国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

★北京六方云信息技術(shù)有限公司

1 項(xiàng)目概況

1.1 項(xiàng)目背景

精細(xì)化工是當(dāng)今化學(xué)工業(yè)中最具活力的新興領(lǐng)域之一，是新材料的重要組成部分。精細(xì)化工產(chǎn)品種類多、附加值高、用途廣、產(chǎn)業(yè)關(guān)聯(lián)度大，直接服務(wù)于國(guó)民經(jīng)濟(jì)的諸多行業(yè)和高新技術(shù)產(chǎn)業(yè)的各個(gè)領(lǐng)域。大力發(fā)展精細(xì)化工已成為世界各國(guó)調(diào)整化學(xué)工業(yè)結(jié)構(gòu)、提升化學(xué)工業(yè)產(chǎn)業(yè)能級(jí)和擴(kuò)大經(jīng)濟(jì)效益的戰(zhàn)略重點(diǎn)。在精細(xì)化工行業(yè)，存在原料復(fù)雜、工藝流程長(zhǎng)、單元反應(yīng)多、反應(yīng)風(fēng)險(xiǎn)高和生產(chǎn)過(guò)程控制要求嚴(yán)格的問題，且近年精細(xì)化工行業(yè)安全生產(chǎn)事故頻發(fā)，這就要求我們必須保證精細(xì)化工行業(yè)工控系統(tǒng)的安全運(yùn)行。本方案通過(guò)對(duì)精細(xì)化工行業(yè)工控系統(tǒng)存在的問題進(jìn)行分析，提出工控系統(tǒng)安全運(yùn)行的改進(jìn)建議，從而保證工控系統(tǒng)在精細(xì)化工行業(yè)中的安全應(yīng)用。在現(xiàn)代信息化發(fā)展的背景下，由于信息和網(wǎng)絡(luò)的開放性，導(dǎo)致化工企業(yè)的網(wǎng)絡(luò)安全建設(shè)也受到了一定的挑戰(zhàn)。因此，建立安全可靠的網(wǎng)絡(luò)安全保障體系，才能保障信息化的順利實(shí)施和企業(yè)生產(chǎn)系統(tǒng)的正常運(yùn)轉(zhuǎn)。

1.2 項(xiàng)目簡(jiǎn)介

某化工集團(tuán)始建于1988年，經(jīng)過(guò)三十年發(fā)展，已成為集石油化工、新能源材料、半導(dǎo)體化學(xué)、營(yíng)養(yǎng)與消費(fèi)化學(xué)及醫(yī)藥為一體的綜合性化工企業(yè)集團(tuán)，是市重點(diǎn)調(diào)度三十強(qiáng)企業(yè)之一和《省化工產(chǎn)業(yè)振興規(guī)劃》中的重點(diǎn)培植骨干企業(yè)。集團(tuán)現(xiàn)擁有300萬(wàn)噸/年常減壓裝置、200萬(wàn)噸/年焦化加氫裝置、140萬(wàn)噸/年加氫裝置、80萬(wàn)噸/年催化裝置、50萬(wàn)噸/年輕質(zhì)油改質(zhì)裝置、2.5萬(wàn)噸/年硫磺裝置、12萬(wàn)噸/年離子膜燒堿裝置、4.5萬(wàn)噸/年碳酸二甲酯裝置、3萬(wàn)噸/年異丙醇裝置、10萬(wàn)噸/年氣分裝置、6千公斤/年肝素鈉裝置和2千公斤/年依諾等20多套生產(chǎn)裝置，年綜合加工能力達(dá)到770萬(wàn)噸。經(jīng)營(yíng)產(chǎn)品包括柴油、汽油、液化石油氣、液體燒堿、固片堿、液氯、高純鹽酸、異丙醇、碳酸二甲酯、醫(yī)藥級(jí)丙二醇、工業(yè)級(jí)丙二醇、精品肝素鈉、粗品肝素鈉、注射級(jí)肝素鈉、低分子肝素等涉及四大產(chǎn)業(yè)領(lǐng)域的三十多種產(chǎn)品，產(chǎn)品遠(yuǎn)銷美國(guó)、德國(guó)、荷蘭、意大利、阿根廷、印度等四十多個(gè)國(guó)家和地區(qū)。

當(dāng)前，隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是產(chǎn)業(yè)互聯(lián)網(wǎng)的快速發(fā)展，在“兩化”融合的行業(yè)發(fā)展需求下，網(wǎng)絡(luò)安全備受矚目，網(wǎng)絡(luò)安全建設(shè)與運(yùn)營(yíng)已經(jīng)成為各行業(yè)信息化建設(shè)過(guò)程中不可忽視的建設(shè)內(nèi)容。為了提高生產(chǎn)運(yùn)行和生產(chǎn)管理效率，化工企業(yè)大力推進(jìn)工業(yè)控制系統(tǒng)集成化和集中化管理，系統(tǒng)的互聯(lián)互通性逐步加強(qiáng)，與辦公網(wǎng)、互聯(lián)網(wǎng)也存在千絲萬(wàn)縷的聯(lián)系。但是工業(yè)控制系統(tǒng)建設(shè)時(shí)更多的是考慮各自系統(tǒng)的可用性，并沒有考慮系統(tǒng)之間互聯(lián)互通的安全風(fēng)險(xiǎn)和防護(hù)建設(shè)。在化工企業(yè)工業(yè)控制系統(tǒng)組網(wǎng)應(yīng)用環(huán)境下構(gòu)建工控安全防護(hù)體系、構(gòu)建全網(wǎng)工控安全動(dòng)態(tài)管理能力，已經(jīng)得到行業(yè)主管單位和公司領(lǐng)導(dǎo)的高度重視，網(wǎng)絡(luò)安全體系化建設(shè)已經(jīng)成為當(dāng)前重要的建設(shè)任務(wù)。通過(guò)完善集團(tuán)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)體系，從而滿足等保的要求，保證生產(chǎn)的穩(wěn)定運(yùn)行。

1.3 項(xiàng)目目標(biāo)

1.3.1 安全風(fēng)險(xiǎn)與現(xiàn)狀分析

目前，實(shí)時(shí)數(shù)據(jù)庫(kù)系統(tǒng)在化工企業(yè)生產(chǎn)經(jīng)營(yíng)管理中得到越來(lái)越廣泛的應(yīng)用，通用通信協(xié)議和操作系統(tǒng)覆蓋了所有的工業(yè)控制系統(tǒng)。根據(jù)業(yè)務(wù)功能的不同，化工行業(yè)工控系統(tǒng)網(wǎng)絡(luò)一般分為三部分：控制層、數(shù)采層和管理信息層，如圖1所示。

圖1 化工行業(yè)工控系統(tǒng)網(wǎng)絡(luò)

化工企業(yè)工控系統(tǒng)目前存在的安全問題主要有：

（1）網(wǎng)絡(luò)節(jié)點(diǎn)間無(wú)有效隔離：OPC數(shù)據(jù)采集站連接處和操作員站之間的連接處無(wú)訪問控制措施和入侵防范措施，一旦某個(gè)節(jié)點(diǎn)出現(xiàn)問題，會(huì)迅速蔓延至整個(gè)網(wǎng)絡(luò)。

（2）OPC通信協(xié)議漏洞無(wú)有效防護(hù)：OPC協(xié)議通信采用的是DCOM技術(shù)，其通信端口在1024～65535內(nèi)不固定，導(dǎo)致使用傳統(tǒng)基于端口或IP地址的常規(guī)IT類防火墻在這個(gè)層面難以有效隔離和防護(hù)，且無(wú)法滿足最小授權(quán)防護(hù)原則。OPC通訊協(xié)議的工業(yè)控制系統(tǒng)安全性和可靠性成為一個(gè)安全技術(shù)難題。

（3）DCS系統(tǒng)OPS主機(jī)及服務(wù)器自身免疫力不足：OPS主機(jī)及服務(wù)器操作系統(tǒng)大多采用Windows操作系統(tǒng)，一般不允許安裝操作系統(tǒng)的安全補(bǔ)丁和防病毒軟件。這些先天限制，使得主機(jī)及服務(wù)器操作系統(tǒng)存在很多已知或未知的漏洞無(wú)法解決，一旦發(fā)生針對(duì)性的網(wǎng)絡(luò)攻擊或病毒感染就會(huì)造成無(wú)法想象的后果。即便安裝殺毒軟件也僅能對(duì)部分病毒或攻擊有所抑制，而且病毒庫(kù)存在滯后性，也不能從根本上進(jìn)行防護(hù)。

1.3.2 建設(shè)目標(biāo)

分析精細(xì)化工產(chǎn)業(yè)互聯(lián)網(wǎng)的實(shí)際安全需求，結(jié)合其化工控制系統(tǒng)業(yè)務(wù)的實(shí)際特性，建立符合系統(tǒng)實(shí)際安全需求的網(wǎng)絡(luò)安全保障體系框架，設(shè)計(jì)安全保障體系方案，綜合提升系統(tǒng)的安全保障能力和防護(hù)水平，確保系統(tǒng)的安全穩(wěn)定運(yùn)行，提升化工企業(yè)工控網(wǎng)絡(luò)監(jiān)測(cè)預(yù)警與應(yīng)急處置能力，一旦出現(xiàn)安全事件能夠及時(shí)發(fā)現(xiàn)、快速處置、力?；謴?fù)，保障企業(yè)安全穩(wěn)定生產(chǎn)。項(xiàng)目建設(shè)主要從工業(yè)設(shè)備安全防護(hù)、工業(yè)控制安全防護(hù)、工業(yè)網(wǎng)絡(luò)安全防護(hù)、工業(yè)數(shù)據(jù)安全防護(hù)、工業(yè)APP應(yīng)用安全防護(hù)等角度進(jìn)行安全防護(hù)設(shè)計(jì)和建設(shè)。針對(duì)工控系統(tǒng)內(nèi)部網(wǎng)絡(luò)流量和協(xié)議的安全審計(jì)層面進(jìn)行數(shù)據(jù)安全防護(hù)，建成一套基于人工智能技術(shù)的精細(xì)化工產(chǎn)業(yè)互聯(lián)網(wǎng)安全防護(hù)系統(tǒng)。

（1）構(gòu)建精細(xì)化工企業(yè)DCS裝置系統(tǒng)安全邊界，從工業(yè)網(wǎng)絡(luò)架構(gòu)視角切實(shí)保障工業(yè)設(shè)備安全與工業(yè)控制安全。

（2）建立工業(yè)審計(jì)與入侵檢測(cè)機(jī)制，采用AI行為分析技術(shù)，構(gòu)建清晰的資產(chǎn)互訪拓?fù)洹?/p>

（3）利用“白名單+”技術(shù)，打造精細(xì)化工行業(yè)安全計(jì)算白環(huán)境，保障DCS系統(tǒng)上位機(jī)、OPC服務(wù)器等主機(jī)的安全。

（4）構(gòu)建面向精細(xì)化工行業(yè)的工業(yè)XDR擴(kuò)展威脅檢測(cè)平臺(tái)，全面提升攻擊檢測(cè)能力，通過(guò)人工智能技術(shù)進(jìn)行自動(dòng)化檢測(cè)，實(shí)現(xiàn)安全事件響應(yīng)處置的高效自動(dòng)，提升運(yùn)營(yíng)效率。

（5）搭建安全態(tài)勢(shì)監(jiān)測(cè)預(yù)警與信息通報(bào)平臺(tái)，實(shí)現(xiàn)安全監(jiān)測(cè)預(yù)警、信息通報(bào)、應(yīng)急處置手段和提高威脅信息的共享；實(shí)現(xiàn)工業(yè)設(shè)備資產(chǎn)感知、工業(yè)漏洞感知、工業(yè)配置感知、工業(yè)協(xié)議識(shí)別和分析、工業(yè)連接和網(wǎng)絡(luò)行為感知、工業(yè)僵木蠕檢測(cè)、工業(yè)攻擊鏈的監(jiān)測(cè)和分析等安全態(tài)勢(shì)感知功能。通過(guò)人-機(jī)智能融合，全面提升精細(xì)化工產(chǎn)業(yè)互聯(lián)網(wǎng)安全運(yùn)營(yíng)能力的自動(dòng)化水平，提升威脅檢測(cè)、風(fēng)險(xiǎn)評(píng)估、自動(dòng)化響應(yīng)等關(guān)鍵運(yùn)營(yíng)環(huán)節(jié)的處理效率，形成安全閉環(huán)，進(jìn)而實(shí)現(xiàn)工業(yè)控制網(wǎng)絡(luò)和工業(yè)互聯(lián)網(wǎng)絡(luò)安全威脅的可視、可控、可管。

2 項(xiàng)目實(shí)施

2.1 方案設(shè)計(jì)框架

借助以可信計(jì)算、人工智能、大數(shù)據(jù)分析和密碼四大技術(shù)為支撐的防控措施；為精細(xì)化工企業(yè)實(shí)現(xiàn)動(dòng)態(tài)防御、主動(dòng)防御、縱深防御、精準(zhǔn)防護(hù)和整體防控的安全能力；通過(guò)聯(lián)防聯(lián)控，實(shí)現(xiàn)“打防管控”一體化網(wǎng)絡(luò)安全綜合防控體系。方案設(shè)計(jì)框架如圖2所示。

圖2 方案設(shè)計(jì)框架

2.2 精細(xì)化工行業(yè)工控系統(tǒng)安全解決方案

精細(xì)化工行業(yè)工控系統(tǒng)安全解決方案如圖3所示。

圖3 精細(xì)化工行業(yè)工控系統(tǒng)安全解決方案

（1）OPC服務(wù)器邊界隔離及協(xié)議控制：部署OT

與IT融合工業(yè)防火墻，強(qiáng)大的工業(yè)漏洞攻擊行為特征庫(kù)，有效防御病毒攻擊；內(nèi)置工業(yè)通訊協(xié)議深度解析引擎，支持多種工業(yè)協(xié)議識(shí)別及管控，能夠針對(duì)OPC的動(dòng)態(tài)端口、OPC讀寫控制、停止連接、OPC操作接口和操作碼等指令的控制與防護(hù)。

（2）工控系統(tǒng)安全運(yùn)營(yíng)管理中心：構(gòu)建基于人

工智能的全流量威脅檢測(cè)與回溯系統(tǒng)，借助人工智能和自動(dòng)化編排等技術(shù)，打造一套“事前有防范、事中有應(yīng)對(duì)、事后有追溯”主動(dòng)防御的智能化運(yùn)營(yíng)管理中心，實(shí)現(xiàn)全網(wǎng)的網(wǎng)絡(luò)安全狀態(tài)快速預(yù)警；面向人、技術(shù)、流程的集成與融合，提升安全防御資源的全局性與協(xié)同性，提升安全運(yùn)營(yíng)能力的自動(dòng)化水平，降低威脅分析與響應(yīng)的周期。

（3）DCS系統(tǒng)OPS主機(jī)及服務(wù)器安全防護(hù)：

部署基于“白名單+”技術(shù)的輕量級(jí)工業(yè)主機(jī)安全衛(wèi)士，對(duì)主機(jī)進(jìn)行安全加固，防止操作系統(tǒng)被惡意程序破壞；具有強(qiáng)大的防病毒、防勒索、防蠕蟲和防挖礦功能，有效保障勒索病毒的入侵；采用協(xié)議腳本探測(cè)的方式監(jiān)測(cè)主機(jī)與組態(tài)的通信關(guān)系，自動(dòng)發(fā)現(xiàn)上位機(jī)相關(guān)聯(lián)組態(tài)并生成組態(tài)列表，可在管理平臺(tái)中進(jìn)行拓?fù)涑尸F(xiàn)。同時(shí)，工業(yè)主機(jī)安全衛(wèi)士會(huì)對(duì)系統(tǒng)配置、啟動(dòng)項(xiàng)、系統(tǒng)日志、軟硬件等靜態(tài)數(shù)據(jù)和系統(tǒng)運(yùn)行的賬號(hào)登錄日志、驅(qū)動(dòng)變更信息、進(jìn)程信息、網(wǎng)絡(luò)連接、文件讀寫、注冊(cè)表讀寫、powerShell&cmd命令、DNS請(qǐng)求、端口監(jiān)聽等數(shù)據(jù)進(jìn)行全面采集，通過(guò)SSL協(xié)議或者HTTPS協(xié)議把采集到的數(shù)據(jù)上送到全流量威脅檢測(cè)與回溯系統(tǒng)。由該系統(tǒng)進(jìn)行人工智能建模與大數(shù)據(jù)全面分析，發(fā)現(xiàn)可疑進(jìn)程及病毒腳本，聯(lián)動(dòng)工業(yè)主機(jī)衛(wèi)士進(jìn)行攔截處理，結(jié)合衛(wèi)士管理平臺(tái)的白名單“灰過(guò)白”技術(shù)，對(duì)白名單策略進(jìn)行優(yōu)化，確保白名單策略的可信性。

（4）OPC服務(wù)器雙網(wǎng)卡場(chǎng)景下主機(jī)防護(hù)運(yùn)維：

面對(duì)雙網(wǎng)卡架構(gòu)，DCS系統(tǒng)主機(jī)防護(hù)軟件無(wú)法集中管理與運(yùn)維的情況，創(chuàng)新性研發(fā)多級(jí)管理平臺(tái)集群部署，實(shí)現(xiàn)跨區(qū)域集中管控，主機(jī)防護(hù)軟件與管理平臺(tái)以加密的通信方式保證通信過(guò)程的保密性；針對(duì)DCS系統(tǒng)裝置IP地址相同的情況，平臺(tái)通過(guò)主機(jī)防護(hù)軟件的設(shè)備ID進(jìn)行識(shí)別并加以區(qū)分；同時(shí)平臺(tái)具備智能灰過(guò)白技術(shù)將初次建立的程序名單中異常進(jìn)程和文件進(jìn)行剔除最終生成資產(chǎn)可信白名單，并批量下發(fā)到主機(jī)防護(hù)軟件的防護(hù)策略中。

（5）工業(yè)安全態(tài)勢(shì)監(jiān)測(cè)與運(yùn)營(yíng)平臺(tái)：平臺(tái)依托

海量工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)、本地流量數(shù)據(jù)、日志告警數(shù)據(jù)及其它第三方數(shù)據(jù)，面向服務(wù)架構(gòu)（SOA）服務(wù)組件架構(gòu)（SCA）進(jìn)行標(biāo)準(zhǔn)化體系接口的設(shè)計(jì)。運(yùn)用大數(shù)據(jù)、數(shù)據(jù)融合等新技術(shù)手段，通過(guò)人工智能技術(shù)構(gòu)建資產(chǎn)行為基線和威脅發(fā)現(xiàn)模型，提前感知業(yè)務(wù)系統(tǒng)被攻擊和試探的可能性，實(shí)時(shí)監(jiān)測(cè)系統(tǒng)被訪問的來(lái)源位置、方式、內(nèi)容等信息，結(jié)合安全日志和安全知識(shí)關(guān)聯(lián)分析，確認(rèn)是否為正常訪問或黑客攻擊，實(shí)現(xiàn)威脅的提前感知和預(yù)警，做到告警準(zhǔn)確。精細(xì)化工產(chǎn)業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)檢測(cè)與運(yùn)營(yíng)平臺(tái)采用集團(tuán)側(cè)、廠站側(cè)兩層架構(gòu)，其中集團(tuán)側(cè)面向工業(yè)互聯(lián)網(wǎng)全景態(tài)勢(shì)展現(xiàn)和安全合規(guī)監(jiān)管，提供整體公共運(yùn)營(yíng)服務(wù)能力；廠站側(cè)構(gòu)建威脅發(fā)現(xiàn)和安全運(yùn)營(yíng)能力，可對(duì)工業(yè)互聯(lián)網(wǎng)全景網(wǎng)絡(luò)安全及國(guó)際敵對(duì)勢(shì)力、黑客組織等不法分子的攻擊活動(dòng)、攻擊手段和攻擊目的進(jìn)行發(fā)現(xiàn)和識(shí)別，并通過(guò)對(duì)攻擊過(guò)程的取證報(bào)文進(jìn)行多維度深入分析，精準(zhǔn)地識(shí)別出黑客的攻擊手段和攻擊路徑，為通報(bào)處置及偵查調(diào)查提供強(qiáng)有力的數(shù)據(jù)支撐；實(shí)現(xiàn)全網(wǎng)安全態(tài)勢(shì)的監(jiān)測(cè)、評(píng)估、預(yù)警、可視和集中響應(yīng)，協(xié)助組織構(gòu)建自適應(yīng)網(wǎng)絡(luò)安全保障體系；實(shí)時(shí)發(fā)現(xiàn)企業(yè)內(nèi)部潛伏威脅和外部網(wǎng)絡(luò)入侵威脅，通過(guò)聯(lián)動(dòng)網(wǎng)絡(luò)控制器、安全控制器等設(shè)備及時(shí)阻斷隔離威脅，避免引起進(jìn)一步威脅擴(kuò)散，有效提升對(duì)自身網(wǎng)絡(luò)的安全態(tài)勢(shì)監(jiān)測(cè)、未知威脅感知、事件應(yīng)急處置和攻擊追蹤溯源能力，幫助用戶高效地掌握本單位整體安全態(tài)勢(shì)。工業(yè)安全態(tài)勢(shì)監(jiān)測(cè)與運(yùn)營(yíng)平臺(tái)采用安全大數(shù)據(jù)的采集與人工智能分析技術(shù)，面向安全運(yùn)營(yíng)風(fēng)險(xiǎn)管控的核心指標(biāo)與關(guān)鍵環(huán)節(jié)，基于行為、環(huán)境、情報(bào)、知識(shí)等多維、多源數(shù)據(jù)，通過(guò)人-機(jī)智能融合，全面提升安全運(yùn)營(yíng)能力的自動(dòng)化水平，提升威脅檢測(cè)、風(fēng)險(xiǎn)評(píng)估、自動(dòng)化響應(yīng)等關(guān)鍵運(yùn)營(yíng)環(huán)節(jié)的處理效率，大幅減少對(duì)專家經(jīng)驗(yàn)的過(guò)度依賴，有效降低工業(yè)企業(yè)、集團(tuán)乃至國(guó)家級(jí)關(guān)鍵信息基礎(chǔ)設(shè)施和數(shù)據(jù)資產(chǎn)的整體安全風(fēng)險(xiǎn)，助力精細(xì)化工行業(yè)產(chǎn)業(yè)互聯(lián)網(wǎng)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全運(yùn)營(yíng)技術(shù)升級(jí)。

3 案例亮點(diǎn)及創(chuàng)新性

（1）風(fēng)險(xiǎn)攻擊簡(jiǎn)單易懂

以資產(chǎn)為中心，通過(guò)資產(chǎn)學(xué)習(xí)引擎能夠識(shí)別資產(chǎn)的行為和攻擊，實(shí)現(xiàn)資產(chǎn)、行為和攻擊的一體化展示，從而實(shí)現(xiàn)資產(chǎn)從解析到解讀，讓運(yùn)維人員能夠看得懂。

（2）運(yùn)維管理方便快捷

多級(jí)管理平臺(tái)集群部署，打破精細(xì)化工行業(yè)雙網(wǎng)卡架構(gòu)下DCS系統(tǒng)主機(jī)維護(hù)難、安全管控難的格局。

（3）運(yùn)營(yíng)能力顯著提升

以安全運(yùn)營(yíng)目標(biāo)為導(dǎo)向，以人、流程、技術(shù)與數(shù)據(jù)的融合為基礎(chǔ)，面向預(yù)防、檢測(cè)、響應(yīng)、預(yù)測(cè)、恢復(fù)等網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管控和攻防對(duì)抗的關(guān)鍵環(huán)節(jié)，全面提升安全運(yùn)營(yíng)能力。

《自動(dòng)化博覽》2023年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊（第九輯）》