1、方案背景與目標

貴州習酒積極推進白酒傳統(tǒng)生產(chǎn)方式機械化升級，從制曲過程、酒醅發(fā)酵、勾兌過程、包裝和物流五個領域開展信息化、數(shù)字化轉(zhuǎn)型，對生產(chǎn)、包裝、運輸、銷售過程進行全方位監(jiān)測，大大保證白酒質(zhì)量，有效提高貴州習酒產(chǎn)品競爭力和市場信譽度。伴隨貴州習酒數(shù)字化轉(zhuǎn)型的實施，只能制造中的信息安全問題顯得越來越突出，一旦網(wǎng)絡被攻陷，一方面會破壞設備，泄露企業(yè)的技術(shù)信息，損壞企業(yè)形象，另一方面會對國家和社會造成嚴重不良影響。故針對貴州習酒工控網(wǎng)絡開展了基于實戰(zhàn)化的網(wǎng)絡安全防護體系建設。

2、方案詳細介紹

本方案構(gòu)建貴州習酒工控網(wǎng)絡“垂直分層，水平分區(qū)。邊界控制，內(nèi)部監(jiān)測”的工控安全技術(shù)防護體系，實現(xiàn)各操作站、工業(yè)控制系統(tǒng)連接處、無線網(wǎng)絡等要進行邊界防護和準入控制等。對工業(yè)控制系統(tǒng)內(nèi)部要監(jiān)測網(wǎng)絡流量數(shù)據(jù)以發(fā)現(xiàn)入侵、業(yè)務異常、訪問關系異常和流量異常等問題，構(gòu)建工控網(wǎng)絡實戰(zhàn)化主動防御體系，提升工控網(wǎng)絡未知威脅檢測能力，實現(xiàn)從被動防御變?yōu)橹鲃臃烙?，全面提高工控網(wǎng)絡威脅防御能力，全面快速消除工控網(wǎng)絡威脅，實現(xiàn)從單點防御到全工控網(wǎng)協(xié)防，主要建設內(nèi)容如下：

邊界隔離：在各邊界之間部署工業(yè)防火墻，通過工業(yè)協(xié)議深度解析，結(jié)合自學習白名單安全防護策略，實現(xiàn)細粒度的邊界訪問控制和安全隔離，通過最小化規(guī)則盡可能規(guī)避來自外部系統(tǒng)的非法/違規(guī)數(shù)據(jù)訪問。

高級威脅監(jiān)測：通過在核心交換機上旁路部署高級威脅檢測系統(tǒng)，對網(wǎng)絡流量進行實時分析，通過利用沙箱、多AV病毒檢測、流量基因檢測和文件基因檢測等先進技術(shù)對惡意樣本、惡意流量、行為異常等威脅進行重點識別，彌補生產(chǎn)網(wǎng)自身業(yè)務系統(tǒng)脆弱的不足，發(fā)現(xiàn)高危漏洞主機，發(fā)現(xiàn)潛伏的惡意文件和惡意流量通訊行為，識別惡意文件的擴散，保護生產(chǎn)網(wǎng)安全。

主機防護：對工控網(wǎng)絡內(nèi)的主機進行安全防護，主要是針對域內(nèi)的主機，建議部署工業(yè)主機安全衛(wèi)士，通過主機應用程序白名單機制，阻止非工作程序在主機上的操作運行，阻斷由于操作系統(tǒng)漏洞、應用軟件漏洞而引起的惡意攻擊，同時通過安全U盤實現(xiàn)移動安全數(shù)據(jù)存儲。

網(wǎng)絡實時監(jiān)測與審計：在生產(chǎn)網(wǎng)旁路部署工業(yè)安全審計，建立業(yè)務通信模型實現(xiàn)對工控指令攻擊、控制參數(shù)篡改、病毒和蠕蟲等惡意代碼攻擊行為的實時監(jiān)測和告警，同時對網(wǎng)絡中的攻擊行為、網(wǎng)絡會話、數(shù)據(jù)流量、重要操作等進行審計，實現(xiàn)安全事件的日志回溯和取證；在服務器區(qū)旁路部署數(shù)據(jù)庫審計，對數(shù)據(jù)庫的操作行為進行審計。

統(tǒng)一安全管理：建立安全監(jiān)管平臺，對工控網(wǎng)絡中的相關防護產(chǎn)品進行統(tǒng)一的管理及運維，對整網(wǎng)防護設備進行策略配置下發(fā)、對各設備進行集中化策略配置下發(fā)、存儲、備份、查詢、審計、告警、響應，并出具豐富的報表和報告，實時掌握工業(yè)控制網(wǎng)絡情況，獲悉工業(yè)控制網(wǎng)絡整體的安全狀態(tài)，實現(xiàn)全生命周期的日志管理。

方案建設成效：

（1）工業(yè)網(wǎng)絡和管理網(wǎng)絡隔離

通過管理網(wǎng)和生產(chǎn)網(wǎng)隔離確保生產(chǎn)網(wǎng)不會引入來自管理網(wǎng)風險，保證生產(chǎn)網(wǎng)邊界安全；在各車間內(nèi)部工控系統(tǒng)進行一定手段的監(jiān)測、防護，保證車間內(nèi)部安全；最后對整個工控系統(tǒng)進行統(tǒng)一安全呈現(xiàn)，將各個防護點組成一個全面的防護體系，保障其整個工業(yè)控制系統(tǒng)安全穩(wěn)定運行。

（2）車間內(nèi)部監(jiān)測防護

在操作員站、工程師站、HMI等各類操作站部署操作站安全系統(tǒng)對主機的進程、軟件、流量、U盤的使用等進行監(jiān)控，防范主機非法訪問網(wǎng)絡其它節(jié)點；

部署工控異常監(jiān)測系統(tǒng)，監(jiān)測工控網(wǎng)絡的相關業(yè)務異常和入侵行為，通過工控網(wǎng)絡中的流量關系圖形化展示梳理發(fā)現(xiàn)網(wǎng)絡中的故障，出現(xiàn)異常及時報警；

（3）實戰(zhàn)化未知威脅檢測

本方案監(jiān)測體系中除了具備常規(guī)的入侵檢測功能外，還可以從網(wǎng)絡流量中還原出文件并通過多病毒檢測引擎有效識別出病毒、木馬等已知威脅；通過基因圖譜檢測技術(shù)檢測惡意代碼變種； 還可以通過沙箱行為檢測技術(shù)發(fā)現(xiàn)未知威脅；對抽取的網(wǎng)絡流量元數(shù)據(jù)，進行情報檢測、異常檢測、流量基因檢測；最后將所有安全威脅進行關聯(lián)分析，實現(xiàn)對檢測及防御APT攻擊及工控網(wǎng)絡未知威脅；

（4）建立工控網(wǎng)絡安全可視化統(tǒng)一管理中心

將工控網(wǎng)中全要素數(shù)據(jù)進行收集整合，實現(xiàn)全局的網(wǎng)絡安全動態(tài)分析和監(jiān)測，提升網(wǎng)絡安全的感知能力；對大量的安全設備統(tǒng)一管理減少運維難度，并且排除環(huán)境中的安全設備分散問題，避免形成安全孤島；對大量日志進行建模分析，清洗、過濾、整合，實現(xiàn)對風險趨勢的預測，將工控網(wǎng)絡的態(tài)勢狀況通過可視化圖形方式進行展示，生成多視圖、多角度、多尺度的工控網(wǎng)絡安全綜合態(tài)勢全景圖。

3、代表性及推廣價值

通過本次工業(yè)控制系統(tǒng)網(wǎng)絡安全防護項目，積累實踐經(jīng)驗，以網(wǎng)絡安全法律規(guī)范政策標準為基點，吸收國際先進的理念、模型和技術(shù)，面向場景和實戰(zhàn)需求，系統(tǒng)化規(guī)劃和建設，采用新理念、新方法、新架構(gòu)、新策略，構(gòu)建新一代的工控網(wǎng)絡安全防護體系，并積極布局輕量級工業(yè)信任體系，為習酒持續(xù)的工控網(wǎng)絡安全防御體系演進提供了空間。

通過本項目，實現(xiàn)了安全服務和安全產(chǎn)品部署同步，提供了有效的工控網(wǎng)絡安全防御體系，為數(shù)字化轉(zhuǎn)型提供網(wǎng)絡安全保障；通過本項目實踐，形成可橫向推廣經(jīng)驗，也是工業(yè)環(huán)境先進網(wǎng)絡安全防護的場景化實踐。本項目為習酒工控網(wǎng)絡安全和數(shù)字化轉(zhuǎn)型提供保障，同時符合工控等保、關基保護合規(guī)需求，是滿足合規(guī)和實戰(zhàn)化防御雙需求的一次積極實踐。

本項目方案既可作為整套解決方案，亦可根據(jù)需求滿足工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全工作要求，還可定制化網(wǎng)絡安全服務滿足相關管理需求。落地實現(xiàn)各行業(yè)工控網(wǎng)絡安全建設工作，示范效應顯著，具有廣闊的市場前景，對于工業(yè)互聯(lián)網(wǎng)自身以及帶動生產(chǎn)行業(yè)的健康發(fā)展具有非常積極的意義。