国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

★ 北京神州綠盟科技有限公司

1 項(xiàng)目概況

1.1 項(xiàng)目背景

為深化落實(shí)國家局轉(zhuǎn)發(fā)的通知中（國煙辦綜〔2016〕257號(hào)）進(jìn)一步加強(qiáng)行業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理及要求，《國家煙草專賣局辦公室關(guān)于卷煙工業(yè)企業(yè)信息化建設(shè)的指導(dǎo)意見》，以及“工業(yè)互聯(lián)網(wǎng)+安全生產(chǎn)”行動(dòng)計(jì)劃，烏魯木齊市煙草局以煙草物流場景為試點(diǎn)，展開工業(yè)安全建設(shè)工作。首先以分級(jí)分域、全面建設(shè)、動(dòng)態(tài)調(diào)整、綜合防范為原則打造烏魯木齊煙草局工業(yè)安全態(tài)勢感知平臺(tái)，并最終建成全場景、可信任、實(shí)戰(zhàn)化的安全保障體系。

1.2 項(xiàng)目目標(biāo)

本項(xiàng)目選用物流安全場景為試點(diǎn)，通過本次安全建設(shè)，將依據(jù)煙草行業(yè)網(wǎng)絡(luò)安全總體策略“分級(jí)分域、整體保護(hù)、積極預(yù)防、動(dòng)態(tài)管理”，建立適合烏魯木齊市煙草局自身的信息安全保障體系模型和框架，并建立烏魯木齊市煙草局信息安全策略體系，明確信息安全各項(xiàng)工作所需遵循的基本原則和方針，為后續(xù)煙草行業(yè)工業(yè)安全態(tài)勢感知建設(shè)的復(fù)制和推廣提供依據(jù)。

（1）分級(jí)分域：根據(jù)信息系統(tǒng)運(yùn)行安全需求、數(shù)據(jù)和信息內(nèi)容安全需求，以及應(yīng)用范圍，確定信息系統(tǒng)的安全保護(hù)等級(jí)，劃分信息系統(tǒng)運(yùn)行環(huán)境的安全域，針對不同安全域制定相應(yīng)的分項(xiàng)安全策略，實(shí)行等級(jí)保護(hù)。

（2）整體保護(hù)：按照相互關(guān)聯(lián)、相互均衡的原則，在網(wǎng)絡(luò)以及信息系統(tǒng)運(yùn)行應(yīng)用的各環(huán)節(jié)，全面部署防攻擊、防病毒、防篡改、防癱瘓、防竊密等技術(shù)安全設(shè)施，并按照組件化、平臺(tái)化、集成化技術(shù)路線進(jìn)行整合，實(shí)現(xiàn)協(xié)同防御。

（3）積極預(yù)防：加強(qiáng)對重要信息技術(shù)產(chǎn)品的漏洞和后門程序檢查，定期開展風(fēng)險(xiǎn)評(píng)估工作；堅(jiān)持安全保障和運(yùn)維保障一體化建設(shè)與管理，運(yùn)用信息化監(jiān)控手段，全面感知安全狀態(tài)，提高安全事件預(yù)警化能力，增強(qiáng)應(yīng)急處置能力。

（4）動(dòng)態(tài)管理：緊密跟蹤行業(yè)信息化發(fā)展變化情況與網(wǎng)絡(luò)安全攻防技術(shù)的發(fā)展?fàn)顩r，適時(shí)調(diào)整、完善和創(chuàng)新安全管理方法，持續(xù)提升、改進(jìn)和強(qiáng)化技術(shù)防護(hù)手段，保證行業(yè)網(wǎng)絡(luò)安全水平與行業(yè)信息化發(fā)展水平相適應(yīng)。

2 項(xiàng)目實(shí)施

針對工業(yè)控制網(wǎng)絡(luò)安全現(xiàn)狀，建議通過工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估和安全產(chǎn)品部署相結(jié)合，通過專業(yè)的工控安全監(jiān)測產(chǎn)品，使工業(yè)控制系統(tǒng)安全防護(hù)能力顯著提升，進(jìn)而逐步實(shí)現(xiàn)安全技術(shù)能力、安全管理能力的全面提升，實(shí)現(xiàn)管、控、防一體化。具體功能如下：

2.1 全流量學(xué)習(xí)

工業(yè)網(wǎng)絡(luò)中設(shè)備眾多，網(wǎng)絡(luò)通信復(fù)雜，用戶很難全面掌握網(wǎng)絡(luò)中所必須的業(yè)務(wù)通信需求，這給安全設(shè)備的規(guī)則配置帶來很大的困難。為了方便用戶進(jìn)行異常行為檢測規(guī)則的配置，提高規(guī)則配置的準(zhǔn)確性，減少規(guī)則配置的工作量，工控安全審計(jì)系統(tǒng)檢測采用全流量學(xué)習(xí)。如圖1所示，該功能采用被動(dòng)檢測的方式從網(wǎng)絡(luò)中采集數(shù)據(jù)包，并進(jìn)行數(shù)據(jù)包的解析，智能地與系統(tǒng)內(nèi)置的協(xié)議特征、設(shè)備對象等進(jìn)行匹配，生成可供參考的網(wǎng)絡(luò)交互信息列表，幫助用戶以最便捷的方式了解和掌握網(wǎng)絡(luò)中的業(yè)務(wù)通信狀態(tài)，發(fā)現(xiàn)網(wǎng)絡(luò)潛在的安全風(fēng)險(xiǎn)。

圖1 全流量學(xué)習(xí)

2.2 工控協(xié)議深度解析

基于對工控環(huán)境的理解，本項(xiàng)目針對工控環(huán)境使用的規(guī)約進(jìn)行了相關(guān)的分析和研究，對協(xié)議的內(nèi)容進(jìn)行了完全的解碼，可以深入到指令級(jí)別的分析，對從上位機(jī)控制端到下位機(jī)操控指令進(jìn)行了有效的合規(guī)性定義。通過鏡像方式對流量進(jìn)行深入解碼，分析其中的操作是否符合定義的操作要求，如發(fā)現(xiàn)其中有任何的違規(guī)操作，及時(shí)進(jìn)行報(bào)警，由管理員來進(jìn)行相關(guān)的處理。

工控協(xié)議深度解析如圖2所示。

圖2 工控協(xié)議深度解析

2.3 工控網(wǎng)絡(luò)異常行為監(jiān)測告警

針對不同客戶在審計(jì)工控中的需求，針對工控協(xié)議的操作指令進(jìn)行有效的識(shí)別，定義其中存在的高危操作，并能夠及時(shí)進(jìn)行報(bào)警。

異常行為告警包括：任何外接設(shè)備入場告警；模型內(nèi)設(shè)備間不符合模型訪問時(shí)間、頻率告警；模型內(nèi)設(shè)備間不符合基線原行為操作告警；模型內(nèi)設(shè)備間不符合基線原行為路徑操作告警等。

圖3 工控網(wǎng)絡(luò)異常行為監(jiān)測告警

2.4 入侵檢測智能協(xié)議識(shí)別和輔助規(guī)則生成

工業(yè)網(wǎng)絡(luò)中設(shè)備眾多，網(wǎng)絡(luò)通信復(fù)雜，用戶很難全面掌握網(wǎng)絡(luò)安全狀態(tài)。在工控安全審計(jì)中融合入侵檢測規(guī)則，通過全流量的自學(xué)習(xí)功能，自動(dòng)調(diào)用相匹配的協(xié)議檢測規(guī)則，從而進(jìn)一步發(fā)現(xiàn)通信流量中的攻擊行為。

2.5 傳統(tǒng)IT網(wǎng)絡(luò)行為審計(jì)

在生產(chǎn)網(wǎng)中，由于業(yè)務(wù)需要，往往流量中包含傳統(tǒng)IT協(xié)議，產(chǎn)品功能上也支持對傳統(tǒng)IT網(wǎng)絡(luò)環(huán)境使用的HTTP、FTP等協(xié)議的文件傳輸進(jìn)行審計(jì)，支持對TELNET、FTP等業(yè)務(wù)操作進(jìn)行命令級(jí)審計(jì)，從而確保檢測全面性。審計(jì)系統(tǒng)采用旁路部署，通過流量鏡像的方式對工控網(wǎng)絡(luò)進(jìn)行全流量數(shù)據(jù)監(jiān)聽，不主動(dòng)發(fā)包，對工控系統(tǒng)“無擾動(dòng)，零風(fēng)險(xiǎn)”，不做網(wǎng)絡(luò)的任何修改；可覆蓋DCS網(wǎng)絡(luò)、PLC網(wǎng)絡(luò)、數(shù)控機(jī)床DNC網(wǎng)絡(luò)等不同行業(yè)應(yīng)用場景的工控系統(tǒng)。

圖4 審計(jì)系統(tǒng)

2.6 工業(yè)安全綜合預(yù)警

工業(yè)網(wǎng)絡(luò)安全監(jiān)測預(yù)警平臺(tái)從工業(yè)控制系統(tǒng)安全的角度，對工控系統(tǒng)的各類IT和OT設(shè)備數(shù)據(jù)進(jìn)行采集，包括業(yè)務(wù)設(shè)備日志采集、安全設(shè)備事件收集、網(wǎng)絡(luò)流量數(shù)據(jù)采集、安全設(shè)備配置采集等功能。平臺(tái)對采集得到的結(jié)果進(jìn)行統(tǒng)一分析與展示，發(fā)現(xiàn)工控網(wǎng)絡(luò)內(nèi)部的異常行為，如新增資產(chǎn)、時(shí)間異常、新增關(guān)系、負(fù)載變更、異常訪問等行為，實(shí)現(xiàn)對工控現(xiàn)場安全事件的預(yù)警與響應(yīng)。

圖5 工業(yè)網(wǎng)絡(luò)安全監(jiān)測預(yù)警平臺(tái)

工業(yè)網(wǎng)絡(luò)安全監(jiān)測預(yù)警平臺(tái)可以對工業(yè)網(wǎng)絡(luò)中各類上位機(jī)服務(wù)器、工控終端、網(wǎng)絡(luò)交換設(shè)備及工控安全設(shè)備進(jìn)行集中化的性能狀態(tài)監(jiān)控、安全事件的集中展示、安全風(fēng)險(xiǎn)的評(píng)估、工控分區(qū)分域的健康等級(jí)，以及依賴于工控知識(shí)庫的安全響應(yīng)與處置。

2.7 全面的日志集中管理

支持SYSLOG、SNMPTrap、FTP、SFTP、JDBC、ODBC、Netflow等多種日志采集方式。支持但不限于網(wǎng)絡(luò)設(shè)備，如上位機(jī)、工業(yè)安全網(wǎng)關(guān)、工控安全審計(jì)、主機(jī)安全衛(wèi)士入侵檢測等，并進(jìn)行日志關(guān)聯(lián)和量化分析。

圖6 日志審計(jì)系統(tǒng)

2.8 可視化的綜合態(tài)勢管理

工業(yè)網(wǎng)絡(luò)安全監(jiān)測預(yù)警平臺(tái)可以通過網(wǎng)絡(luò)拓?fù)浠蛑庇^呈現(xiàn)的方式表現(xiàn)網(wǎng)絡(luò)環(huán)境及各設(shè)備的運(yùn)行狀態(tài)和安全狀態(tài)，從而達(dá)到對工控網(wǎng)絡(luò)中的各類設(shè)備進(jìn)行集中的狀態(tài)及性能監(jiān)控的目的。目前主要通過定制化工控拓?fù)涞姆绞絹韺?shí)現(xiàn)工控網(wǎng)絡(luò)綜合態(tài)勢的管理和呈現(xiàn)，呈現(xiàn)在首頁的工控網(wǎng)絡(luò)拓?fù)淇筛鶕?jù)工業(yè)現(xiàn)場需求進(jìn)行定制化的拓?fù)淅L制。

同時(shí)，針對不同行業(yè)工業(yè)現(xiàn)場網(wǎng)絡(luò)架構(gòu)的特異性，平臺(tái)內(nèi)置具有行業(yè)特性的工控網(wǎng)絡(luò)安全監(jiān)控拓?fù)?，用戶可根?jù)自身行業(yè)特點(diǎn)選擇相應(yīng)行業(yè)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，并在其基礎(chǔ)上進(jìn)行組態(tài)化的拓?fù)淅L制，使最終呈現(xiàn)的工控網(wǎng)絡(luò)拓?fù)浞险故炯氨O(jiān)控要求。綜合態(tài)勢管理還包括可視化的攻擊鏈狀況展示、風(fēng)險(xiǎn)儀表盤展示、告警事件類型分布展示、資產(chǎn)風(fēng)險(xiǎn)分布展示、最新安全事件列表等可視化模塊。

2.9 強(qiáng)大的分析引擎

平臺(tái)中預(yù)制關(guān)聯(lián)分析引擎，預(yù)制引擎構(gòu)成分析平臺(tái)的核心功能并且對專項(xiàng)分析提供基礎(chǔ)能力，如風(fēng)險(xiǎn)分析、脆弱性分析、態(tài)勢分析、資產(chǎn)分析、攻擊鏈條分析等。分析引擎采用的分布式設(shè)計(jì)能夠進(jìn)行橫向擴(kuò)展，面臨工業(yè)網(wǎng)絡(luò)數(shù)據(jù)量時(shí)能夠?qū)崿F(xiàn)按需擴(kuò)展，將分析引擎分散到其他更多的機(jī)器中，實(shí)現(xiàn)按需進(jìn)行計(jì)算資源擴(kuò)展。

2.10 可靠的主機(jī)防護(hù)體系

工業(yè)控制系統(tǒng)中的監(jiān)控主機(jī)、工程師站、操作站、數(shù)據(jù)服務(wù)器等設(shè)備進(jìn)行安全加固的終端安全防護(hù)產(chǎn)品，針對工控終端業(yè)務(wù)環(huán)境相對固定、穩(wěn)定第一的特點(diǎn)，系統(tǒng)采用了白名單機(jī)制，攔截一切未知程序和腳本的執(zhí)行，既可有效抵御已知和未知的惡意代碼，又規(guī)避了傳統(tǒng)殺毒軟件病毒庫更新不及時(shí)的問題，從根本上保障主機(jī)運(yùn)行環(huán)境的安全。主機(jī)防護(hù)體系如圖7所示。

圖7 主機(jī)防護(hù)體系

2.11 完善的漏洞管理流程

安全管理不只是技術(shù)，更重要的是通過流程制度對安全脆弱性風(fēng)險(xiǎn)進(jìn)行控制。很多公司制定了安全流程制度，但仍然有安全事故發(fā)生。人員對流程制度的執(zhí)行起到關(guān)鍵作用，他們?nèi)绾稳谌牍芾砹鞒?，并促進(jìn)流程的執(zhí)行是安全脆弱性管理產(chǎn)品需要解決的問題。

圖8 漏洞管理流程

安全管理流程制度一般包括預(yù)警、檢測、分析管理、修補(bǔ)、審計(jì)等幾個(gè)環(huán)節(jié)，結(jié)合安全流程中的預(yù)警、檢測、分析管理和審計(jì)環(huán)節(jié)，并通過事件告警督促安全管理人員進(jìn)行風(fēng)險(xiǎn)修補(bǔ)。

2.12 項(xiàng)目部署

系統(tǒng)采用分層模塊化架構(gòu)設(shè)計(jì)，各模塊在業(yè)務(wù)功能邏輯上相互獨(dú)立，采用松耦合接口方式進(jìn)行數(shù)據(jù)交互，使得系統(tǒng)部署方式靈活，能適應(yīng)各種用戶網(wǎng)絡(luò)場景。

部署圖如圖9所示。

圖9 部署圖

2.13 應(yīng)用效果

（1）構(gòu)建了以態(tài)勢感知平臺(tái)為核心的工業(yè)安全防護(hù)體系

覆蓋評(píng)估、防護(hù)、檢測及響應(yīng)的安全體系，保障煙草物流系統(tǒng)全周期正常運(yùn)行。工業(yè)安全網(wǎng)關(guān)提供從網(wǎng)絡(luò)邊界到終端的全方位安全防護(hù)，同時(shí)通過部署工控漏洞掃描系統(tǒng)和工控安全審計(jì)系統(tǒng)、運(yùn)維審計(jì)系統(tǒng)實(shí)現(xiàn)資產(chǎn)和網(wǎng)絡(luò)異常的檢測和告警。工業(yè)網(wǎng)絡(luò)安全態(tài)勢感知平臺(tái)從保障客戶業(yè)務(wù)安全的角度，通過對安全設(shè)備的統(tǒng)一管理以及對工業(yè)網(wǎng)絡(luò)日志、流量等各類數(shù)據(jù)進(jìn)行采集、統(tǒng)一分析和展示，實(shí)現(xiàn)對工業(yè)網(wǎng)絡(luò)安全事件的預(yù)警與響應(yīng)。

（2）降低了煙草物流控制系統(tǒng)網(wǎng)絡(luò)安全運(yùn)維難度

工業(yè)網(wǎng)絡(luò)安全態(tài)勢感知平臺(tái)通過自主學(xué)習(xí)能力，對煙草控制系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢進(jìn)行實(shí)時(shí)感知，結(jié)合匹配煙草業(yè)務(wù)場景的知識(shí)庫，實(shí)現(xiàn)從防護(hù)、檢測、響應(yīng)到恢復(fù)的閉環(huán)安全能力，大大降低了煙草控制系統(tǒng)網(wǎng)絡(luò)安全運(yùn)維難度。

（3）提升了煙草物流系統(tǒng)網(wǎng)絡(luò)安全防護(hù)水平

通過煙草控制系統(tǒng)縱深防御體系、動(dòng)態(tài)檢測體系、威脅管理體系、應(yīng)急響應(yīng)體系、組織體系及管理體系的建設(shè)，建立煙草風(fēng)險(xiǎn)識(shí)別能力、安全防御能力、安全檢測能力、安全響應(yīng)能力與安全恢復(fù)能力，實(shí)現(xiàn)了風(fēng)險(xiǎn)可視化、防御主動(dòng)化和運(yùn)行自動(dòng)化的安全目標(biāo)，保障了企業(yè)生產(chǎn)業(yè)務(wù)的安全。

3 案例亮點(diǎn)及創(chuàng)新性

3.1 深刻理解和有效適配了煙草行業(yè)工業(yè)控制系統(tǒng)業(yè)務(wù)場景

項(xiàng)目開創(chuàng)性地探索出煙草行業(yè)控制系統(tǒng)的有效網(wǎng)絡(luò)安全整體解決方案，解決了傳統(tǒng)煙草行業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問題，提升了煙草行業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)水平，而且對國內(nèi)其它煙草行業(yè)安全防護(hù)起到了很好的示范作用。

3.2 運(yùn)用輕量化工控漏洞掃描技術(shù)

工控漏洞掃描系統(tǒng)獨(dú)家采用了無損掃描技術(shù)，如圖10所示，通過對支持的工控資產(chǎn)進(jìn)行梳理和信息收集，工控漏洞掃描系統(tǒng)可以實(shí)現(xiàn)遠(yuǎn)程與非接觸式的安全評(píng)估，在不影響業(yè)務(wù)的前提下完成漏洞掃描。

圖10 工控漏掃系統(tǒng)

3.3 IT系統(tǒng)與OT系統(tǒng)漏洞掃描的全覆蓋

根據(jù)不同的資產(chǎn)特性定制不同漏洞掃描策略。工業(yè)互聯(lián)網(wǎng)與智能制造時(shí)代下，工業(yè)生產(chǎn)企業(yè)網(wǎng)絡(luò)越發(fā)龐大復(fù)雜，多個(gè)網(wǎng)絡(luò)層級(jí)為同一套業(yè)務(wù)平臺(tái)進(jìn)行支撐的情況也屢見不鮮，這要求我們的安全設(shè)備要有更強(qiáng)的兼容性。本項(xiàng)目中的漏洞掃描系統(tǒng)既能對傳統(tǒng)的IT層主機(jī)發(fā)現(xiàn)、端口掃描及服務(wù)識(shí)別，也支持各主流數(shù)據(jù)庫（Oracle、MySql、Postgresql等）漏洞掃描和虛擬化組件漏洞掃描，同時(shí)還覆蓋SCADA、DCS、PLC等OT層應(yīng)用系統(tǒng)。

3.4 安全運(yùn)行體系整合

本項(xiàng)目中所使用的安全解決方案，是以平臺(tái)為“大腦”的一體化安全解決方案。

根據(jù)信息安全保障體系框架設(shè)計(jì)，整合各類安全防護(hù)系統(tǒng)以及管理制度、運(yùn)維流程，實(shí)現(xiàn)管理與技術(shù)的融合，并通過安全管控平臺(tái)與運(yùn)維平臺(tái)整合，實(shí)現(xiàn)了主要安全管理工作的自動(dòng)化，提高了管理效率。

采用數(shù)據(jù)采集技術(shù)、安全監(jiān)控技術(shù)和漏洞掃描技術(shù)，實(shí)現(xiàn)對信息系統(tǒng)、人員操作行為及安全狀況的整體監(jiān)控，并能夠利用大數(shù)據(jù)分析技術(shù)進(jìn)行關(guān)聯(lián)分析，實(shí)現(xiàn)準(zhǔn)確、及時(shí)告警和集中展現(xiàn)。

《自動(dòng)化博覽》2023年1月刊暨《工業(yè)控制系統(tǒng)信息安全?？ǖ诰泡嫞?/span>