1、背景介紹

新型工業(yè)化在信息技術(shù)和其他高新技術(shù)的驅(qū)動(dòng)下，通過改變生產(chǎn)方式、組織形式和經(jīng)營模式，使各行業(yè)進(jìn)程朝向更高效、清潔、低碳、智能化的方向延伸。鋼管行業(yè)在新型工業(yè)化的推進(jìn)下，積極采用大數(shù)據(jù)、互聯(lián)網(wǎng)、自動(dòng)檢測技術(shù)和識別技術(shù)等先進(jìn)技術(shù)，大力建設(shè)鋼管行業(yè)創(chuàng)新基礎(chǔ)設(shè)施，夯實(shí)數(shù)字底座，以數(shù)字化賦能綠色化、高質(zhì)化、強(qiáng)鏈化發(fā)展，打造新質(zhì)生產(chǎn)力，從而為鋼管行業(yè)數(shù)字化轉(zhuǎn)型和高質(zhì)量發(fā)展注入新的活力。隨著工業(yè)控制系統(tǒng)的數(shù)字化和網(wǎng)絡(luò)化程度提高，OT、IT的逐步融合，使得鋼管行業(yè)生產(chǎn)過程更加自動(dòng)化和智能化，但同時(shí)也使安全風(fēng)險(xiǎn)更加復(fù)雜，攻擊點(diǎn)增多、攻擊面擴(kuò)大，增加了網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。大量數(shù)據(jù)交互過程中的數(shù)據(jù)泄露風(fēng)險(xiǎn)也隨之增加，不僅涉及企業(yè)商業(yè)機(jī)密，還可能影響到整個(gè)產(chǎn)業(yè)鏈的穩(wěn)定。

某鋼管制造企業(yè)的工業(yè)控制系統(tǒng)由多個(gè)生產(chǎn)工藝流程混合而成，包括煉鐵、煉鋼、軋管等生產(chǎn)制造環(huán)節(jié)。其生產(chǎn)網(wǎng)絡(luò)架構(gòu)極為復(fù)雜，不僅多種通信方式并存，而且控制系統(tǒng)品牌繁多，新老系統(tǒng)交織在一起。這種復(fù)雜的系統(tǒng)架構(gòu)和多元化的技術(shù)集成導(dǎo)致潛在的網(wǎng)絡(luò)安全漏洞層出不窮，使得系統(tǒng)容易受到黑客的攻擊和利用，生產(chǎn)網(wǎng)絡(luò)所面臨的網(wǎng)絡(luò)安全威脅也日趨多元化和多發(fā)性。

因此，為能夠有效應(yīng)對和管理新型工業(yè)化下工業(yè)場景所面臨的安全風(fēng)險(xiǎn)，必須深化網(wǎng)絡(luò)安全與數(shù)字化建設(shè)的協(xié)同運(yùn)營，實(shí)現(xiàn)兩者緊密結(jié)合，確保該鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)穩(wěn)定可靠運(yùn)行，保障生產(chǎn)業(yè)務(wù)的連續(xù)性和安全性。

2、目標(biāo)與原則

2.1項(xiàng)目目標(biāo)

n  提升企業(yè)安全運(yùn)維能力，降低安全管理難度

目前該鋼管制造企業(yè)生產(chǎn)環(huán)境較為分散且網(wǎng)絡(luò)規(guī)模較大，在生產(chǎn)網(wǎng)絡(luò)中部署的安全防護(hù)設(shè)備數(shù)量也較多，存在安全策略更新不及時(shí)、安全管理分散及管理成本高等瓶頸。因此，需要采取技術(shù)手段對安全設(shè)備進(jìn)行集中管控，降低管理難度及人工成本。

通過借助集中管理平臺，統(tǒng)一監(jiān)控工業(yè)安全設(shè)備，對網(wǎng)絡(luò)配置、系統(tǒng)服務(wù)、安全策略、升級策略和配置備份等進(jìn)行配置，方便快捷的實(shí)現(xiàn)對大規(guī)模安全設(shè)備管理。同時(shí)免去逐一配置策略的繁瑣操作，提升安全運(yùn)維能力，降低安全管理過程中的管理難度及成本。

n  提升安全監(jiān)測預(yù)警能力，快速處置安全事件

當(dāng)前生產(chǎn)網(wǎng)絡(luò)安全形勢日益嚴(yán)峻，安全風(fēng)險(xiǎn)呈現(xiàn)多元化特征，安全隱患發(fā)現(xiàn)難度更高，出現(xiàn)安全告警時(shí)無法第一時(shí)間感知。因此，網(wǎng)絡(luò)安全監(jiān)測手段需同步進(jìn)行補(bǔ)充與提升。

通過借助安全態(tài)勢感知平臺，綜合異構(gòu)數(shù)據(jù)采集、協(xié)議深度解析、用戶畫像、大數(shù)據(jù)分析、AI等技術(shù)，采用威脅情報(bào)及安全事件關(guān)聯(lián)分析的機(jī)制，實(shí)時(shí)感知系統(tǒng)和設(shè)備的運(yùn)行狀況、風(fēng)險(xiǎn)隱患等信息，及時(shí)對潛在的網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn)進(jìn)行預(yù)警。在出現(xiàn)安全威脅時(shí)，通過協(xié)同聯(lián)動(dòng)網(wǎng)絡(luò)中各類安全設(shè)備及時(shí)進(jìn)行抑制，防止安全威脅的進(jìn)一步蔓延，為企業(yè)安全生產(chǎn)提供保障。

n  消除信息孤島，提升安全風(fēng)險(xiǎn)感知能力

目前該鋼管制造企業(yè)的廠區(qū)內(nèi)各設(shè)備和系統(tǒng)的安全數(shù)據(jù)缺乏統(tǒng)一匯聚和分析的手段，安全數(shù)據(jù)與分析結(jié)果沒有實(shí)現(xiàn)共享，存在“信息孤島”現(xiàn)象，從而引發(fā)無法對當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行評估、無法及時(shí)感知網(wǎng)絡(luò)安全現(xiàn)狀等安全風(fēng)險(xiǎn)。

借助日志收集分析等手段，對跨區(qū)域、跨產(chǎn)品的安全信息統(tǒng)一收集與處理，實(shí)現(xiàn)對全網(wǎng)各類安全事件、預(yù)警信息的統(tǒng)一預(yù)處理、匯總、整理與分析，提升安全風(fēng)險(xiǎn)感知能力。

2.2 設(shè)計(jì)原則

（1）分層分域防護(hù)原則

根據(jù)企業(yè)工業(yè)控制系統(tǒng)業(yè)務(wù)流程合理劃分網(wǎng)絡(luò)層級和安全域，以切割網(wǎng)絡(luò)風(fēng)險(xiǎn)，即任意一點(diǎn)遭受攻擊或網(wǎng)絡(luò)風(fēng)暴不會(huì)對其它生產(chǎn)過程產(chǎn)生影響，同時(shí)方便管理策略的執(zhí)行。

（2）以關(guān)鍵業(yè)務(wù)為核心的整體防控原則

企業(yè)工業(yè)控制系統(tǒng)的安全保護(hù)應(yīng)以確保關(guān)鍵業(yè)務(wù)的安全運(yùn)行為核心目標(biāo)，對業(yè)務(wù)所涵蓋的一個(gè)或多個(gè)網(wǎng)絡(luò)及信息系統(tǒng)實(shí)施系統(tǒng)化的安全設(shè)計(jì)策略，以構(gòu)建一個(gè)全面、整合的安全防護(hù)體系。

（3）協(xié)同防御原則

通過整合安全技術(shù)、安全管理和安全服務(wù)，構(gòu)建起信息共享和協(xié)同聯(lián)動(dòng)的防御體系，實(shí)現(xiàn)增強(qiáng)企業(yè)工業(yè)控制系統(tǒng)抵御大規(guī)模網(wǎng)絡(luò)攻擊的能力。

3、案例實(shí)施與應(yīng)用情況

本方案旨在針對鋼管制造企業(yè)的煉鐵、煉鋼、軋管等生產(chǎn)車間開展網(wǎng)絡(luò)安全規(guī)劃與建設(shè)。

方案在嚴(yán)格遵守《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T 22239-2019）、《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)指南》等國家的政策要求基礎(chǔ)上，采用“行為基線”分析、“白名單防護(hù)”策略及“數(shù)據(jù)變化率”監(jiān)測等先進(jìn)技術(shù)手段，并通過安全服務(wù)、安全技術(shù)與產(chǎn)品應(yīng)用以及安全管理體系構(gòu)建等手段相結(jié)合的方式，實(shí)現(xiàn)安全能力的全面整合與提升，有效提升鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)安全技術(shù)防護(hù)能力、安全管理能力以及安全運(yùn)營能力。

3.1 智能工廠信息化架構(gòu)

圖1  智能工廠信息化架構(gòu)

該鋼管制造企業(yè)參考智能工廠框架，在企業(yè)內(nèi)部實(shí)現(xiàn)了MES、ERP、SCADA等信息系統(tǒng)的應(yīng)用，將車間的各類生產(chǎn)數(shù)據(jù)進(jìn)行采集、分析與決策，實(shí)現(xiàn)了多個(gè)數(shù)字化車間的統(tǒng)一管理與協(xié)同生產(chǎn)。同時(shí)，由于信息網(wǎng)絡(luò)集成程度的不斷提高，與其他信息網(wǎng)絡(luò)的互聯(lián)程度也隨之加深。網(wǎng)絡(luò)中各種未授權(quán)的接入與操作、誤操作、違規(guī)操作、未授權(quán)的程序安裝、外部接口濫用以及新型攻擊（APT）對集團(tuán)信息系統(tǒng)安全構(gòu)成極大的威脅。

若信息系統(tǒng)不加強(qiáng)主動(dòng)防護(hù)、監(jiān)測審計(jì)、集中監(jiān)管及預(yù)警響應(yīng)等安全措施的建設(shè)，那么各類威脅將得以趁虛而入，進(jìn)而可能對生產(chǎn)業(yè)務(wù)產(chǎn)生嚴(yán)重的負(fù)面影響。因此，需圍繞企業(yè)未來發(fā)展趨勢與安全建設(shè)需求，進(jìn)行全方位的生成網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)。

3.2方案規(guī)劃

方案總體規(guī)劃架構(gòu)以資產(chǎn)為基礎(chǔ)，以事件為主線，以風(fēng)險(xiǎn)為核心，采用多層次技術(shù)措施和防護(hù)手段，對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器等進(jìn)行全方位安全監(jiān)測。同時(shí)，結(jié)合安全事件模型、業(yè)務(wù)模型、威脅情報(bào)等信息，實(shí)現(xiàn)對網(wǎng)絡(luò)威脅的及時(shí)預(yù)警和快速處置，通過一系列措施，實(shí)現(xiàn)鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)態(tài)勢實(shí)時(shí)感知、威脅持續(xù)監(jiān)測、安全協(xié)同聯(lián)動(dòng)、風(fēng)險(xiǎn)主動(dòng)預(yù)警及事件應(yīng)急處置的目標(biāo)，全面提升鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)的安全防護(hù)水平。       

圖 2  總體框架設(shè)計(jì)

態(tài)勢感知：通過實(shí)時(shí)收集全網(wǎng)網(wǎng)絡(luò)流量、系統(tǒng)日志、用戶行為等數(shù)據(jù)，并基于大數(shù)據(jù)分析及機(jī)器學(xué)習(xí)等技術(shù)，對收集的數(shù)據(jù)進(jìn)行清洗、格式轉(zhuǎn)換等預(yù)處理操作，實(shí)現(xiàn)對資產(chǎn)、脆弱性、告警、攻擊、系統(tǒng)運(yùn)行狀態(tài)實(shí)時(shí)監(jiān)測及可視化展現(xiàn)，為主動(dòng)預(yù)警和事件追溯提供數(shù)據(jù)支撐。

持續(xù)監(jiān)測：通過實(shí)時(shí)數(shù)據(jù)采集與分析、威脅監(jiān)測預(yù)警、日志與事件管理以及可視化展示等功能，實(shí)現(xiàn)對網(wǎng)絡(luò)安全狀況的持續(xù)監(jiān)測。

聯(lián)動(dòng)防護(hù)：通過匯總各類安全數(shù)據(jù)，運(yùn)用關(guān)聯(lián)分析、用戶畫像、業(yè)務(wù)安全基線、模型分析、威脅情報(bào)等手段，形成安全聯(lián)動(dòng)、動(dòng)態(tài)感知的整體安全分析能力。

主動(dòng)預(yù)警：通過實(shí)時(shí)采集與處理安全數(shù)據(jù)，結(jié)合安全模型、業(yè)務(wù)模型及威脅情報(bào)等信息，實(shí)現(xiàn)對潛在威脅的精準(zhǔn)識別與快速定位。在發(fā)現(xiàn)安全事件時(shí)觸發(fā)預(yù)警機(jī)制，實(shí)現(xiàn)安全防御的主動(dòng)性。

應(yīng)急處置：通過實(shí)時(shí)分析網(wǎng)絡(luò)流量、安全日志等數(shù)據(jù)源，快速檢測并識別潛在的安全威脅，并在安全威脅檢測后，觸發(fā)告警機(jī)制，并將告警信息發(fā)送至相關(guān)人員，進(jìn)行事件處置。

n  安全技術(shù)防護(hù)體系

基于行為基線技術(shù)路線，建立鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)中業(yè)務(wù)通信與控制過程模型，綜合數(shù)據(jù)變化率、白名單防護(hù)等技術(shù)手段，確保在通信、控制、應(yīng)用等多個(gè)層面的細(xì)粒度安全管控，避免對生產(chǎn)過程形成安全威脅。

n  安全管理體系

從安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理等層面進(jìn)行網(wǎng)絡(luò)安全各項(xiàng)工作所需遵循的基本原則和方針的明確，與安全技術(shù)防護(hù)體系、安全運(yùn)營體系、安全服務(wù)體系形成緊密耦合的安全防護(hù)機(jī)制，保障所有生產(chǎn)車間的生產(chǎn)安全和穩(wěn)定運(yùn)行。

n  安全服務(wù)體系

以安全管理手段、安全技術(shù)手段作為支持，采用風(fēng)險(xiǎn)評估、安全加固、新系統(tǒng)上線檢查等手段進(jìn)行風(fēng)險(xiǎn)識別及風(fēng)險(xiǎn)處置等，與安全管理體系、安全技術(shù)防護(hù)體系及安全運(yùn)營體系形成層次化的安全策略體系。

n  安全運(yùn)營體系

通過異構(gòu)數(shù)據(jù)采集、用戶畫像、大數(shù)據(jù)分析、AI等技術(shù)，統(tǒng)一收集和分析網(wǎng)絡(luò)流量、操作內(nèi)容、運(yùn)行日志、異常告警等信息，為鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)構(gòu)建安全監(jiān)測、日志分析、威脅預(yù)警、安全處置等綜合安全運(yùn)營能力，從全局視角實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管控和運(yùn)營分析管理。

3.3方案實(shí)施與應(yīng)用

3.3.1 安全技術(shù)防護(hù)體系設(shè)計(jì)

3.3.1.1    各生產(chǎn)車間訪問控制設(shè)計(jì)

在煉鐵車間、煉鋼車間、軋管、管加工等各車間區(qū)域邊界與生產(chǎn)核心交換機(jī)處部署工業(yè)防火墻，基于工業(yè)協(xié)議深度解析技術(shù)，可以實(shí)現(xiàn)基于訪問行為的細(xì)粒度控制。                   

圖 3  工業(yè)協(xié)議解析技術(shù)

3.3.1.2 企業(yè)生產(chǎn)網(wǎng)絡(luò)入侵行為檢測設(shè)計(jì)

在生產(chǎn)核心交換機(jī)處應(yīng)用工業(yè)入侵檢測系統(tǒng)的入侵檢測技術(shù)，對煉鐵車間、煉鋼車間、軋管、管加工等生產(chǎn)網(wǎng)絡(luò)中的數(shù)據(jù)流量進(jìn)行深度檢測、實(shí)時(shí)分析，并對網(wǎng)絡(luò)中的攻擊行為進(jìn)行監(jiān)測，動(dòng)態(tài)地發(fā)現(xiàn)來自內(nèi)部和外部網(wǎng)絡(luò)攻擊的行為，并發(fā)出報(bào)警。

圖 4  業(yè)務(wù)行為審計(jì)

3.3.1.3 企業(yè)工業(yè)主機(jī)安全管控設(shè)計(jì)

在煉鐵車間、煉鋼車間、軋管、管加工等各區(qū)域操作站、工程師站、服務(wù)器等主機(jī)終端上安裝基于“白名單”的工業(yè)主機(jī)安全防護(hù)產(chǎn)品，通過對終端運(yùn)行進(jìn)程、服務(wù)等以白名單方式進(jìn)行識別，策略范圍外進(jìn)程、服務(wù)禁用，實(shí)現(xiàn)對各車間主機(jī)終端的安全管控。

3.3.1.4 企業(yè)生產(chǎn)網(wǎng)絡(luò)操作行為安全審計(jì)設(shè)計(jì)

在煉鐵車間、煉鋼車間、軋管、管加工等各匯聚交換機(jī)處部署工業(yè)監(jiān)測審計(jì)系統(tǒng)，實(shí)現(xiàn)對工業(yè)報(bào)文內(nèi)容的深度解析，閾值的設(shè)定，以及對數(shù)據(jù)變化速度范圍的設(shè)定，以此來實(shí)現(xiàn)對下屬節(jié)點(diǎn)數(shù)據(jù)變化以及寫操作內(nèi)容的審計(jì)。

圖 5  工業(yè)流量審計(jì)

3.3.1.5 運(yùn)維人員操作行為安全設(shè)計(jì)

在運(yùn)維管理區(qū)部署工業(yè)運(yùn)維審計(jì)系統(tǒng)，通過應(yīng)用運(yùn)維安全審計(jì)手段，實(shí)現(xiàn)對運(yùn)維賬號統(tǒng)一管理，資源和權(quán)限進(jìn)行統(tǒng)一分配，對客戶從登錄到退出的全程操作行為進(jìn)行審計(jì)，加強(qiáng)遠(yuǎn)程維護(hù)的安全管理，降低人為安全風(fēng)險(xiǎn)。

3.3.1.6 企業(yè)生產(chǎn)網(wǎng)絡(luò)日志集中管理與分析設(shè)計(jì)

在運(yùn)維管理區(qū)部署工業(yè)日志收集與分析系統(tǒng)，通過應(yīng)用日志審計(jì)類手段，對鋼管制造企業(yè)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)和應(yīng)用系統(tǒng)日志進(jìn)行全面的標(biāo)準(zhǔn)化處理，基于關(guān)聯(lián)分析引擎能力，及時(shí)發(fā)現(xiàn)各種安全威脅、異常行為事件。

圖 6  工業(yè)日志收集與分析

3.3.1.7 企業(yè)生產(chǎn)網(wǎng)絡(luò)脆弱性檢測設(shè)計(jì)

在運(yùn)維管理區(qū)部署工業(yè)漏洞掃描系統(tǒng)，通過應(yīng)用工業(yè)漏洞掃描技術(shù)，對鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)進(jìn)行脆弱性分析和評估。同時(shí)還支持對生產(chǎn)網(wǎng)絡(luò)中所特有的設(shè)備/系統(tǒng)，比如SCADA、PLC等進(jìn)行已知漏洞的識別和檢測，及時(shí)發(fā)現(xiàn)安全漏洞。          

圖 7  工業(yè)漏掃資產(chǎn)掃描評估

3.3.1.8 企業(yè)生產(chǎn)網(wǎng)絡(luò)中安全設(shè)備、安全策略集中管控能力設(shè)計(jì)

在運(yùn)維管理區(qū)部署工業(yè)集中管理系統(tǒng)，通過應(yīng)用集中管理手段，實(shí)現(xiàn)對工業(yè)防火墻、工業(yè)入侵檢測系統(tǒng)、工業(yè)安全監(jiān)測審計(jì)、工業(yè)主機(jī)衛(wèi)士等安全產(chǎn)品的統(tǒng)一監(jiān)控、日志采集、安全分析、策略下發(fā)，為鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)安全運(yùn)營提供決策支持，加強(qiáng)安全事件響應(yīng)速度與安全運(yùn)維能力，提升鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)整體信息安全水平。             

圖 8  資產(chǎn)集中管理

3.3.1.9 企業(yè)辦公網(wǎng)與生產(chǎn)網(wǎng)區(qū)域邊界隔離設(shè)計(jì)

針對中心機(jī)房與辦公網(wǎng)進(jìn)行現(xiàn)場監(jiān)測數(shù)據(jù)交互過程實(shí)現(xiàn)單向隔離傳輸機(jī)制，通過在辦公網(wǎng)與生產(chǎn)區(qū)域邊界部署工業(yè)隔離與交換系統(tǒng)，對辦公網(wǎng)的邊界流量進(jìn)行單向隔離，該隔離為應(yīng)用層單向即辦公網(wǎng)對訪問控制策略允許的目標(biāo)設(shè)備進(jìn)行只讀操作，禁用對鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)的寫操作行為。

3.3.1.10整體部署實(shí)施

綜上所述，方案整體的部署實(shí)施圖見下圖。

圖 9   整體部署實(shí)施圖

3.3.2 安全管理體系設(shè)計(jì)

通過建立組織架構(gòu)管理、安全策略管理、資產(chǎn)安全管理等鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)安全管理制度，明確網(wǎng)絡(luò)安全各項(xiàng)工作所需遵循的基本原則和方針；并組建人員成立安全管理機(jī)構(gòu)，對安全管理人員定期開展網(wǎng)絡(luò)安全教育、培訓(xùn)等提高鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)安全整體管理水平。

同時(shí)，在建設(shè)和運(yùn)維方面也做出安全管理要求，制定安全運(yùn)維管理制度、安全事件處置制度等，規(guī)范鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)安全建設(shè)和運(yùn)維細(xì)則，加強(qiáng)在鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)建設(shè)和運(yùn)維環(huán)節(jié)的把控，實(shí)現(xiàn)鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)安全管理的規(guī)范化、標(biāo)準(zhǔn)化與制度化。

33.3 安全服務(wù)體系設(shè)計(jì)

3.3.3.1 風(fēng)險(xiǎn)評估服務(wù)

通過對鋼管制造企業(yè)業(yè)務(wù)系統(tǒng)關(guān)鍵資產(chǎn)所存在脆弱性及其所面臨的威脅的量化分析，最終以全面、準(zhǔn)確、量化的分析結(jié)果呈現(xiàn)其面臨的各種風(fēng)險(xiǎn)，并提供針對性的安全風(fēng)險(xiǎn)控制方法，消除安全風(fēng)險(xiǎn)，提高業(yè)務(wù)系統(tǒng)運(yùn)轉(zhuǎn)效率。

3.3.3.2 新系統(tǒng)上線檢查

通過漏洞檢測、基線核查、滲透測試方式對鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)進(jìn)行測試，找出新上線業(yè)務(wù)系統(tǒng)（網(wǎng)絡(luò)設(shè)備、主機(jī)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)）中存在的安全配置錯(cuò)誤及漏洞信息，并提供針對性的建議方案，以免新上線業(yè)務(wù)系統(tǒng)存在的安全隱患給用戶的業(yè)務(wù)和生產(chǎn)帶來危害。

3.3.3.3 安全加固服務(wù)

針對鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫及應(yīng)用中間件等軟件系統(tǒng)，通過強(qiáng)化帳號安全、修改安全配置、優(yōu)化訪問控制策略、堵塞漏洞及“后門”，合理進(jìn)行安全性加強(qiáng)，提高其健壯性和安全性，增加攻擊者入侵的難度。

3.3.3.4 滲透測試服務(wù)

通過模擬黑客的攻擊方法，采用工具+人工驗(yàn)證的方式對系統(tǒng)和網(wǎng)絡(luò)進(jìn)行非破壞性質(zhì)的攻擊性測試。該檢測方式能夠綜合驗(yàn)證系統(tǒng)技術(shù)防護(hù)手段和安全管理手段的有效性，可以發(fā)現(xiàn)邏輯性更強(qiáng)、更深層次的弱點(diǎn)，讓管理者能夠直觀的了解自己網(wǎng)絡(luò)和系統(tǒng)的安全狀態(tài)。

3.3.3.5 基線核查服務(wù)

通過對鋼管制造企業(yè)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)、系統(tǒng)及應(yīng)用等進(jìn)行基線的合規(guī)性核查，出具基線核查報(bào)告及建議；對于非標(biāo)準(zhǔn)系統(tǒng)，根據(jù)系統(tǒng)特點(diǎn)進(jìn)行人工核查，并協(xié)助客戶定制基線標(biāo)準(zhǔn)；通過全局的安全基線核查，掌握網(wǎng)絡(luò)整體安全現(xiàn)況；依據(jù)安全基線核查結(jié)果與客戶業(yè)務(wù)模式特點(diǎn)，提供有針對性的安全修補(bǔ)建議，防止安全隱患再次被利用而產(chǎn)生的安全危害。

3.3.3.6 駐場服務(wù)

通過派遣專業(yè)的安服工程師為客戶提供駐場服務(wù)，定期向客戶工作人員提交網(wǎng)絡(luò)的安全狀態(tài)報(bào)告，幫助客戶實(shí)現(xiàn)安全動(dòng)態(tài)的實(shí)時(shí)監(jiān)控，突發(fā)事件的應(yīng)急處置、針對當(dāng)前安全問題的安全建議，幫助客戶了解掌控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，保障網(wǎng)絡(luò)的安全運(yùn)行。

3.3.4 安全運(yùn)營體系設(shè)計(jì)

3.3.4.1 技術(shù)架構(gòu)

平臺整合了終端、應(yīng)用系統(tǒng)、數(shù)據(jù)流量等各類感知數(shù)據(jù)源，采用大數(shù)據(jù)分析挖掘技術(shù)，使用智能算法和安全模型，將看似毫無聯(lián)系、混亂無序的各類安全數(shù)據(jù)轉(zhuǎn)化成直觀的可視化信息，實(shí)現(xiàn)威脅發(fā)現(xiàn)、精準(zhǔn)預(yù)警和綜合安全防護(hù)。

其中數(shù)據(jù)采集層通過資產(chǎn)發(fā)現(xiàn)、脆弱性檢測、流量審計(jì)等各類探針對被監(jiān)管網(wǎng)絡(luò)的資產(chǎn)、脆弱性、流量、日志等工業(yè)安全數(shù)據(jù)進(jìn)行檢測和收集，安全數(shù)據(jù)經(jīng)過數(shù)據(jù)匯入后存儲(chǔ)到存儲(chǔ)計(jì)算引擎中，核心業(yè)務(wù)對工業(yè)安全數(shù)據(jù)進(jìn)行分析后形成安全態(tài)勢和安全風(fēng)險(xiǎn)通過集中展示層展現(xiàn)給客戶，所有工業(yè)安全風(fēng)險(xiǎn)可以通過安全處置子系統(tǒng)進(jìn)行多人協(xié)同處置。

圖 10  平臺技術(shù)架構(gòu)

3.3.4.2 安全設(shè)計(jì)

在運(yùn)維管理區(qū)部署工業(yè)互聯(lián)網(wǎng)態(tài)勢分析與安全管理系統(tǒng)，將鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)內(nèi)所有安全設(shè)備采集到的流量信息、人員操作行為、異常告警信息進(jìn)行統(tǒng)一收集和整理分析，進(jìn)而掌握整個(gè)企業(yè)生產(chǎn)網(wǎng)絡(luò)中存在的安全隱患和風(fēng)險(xiǎn)，通過對行為內(nèi)容進(jìn)行建模分析，評估當(dāng)前網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)指數(shù)和潛在的受攻擊路線信息，結(jié)合對安全告警事件的種類、次數(shù)、等級的安全態(tài)勢分析，自動(dòng)生成一套符合當(dāng)前安全需要的安全防護(hù)策略建議。基于安全防護(hù)策略，衍生出當(dāng)前的安全預(yù)警分析基線，對于明顯不符合當(dāng)前網(wǎng)絡(luò)操作行為，做到事前有效預(yù)警和事中及時(shí)防護(hù)，減少不必要的生產(chǎn)損失。

同時(shí)，系統(tǒng)可實(shí)現(xiàn)安全事件追溯功能，結(jié)合機(jī)器自學(xué)習(xí)的方式以及安全漏洞庫和攻擊特征庫等，有效識別、跟蹤分析和判斷各項(xiàng)操作行為和動(dòng)作的合規(guī)性與安全性，對于超出當(dāng)前安全基線的行為提供全程的行為審計(jì)和事件還原能力，為安全管理人員提供高效的安全事件追溯功能。

3.3.4.2.1 威脅識別與預(yù)測

通過將功能安全數(shù)據(jù)、信息安全數(shù)據(jù)與生產(chǎn)過程中的重要監(jiān)測數(shù)據(jù)相互結(jié)合，形成面向系統(tǒng)、業(yè)務(wù)、威脅等狀態(tài)的多維度關(guān)聯(lián)性安全分析，并將安全措施與工業(yè)控制過程深度融合，實(shí)現(xiàn)安全威脅的快速預(yù)測、處置及管理。         

圖 11  威脅識別與預(yù)測

3.3.4.2.2 安全事件閉環(huán)處置

通過關(guān)聯(lián)分析系統(tǒng)日志、運(yùn)行狀態(tài)、安全日志、告警信息等數(shù)據(jù)，實(shí)現(xiàn)安全事件識別，并結(jié)合業(yè)務(wù)模型、安全模型及最新的網(wǎng)絡(luò)安全威脅情報(bào)等信息，準(zhǔn)確及時(shí)地發(fā)現(xiàn)各種潛在威脅和攻擊，進(jìn)行威脅快速定位及事件取證，采取有效處置措施，最終實(shí)現(xiàn)安全處置的閉環(huán)管理。        

圖 12  安全事件閉環(huán)處置

3.3方案創(chuàng)新性

n  面向生產(chǎn)網(wǎng)絡(luò)漏洞利用攻擊的輕量級靶向性虛擬補(bǔ)丁

通過構(gòu)建控制系統(tǒng)檢測引擎，并結(jié)合規(guī)則庫分級分類、漏洞規(guī)則庫新增等技術(shù)手段實(shí)現(xiàn)在網(wǎng)絡(luò)層面對于漏洞的加固，同時(shí)采用靶向性的技術(shù)手段避免了高延時(shí)、誤報(bào)的問題形成對鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)已知漏洞的安全閉環(huán)。

n  基于數(shù)據(jù)變化率檢測的控制領(lǐng)域信息安全行為識別方法

通過對鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)中流量的數(shù)據(jù)報(bào)文進(jìn)行完整性還原,識別報(bào)文中的控制指令依據(jù)業(yè)務(wù)的通信行為與指令進(jìn)行關(guān)聯(lián)分析，并建立業(yè)務(wù)的控制行為基線，通過行為基線構(gòu)建深度分析體系，同時(shí)與態(tài)勢感知安全信息進(jìn)行匹配分析，識別異常控制行為。

n  采用基于數(shù)據(jù)字典的行為內(nèi)容識別技術(shù)

在對工業(yè)協(xié)議、工業(yè)通信原理的分析基礎(chǔ)之上，在其中加入通信主從站間數(shù)據(jù)字典能力，將報(bào)文監(jiān)測的信息與物理數(shù)據(jù)信息進(jìn)行關(guān)聯(lián)，進(jìn)而實(shí)現(xiàn)對數(shù)據(jù)處理權(quán)限的控制，解決了僅通過對通信報(bào)文監(jiān)測，無法獲取數(shù)據(jù)信息的難題。

n  雙安融合應(yīng)用

方案創(chuàng)新性將信息安全與功能安全相互融合，將功能安全產(chǎn)生的信息作為數(shù)據(jù)支撐，利用信息安全中的技術(shù)優(yōu)化功能安全的過程通信傳輸過程，將分析處置對象從寄存器轉(zhuǎn)變?yōu)槲锢碜兞浚跇?gòu)建通信傳輸信息安全能力的同時(shí)保障通信業(yè)務(wù)功能的安全可靠。同時(shí)將安全管理技術(shù)與運(yùn)營分析技術(shù)進(jìn)行融合，通過功能安全數(shù)據(jù)、信息安全數(shù)據(jù)與生產(chǎn)過程中的重要監(jiān)測數(shù)據(jù)相互結(jié)合，擴(kuò)大分析所采用的數(shù)據(jù)范圍，構(gòu)建工業(yè)流程模型，進(jìn)行基于模型的檢測，判定安全運(yùn)營狀態(tài)，保障企業(yè)安全運(yùn)營。

3.4 存在的網(wǎng)絡(luò)安全問題及解決思路

ü  兩化融合致生產(chǎn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)劇增

通過在生產(chǎn)網(wǎng)絡(luò)邊界采取邊界隔離措施，明確網(wǎng)絡(luò)邊界，配置不同安全域間訪問控制策略，對非授權(quán)或越權(quán)跨越邊界行為阻斷報(bào)警，解決網(wǎng)絡(luò)安全風(fēng)險(xiǎn)蔓延的隱患。

ü  工業(yè)主機(jī)惡意程序影響業(yè)務(wù)正常進(jìn)行

操作員站、服務(wù)器等主機(jī)部署“白名單”安全防護(hù)軟件，通過白名單防護(hù)、外設(shè)管理、基線加固等措施，提升工業(yè)主機(jī)安全防護(hù)能力。

ü  網(wǎng)絡(luò)攻擊行為易造成業(yè)務(wù)中斷

在生產(chǎn)網(wǎng)絡(luò)邊界采取入侵檢測措施，發(fā)現(xiàn)控制網(wǎng)絡(luò)入侵攻擊、異常流量等安全威脅，對外來威脅及時(shí)告警，以便立即采取技術(shù)措施，防止業(yè)務(wù)中斷。

ü  操作行為不規(guī)范易導(dǎo)致生產(chǎn)業(yè)務(wù)停滯

應(yīng)用工業(yè)安全監(jiān)測審計(jì)手段，針對區(qū)域內(nèi)操作站、PLC異常通信、違規(guī)操作、協(xié)議規(guī)約異常以及關(guān)鍵事件等告警、記錄。

ü  安全漏洞致網(wǎng)絡(luò)攻擊行為發(fā)生

應(yīng)用脆弱性檢測技術(shù)，定期開展針對生產(chǎn)網(wǎng)絡(luò)非運(yùn)行狀態(tài)及未上線前主機(jī)、應(yīng)用及控制器脆弱性掃描，實(shí)現(xiàn)對生產(chǎn)網(wǎng)絡(luò)及系統(tǒng)脆弱性識別。

ü  缺乏統(tǒng)一安全運(yùn)營操作平臺導(dǎo)致安全運(yùn)維效率低下

應(yīng)用集中管控技術(shù)，對工業(yè)防火墻、工業(yè)入侵等安全設(shè)備進(jìn)行統(tǒng)一策略下發(fā)，提高整體安全運(yùn)維效率。

ü  安全盲區(qū)易導(dǎo)致攻擊行為趁虛而入

搭建工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺，從全局視角實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管控和運(yùn)營分析管理，解決安全盲區(qū)問題。

4、應(yīng)用價(jià)值與效益

n  減少網(wǎng)絡(luò)安全問題導(dǎo)致企業(yè)停工停產(chǎn)帶來的經(jīng)濟(jì)損失

通過建立工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺，可實(shí)時(shí)監(jiān)測鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)的安全風(fēng)險(xiǎn)和脆弱性，對發(fā)現(xiàn)的重大威脅提前進(jìn)行安全風(fēng)險(xiǎn)預(yù)警，有效提升鋼管制造企業(yè)應(yīng)對網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)的能力，減少因?yàn)榫W(wǎng)絡(luò)安全問題導(dǎo)致企業(yè)停工停產(chǎn)帶來的經(jīng)濟(jì)損失，保證生產(chǎn)業(yè)務(wù)的連續(xù)性、安全性。

n  提升對安全事件的處置效率

通過建立工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺，幫助客戶打破安全數(shù)據(jù)交互壁壘，統(tǒng)籌安全能力，形成以漏洞管理、基線管理、事件管理、風(fēng)險(xiǎn)管理等多方面的安全合力，通過分析處理海量安全數(shù)據(jù)，挖掘數(shù)據(jù)真正價(jià)值，使得客戶網(wǎng)絡(luò)安全事件處置效率提升98%。

n  動(dòng)態(tài)進(jìn)行安全防御，提升安全事件響應(yīng)速度

通過聯(lián)動(dòng)網(wǎng)內(nèi)各類安全設(shè)備，可以對發(fā)現(xiàn)的安全問題快速定位，并制定有效的安全防御手段，利用系統(tǒng)的安全策略集中管理能力，可以動(dòng)態(tài)調(diào)整設(shè)備安全策略，快速封堵安全漏洞，及時(shí)處置安全事件，最大程度的降低事件影響范圍。