集和管理的脆弱性信息主要包括兩類(lèi)：通過(guò)遠(yuǎn)程安全掃描可以獲得的安全脆弱性信息和通過(guò)人工評(píng)估的方式收集的脆弱性信息。在定期收集到這些脆弱性信息后可以利用脆弱性管理系統(tǒng)進(jìn)行導(dǎo)入和處理，以利于安全管理員對(duì)脆弱性信息的查詢、呈現(xiàn)并采取相應(yīng)的措施進(jìn)行處理。

（2）安全預(yù)警管理：安全管理平臺(tái)應(yīng)能夠管理并實(shí)時(shí)呈現(xiàn)風(fēng)險(xiǎn)評(píng)估中心所提供的各類(lèi)安全威脅、安全風(fēng)險(xiǎn)、安全態(tài)勢(shì)、安全隱患等信息；能夠在安全管理平臺(tái)統(tǒng)一界面上給出網(wǎng)絡(luò)安全的趨勢(shì)分析報(bào)表，分析的內(nèi)容包括漏洞的分布范圍、受影響的系統(tǒng)情況、可能的嚴(yán)重程度等；能夠根據(jù)全網(wǎng)安全事件的監(jiān)控情況，在安全管理平臺(tái)統(tǒng)一界面上給出現(xiàn)網(wǎng)中主要的攻擊對(duì)象分布、攻擊類(lèi)型分布等情況分析，指導(dǎo)全網(wǎng)做好有效的防范工作，防止類(lèi)似事件的發(fā)生；具備接收風(fēng)險(xiǎn)數(shù)據(jù)的接口，能夠在安全管理平臺(tái)統(tǒng)一界面上預(yù)先定義數(shù)據(jù)格式，自動(dòng)生成預(yù)警信息。

（3）安全響應(yīng)管理：安全管理平臺(tái)應(yīng)能夠提供響應(yīng)流程和響應(yīng)方式的管理，能夠提供專(zhuān)家系統(tǒng)和知識(shí)庫(kù)的支持，并能夠針對(duì)各類(lèi)用戶所關(guān)心的安全問(wèn)題進(jìn)行響應(yīng)。響應(yīng)方式包括從專(zhuān)家系統(tǒng)調(diào)用相關(guān)腳本自動(dòng)進(jìn)行漏洞修補(bǔ)、防火墻配置下發(fā)、網(wǎng)絡(luò)設(shè)備端口關(guān)閉等操作，從知識(shí)庫(kù)自動(dòng)/手動(dòng)地進(jìn)行解決方案的匹配，然后通過(guò)自動(dòng)或手動(dòng)產(chǎn)生工單，通知相關(guān)管理員進(jìn)行處理，并對(duì)工單的生命周期進(jìn)行監(jiān)控。此外還包括利用短信、E-mail等方式進(jìn)行通知等。

（4）網(wǎng)絡(luò)安全管理：安全管理平臺(tái)應(yīng)能夠?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的集中管理，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)設(shè)備的升級(jí)、網(wǎng)絡(luò)設(shè)備工作狀態(tài)監(jiān)管、網(wǎng)絡(luò)流量監(jiān)管、網(wǎng)絡(luò)設(shè)備漏洞分析與加固等功能，同時(shí)具備對(duì)網(wǎng)絡(luò)設(shè)備訪問(wèn)日志的統(tǒng)一收集和分析功能。

（5）安全事件管理：安全事件管理是一種實(shí)時(shí)的、動(dòng)態(tài)的管理模型，通過(guò)關(guān)聯(lián)分析來(lái)自不同地點(diǎn)、不同層次、不同類(lèi)型的信息事件，幫助用戶系統(tǒng)管理人員發(fā)現(xiàn)真正關(guān)注的安全威脅，從而可以準(zhǔn)確、實(shí)時(shí)地評(píng)估當(dāng)前的安全態(tài)勢(shì)和風(fēng)險(xiǎn)，并根據(jù)預(yù)先制定策略做出快速的響應(yīng)，有效應(yīng)對(duì)出現(xiàn)的各類(lèi)安全事件。

3 案例亮點(diǎn)及創(chuàng)新性

（1）全面提升了燃?xì)夤た叵到y(tǒng)網(wǎng)絡(luò)安全防護(hù)管理的合規(guī)性，符合國(guó)家主管部門(mén)、行業(yè)監(jiān)管部門(mén)的管理要求以及工控安全防護(hù)要求；

（2）全面提升了智慧煉化工控網(wǎng)絡(luò)的整體安全性，確保了設(shè)備、系統(tǒng)、網(wǎng)絡(luò)的可靠性、穩(wěn)定性和安全性，為保障民生保駕護(hù)航；

（3）全面提升了智慧煉化業(yè)務(wù)人員的安全水平和安全意識(shí)，提升了安全管理水平、工作效率和管理效率。

摘自《自動(dòng)化博覽》2023年3月刊