国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

★ 新華三信息安全技術(shù)有限公司

1 項目概況

1.1 項目背景

針對該輪胎企業(yè)各廠工控安全現(xiàn)狀進行風險評估，結(jié)合評估結(jié)果進行整體方案設(shè)計。方案設(shè)計后首先對該輪胎各廠發(fā)現(xiàn)的高危風險進行消除，借助當前系統(tǒng)內(nèi)現(xiàn)有安全措施或設(shè)備自帶安全機制，通過漏洞修補、安全加固實現(xiàn)系統(tǒng)安全能力加固，并進行安全基礎(chǔ)設(shè)施建設(shè)。圍繞各類安全基礎(chǔ)設(shè)施，逐步建立運行維護制度及應(yīng)急響應(yīng)體系，與此同時建立工業(yè)企業(yè)人員安全教育體系。方案建設(shè)完成后，確保工業(yè)企業(yè)各廠的安全技術(shù)、管理體系和人員水平得到提升。

1.2 項目簡介

基于該輪胎工業(yè)有限公司及股份有限公司其他下屬企業(yè)的工業(yè)網(wǎng)絡(luò)安全防護需求，依靠工業(yè)信息安全保障建設(shè)框架，建設(shè)網(wǎng)絡(luò)安全縱深防御體系框架，設(shè)計工業(yè)企業(yè)網(wǎng)絡(luò)安全綜合防護平臺基礎(chǔ)機構(gòu)，建設(shè)安全態(tài)勢感知與主動防御平臺，建設(shè)工業(yè)企業(yè)安全運營與管理平臺，提升輪胎制造業(yè)安全態(tài)勢感知與主動防御能力，提升工業(yè)企業(yè)安全與運營管理能力，構(gòu)建多層次、一體化工業(yè)網(wǎng)絡(luò)安全防御能力，為工業(yè)企業(yè)的數(shù)字化轉(zhuǎn)型升級提供保障。

1.3 項目目標

通過工業(yè)信息安全保障工作中所涉及的安全人員、安全技術(shù)、安全管理三個維度內(nèi)容，從策略制定、評估分析、方案設(shè)計、工程實施、運行管理、應(yīng)急響應(yīng)和安全教育七個方面，針對企業(yè)工控安全建設(shè)制定全生命周期的方案。

2 項目實施

方案設(shè)計中按照企業(yè)工控安全方針策略，結(jié)合公司及各下屬企業(yè)當前安全現(xiàn)狀，以企業(yè)當前安全需求為出發(fā)點，為達成目標而合理規(guī)劃企業(yè)工控安全建設(shè)內(nèi)容、建設(shè)重點、建設(shè)順序，形成合理的工控安全保障方案。

工程實施是將前期設(shè)計的保障方案中各項安全措施進行具體實現(xiàn)的過程，工程實施質(zhì)量直接影響前期設(shè)計方案的實現(xiàn)效果。工程實施過程應(yīng)由企業(yè)項目管理人員進行管理，本項目將委托第三方機構(gòu)評價實施效果。

建設(shè)內(nèi)容包括：縱深防護體系、綜合防護平臺和仿真驗證體系。

構(gòu)建基于主機安全、設(shè)備安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、內(nèi)生安全的多層次縱深防御體系，形成工業(yè)企業(yè)安全防護服務(wù)能力。針對該企業(yè)工業(yè)發(fā)展現(xiàn)狀，圍繞“本質(zhì)安全”“架構(gòu)安全”和“行為安全”三個維度，將企業(yè)信息系統(tǒng)劃分為4個不同層級的安全域。網(wǎng)絡(luò)層級和安全域根據(jù)自身特點和重要性程度制定相應(yīng)的安全防護策略，并結(jié)合安全管理和安全運維，構(gòu)建全面防護且持續(xù)改進的縱深防御體系。

鑒于輪胎制造業(yè)企業(yè)在工業(yè)領(lǐng)域的至關(guān)重要性，在智能制造的重塑與改進下，要實施嚴格的訪問控制策略、操作行為監(jiān)管及審計機制，以確保在不同安全屬性的系統(tǒng)和不同安全級別的安全域間進行安全的信息交換。

本項目通過部署工業(yè)安全網(wǎng)關(guān)、工業(yè)入侵檢測平臺、工業(yè)流量審計平臺、主機加固軟件、工業(yè)數(shù)據(jù)安全管理系統(tǒng)、企業(yè)互聯(lián)互通平臺通訊數(shù)據(jù)分析平臺、企業(yè)互聯(lián)互通平臺通訊數(shù)據(jù)展示平臺、隱私數(shù)據(jù)分發(fā)保障系統(tǒng)、高交互威脅狩獵與溯源系統(tǒng)及工業(yè)企業(yè)防火墻系統(tǒng)，完成縱深防御體系的建設(shè)。

綜合防護平臺的核心目標是提高企業(yè)的整體安全水平，提升運維效率，體現(xiàn)安全效果和價值。通過建設(shè)包括人員、工具、流程三大體系的安全運營中心，打造感知、分析、決策、響應(yīng)4個維度的自動安全處置閉環(huán)能力。因此，整體思路和理念是：綜合防護平臺通過態(tài)勢感知平臺、主動防御平臺和安全運營管理平臺，提高“威脅感知、分析定位、智能決策、響應(yīng)處置”的快速安全閉環(huán)能力，幫助工控企業(yè)實現(xiàn)安全效果，提升安全運維和安全管理效率，展現(xiàn)安全成果，最終實現(xiàn)“自動響應(yīng)閉環(huán)、持續(xù)安全運營”的目標。

本項目具有實現(xiàn)工業(yè)現(xiàn)場威脅感知及主動防御能力，具備針對工業(yè)控制系統(tǒng)防惡意軟件傳播、防惡意控制指令、防邊界滲透等安全防護能力。

通過在工業(yè)企業(yè)網(wǎng)絡(luò)出口、工業(yè)網(wǎng)絡(luò)內(nèi)部部署工業(yè)互聯(lián)網(wǎng)安全蜜罐，仿真正常運行的工業(yè)互聯(lián)網(wǎng)設(shè)備或系統(tǒng)，可誘捕惡意網(wǎng)絡(luò)攻擊，及時發(fā)現(xiàn)在網(wǎng)絡(luò)中傳播的惡意代碼病毒，溯源黑客組織，捕獲惡意樣本，提升工業(yè)現(xiàn)場威脅感知及主動防御能力。

面向工業(yè)企業(yè)工控設(shè)備的被動威脅監(jiān)測及態(tài)勢感知系統(tǒng)分為服務(wù)支撐、工控設(shè)備及業(yè)務(wù)仿真、威脅監(jiān)測三部分。服務(wù)支撐部分提供流量重定向、數(shù)據(jù)采集、訪問控制和數(shù)據(jù)分析功能；工控設(shè)備及業(yè)務(wù)仿真部分提供設(shè)備指紋、業(yè)務(wù)功能、通信協(xié)議和操作指令仿真功能；威脅監(jiān)測部分提供攻擊來源監(jiān)測、惡意文件監(jiān)測、攻擊工具監(jiān)測和攻擊步驟監(jiān)測功能。

2.1 入侵檢測

威脅感知傳感器具備入侵檢測功能，可實時監(jiān)控所有“影子系統(tǒng)”以及虛擬網(wǎng)絡(luò)流量，自動檢測可疑行為，分析來自網(wǎng)絡(luò)外部的入侵信號和來自網(wǎng)絡(luò)內(nèi)部的非法活動，在攻擊者攻擊關(guān)鍵業(yè)務(wù)系統(tǒng)前發(fā)出警告，對攻擊做出實時響應(yīng)，并提供補救措施，最大程度地保障系統(tǒng)安全。

2.2 工控安全管理平臺

在工業(yè)信息網(wǎng)絡(luò)環(huán)境中做整體的安全防護，勢必要掌握全網(wǎng)的運行狀況與安全狀況，要處理大量設(shè)備產(chǎn)生的安全數(shù)據(jù)和監(jiān)控信息，要通過集中高效的告警機制快速發(fā)現(xiàn)、定位問題，并快速地處置安全故障和威脅，要解決工業(yè)企業(yè)信息安全集中監(jiān)控與統(tǒng)一管理問題。

系統(tǒng)為三層的管理架構(gòu)，最下一層為被保護的工業(yè)控制及管理環(huán)境設(shè)備對象，包括從生產(chǎn)管理層、MES層到控制層的各類設(shè)備，比如操作員站、工程師站、RTU、PLC、DCS等。

系統(tǒng)通過采集層對所有被保護對象進行集中的信息采集，包括收集網(wǎng)絡(luò)中所部署的各類安全設(shè)備的事件及告警信息。該層提供豐富的數(shù)據(jù)接口，所采集的信息包括：資產(chǎn)、拓撲、性能、事件、漏洞、流量及工控指令等。同時，信息采集裝置可以在復雜網(wǎng)絡(luò)中分布式部署，并且對網(wǎng)絡(luò)性能影響極小甚至無影響。采集到的所有信息都會進行預處理，將其轉(zhuǎn)換為統(tǒng)一的內(nèi)部格式，并提交給上層的核心功能處理層的相應(yīng)組件進行處理和分析。采集層之上是數(shù)據(jù)處理與展示層，該層提供了系統(tǒng)的核心處理功能，主要包括了設(shè)備監(jiān)控、安全信息管理、工控威脅管理和統(tǒng)一接口四大功能組塊。設(shè)備監(jiān)控功能組塊主要提供了被監(jiān)控對象的識別梳理和基礎(chǔ)信息支撐，主要包括設(shè)備管理、工控拓撲構(gòu)建、設(shè)備及鏈路性能狀態(tài)監(jiān)控，以及識別監(jiān)測各工控設(shè)備的能力；安全信息管理組塊提供了工控網(wǎng)中安全事件信息與漏洞信息的綜合管理功能，主要包括安全事件的集中管理和查詢、漏洞信息的集中管理、防護產(chǎn)品的安全信息管理及安全知識庫功能；工控威脅管理組塊綜合了設(shè)備鏈路的監(jiān)控以及各類安全信息，形成了面向威脅的展現(xiàn)和分析功能，主要提供了風險管理、工控業(yè)務(wù)健康度分析、關(guān)聯(lián)分析以及KPI威脅分析等功能；統(tǒng)一接口組塊綜合了對外的各種接口，主要提供了對企業(yè)集中監(jiān)控輸出的告警接口、第三方防護產(chǎn)品信息采集接口及國家層面監(jiān)控系統(tǒng)的探針管理與信息交換接口。

工控安全事件與報警管理系統(tǒng)由管理中心和采集器兩部分組成。管理中心主要是數(shù)據(jù)處理與展示層功能，同時內(nèi)置了事件采集、性能采集等采集器功能；采集器包括事件（日志）采集器、性能采集器及流量采集器。

2.3 資產(chǎn)發(fā)現(xiàn)

資產(chǎn)發(fā)現(xiàn)用于發(fā)現(xiàn)未在管理系統(tǒng)中的企業(yè)資產(chǎn)。通過系統(tǒng)用戶手動、一鍵確認和自動確認，將識別到的資產(chǎn)加入企業(yè)新管控的資產(chǎn)。

2.4 資產(chǎn)監(jiān)控

2.4.1 健康度模型

健康度模型用來評價資產(chǎn)的健康狀態(tài)，健康度分為健康、過載和失聯(lián)，如圖1所示。健康狀態(tài)不言而喻，表示資產(chǎn)運行狀態(tài)良好；過載狀態(tài)表示資產(chǎn)負載過高，系統(tǒng)持續(xù)運行有潛在威脅；失聯(lián)代表資產(chǎn)處于不可達狀態(tài)，已經(jīng)無法獲得資產(chǎn)的任何信息。

健康狀態(tài)的評估標準因不同類型的資產(chǎn)而不一樣，傳統(tǒng)IT與OT對于資產(chǎn)健康狀態(tài)的標準也不一樣。相對而言，傳統(tǒng)IT的資產(chǎn)健康狀態(tài)主要聚焦于CPU、內(nèi)存、磁盤空間和網(wǎng)絡(luò)等維度。一般的評估健康度的方法要么片面地依賴某一指標或幾個指標，要么與現(xiàn)實認識有差別。

圖1 資產(chǎn)健康度評估流程圖

本項目中的健康度模型綜合各種維度的評估項，并經(jīng)過現(xiàn)實驗證，具有一定現(xiàn)實參考意義，評估的資產(chǎn)健康度基本靠近實際認知。

2.4.2 在線狀態(tài)模型

系統(tǒng)的在線狀態(tài)監(jiān)控有幾種通用實現(xiàn)模型：

（1）定期掃描或者探測；

（2）通過所接收的日志分析更新設(shè)備狀態(tài)。

以上兩種模型放置在工業(yè)環(huán)境中都有一定缺陷：定期掃描或者探測會消耗占用一段時間的網(wǎng)絡(luò)帶寬。

對于工業(yè)終端而言其較脆弱的協(xié)議棧以及處理能力，即使是簡單的ICMP或者SYN探測都有可能導致其故障引發(fā)事故。

而通過日志分析更新設(shè)備狀態(tài)，這就是一種M*N級別的低效分析，導致性能整體下降。而直接通過探針攜帶資產(chǎn)狀態(tài)的方案，在一個資產(chǎn)被多個探針所管理時會出現(xiàn)狀態(tài)不一致的錯亂，進而導致一些異常分析。

本項目提出的是一種高低在線狀態(tài)保護期的模型。通過探針攜帶設(shè)備心跳，設(shè)備分為在線、離線、脫管三種資產(chǎn)狀態(tài)，分別代表設(shè)備在線、設(shè)備離線、設(shè)備已屬無探針管理狀態(tài)。從前到后，狀態(tài)變遷優(yōu)先級遞減，而從后至前優(yōu)先級遞增，保證了在一定窗口保護期，有任何一個探針在管理這些資產(chǎn)時就能評估出更接近事實的狀態(tài)。

2.5 互聯(lián)監(jiān)控

系統(tǒng)可對資產(chǎn)互聯(lián)及區(qū)域互聯(lián)情況進行監(jiān)控。

（1）資產(chǎn)互聯(lián)

資產(chǎn)互聯(lián)展示的是所監(jiān)控資產(chǎn)間的網(wǎng)絡(luò)互聯(lián)關(guān)系，并且可根據(jù)統(tǒng)計信息決策為黑名單（禁止）訪問或白名單（允許）訪問，如圖2所示。

圖2 資產(chǎn)互聯(lián)

（2）區(qū)域互聯(lián)

區(qū)域互聯(lián)展示的是所監(jiān)控邏輯區(qū)域間的網(wǎng)絡(luò)互聯(lián)關(guān)系，并且可根據(jù)統(tǒng)計信息決策為黑名單（禁止）訪問或白名單（允許）訪問，如圖3所示。

圖3 區(qū)域互聯(lián)

2.6 資產(chǎn)畫像

工控安全事件與報警管理系統(tǒng)可對資產(chǎn)進行畫像。資產(chǎn)畫像力圖對所管控資產(chǎn)就資產(chǎn)的基礎(chǔ)屬性、運行信息、日志信息和異常信息建立全面的知識庫，一目可了解資產(chǎn)的歷史和當前信息狀態(tài)。

（1）合規(guī)監(jiān)控

依據(jù)工信部頒布的《工業(yè)控制系統(tǒng)信息安全防護指南》，以合規(guī)能力監(jiān)控為目標系統(tǒng)逐項予以安全評估，并最終給予評分。參考防護指南評估引擎，數(shù)據(jù)來源于靜態(tài)防護指南日志以及動態(tài)評估的防護指南相關(guān)日志予以評估后的數(shù)據(jù)，如圖4所示。

圖4 合規(guī)監(jiān)控

（2）告警監(jiān)控

工控安全事件與報警管理系統(tǒng)可對告警進行監(jiān)控，通過告警行為發(fā)現(xiàn)系統(tǒng)的異常。系統(tǒng)為避免重復告警導致待處理告警數(shù)目過多，對告警數(shù)據(jù)做了聚合，同時兼顧了時間要素，保證最新觸發(fā)的告警排序靠前。告警需進行確認后才會消失，如圖5所示。

圖5 告警監(jiān)控

（3）大屏監(jiān)控

大屏監(jiān)控以大屏監(jiān)控全網(wǎng)為視角，動態(tài)體現(xiàn)全網(wǎng)、廠區(qū)、資產(chǎn)信息以及防護信息日志和告警日志，如圖6所示。

圖6 大屏監(jiān)控

2.7 工業(yè)探針管理

工控安全事件與報警管理系統(tǒng)可對主機探針、PLC探針、網(wǎng)絡(luò)探針、遠程探針以及多源探針進行管理。

（1）主機探針管理

主機探針管理提供了主機探針的主動注冊（自動發(fā)現(xiàn)探針）、軟件上傳及下載。

（2）PLC探針管理

發(fā)現(xiàn)探針），關(guān)聯(lián)或注冊所采集資產(chǎn)。PLC探針主要提供了PLC探針的主動注冊（自動

（3）網(wǎng)絡(luò)探針管理

網(wǎng)絡(luò)探針主要提供了網(wǎng)絡(luò)探針的主動注冊（自動發(fā)現(xiàn)探針）、資產(chǎn)間網(wǎng)絡(luò)互聯(lián)黑白名單管理、區(qū)域間網(wǎng)絡(luò)互聯(lián)黑白名單管理。

（4）遠程探針管理

遠程探針主要提供了遠程探針的主動注冊（自動發(fā)現(xiàn)探針），關(guān)聯(lián)資產(chǎn)。

（5）多源探針管理

多源探針主要提供了多源探針的主動注冊（自動發(fā)現(xiàn)探針），以關(guān)聯(lián)資產(chǎn)。

2.8 工業(yè)日志聚合

（1）多源日志收集

工控安全事件與報警管理系統(tǒng)通過主機、PLC、網(wǎng)絡(luò)、遠程以及多源探針進行工控系統(tǒng)內(nèi)各類設(shè)備日志收集并進行歸一化處理，供后續(xù)分析、處理、記錄。

（2）日志審計

工控安全事件與報警管理系統(tǒng)可對工控系統(tǒng)內(nèi)各類設(shè)備日志進行審計。通過日志查詢系統(tǒng)可以查詢到資產(chǎn)名、資產(chǎn)IP、資產(chǎn)類型、事件時間、分類、等級、摘要等日志信息。

（3）日志管理

日志管理主要提供對存儲的審計日志導出、導入，設(shè)定磁盤空間閾值清理日志，定期自動備份日志。

（4）日志異常分析

工控安全事件與報警管理系統(tǒng)可對日志異常進行分析，包括潛在危害、異常行為等。

3 案例亮點及創(chuàng)新性

安全基礎(chǔ)設(shè)施建設(shè)完成后，進入運行維護階段。工控安全運維工作可通過建設(shè)安全運營管理平臺提高運維團隊運行維護能力。

安全運營管理平臺包括以下功能：工控設(shè)備管理、安全事件管理、日志管理、脆弱性管理等。

《自動化博覽》2023年1月刊暨《工業(yè)控制系統(tǒng)信息安全?？ǖ诰泡嫞?/span>