1、方案背景與目標

貴州習酒積極推進白酒傳統(tǒng)生產方式機械化升級，從制曲過程、酒醅發(fā)酵、勾兌過程、包裝和物流五個領域開展信息化、數(shù)字化轉型，對生產、包裝、運輸、銷售過程進行全方位監(jiān)測，大大保證白酒質量，有效提高貴州習酒產品競爭力和市場信譽度。伴隨貴州習酒數(shù)字化轉型的實施，只能制造中的信息安全問題顯得越來越突出，一旦網絡被攻陷，一方面會破壞設備，泄露企業(yè)的技術信息，損壞企業(yè)形象，另一方面會對國家和社會造成嚴重不良影響。故針對貴州習酒工控網絡開展了基于實戰(zhàn)化的網絡安全防護體系建設。

2、方案詳細介紹

本方案構建貴州習酒工控網絡“垂直分層，水平分區(qū)。邊界控制，內部監(jiān)測”的工控安全技術防護體系，實現(xiàn)各操作站、工業(yè)控制系統(tǒng)連接處、無線網絡等要進行邊界防護和準入控制等。對工業(yè)控制系統(tǒng)內部要監(jiān)測網絡流量數(shù)據(jù)以發(fā)現(xiàn)入侵、業(yè)務異常、訪問關系異常和流量異常等問題，構建工控網絡實戰(zhàn)化主動防御體系，提升工控網絡未知威脅檢測能力，實現(xiàn)從被動防御變?yōu)橹鲃臃烙嫣岣吖た鼐W絡威脅防御能力，全面快速消除工控網絡威脅，實現(xiàn)從單點防御到全工控網協(xié)防，主要建設內容如下：

邊界隔離：在各邊界之間部署工業(yè)防火墻，通過工業(yè)協(xié)議深度解析，結合自學習白名單安全防護策略，實現(xiàn)細粒度的邊界訪問控制和安全隔離，通過最小化規(guī)則盡可能規(guī)避來自外部系統(tǒng)的非法/違規(guī)數(shù)據(jù)訪問。

高級威脅監(jiān)測：通過在核心交換機上旁路部署高級威脅檢測系統(tǒng)，對網絡流量進行實時分析，通過利用沙箱、多AV病毒檢測、流量基因檢測和文件基因檢測等先進技術對惡意樣本、惡意流量、行為異常等威脅進行重點識別，彌補生產網自身業(yè)務系統(tǒng)脆弱的不足，發(fā)現(xiàn)高危漏洞主機，發(fā)現(xiàn)潛伏的惡意文件和惡意流量通訊行為，識別惡意文件的擴散，保護生產網安全。

主機防護：對工控網絡內的主機進行安全防護，主要是針對域內的主機，建議部署工業(yè)主機安全衛(wèi)士，通過主機應用程序白名單機制，阻止非工作程序在主機上的操作運行，阻斷由于操作系統(tǒng)漏洞、應用軟件漏洞而引起的惡意攻擊，同時通過安全U盤實現(xiàn)移動安全數(shù)據(jù)存儲。

網絡實時監(jiān)測與審計：在生產網旁路部署工業(yè)安全審計，建立業(yè)務通信模型實現(xiàn)對工控指令攻擊、控制參數(shù)篡改、病毒和蠕蟲等惡意代碼攻擊行為的實時監(jiān)測和告警，同時對網絡中的攻擊行為、網絡會話、數(shù)據(jù)流量、重要操作等進行審計，實現(xiàn)安全事件的日志回溯和取證；在服務器區(qū)旁路部署數(shù)據(jù)庫審計，對數(shù)據(jù)庫的操作行為進行審計。

統(tǒng)一安全管理：建立安全監(jiān)管平臺，對工控網絡中的相關防護產品進行統(tǒng)一的管理及運維，對整網防護設備進行策略配置下發(fā)、對各設備進行集中化策略配置下發(fā)、存儲、備份、查詢、審計、告警、響應，并出具豐富的報表和報告，實時掌握工業(yè)控制網絡情況，獲悉工業(yè)控制網絡整體的安全狀態(tài)，實現(xiàn)全生命周期的日志管理。

方案建設成效：

（1）工業(yè)網絡和管理網絡隔離

通過管理網和生產網隔離確保生產網不會引入來自管理網風險，保證生產網邊界安全；在各車間內部工控系統(tǒng)進行一定手段的監(jiān)測、防護，保證車間內部安全；最后對整個工控系統(tǒng)進行統(tǒng)一安全呈現(xiàn)，將各個防護點組成一個全面的防護體系，保障其整個工業(yè)控制系統(tǒng)安全穩(wěn)定運行。

（2）車間內部監(jiān)測防護

在操作員站、工程師站、HMI等各類操作站部署操作站安全系統(tǒng)對主機的進程、軟件、流量、U盤的使用等進行監(jiān)控，防范主機非法訪問網絡其它節(jié)點；

部署工控異常監(jiān)測系統(tǒng)，監(jiān)測工控網絡的相關業(yè)務異常和入侵行為，通過工控網絡中的流量關系圖形化展示梳理發(fā)現(xiàn)網絡中的故障，出現(xiàn)異常及時報警；

（3）實戰(zhàn)化未知威脅檢測

本方案監(jiān)測體系中除了具備常規(guī)的入侵檢測功能外，還可以從網絡流量中還原出文件并通過多病毒檢測引擎有效識別出病毒、木馬等已知威脅；通過基因圖譜檢測技術檢測惡意代碼變種； 還可以通過沙箱行為檢測技術發(fā)現(xiàn)未知威脅；對抽取的網絡流量元數(shù)據(jù)，進行情報檢測、異常檢測、流量基因檢測；最后將所有安全威脅進行關聯(lián)分析，實現(xiàn)對檢測及防御APT攻擊及工控網絡未知威脅；

（4）建立工控網絡安全可視化統(tǒng)一管理中心

將工控網中全要素數(shù)據(jù)進行收集整合，實現(xiàn)全局的網絡安全動態(tài)分析和監(jiān)測，提升網絡安全的感知能力；對大量的安全設備統(tǒng)一管理減少運維難度，并且排除環(huán)境中的安全設備分散問題，避免形成安全孤島；對大量日志進行建模分析，清洗、過濾、整合，實現(xiàn)對風險趨勢的預測，將工控網絡的態(tài)勢狀況通過可視化圖形方式進行展示，生成多視圖、多角度、多尺度的工控網絡安全綜合態(tài)勢全景圖。

3、代表性及推廣價值

通過本次工業(yè)控制系統(tǒng)網絡安全防護項目，積累實踐經驗，以網絡安全法律規(guī)范政策標準為基點，吸收國際先進的理念、模型和技術，面向場景和實戰(zhàn)需求，系統(tǒng)化規(guī)劃和建設，采用新理念、新方法、新架構、新策略，構建新一代的工控網絡安全防護體系，并積極布局輕量級工業(yè)信任體系，為習酒持續(xù)的工控網絡安全防御體系演進提供了空間。

通過本項目，實現(xiàn)了安全服務和安全產品部署同步，提供了有效的工控網絡安全防御體系，為數(shù)字化轉型提供網絡安全保障；通過本項目實踐，形成可橫向推廣經驗，也是工業(yè)環(huán)境先進網絡安全防護的場景化實踐。本項目為習酒工控網絡安全和數(shù)字化轉型提供保障，同時符合工控等保、關基保護合規(guī)需求，是滿足合規(guī)和實戰(zhàn)化防御雙需求的一次積極實踐。

本項目方案既可作為整套解決方案，亦可根據(jù)需求滿足工業(yè)互聯(lián)網網絡安全工作要求，還可定制化網絡安全服務滿足相關管理需求。落地實現(xiàn)各行業(yè)工控網絡安全建設工作，示范效應顯著，具有廣闊的市場前景，對于工業(yè)互聯(lián)網自身以及帶動生產行業(yè)的健康發(fā)展具有非常積極的意義。