★余夢達，申屠思倩中控技術股份有限公司

關鍵詞：工業(yè)信息安全；三級運營防護；數(shù)據安全

1　項目概況

1.1項目背景

作為國內首個4000萬噸/年煉油一次性統(tǒng)籌規(guī)劃的煉化一體化項目，目前世界上投資最大的單體產業(yè)項目，浙江石油化工有限公司（以下簡稱：浙石化）規(guī)模龐大且復雜，其配備多家廠家的控制系統(tǒng)，工業(yè)數(shù)據已經成為其未來智能工廠的重要支柱。為了保障生產穩(wěn)定運行，浙石化在2022年至2023年開展了工業(yè)網絡安全等級保護建設工作，以解決網絡安全合規(guī)以及重要工業(yè)數(shù)據安全問題。浙石化以“固、防、管體系”為指導思想，遵照數(shù)據安全法、網絡安全法以及工業(yè)企業(yè)數(shù)據安全防護要求等相關標準，在工控系統(tǒng)安全需求的基礎上，構建了一套運營、預警、防護、檢測、響應自適應閉環(huán)的數(shù)據安全防護體系。該體系可以全面感知工控系統(tǒng)遇到或可能遇到的數(shù)據安全風險，提升了系統(tǒng)的整體安全防御能力。

1.2項目簡介

在工業(yè)信息安全三級運營防護體系建設過程中，本項目結合浙石化行業(yè)的特點和上級指導政策的要求，提出了可以適配石化行業(yè)的解決方案，提供信息資產管理、威脅情報聯(lián)動、工業(yè)安全實訓驗證、應急處置、工單處理接口、工業(yè)安全劇本建設等能力，解決了工業(yè)安全防護難題，為智能工廠工業(yè)安全打下了堅實基礎。

在整個三級運營體系建設過程中，我們通過多方調研和取證分析，證明了本項目在多維度工業(yè)資產、信息統(tǒng)一管理和分析等方面具有創(chuàng)新性的建設。且各個層級的安全防護與數(shù)據交互比較容易落地，切合石化行業(yè)場景，具有相對不錯的可推廣性。

1.3項目目標

工業(yè)信息安全三級運營體系從內到外構成自主可控的多層次“內建安全（固）、縱深防御（防）、安全運維（管）”技術體系。在底層構建內建安全產品體系，確保控制系統(tǒng)本身具有網絡安全“健壯性”；在數(shù)據安全方面，采用數(shù)據安全檢測、防護、備份恢復等手段，同時規(guī)劃數(shù)據安全運維體系，確保數(shù)據安全的長期、持續(xù)有效；在中間層建設包括安全通信網絡、安全區(qū)域邊界、安全計算環(huán)境以及安全管理中心的縱深防御體系，并遵循“零信任”原則；在最上層，捕獲所有產品的數(shù)據，包括資產、日志、事件等，進行集中資產畫像、事前情報聯(lián)動等分析，實現(xiàn)本地威脅分析與第三方威脅情報相結合的應急處理機制，實現(xiàn)安全運維與安全運營的目標。

2　項目實施

本方案以工控系統(tǒng)的主機、網絡、數(shù)據等為對象，根據信息安全相關服務標準，實施安全檢查及運維服務，并提供高端的全面安全體系建設和細節(jié)的技術解決措施，為企業(yè)提供全面或部分信息安全解決方案，以實現(xiàn)企業(yè)的信息安全。

工業(yè)信息安全三級運營體系整體架構如圖1所示。

圖1 工業(yè)信息安全三級運營體系整體架構圖

2.1安管中心

安管中心針對不同的裝置及廠區(qū)，以終端安全、邊界安全、入侵檢測、日志審計等為核心，建設縱向和橫向的安全防護體系。

（1）為現(xiàn)場工控上位機與服務器配置主機安全衛(wèi)士專業(yè)版，實現(xiàn)對工業(yè)主機的全面安全防護；根據白名單列表對可執(zhí)行文件的執(zhí)行進行監(jiān)控，對白名單內的可執(zhí)行文件允許執(zhí)行，對白名單外的可執(zhí)行文件阻止執(zhí)行，保障工控主機安全。

（2）參照中控技術最新發(fā)布的《2020 Q3Windows補丁安裝指南》更新通過兼容性測試的操作系統(tǒng)補丁。

（3）由中控工程師實施安全基線配置服務，關閉上位機不必要的服務，如RDP、SMB等高危服務；關閉上位機不必要的端口，如3389、445等高危端口；禁用網絡交換設備不使用的端口。

（4）在邊界部署工業(yè)防火墻，深度解析、智能隔離，使控制網與外網實現(xiàn)隔離；加固網絡結構，實現(xiàn)控制網架構內部分區(qū)有效阻止異常數(shù)據擴散。

（5）部署工控安管平臺、入侵檢測系統(tǒng)、日志審計系統(tǒng)，同步監(jiān)測防御計算機病毒攻擊及異常流量，實現(xiàn)網絡診斷功能，實時監(jiān)控網絡狀態(tài)、及時告警和日志記錄，保護系統(tǒng)安全。

（6）配置數(shù)據備份恢復系統(tǒng)，智能備份，提高工控信息安全保障及容災恢復能力。

功能簡介：主機安全衛(wèi)士：采用“白名單+黑名單”防護機制提供多層次安全保護。根據白名單列表對可執(zhí)行文件的執(zhí)行進行監(jiān)控，對白名單外的可執(zhí)行文件阻止執(zhí)行，有效阻止病毒、木馬及0-day漏洞的感染和被利用，保障工控主機安全。同時具備強大黑名單功能，可對系統(tǒng)文件進行深度掃描，識別并查殺惡意代碼。主機安全衛(wèi)士軟件滿足符合性、連續(xù)性、可靠性的設計原則，不影響控制系統(tǒng)的正常運行，內存占用和CPU使用率低，具備強大的自身安全性和易管理性。病毒庫由中控服務人員定期更新（或定期寄送光盤，由現(xiàn)場人員自行升級）。

工業(yè)防火墻：是面向工業(yè)控制系統(tǒng)網絡的邏輯隔離類安全防護產品，支持OPC工業(yè)協(xié)議深度防護，支持指令級白名單的訪問控制。通過對工業(yè)控制協(xié)議的深度解析，運用“白名單”技術建立工控網絡安全通信模型，可以阻斷一切非法訪問，僅允許可信的流量在網絡上傳輸，為工控網絡與外部網絡互聯(lián)、工控網絡內部區(qū)域之間的連接提供了安全保障。

工控安全管理平臺：主要用于統(tǒng)一管理全廠工控安全設備，包括審計日志、分析事件行為、統(tǒng)一配置設備參數(shù)等。由硬件設備及內置平臺軟件組成。硬件設備含獨立主板，可安裝操作系統(tǒng)和平臺軟件；平臺軟件基于Linux系統(tǒng)運行，可通過WEB客戶端訪問，用于查閱數(shù)據或配置參數(shù)等。

入侵檢測：旁路部署于可網管交換機上，通過流量鏡像，可以對可能針對DPU、DCS等控制裝置發(fā)動的攻擊行為進行有效檢測和預防，可以對工業(yè)控制系統(tǒng)可能面臨的攻擊行為進行有效檢測，可以針對工業(yè)協(xié)議進行深度解析，可以針對工業(yè)網絡協(xié)議的內容和數(shù)據進行細致的合規(guī)性檢查，并通過事前告警、事中防護、事后取證三個角度分析事件。

日志審計：核心交換機處配置日志審計系統(tǒng)，通過內置的日志采集功能可對大量分散設備的異構日志進行集中采集，也可以實時采集不同廠商的安全設備、網絡設備、主機、操作系統(tǒng)以及各種應用系統(tǒng)產生的日志信息，然后經過統(tǒng)一的日志管理過程，如日志范式化處理等，將采集來的海量的異構的日志信息進行集中化的解析和存儲，結合資產管理模塊、事件告警模塊的相關規(guī)則以及配置，形成事件告警信息。

數(shù)據備份恢復系統(tǒng)：在控制系統(tǒng)網絡中部署專用的數(shù)據備份服務器，可以對現(xiàn)場重要數(shù)據服務器以及工業(yè)主機采用自動化的數(shù)據備份與恢復服務，確保關鍵數(shù)據可以得到安全效率的備份，即使在故障發(fā)生時，也能保證快速地恢復，使得生產業(yè)務保持連續(xù)性。

安全基線配置：開展服務和端口禁用等工業(yè)控制網絡安全配置、遠程控制管理、默認賬戶管理等工業(yè)主機安全配置、口令策略合規(guī)性等工業(yè)控制設備安全配置，建立相應的配置清單，方便用戶責任人定期進行管理、維護和配置核查審計。安全基線配置須確保與控制系統(tǒng)軟件完美兼容，否則將影響工控系統(tǒng)運行。

協(xié)助建立工控安全管理制度：包括人員安全管理、工業(yè)控制系統(tǒng)設備及網絡設備配置清單、訪問權限、訪問日志等方面的審計工作；人員的日常運行、考核培訓、錄用、離職轉崗等管理要求；工業(yè)控制系統(tǒng)信息資產的管理（購買、更新、退役等）、數(shù)據資產的安全管理、風險評估，數(shù)據分級分類管理等；關鍵物理區(qū)域、關鍵系統(tǒng)、重要設備的訪問控制管理以及工控主機、服務器的防病毒安全防護。

3　預警中心

預警中心以漏洞掃描、攻擊檢測與入侵檢測、安全事件日志分析等技術為支撐構建廠級的管理中心，實現(xiàn)全廠資產、日志、事件、流量等數(shù)據的捕捉與分析，實現(xiàn)全廠風險識別與安全管理。

態(tài)勢感知功能：從資產、漏洞、威脅、行為和攻擊五個維度分析用戶安全狀態(tài)，資產態(tài)勢、漏洞態(tài)勢、威脅態(tài)勢、行為態(tài)勢、攻擊態(tài)勢和安全響應五維一體，全方位分析和展示用戶安全態(tài)勢，為安全管理和運營維護提供平臺支撐。

資產管理功能：支持從部門、業(yè)務、地理位置等視圖維度進行資產維護；平臺內置了主機、網絡設備、安全設備、數(shù)據庫、應用服務器等100多種資產類型，覆蓋了市面上大部分主流設備類型。

漏洞管理功能：支持調度漏掃工具、手工增加及文件導入漏洞、漏洞自動關聯(lián)資產；支持漏洞檢索、漏洞跟蹤和漏洞處置，涵蓋漏洞管理全生命周期；支持漏洞態(tài)勢和細粒度監(jiān)視，包括新增漏洞、高危漏洞、漏洞資產告警、漏洞分布和漏洞趨勢。

4　運營中心

運營中心部署在集團層級，通過資產管理、日志及事件捕獲、威脅情報分析、工單管理與應急處理等模塊實現(xiàn)對安管中心、預警中心所有安全設備、控制系統(tǒng)設備的資產、狀態(tài)、日志、配置等數(shù)據的集中管控與分析，并通過大屏等形式進行全數(shù)據的集中展示。

用戶分析功能：通過分析對事件的威脅類別、程度、頻度和偏離度，將所有事件表示的活動和行為關聯(lián)到資產和用戶，采用多因子風險評分智能算法自動發(fā)現(xiàn)異常用戶和行為，無需預定義分析規(guī)則。

事件關聯(lián)分析功能：事件模塊支持多事件關聯(lián)查詢，對于歷史事件可以根據創(chuàng)建的關聯(lián)條件和時間段對多個事件進行自動關聯(lián)分析，例如用戶可以根據需求將來自不同事件源的事件和日志進行關聯(lián)查詢和檢索，幫助安全分析人員發(fā)現(xiàn)潛在的高級威脅，查詢檢索的關聯(lián)事件可以進行字段詳細對比和進一步下鉆追溯。

安全編排功能：安全編排自動化及響應簡單地說就是通過可編輯的自動化操作實現(xiàn)事件關聯(lián)、威脅告警、相關驗證、聯(lián)動響應等安全運營全流程。通過安全編排，在一個工作流程中關聯(lián)協(xié)同各類安全產品和管理系統(tǒng)，結合威脅情報，可以發(fā)現(xiàn)真正的威脅事件，并自動執(zhí)行處置任務快速進行安全響應。安全編排可以根據預定義的安全場景創(chuàng)建相關規(guī)則劇本，規(guī)則劇本啟用后實時運行，按照定義的安全編排劇本自動關聯(lián)分析相關事件、情報、資產、用戶等數(shù)據，觸發(fā)告警并執(zhí)行相應的處置動作。

數(shù)據模型與數(shù)據視圖功能：針對行業(yè)業(yè)務應用的不同，平臺提供了可定制的數(shù)據模型，根據業(yè)務需求可對事件、告警、資產等重要數(shù)據自定義數(shù)據模型，包括自定義數(shù)據字段、字典表、日志解析模式等，能夠自動適配儀表板、大屏展示、事件探查、告警和報表等。根據業(yè)務需求可對事件、告警、資產定義多維數(shù)據視圖，數(shù)據視圖能被儀表板、大屏展示和報表引用。

supSSOC工業(yè)信息安全運維服務：依托中控在全國上百家5S店長期服務保障，中控工控網絡安全技術團隊長期支持，提供supSSOC工業(yè)信息安全運維服務。通過專業(yè)服務，對搜集到的服務器日志、網絡設備日志、安全設備日志進行分析，主動發(fā)現(xiàn)服務器及設備運行中可能存在的異常，并借助已有的網絡、安全管理平臺對攻擊類型、攻擊來源、流量趨勢等進行分析，了解系統(tǒng)面臨的主要威脅，并針對該威脅提出建設性的建議。該服務實現(xiàn)了動態(tài)預警并能及時處理工業(yè)信息安全風險，為生產穩(wěn)定運行保駕護航。

安管中心+預警中心+運營中心通過部署及設備多級管控實現(xiàn)了集團層級工業(yè)信息安全資產的集中管控、統(tǒng)一管理，構建了IT+OT相結合的解決方案案例，在實現(xiàn)了控制系統(tǒng)內部安全建設及橫向域間安全的同時，也實現(xiàn)了IT+OT的縱向安全防護，保證了整個網絡的安全。

5　案例亮點及創(chuàng)新性

項目建成后，安管中心+預警中心+運營中心的三級運營體系有效提高了浙石化工業(yè)現(xiàn)場的安全防護能力，方案相對比較容易落地，切合石化行業(yè)業(yè)務場景，具有相對不錯的可推廣性。

（1）構建了縱深防御的網絡安全架構體系

本項目貫徹以人為本的管理理念，引進國際先進的安全管理技術體系、管理標準，補充和完善所需的設備和系統(tǒng)，以ISO27001、等保要求為建設基準，構筑了立體化、縱深、可追溯的網絡安全預警防控系統(tǒng)，形成了安全、合規(guī)、全面、穩(wěn)定、高效的網絡安全縱深防御體系，充分發(fā)揮和全面提升了存量系統(tǒng)的作用，夯實了網絡安全的基本防線。

（2）建立了全面完整的網絡安全防控體系

本項目引進國際領先的DFI、DPI技術體系，建立了網絡安全態(tài)勢感知和攻擊溯源系統(tǒng)，形成了縱深、立體化、可追溯的網絡安全預警防控體系，全面提升了存量系統(tǒng)、增量系統(tǒng)安全設備的整體能力，有效解決了每天數(shù)百萬計的入侵檢測日志看不了、不會看的問題，全面提高了網絡安全風險評估、風險排查，以及網絡安全事件，特別是蠕蟲病毒、APT等未知類型的網絡攻擊的溯源能力，全面解決了全時段、全流量、全端口的網絡流量日志長期保存的問題。

（3）建立了適度保密的信息安全防控體系

本項目建立了可以靈活地根據特定時間、敏感數(shù)據、特殊群體、重點終端進行管理的信息安全態(tài)勢感知和安全事件追蹤溯源系統(tǒng)，形成了“進不來、出不去、改不了、賴不掉、查得到”的信息安全體系。該體系可以根據重點人員、特殊終端、敏感時期、應用系統(tǒng)等提供按需分配的信息安全追蹤溯源手段和技術，解決了傳統(tǒng)的信息安全保護技術受制于網絡和組織架構、受制于終端和人員數(shù)量、受制于應用系統(tǒng)的變化等一系列問題，有效防控了信息化建設和發(fā)展過程中大量使用B/S架構體系帶來的新的安全風險。

（4）建立了全面完整的運行維護防控體系

本項目構建了以關鍵資產為運維中心的全面、完整和可視化的預警防控系統(tǒng)，可以全面、完整、及時地掌控網絡和安全設備，以及賬號、業(yè)務應用等安全運行態(tài)勢，一攬子解決了已經建立的存量系統(tǒng)，以及在建、擬建的增量系統(tǒng)的智能運維問題，有效防范了管理人員、運維人員利用賬號口令管理漏洞造成的安全風險，形成了IT基礎設施賬號安全管理、設備穩(wěn)定運行、系統(tǒng)安全運維全面完整的運維防控體系。

綜上，本項目通過裝置級、廠級、集團級的多層級安全防護架構，完成了全面的縱深防御的網絡安全架構體系、信息安全防控體系、運行維護防控體系的建設，實現(xiàn)了整個集團工業(yè)信息安全設備的安全防護建設，完成了縱深安全防御的目標，切實保障了方案貼合企業(yè)業(yè)務場景，使方案具有強大的監(jiān)測能力和落地性。

作者簡介

余夢達（1990-），男，浙江寧波人，高級工程師，學士，現(xiàn)就職于中控技術股份有限公司，主要從事工業(yè)信息安全方面的研究。

申屠思倩（1995-），女，浙江金華人，中級工程師，學士，現(xiàn)就職于中控技術股份有限公司，主要從事工業(yè)信息安全方面的研究。

摘自《自動化博覽》2024年1月刊