★敖翔中國(guó)煙草總公司遼寧省公司

關(guān)鍵詞：網(wǎng)絡(luò)安全監(jiān)測(cè)；網(wǎng)絡(luò)安全防護(hù)；網(wǎng)絡(luò)安全管理；網(wǎng)絡(luò)安全服務(wù)

1　項(xiàng)目概況

1.1　項(xiàng)目背景

近些年來(lái)，網(wǎng)絡(luò)安全環(huán)境逐漸惡化，基于工業(yè)網(wǎng)絡(luò)的獨(dú)特性和脆弱性，針對(duì)工控系統(tǒng)的網(wǎng)絡(luò)攻擊已經(jīng)愈演愈烈，安全威脅已經(jīng)蔓延至工業(yè)信息系統(tǒng)。我單位下屬13個(gè)地市公司各建設(shè)了一個(gè)物流分揀系統(tǒng)，均是由工控設(shè)備和工控協(xié)議構(gòu)成的工業(yè)控制網(wǎng)絡(luò)系統(tǒng)，在兩化融合趨勢(shì)下，下屬地市公司的工控網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)互聯(lián)互通是必然之勢(shì)。兩化融合在極大地提升生產(chǎn)效率和管理便利性的同時(shí)，也帶來(lái)了一系列的安全隱患。隨著行業(yè)網(wǎng)絡(luò)安全建設(shè)的不斷深入，行業(yè)頭部先后發(fā)布了一系列網(wǎng)絡(luò)安全建設(shè)指導(dǎo)規(guī)范，我單位基于業(yè)務(wù)現(xiàn)狀出發(fā)，積極響應(yīng)國(guó)家及行業(yè)頭部號(hào)召，“腳踏實(shí)地、大膽創(chuàng)新”，緊密貼合業(yè)務(wù)實(shí)際需求開(kāi)展工業(yè)系統(tǒng)網(wǎng)絡(luò)安全監(jiān)測(cè)防護(hù)體系建設(shè)，形成了獨(dú)有的“1+N”安全監(jiān)測(cè)及服務(wù)支撐模式，有效保障了我單位工業(yè)信息系統(tǒng)的穩(wěn)定運(yùn)行。

1.2　項(xiàng)目簡(jiǎn)介

中國(guó)煙草總公司遼寧省公司基于業(yè)務(wù)現(xiàn)狀出發(fā)，經(jīng)充分調(diào)研論證以“1+2+2+13”為建設(shè)思路建成省公司+13個(gè)地市公司的工業(yè)安全監(jiān)測(cè)防護(hù)體系。

1個(gè)目標(biāo)：物流分揀系統(tǒng)網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行；

2個(gè)思路：安全運(yùn)行技術(shù)監(jiān)測(cè)、安全管理服務(wù)支撐；

2個(gè)體系：工業(yè)安全監(jiān)測(cè)技術(shù)體系、工業(yè)安全服務(wù)支撐體系；

13個(gè)地市：覆蓋13個(gè)地市公司的工業(yè)安全監(jiān)測(cè)防護(hù)體系。

依托“1+2+2+13”建設(shè)思路，我單位通過(guò)技術(shù)與服務(wù)相結(jié)合，在13個(gè)地市公司物流分揀系統(tǒng)內(nèi)部署安全設(shè)備，將安全監(jiān)測(cè)數(shù)據(jù)實(shí)時(shí)上報(bào)至省公司工業(yè)態(tài)勢(shì)感知平臺(tái)，并通過(guò)安全服務(wù)支撐體系，依托省公司技術(shù)團(tuán)隊(duì)為主體實(shí)現(xiàn)對(duì)下屬13個(gè)地市公司的安全服務(wù)支撐及安全周期檢查。我單位以安全監(jiān)測(cè)體系為基礎(chǔ)，以安全服務(wù)體系為支撐，以安全監(jiān)管和安全檢查為驅(qū)動(dòng)力，推動(dòng)了“1+N”工業(yè)安全監(jiān)測(cè)防護(hù)體系的運(yùn)行，保障了全省物流分揀系統(tǒng)網(wǎng)絡(luò)運(yùn)行安全。

1.3　項(xiàng)目目標(biāo)

中國(guó)煙草總公司遼寧省公司“1+N”工業(yè)安全監(jiān)測(cè)防護(hù)體系建設(shè)自規(guī)劃之初就充分調(diào)研安全現(xiàn)狀及安全運(yùn)維問(wèn)題，現(xiàn)主要?dú)w結(jié)為以下三點(diǎn)：

（1）網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)：物流分揀系統(tǒng)高度自動(dòng)化、智能化，同時(shí)需要同辦公網(wǎng)絡(luò)聯(lián)接來(lái)接收生產(chǎn)信息，因?yàn)槲锪鞣謷到y(tǒng)自身的脆弱性與防護(hù)能力欠缺等問(wèn)題，其時(shí)刻承受著來(lái)自辦公網(wǎng)絡(luò)以及其他未知的網(wǎng)絡(luò)安全攻擊的可能性。

（2）運(yùn)維安全風(fēng)險(xiǎn)：物流分揀系統(tǒng)運(yùn)行環(huán)境復(fù)雜，運(yùn)維技術(shù)要求較高，13個(gè)地市公司距離較遠(yuǎn)，在安全運(yùn)維、安全監(jiān)測(cè)、應(yīng)急響應(yīng)處理等方面帶來(lái)了技術(shù)難度與建設(shè)成本的多方面挑戰(zhàn)。

（3）不足監(jiān)管風(fēng)險(xiǎn)：省公司安全監(jiān)管能力無(wú)法下沉至物流分揀系統(tǒng)，只能依靠下屬地市公司自行運(yùn)維自行管理，安全運(yùn)維及安全基線難以統(tǒng)一，無(wú)法在頂層視角基于13個(gè)地市公司做統(tǒng)一安全監(jiān)測(cè)與規(guī)劃，進(jìn)而導(dǎo)致地市公司網(wǎng)絡(luò)安全隱患頻發(fā)。

基于上述隱患，為提升物流分揀系統(tǒng)網(wǎng)絡(luò)安全防御能力、加強(qiáng)安全風(fēng)險(xiǎn)監(jiān)測(cè)與識(shí)別能力、提升安全運(yùn)維水平及地市公司應(yīng)急響應(yīng)能力，我單位特開(kāi)展“1+N”工業(yè)安全監(jiān)測(cè)防護(hù)體系建設(shè)，力求實(shí)現(xiàn)工業(yè)安全全局監(jiān)管、防護(hù)水平穩(wěn)步提升、安全監(jiān)測(cè)降低風(fēng)險(xiǎn)、應(yīng)急機(jī)制規(guī)避事故、培訓(xùn)體系夯實(shí)“底線”。

2　項(xiàng)目實(shí)施

2.1　系統(tǒng)架構(gòu)（如圖1所示）

圖1 系統(tǒng)架構(gòu)圖

2.2　技術(shù)方案

2.2.1　安全建設(shè)思路

基于中國(guó)煙草總公司遼寧省公司現(xiàn)狀及安全需求，我單位針對(duì)13個(gè)地市公司物流分揀系統(tǒng)的安全建設(shè)從兩個(gè)思路出發(fā)做統(tǒng)一規(guī)劃：

（1）安全運(yùn)行技術(shù)監(jiān)測(cè)：基于工業(yè)控制系統(tǒng)的特殊性和復(fù)雜性，安全建設(shè)主要以安全監(jiān)測(cè)和應(yīng)急響應(yīng)為主。為確保物流分揀系統(tǒng)穩(wěn)定運(yùn)行，我單位構(gòu)建了安全運(yùn)行技術(shù)監(jiān)測(cè)體系，形成了“1+13”模式，一盤(pán)棋、一張圖展現(xiàn)13個(gè)地市公司物流分揀系統(tǒng)的運(yùn)行狀況，一旦發(fā)生安全問(wèn)題，省公司安全運(yùn)行中心可以及時(shí)應(yīng)急預(yù)警與響應(yīng)。

（2）安全管理服務(wù)檢查：13個(gè)地市公司距離較遠(yuǎn)，運(yùn)維及安全建設(shè)省公司統(tǒng)一規(guī)劃后真正落地成效不一，因此在安全監(jiān)測(cè)體系之外我單位創(chuàng)新構(gòu)建了安全管理及服務(wù)檢查體系，并制定了針對(duì)工業(yè)控制系統(tǒng)的安全應(yīng)急響應(yīng)標(biāo)準(zhǔn)、安全運(yùn)行基線、資產(chǎn)變更上報(bào)制度，同時(shí)依托安全監(jiān)測(cè)體系的技術(shù)能力及安全運(yùn)營(yíng)中心的技術(shù)團(tuán)隊(duì)，對(duì)13地市公司進(jìn)行安全周期檢查、網(wǎng)絡(luò)變更風(fēng)險(xiǎn)稽查、網(wǎng)絡(luò)安全培訓(xùn)。我單位在安全監(jiān)測(cè)技術(shù)體系之外以安全管理體系與安全服務(wù)體系為驅(qū)動(dòng)力，促使13地市公司物流分揀系統(tǒng)網(wǎng)絡(luò)安全防護(hù)水平穩(wěn)步提升。

2.2.2　安全建設(shè)方案

（1）安全監(jiān)測(cè)體系

本項(xiàng)目在13個(gè)地市公司物流分揀系統(tǒng)同辦公網(wǎng)絡(luò)交界處部署工業(yè)安全網(wǎng)關(guān)，在物流分揀系統(tǒng)內(nèi)部旁路部署工業(yè)入侵監(jiān)測(cè)系統(tǒng)，實(shí)現(xiàn)公司物流分揀系統(tǒng)同辦公網(wǎng)絡(luò)的嚴(yán)格訪問(wèn)控制及物流分揀系統(tǒng)的網(wǎng)絡(luò)安全監(jiān)測(cè)。在省公司安全運(yùn)營(yíng)中心部署工業(yè)態(tài)勢(shì)感知系統(tǒng)，13地市公司安全設(shè)備日志通過(guò)專網(wǎng)將日志及告警信息上報(bào)至工業(yè)態(tài)勢(shì)感知系統(tǒng)，實(shí)現(xiàn)13地市物流分揀系統(tǒng)整體安全監(jiān)控。

在省公司運(yùn)營(yíng)中心部署工控漏洞掃描系統(tǒng)，周期性地對(duì)13個(gè)地市公司物流分揀系統(tǒng)進(jìn)行漏洞掃描，發(fā)現(xiàn)安全威脅，省公司運(yùn)營(yíng)中心第一時(shí)間做應(yīng)急通告及安全處置。13個(gè)地市的工業(yè)安全網(wǎng)關(guān)通過(guò)省公司運(yùn)營(yíng)中心堡壘機(jī)可進(jìn)行運(yùn)維操作，如發(fā)生安全事件地市公司無(wú)法第一時(shí)間應(yīng)急響應(yīng)，省公司運(yùn)營(yíng)中心監(jiān)測(cè)人員第一時(shí)間將物流分揀系統(tǒng)同辦公網(wǎng)絡(luò)進(jìn)行隔離，確保安全威脅在可控區(qū)域被有效控制。

依托1+13的安全監(jiān)測(cè)體系，本項(xiàng)目構(gòu)建應(yīng)急監(jiān)測(cè)和應(yīng)急響應(yīng)與處置于一體的安全防護(hù)模式，以監(jiān)測(cè)數(shù)據(jù)對(duì)13地市安全狀況做整體考核，推動(dòng)各地市公司網(wǎng)絡(luò)安全工作的有序推進(jìn)和整體提升，最終實(shí)現(xiàn)安全態(tài)勢(shì)清晰掌控、安全應(yīng)急快速響應(yīng)、安全運(yùn)維考核驅(qū)動(dòng)。

（2）安全服務(wù)支撐體系

基于安全管理與服務(wù)檢查的安全建設(shè)思路，我單位在省公司安全運(yùn)營(yíng)中心部署工業(yè)漏洞掃描設(shè)備及安全建設(shè)工具箱，做安全檢查支撐；制定安全應(yīng)急響應(yīng)標(biāo)準(zhǔn)、安全運(yùn)行基線、資產(chǎn)變更上報(bào)制度，依托安全監(jiān)測(cè)體系的技術(shù)能力及安全運(yùn)營(yíng)中心的技術(shù)團(tuán)隊(duì)，對(duì)13地市公司進(jìn)行安全周期檢查、網(wǎng)絡(luò)變更風(fēng)險(xiǎn)稽查、網(wǎng)絡(luò)安全培訓(xùn)。具體方案如下：

安全檢查

·每周漏洞掃描：運(yùn)營(yíng)中心通過(guò)專網(wǎng)對(duì)物流分揀系統(tǒng)進(jìn)行漏洞掃描，識(shí)別安全隱患，建立漏洞問(wèn)題閉環(huán)機(jī)制，識(shí)別漏洞下發(fā)地市公司，規(guī)定時(shí)間內(nèi)修復(fù)，技術(shù)人員核驗(yàn)漏洞修復(fù)結(jié)果。

·安全周期檢查：針對(duì)地市公司物流分揀系統(tǒng)，運(yùn)營(yíng)中心組建技術(shù)團(tuán)隊(duì)采用安全檢查工具箱每月對(duì)地市公司進(jìn)行抽查，針對(duì)安全管理制度、安全運(yùn)維執(zhí)行情況、物流分揀系統(tǒng)安全隱患等進(jìn)行檢查，以技術(shù)+管理兩個(gè)維度進(jìn)行安全檢查。

·資產(chǎn)變更上報(bào)：任何同物流分揀系統(tǒng)相關(guān)網(wǎng)絡(luò)變動(dòng)產(chǎn)生資產(chǎn)變更情況強(qiáng)制要求上報(bào)審核，確保資產(chǎn)變更無(wú)風(fēng)險(xiǎn)方可做變更操作，同時(shí)針對(duì)變更結(jié)果同安全監(jiān)測(cè)體系監(jiān)測(cè)到的資產(chǎn)信息做比對(duì)，確保資產(chǎn)變更風(fēng)險(xiǎn)可控。

·網(wǎng)絡(luò)變更核查：因工業(yè)控制系統(tǒng)特殊性，不宜改變其原有結(jié)構(gòu)及引入未知風(fēng)險(xiǎn)，任何同物流分揀系統(tǒng)相關(guān)網(wǎng)絡(luò)變動(dòng)產(chǎn)生資產(chǎn)變更情況強(qiáng)制要求進(jìn)行變更稽查，變更資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估，各地市公司在風(fēng)險(xiǎn)評(píng)估后無(wú)問(wèn)題后新資產(chǎn)方可變更上線。

安全服務(wù)

·安全運(yùn)行基線：參考等級(jí)保護(hù)相關(guān)要求并結(jié)合業(yè)務(wù)特性針對(duì)物流分揀系統(tǒng)建立安全運(yùn)行基線，從安全計(jì)算環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界等不同維度建立安全運(yùn)行基線，要求地市公司自查整改，同時(shí)作為安全周期檢查重要指標(biāo)。

·安全應(yīng)急響應(yīng)：建立雙向應(yīng)急響應(yīng)機(jī)制，運(yùn)營(yíng)中心監(jiān)測(cè)發(fā)現(xiàn)問(wèn)題第一時(shí)間通告地市公司并提供遠(yuǎn)程應(yīng)急能力，視情況現(xiàn)場(chǎng)支持。同時(shí)地市技術(shù)人員發(fā)現(xiàn)安全隱患可直接匯報(bào)至運(yùn)營(yíng)中心。以運(yùn)營(yíng)中心技術(shù)人員為核心成員、以地市公司技術(shù)人員為小組成員組建安全應(yīng)急響應(yīng)支撐小組，實(shí)現(xiàn)應(yīng)急能力高效流轉(zhuǎn)、應(yīng)急水平穩(wěn)步提升、安全風(fēng)險(xiǎn)同知同查。

·網(wǎng)絡(luò)安全培訓(xùn)：以應(yīng)急響應(yīng)小組為核心，針對(duì)所有技術(shù)人員及物流分揀系統(tǒng)相關(guān)人員開(kāi)展不同類型的安全培訓(xùn)，從應(yīng)急響應(yīng)、安全運(yùn)維、安全基線要求、安全意識(shí)等不同維度做知識(shí)傳遞與考核。車(chē)間工人定期進(jìn)行安全意識(shí)考核，考核通過(guò)方可上崗。

2.2.3　項(xiàng)目應(yīng)用效果

通過(guò)安全“1+N”工業(yè)安全監(jiān)測(cè)防護(hù)體系的建設(shè)，本項(xiàng)目實(shí)現(xiàn)了從安全全局監(jiān)管、安全統(tǒng)一監(jiān)測(cè)、安全運(yùn)維驅(qū)動(dòng)、安全應(yīng)急響應(yīng)等多個(gè)維度的能力塑造，填補(bǔ)了我單位工業(yè)安全領(lǐng)域的安全能力缺口；創(chuàng)新事件技術(shù)與服務(wù)結(jié)合模式，在大幅降低物流分揀系統(tǒng)威脅告警數(shù)量的同時(shí)，實(shí)現(xiàn)了安全風(fēng)險(xiǎn)閉環(huán)管理。同時(shí)將安全基線、安全培訓(xùn)、安全檢查等安全手段應(yīng)用于工業(yè)安全領(lǐng)域，有效提升了綜合防護(hù)水平，降低了風(fēng)險(xiǎn)隱患，規(guī)避了重大事故，夯實(shí)了“安全底線”，為中國(guó)煙草總公司遼寧省公司整體網(wǎng)絡(luò)安全建設(shè)工作補(bǔ)齊了安全短板，創(chuàng)造了穩(wěn)定運(yùn)行條件，支撐了業(yè)務(wù)發(fā)展。

2.3　項(xiàng)目成果

2.3.1　安全監(jiān)測(cè)體系成果展示

本項(xiàng)目基于工業(yè)安全監(jiān)測(cè)體系的構(gòu)建，實(shí)現(xiàn)對(duì)13個(gè)地市公司物流分揀系統(tǒng)的安全監(jiān)測(cè)。本項(xiàng)目從綜合態(tài)勢(shì)感知、脆弱性威脅、安全威脅分析等多個(gè)維度實(shí)現(xiàn)一盤(pán)棋、一張圖展現(xiàn)13個(gè)地市公司物流分揀系統(tǒng)的運(yùn)行狀況，并清晰展示了13個(gè)地市公司物流分揀系統(tǒng)的工業(yè)安全數(shù)據(jù)（如：資產(chǎn)風(fēng)險(xiǎn)統(tǒng)計(jì)、威脅類型TOP5、重點(diǎn)安全事件、風(fēng)險(xiǎn)資產(chǎn)分布、主要威脅分析等）。

安全監(jiān)測(cè)體系針對(duì)工業(yè)信息系統(tǒng)主要威脅（非法外聯(lián)、僵木蠕、工控行為）開(kāi)發(fā)了監(jiān)測(cè)模塊，實(shí)現(xiàn)針對(duì)物流分揀系統(tǒng)內(nèi)部主機(jī)非法外聯(lián)的安全監(jiān)測(cè)及統(tǒng)計(jì)分析能力，并能及時(shí)發(fā)現(xiàn)、定向處理，確保了主機(jī)及系統(tǒng)安全；針對(duì)僵木蠕做7×24實(shí)時(shí)監(jiān)測(cè)，結(jié)合非法外聯(lián)管控實(shí)現(xiàn)從根本上杜絕針對(duì)工業(yè)信息系統(tǒng)常見(jiàn)的僵木蠕及勒索軟件攻擊；同時(shí)基于工業(yè)流量及工控行為建立了安全監(jiān)測(cè)模塊，可以從行為（不局限于攻擊）維度分析工業(yè)信息系統(tǒng)運(yùn)行態(tài)勢(shì)，確保了系統(tǒng)穩(wěn)定運(yùn)行。監(jiān)測(cè)成果如圖2~圖6所示。

圖2 脆弱性態(tài)勢(shì)感知大屏

圖3 威脅分析大屏

圖4 非法外聯(lián)監(jiān)測(cè)模塊

圖5 僵木蠕監(jiān)測(cè)模塊

圖6 工控行為監(jiān)測(cè)模塊

2.3.2　安全服務(wù)支撐體系成果展示

我單位采用技術(shù)+服務(wù)結(jié)合的模式，監(jiān)測(cè)為主服務(wù)為輔，依托安全服務(wù)支撐體系，以應(yīng)急響應(yīng)、安全培訓(xùn)為支撐點(diǎn)，提升了地市公司技術(shù)能力，配合了安全檢測(cè)技術(shù)體系監(jiān)測(cè)成果，并以監(jiān)管為驅(qū)動(dòng)，實(shí)現(xiàn)漏洞數(shù)量、異常行為、攻擊事件、非法外聯(lián)、僵木蠕等事件的連續(xù)降低，切實(shí)提升了地市公司安全建設(shè)成效，提升了地市公司防護(hù)水平，降低了風(fēng)險(xiǎn)隱患，規(guī)避了重大事故，夯實(shí)了“安全底線”。同時(shí)依托漏洞安全設(shè)備，實(shí)現(xiàn)對(duì)體系內(nèi)所有漏洞信息的統(tǒng)一概覽及漏洞閉環(huán)。

3　案例亮點(diǎn)及創(chuàng)新性

3.1　1+N工業(yè)體系創(chuàng)新

我單位基于現(xiàn)狀，在多分支（13個(gè)地市公司）、覆蓋廣（地理位置廣）、技術(shù)弱（地市技術(shù)能力弱）的情況下大膽探索勇于創(chuàng)新，建成了集工業(yè)安全監(jiān)測(cè)和工業(yè)安全服務(wù)支撐為一體的“1+N”工業(yè)安全監(jiān)測(cè)防護(hù)體系，并從安全全局監(jiān)管、安全統(tǒng)一監(jiān)測(cè)、安全運(yùn)維驅(qū)動(dòng)、安全應(yīng)急響應(yīng)等多個(gè)維度為“1+N”業(yè)務(wù)模式提供了創(chuàng)新思路。

3.2　技術(shù)+服務(wù)結(jié)合

傳統(tǒng)安全多采用服務(wù)輔助安全建設(shè)的模式，在工業(yè)信息安全領(lǐng)域多以監(jiān)測(cè)為主，而安全監(jiān)測(cè)在安全運(yùn)維過(guò)程中成效較低，難以發(fā)揮實(shí)際應(yīng)用效果。我單位創(chuàng)新采用技術(shù)+服務(wù)結(jié)合的模式，監(jiān)測(cè)為主服務(wù)為輔，實(shí)現(xiàn)了基線建設(shè)提升防護(hù)水平、安全監(jiān)測(cè)降低風(fēng)險(xiǎn)隱患、應(yīng)急機(jī)制規(guī)避重大事故、培訓(xùn)體系夯實(shí)“安全底線”。服務(wù)驅(qū)動(dòng)技術(shù)保障為工業(yè)信息安全建設(shè)創(chuàng)造了新模式。

3.3　監(jiān)管+考核驅(qū)動(dòng)

工業(yè)信息系統(tǒng)通常都是多分支、多車(chē)間、系統(tǒng)分散，安全建設(shè)成本高成效低，并且沒(méi)辦法實(shí)現(xiàn)安全統(tǒng)一化，無(wú)法從高層視角去做統(tǒng)一監(jiān)管與考核，進(jìn)而往往以合規(guī)建設(shè)為主要思路。我單位打破常規(guī)，改變思路，以安全監(jiān)管為切入視角，建立安全監(jiān)測(cè)體系實(shí)現(xiàn)全局監(jiān)管并可對(duì)不同分支進(jìn)行考核評(píng)價(jià)，以考核結(jié)果推動(dòng)合規(guī)建設(shè)及問(wèn)題閉環(huán)，進(jìn)而實(shí)現(xiàn)安全全局化、全局標(biāo)準(zhǔn)化、標(biāo)準(zhǔn)統(tǒng)一化，有效提升了安全建設(shè)成效。

作者簡(jiǎn)介

敖　翔（1980-），男，內(nèi)蒙古自治區(qū)人，中級(jí)工程師，學(xué)士，現(xiàn)就職于中國(guó)煙草總公司遼寧省公司，主要從事研究信息安全、數(shù)據(jù)安全方面的研究。

摘自《自動(dòng)化博覽》2024年1月刊