★余夢達(dá)，申屠思倩中控技術(shù)股份有限公司

關(guān)鍵詞：工業(yè)信息安全；三級運營防護(hù)；數(shù)據(jù)安全

1　項目概況

1.1項目背景

作為國內(nèi)首個4000萬噸/年煉油一次性統(tǒng)籌規(guī)劃的煉化一體化項目，目前世界上投資最大的單體產(chǎn)業(yè)項目，浙江石油化工有限公司（以下簡稱：浙石化）規(guī)模龐大且復(fù)雜，其配備多家廠家的控制系統(tǒng)，工業(yè)數(shù)據(jù)已經(jīng)成為其未來智能工廠的重要支柱。為了保障生產(chǎn)穩(wěn)定運行，浙石化在2022年至2023年開展了工業(yè)網(wǎng)絡(luò)安全等級保護(hù)建設(shè)工作，以解決網(wǎng)絡(luò)安全合規(guī)以及重要工業(yè)數(shù)據(jù)安全問題。浙石化以“固、防、管體系”為指導(dǎo)思想，遵照數(shù)據(jù)安全法、網(wǎng)絡(luò)安全法以及工業(yè)企業(yè)數(shù)據(jù)安全防護(hù)要求等相關(guān)標(biāo)準(zhǔn)，在工控系統(tǒng)安全需求的基礎(chǔ)上，構(gòu)建了一套運營、預(yù)警、防護(hù)、檢測、響應(yīng)自適應(yīng)閉環(huán)的數(shù)據(jù)安全防護(hù)體系。該體系可以全面感知工控系統(tǒng)遇到或可能遇到的數(shù)據(jù)安全風(fēng)險，提升了系統(tǒng)的整體安全防御能力。

1.2項目簡介

在工業(yè)信息安全三級運營防護(hù)體系建設(shè)過程中，本項目結(jié)合浙石化行業(yè)的特點和上級指導(dǎo)政策的要求，提出了可以適配石化行業(yè)的解決方案，提供信息資產(chǎn)管理、威脅情報聯(lián)動、工業(yè)安全實訓(xùn)驗證、應(yīng)急處置、工單處理接口、工業(yè)安全劇本建設(shè)等能力，解決了工業(yè)安全防護(hù)難題，為智能工廠工業(yè)安全打下了堅實基礎(chǔ)。

在整個三級運營體系建設(shè)過程中，我們通過多方調(diào)研和取證分析，證明了本項目在多維度工業(yè)資產(chǎn)、信息統(tǒng)一管理和分析等方面具有創(chuàng)新性的建設(shè)。且各個層級的安全防護(hù)與數(shù)據(jù)交互比較容易落地，切合石化行業(yè)場景，具有相對不錯的可推廣性。

1.3項目目標(biāo)

工業(yè)信息安全三級運營體系從內(nèi)到外構(gòu)成自主可控的多層次“內(nèi)建安全（固）、縱深防御（防）、安全運維（管）”技術(shù)體系。在底層構(gòu)建內(nèi)建安全產(chǎn)品體系，確保控制系統(tǒng)本身具有網(wǎng)絡(luò)安全“健壯性”；在數(shù)據(jù)安全方面，采用數(shù)據(jù)安全檢測、防護(hù)、備份恢復(fù)等手段，同時規(guī)劃數(shù)據(jù)安全運維體系，確保數(shù)據(jù)安全的長期、持續(xù)有效；在中間層建設(shè)包括安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境以及安全管理中心的縱深防御體系，并遵循“零信任”原則；在最上層，捕獲所有產(chǎn)品的數(shù)據(jù)，包括資產(chǎn)、日志、事件等，進(jìn)行集中資產(chǎn)畫像、事前情報聯(lián)動等分析，實現(xiàn)本地威脅分析與第三方威脅情報相結(jié)合的應(yīng)急處理機(jī)制，實現(xiàn)安全運維與安全運營的目標(biāo)。

2　項目實施

本方案以工控系統(tǒng)的主機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)等為對象，根據(jù)信息安全相關(guān)服務(wù)標(biāo)準(zhǔn)，實施安全檢查及運維服務(wù)，并提供高端的全面安全體系建設(shè)和細(xì)節(jié)的技術(shù)解決措施，為企業(yè)提供全面或部分信息安全解決方案，以實現(xiàn)企業(yè)的信息安全。

工業(yè)信息安全三級運營體系整體架構(gòu)如圖1所示。

圖1 工業(yè)信息安全三級運營體系整體架構(gòu)圖

2.1安管中心

安管中心針對不同的裝置及廠區(qū)，以終端安全、邊界安全、入侵檢測、日志審計等為核心，建設(shè)縱向和橫向的安全防護(hù)體系。

（1）為現(xiàn)場工控上位機(jī)與服務(wù)器配置主機(jī)安全衛(wèi)士專業(yè)版，實現(xiàn)對工業(yè)主機(jī)的全面安全防護(hù)；根據(jù)白名單列表對可執(zhí)行文件的執(zhí)行進(jìn)行監(jiān)控，對白名單內(nèi)的可執(zhí)行文件允許執(zhí)行，對白名單外的可執(zhí)行文件阻止執(zhí)行，保障工控主機(jī)安全。

（2）參照中控技術(shù)最新發(fā)布的《2020 Q3Windows補丁安裝指南》更新通過兼容性測試的操作系統(tǒng)補丁。

（3）由中控工程師實施安全基線配置服務(wù)，關(guān)閉上位機(jī)不必要的服務(wù)，如RDP、SMB等高危服務(wù)；關(guān)閉上位機(jī)不必要的端口，如3389、445等高危端口；禁用網(wǎng)絡(luò)交換設(shè)備不使用的端口。

（4）在邊界部署工業(yè)防火墻，深度解析、智能隔離，使控制網(wǎng)與外網(wǎng)實現(xiàn)隔離；加固網(wǎng)絡(luò)結(jié)構(gòu)，實現(xiàn)控制網(wǎng)架構(gòu)內(nèi)部分區(qū)有效阻止異常數(shù)據(jù)擴(kuò)散。

（5）部署工控安管平臺、入侵檢測系統(tǒng)、日志審計系統(tǒng)，同步監(jiān)測防御計算機(jī)病毒攻擊及異常流量，實現(xiàn)網(wǎng)絡(luò)診斷功能，實時監(jiān)控網(wǎng)絡(luò)狀態(tài)、及時告警和日志記錄，保護(hù)系統(tǒng)安全。

（6）配置數(shù)據(jù)備份恢復(fù)系統(tǒng)，智能備份，提高工控信息安全保障及容災(zāi)恢復(fù)能力。

功能簡介：主機(jī)安全衛(wèi)士：采用“白名單+黑名單”防護(hù)機(jī)制提供多層次安全保護(hù)。根據(jù)白名單列表對可執(zhí)行文件的執(zhí)行進(jìn)行監(jiān)控，對白名單外的可執(zhí)行文件阻止執(zhí)行，有效阻止病毒、木馬及0-day漏洞的感染和被利用，保障工控主機(jī)安全。同時具備強大黑名單功能，可對系統(tǒng)文件進(jìn)行深度掃描，識別并查殺惡意代碼。主機(jī)安全衛(wèi)士軟件滿足符合性、連續(xù)性、可靠性的設(shè)計原則，不影響控制系統(tǒng)的正常運行，內(nèi)存占用和CPU使用率低，具備強大的自身安全性和易管理性。病毒庫由中控服務(wù)人員定期更新（或定期寄送光盤，由現(xiàn)場人員自行升級）。

工業(yè)防火墻：是面向工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的邏輯隔離類安全防護(hù)產(chǎn)品，支持OPC工業(yè)協(xié)議深度防護(hù)，支持指令級白名單的訪問控制。通過對工業(yè)控制協(xié)議的深度解析，運用“白名單”技術(shù)建立工控網(wǎng)絡(luò)安全通信模型，可以阻斷一切非法訪問，僅允許可信的流量在網(wǎng)絡(luò)上傳輸，為工控網(wǎng)絡(luò)與外部網(wǎng)絡(luò)互聯(lián)、工控網(wǎng)絡(luò)內(nèi)部區(qū)域之間的連接提供了安全保障。

工控安全管理平臺：主要用于統(tǒng)一管理全廠工控安全設(shè)備，包括審計日志、分析事件行為、統(tǒng)一配置設(shè)備參數(shù)等。由硬件設(shè)備及內(nèi)置平臺軟件組成。硬件設(shè)備含獨立主板，可安裝操作系統(tǒng)和平臺軟件；平臺軟件基于Linux系統(tǒng)運行，可通過WEB客戶端訪問，用于查閱數(shù)據(jù)或配置參數(shù)等。

入侵檢測：旁路部署于可網(wǎng)管交換機(jī)上，通過流量鏡像，可以對可能針對DPU、DCS等控制裝置發(fā)動的攻擊行為進(jìn)行有效檢測和預(yù)防，可以對工業(yè)控制系統(tǒng)可能面臨的攻擊行為進(jìn)行有效檢測，可以針對工業(yè)協(xié)議進(jìn)行深度解析，可以針對工業(yè)網(wǎng)絡(luò)協(xié)議的內(nèi)容和數(shù)據(jù)進(jìn)行細(xì)致的合規(guī)性檢查，并通過事前告警、事中防護(hù)、事后取證三個角度分析事件。

日志審計：核心交換機(jī)處配置日志審計系統(tǒng)，通過內(nèi)置的日志采集功能可對大量分散設(shè)備的異構(gòu)日志進(jìn)行集中采集，也可以實時采集不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)以及各種應(yīng)用系統(tǒng)產(chǎn)生的日志信息，然后經(jīng)過統(tǒng)一的日志管理過程，如日志范式化處理等，將采集來的海量的異構(gòu)的日志信息進(jìn)行集中化的解析和存儲，結(jié)合資產(chǎn)管理模塊、事件告警模塊的相關(guān)規(guī)則以及配置，形成事件告警信息。

數(shù)據(jù)備份恢復(fù)系統(tǒng)：在控制系統(tǒng)網(wǎng)絡(luò)中部署專用的數(shù)據(jù)備份服務(wù)器，可以對現(xiàn)場重要數(shù)據(jù)服務(wù)器以及工業(yè)主機(jī)采用自動化的數(shù)據(jù)備份與恢復(fù)服務(wù)，確保關(guān)鍵數(shù)據(jù)可以得到安全效率的備份，即使在故障發(fā)生時，也能保證快速地恢復(fù)，使得生產(chǎn)業(yè)務(wù)保持連續(xù)性。

安全基線配置：開展服務(wù)和端口禁用等工業(yè)控制網(wǎng)絡(luò)安全配置、遠(yuǎn)程控制管理、默認(rèn)賬戶管理等工業(yè)主機(jī)安全配置、口令策略合規(guī)性等工業(yè)控制設(shè)備安全配置，建立相應(yīng)的配置清單，方便用戶責(zé)任人定期進(jìn)行管理、維護(hù)和配置核查審計。安全基線配置須確保與控制系統(tǒng)軟件完美兼容，否則將影響工控系統(tǒng)運行。

協(xié)助建立工控安全管理制度：包括人員安全管理、工業(yè)控制系統(tǒng)設(shè)備及網(wǎng)絡(luò)設(shè)備配置清單、訪問權(quán)限、訪問日志等方面的審計工作；人員的日常運行、考核培訓(xùn)、錄用、離職轉(zhuǎn)崗等管理要求；工業(yè)控制系統(tǒng)信息資產(chǎn)的管理（購買、更新、退役等）、數(shù)據(jù)資產(chǎn)的安全管理、風(fēng)險評估，數(shù)據(jù)分級分類管理等；關(guān)鍵物理區(qū)域、關(guān)鍵系統(tǒng)、重要設(shè)備的訪問控制管理以及工控主機(jī)、服務(wù)器的防病毒安全防護(hù)。

3　預(yù)警中心

預(yù)警中心以漏洞掃描、攻擊檢測與入侵檢測、安全事件日志分析等技術(shù)為支撐構(gòu)建廠級的管理中心，實現(xiàn)全廠資產(chǎn)、日志、事件、流量等數(shù)據(jù)的捕捉與分析，實現(xiàn)全廠風(fēng)險識別與安全管理。

態(tài)勢感知功能：從資產(chǎn)、漏洞、威脅、行為和攻擊五個維度分析用戶安全狀態(tài)，資產(chǎn)態(tài)勢、漏洞態(tài)勢、威脅態(tài)勢、行為態(tài)勢、攻擊態(tài)勢和安全響應(yīng)五維一體，全方位分析和展示用戶安全態(tài)勢，為安全管理和運營維護(hù)提供平臺支撐。

資產(chǎn)管理功能：支持從部門、業(yè)務(wù)、地理位置等視圖維度進(jìn)行資產(chǎn)維護(hù)；平臺內(nèi)置了主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫、應(yīng)用服務(wù)器等100多種資產(chǎn)類型，覆蓋了市面上大部分主流設(shè)備類型。

漏洞管理功能：支持調(diào)度漏掃工具、手工增加及文件導(dǎo)入漏洞、漏洞自動關(guān)聯(lián)資產(chǎn)；支持漏洞檢索、漏洞跟蹤和漏洞處置，涵蓋漏洞管理全生命周期；支持漏洞態(tài)勢和細(xì)粒度監(jiān)視，包括新增漏洞、高危漏洞、漏洞資產(chǎn)告警、漏洞分布和漏洞趨勢。

4　運營中心

運營中心部署在集團(tuán)層級，通過資產(chǎn)管理、日志及事件捕獲、威脅情報分析、工單管理與應(yīng)急處理等模塊實現(xiàn)對安管中心、預(yù)警中心所有安全設(shè)備、控制系統(tǒng)設(shè)備的資產(chǎn)、狀態(tài)、日志、配置等數(shù)據(jù)的集中管控與分析，并通過大屏等形式進(jìn)行全數(shù)據(jù)的集中展示。

用戶分析功能：通過分析對事件的威脅類別、程度、頻度和偏離度，將所有事件表示的活動和行為關(guān)聯(lián)到資產(chǎn)和用戶，采用多因子風(fēng)險評分智能算法自動發(fā)現(xiàn)異常用戶和行為，無需預(yù)定義分析規(guī)則。

事件關(guān)聯(lián)分析功能：事件模塊支持多事件關(guān)聯(lián)查詢，對于歷史事件可以根據(jù)創(chuàng)建的關(guān)聯(lián)條件和時間段對多個事件進(jìn)行自動關(guān)聯(lián)分析，例如用戶可以根據(jù)需求將來自不同事件源的事件和日志進(jìn)行關(guān)聯(lián)查詢和檢索，幫助安全分析人員發(fā)現(xiàn)潛在的高級威脅，查詢檢索的關(guān)聯(lián)事件可以進(jìn)行字段詳細(xì)對比和進(jìn)一步下鉆追溯。

安全編排功能：安全編排自動化及響應(yīng)簡單地說就是通過可編輯的自動化操作實現(xiàn)事件關(guān)聯(lián)、威脅告警、相關(guān)驗證、聯(lián)動響應(yīng)等安全運營全流程。通過安全編排，在一個工作流程中關(guān)聯(lián)協(xié)同各類安全產(chǎn)品和管理系統(tǒng)，結(jié)合威脅情報，可以發(fā)現(xiàn)真正的威脅事件，并自動執(zhí)行處置任務(wù)快速進(jìn)行安全響應(yīng)。安全編排可以根據(jù)預(yù)定義的安全場景創(chuàng)建相關(guān)規(guī)則劇本，規(guī)則劇本啟用后實時運行，按照定義的安全編排劇本自動關(guān)聯(lián)分析相關(guān)事件、情報、資產(chǎn)、用戶等數(shù)據(jù)，觸發(fā)告警并執(zhí)行相應(yīng)的處置動作。

數(shù)據(jù)模型與數(shù)據(jù)視圖功能：針對行業(yè)業(yè)務(wù)應(yīng)用的不同，平臺提供了可定制的數(shù)據(jù)模型，根據(jù)業(yè)務(wù)需求可對事件、告警、資產(chǎn)等重要數(shù)據(jù)自定義數(shù)據(jù)模型，包括自定義數(shù)據(jù)字段、字典表、日志解析模式等，能夠自動適配儀表板、大屏展示、事件探查、告警和報表等。根據(jù)業(yè)務(wù)需求可對事件、告警、資產(chǎn)定義多維數(shù)據(jù)視圖，數(shù)據(jù)視圖能被儀表板、大屏展示和報表引用。

supSSOC工業(yè)信息安全運維服務(wù)：依托中控在全國上百家5S店長期服務(wù)保障，中控工控網(wǎng)絡(luò)安全技術(shù)團(tuán)隊長期支持，提供supSSOC工業(yè)信息安全運維服務(wù)。通過專業(yè)服務(wù)，對搜集到的服務(wù)器日志、網(wǎng)絡(luò)設(shè)備日志、安全設(shè)備日志進(jìn)行分析，主動發(fā)現(xiàn)服務(wù)器及設(shè)備運行中可能存在的異常，并借助已有的網(wǎng)絡(luò)、安全管理平臺對攻擊類型、攻擊來源、流量趨勢等進(jìn)行分析，了解系統(tǒng)面臨的主要威脅，并針對該威脅提出建設(shè)性的建議。該服務(wù)實現(xiàn)了動態(tài)預(yù)警并能及時處理工業(yè)信息安全風(fēng)險，為生產(chǎn)穩(wěn)定運行保駕護(hù)航。

安管中心+預(yù)警中心+運營中心通過部署及設(shè)備多級管控實現(xiàn)了集團(tuán)層級工業(yè)信息安全資產(chǎn)的集中管控、統(tǒng)一管理，構(gòu)建了IT+OT相結(jié)合的解決方案案例，在實現(xiàn)了控制系統(tǒng)內(nèi)部安全建設(shè)及橫向域間安全的同時，也實現(xiàn)了IT+OT的縱向安全防護(hù)，保證了整個網(wǎng)絡(luò)的安全。

5　案例亮點及創(chuàng)新性

項目建成后，安管中心+預(yù)警中心+運營中心的三級運營體系有效提高了浙石化工業(yè)現(xiàn)場的安全防護(hù)能力，方案相對比較容易落地，切合石化行業(yè)業(yè)務(wù)場景，具有相對不錯的可推廣性。

（1）構(gòu)建了縱深防御的網(wǎng)絡(luò)安全架構(gòu)體系

本項目貫徹以人為本的管理理念，引進(jìn)國際先進(jìn)的安全管理技術(shù)體系、管理標(biāo)準(zhǔn)，補充和完善所需的設(shè)備和系統(tǒng)，以ISO27001、等保要求為建設(shè)基準(zhǔn)，構(gòu)筑了立體化、縱深、可追溯的網(wǎng)絡(luò)安全預(yù)警防控系統(tǒng)，形成了安全、合規(guī)、全面、穩(wěn)定、高效的網(wǎng)絡(luò)安全縱深防御體系，充分發(fā)揮和全面提升了存量系統(tǒng)的作用，夯實了網(wǎng)絡(luò)安全的基本防線。

（2）建立了全面完整的網(wǎng)絡(luò)安全防控體系

本項目引進(jìn)國際領(lǐng)先的DFI、DPI技術(shù)體系，建立了網(wǎng)絡(luò)安全態(tài)勢感知和攻擊溯源系統(tǒng)，形成了縱深、立體化、可追溯的網(wǎng)絡(luò)安全預(yù)警防控體系，全面提升了存量系統(tǒng)、增量系統(tǒng)安全設(shè)備的整體能力，有效解決了每天數(shù)百萬計的入侵檢測日志看不了、不會看的問題，全面提高了網(wǎng)絡(luò)安全風(fēng)險評估、風(fēng)險排查，以及網(wǎng)絡(luò)安全事件，特別是蠕蟲病毒、APT等未知類型的網(wǎng)絡(luò)攻擊的溯源能力，全面解決了全時段、全流量、全端口的網(wǎng)絡(luò)流量日志長期保存的問題。

（3）建立了適度保密的信息安全防控體系

本項目建立了可以靈活地根據(jù)特定時間、敏感數(shù)據(jù)、特殊群體、重點終端進(jìn)行管理的信息安全態(tài)勢感知和安全事件追蹤溯源系統(tǒng)，形成了“進(jìn)不來、出不去、改不了、賴不掉、查得到”的信息安全體系。該體系可以根據(jù)重點人員、特殊終端、敏感時期、應(yīng)用系統(tǒng)等提供按需分配的信息安全追蹤溯源手段和技術(shù)，解決了傳統(tǒng)的信息安全保護(hù)技術(shù)受制于網(wǎng)絡(luò)和組織架構(gòu)、受制于終端和人員數(shù)量、受制于應(yīng)用系統(tǒng)的變化等一系列問題，有效防控了信息化建設(shè)和發(fā)展過程中大量使用B/S架構(gòu)體系帶來的新的安全風(fēng)險。

（4）建立了全面完整的運行維護(hù)防控體系

本項目構(gòu)建了以關(guān)鍵資產(chǎn)為運維中心的全面、完整和可視化的預(yù)警防控系統(tǒng)，可以全面、完整、及時地掌控網(wǎng)絡(luò)和安全設(shè)備，以及賬號、業(yè)務(wù)應(yīng)用等安全運行態(tài)勢，一攬子解決了已經(jīng)建立的存量系統(tǒng)，以及在建、擬建的增量系統(tǒng)的智能運維問題，有效防范了管理人員、運維人員利用賬號口令管理漏洞造成的安全風(fēng)險，形成了IT基礎(chǔ)設(shè)施賬號安全管理、設(shè)備穩(wěn)定運行、系統(tǒng)安全運維全面完整的運維防控體系。

綜上，本項目通過裝置級、廠級、集團(tuán)級的多層級安全防護(hù)架構(gòu)，完成了全面的縱深防御的網(wǎng)絡(luò)安全架構(gòu)體系、信息安全防控體系、運行維護(hù)防控體系的建設(shè)，實現(xiàn)了整個集團(tuán)工業(yè)信息安全設(shè)備的安全防護(hù)建設(shè)，完成了縱深安全防御的目標(biāo)，切實保障了方案貼合企業(yè)業(yè)務(wù)場景，使方案具有強大的監(jiān)測能力和落地性。

作者簡介

余夢達(dá)（1990-），男，浙江寧波人，高級工程師，學(xué)士，現(xiàn)就職于中控技術(shù)股份有限公司，主要從事工業(yè)信息安全方面的研究。

申屠思倩（1995-），女，浙江金華人，中級工程師，學(xué)士，現(xiàn)就職于中控技術(shù)股份有限公司，主要從事工業(yè)信息安全方面的研究。

摘自《自動化博覽》2024年1月刊