久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

1、背景介紹

新型工業(yè)化在信息技術(shù)和其他高新技術(shù)的驅(qū)動(dòng)下，通過(guò)改變生產(chǎn)方式、組織形式和經(jīng)營(yíng)模式，使各行業(yè)進(jìn)程朝向更高效、清潔、低碳、智能化的方向延伸。鋼管行業(yè)在新型工業(yè)化的推進(jìn)下，積極采用大數(shù)據(jù)、互聯(lián)網(wǎng)、自動(dòng)檢測(cè)技術(shù)和識(shí)別技術(shù)等先進(jìn)技術(shù)，大力建設(shè)鋼管行業(yè)創(chuàng)新基礎(chǔ)設(shè)施，夯實(shí)數(shù)字底座，以數(shù)字化賦能綠色化、高質(zhì)化、強(qiáng)鏈化發(fā)展，打造新質(zhì)生產(chǎn)力，從而為鋼管行業(yè)數(shù)字化轉(zhuǎn)型和高質(zhì)量發(fā)展注入新的活力。隨著工業(yè)控制系統(tǒng)的數(shù)字化和網(wǎng)絡(luò)化程度提高，OT、IT的逐步融合，使得鋼管行業(yè)生產(chǎn)過(guò)程更加自動(dòng)化和智能化，但同時(shí)也使安全風(fēng)險(xiǎn)更加復(fù)雜，攻擊點(diǎn)增多、攻擊面擴(kuò)大，增加了網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。大量數(shù)據(jù)交互過(guò)程中的數(shù)據(jù)泄露風(fēng)險(xiǎn)也隨之增加，不僅涉及企業(yè)商業(yè)機(jī)密，還可能影響到整個(gè)產(chǎn)業(yè)鏈的穩(wěn)定。

某鋼管制造企業(yè)的工業(yè)控制系統(tǒng)由多個(gè)生產(chǎn)工藝流程混合而成，包括煉鐵、煉鋼、軋管等生產(chǎn)制造環(huán)節(jié)。其生產(chǎn)網(wǎng)絡(luò)架構(gòu)極為復(fù)雜，不僅多種通信方式并存，而且控制系統(tǒng)品牌繁多，新老系統(tǒng)交織在一起。這種復(fù)雜的系統(tǒng)架構(gòu)和多元化的技術(shù)集成導(dǎo)致潛在的網(wǎng)絡(luò)安全漏洞層出不窮，使得系統(tǒng)容易受到黑客的攻擊和利用，生產(chǎn)網(wǎng)絡(luò)所面臨的網(wǎng)絡(luò)安全威脅也日趨多元化和多發(fā)性。

因此，為能夠有效應(yīng)對(duì)和管理新型工業(yè)化下工業(yè)場(chǎng)景所面臨的安全風(fēng)險(xiǎn)，必須深化網(wǎng)絡(luò)安全與數(shù)字化建設(shè)的協(xié)同運(yùn)營(yíng)，實(shí)現(xiàn)兩者緊密結(jié)合，確保該鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)穩(wěn)定可靠運(yùn)行，保障生產(chǎn)業(yè)務(wù)的連續(xù)性和安全性。

2、目標(biāo)與原則

2.1項(xiàng)目目標(biāo)

n  提升企業(yè)安全運(yùn)維能力，降低安全管理難度

目前該鋼管制造企業(yè)生產(chǎn)環(huán)境較為分散且網(wǎng)絡(luò)規(guī)模較大，在生產(chǎn)網(wǎng)絡(luò)中部署的安全防護(hù)設(shè)備數(shù)量也較多，存在安全策略更新不及時(shí)、安全管理分散及管理成本高等瓶頸。因此，需要采取技術(shù)手段對(duì)安全設(shè)備進(jìn)行集中管控，降低管理難度及人工成本。

通過(guò)借助集中管理平臺(tái)，統(tǒng)一監(jiān)控工業(yè)安全設(shè)備，對(duì)網(wǎng)絡(luò)配置、系統(tǒng)服務(wù)、安全策略、升級(jí)策略和配置備份等進(jìn)行配置，方便快捷的實(shí)現(xiàn)對(duì)大規(guī)模安全設(shè)備管理。同時(shí)免去逐一配置策略的繁瑣操作，提升安全運(yùn)維能力，降低安全管理過(guò)程中的管理難度及成本。

n  提升安全監(jiān)測(cè)預(yù)警能力，快速處置安全事件

當(dāng)前生產(chǎn)網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻，安全風(fēng)險(xiǎn)呈現(xiàn)多元化特征，安全隱患發(fā)現(xiàn)難度更高，出現(xiàn)安全告警時(shí)無(wú)法第一時(shí)間感知。因此，網(wǎng)絡(luò)安全監(jiān)測(cè)手段需同步進(jìn)行補(bǔ)充與提升。

通過(guò)借助安全態(tài)勢(shì)感知平臺(tái)，綜合異構(gòu)數(shù)據(jù)采集、協(xié)議深度解析、用戶畫像、大數(shù)據(jù)分析、AI等技術(shù)，采用威脅情報(bào)及安全事件關(guān)聯(lián)分析的機(jī)制，實(shí)時(shí)感知系統(tǒng)和設(shè)備的運(yùn)行狀況、風(fēng)險(xiǎn)隱患等信息，及時(shí)對(duì)潛在的網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn)進(jìn)行預(yù)警。在出現(xiàn)安全威脅時(shí)，通過(guò)協(xié)同聯(lián)動(dòng)網(wǎng)絡(luò)中各類安全設(shè)備及時(shí)進(jìn)行抑制，防止安全威脅的進(jìn)一步蔓延，為企業(yè)安全生產(chǎn)提供保障。

n  消除信息孤島，提升安全風(fēng)險(xiǎn)感知能力

目前該鋼管制造企業(yè)的廠區(qū)內(nèi)各設(shè)備和系統(tǒng)的安全數(shù)據(jù)缺乏統(tǒng)一匯聚和分析的手段，安全數(shù)據(jù)與分析結(jié)果沒(méi)有實(shí)現(xiàn)共享，存在“信息孤島”現(xiàn)象，從而引發(fā)無(wú)法對(duì)當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行評(píng)估、無(wú)法及時(shí)感知網(wǎng)絡(luò)安全現(xiàn)狀等安全風(fēng)險(xiǎn)。

借助日志收集分析等手段，對(duì)跨區(qū)域、跨產(chǎn)品的安全信息統(tǒng)一收集與處理，實(shí)現(xiàn)對(duì)全網(wǎng)各類安全事件、預(yù)警信息的統(tǒng)一預(yù)處理、匯總、整理與分析，提升安全風(fēng)險(xiǎn)感知能力。

2.2 設(shè)計(jì)原則

（1）分層分域防護(hù)原則

根據(jù)企業(yè)工業(yè)控制系統(tǒng)業(yè)務(wù)流程合理劃分網(wǎng)絡(luò)層級(jí)和安全域，以切割網(wǎng)絡(luò)風(fēng)險(xiǎn)，即任意一點(diǎn)遭受攻擊或網(wǎng)絡(luò)風(fēng)暴不會(huì)對(duì)其它生產(chǎn)過(guò)程產(chǎn)生影響，同時(shí)方便管理策略的執(zhí)行。

（2）以關(guān)鍵業(yè)務(wù)為核心的整體防控原則

企業(yè)工業(yè)控制系統(tǒng)的安全保護(hù)應(yīng)以確保關(guān)鍵業(yè)務(wù)的安全運(yùn)行為核心目標(biāo)，對(duì)業(yè)務(wù)所涵蓋的一個(gè)或多個(gè)網(wǎng)絡(luò)及信息系統(tǒng)實(shí)施系統(tǒng)化的安全設(shè)計(jì)策略，以構(gòu)建一個(gè)全面、整合的安全防護(hù)體系。

（3）協(xié)同防御原則

通過(guò)整合安全技術(shù)、安全管理和安全服務(wù)，構(gòu)建起信息共享和協(xié)同聯(lián)動(dòng)的防御體系，實(shí)現(xiàn)增強(qiáng)企業(yè)工業(yè)控制系統(tǒng)抵御大規(guī)模網(wǎng)絡(luò)攻擊的能力。

3、案例實(shí)施與應(yīng)用情況

本方案旨在針對(duì)鋼管制造企業(yè)的煉鐵、煉鋼、軋管等生產(chǎn)車間開(kāi)展網(wǎng)絡(luò)安全規(guī)劃與建設(shè)。

方案在嚴(yán)格遵守《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2019）、《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)指南》等國(guó)家的政策要求基礎(chǔ)上，采用“行為基線”分析、“白名單防護(hù)”策略及“數(shù)據(jù)變化率”監(jiān)測(cè)等先進(jìn)技術(shù)手段，并通過(guò)安全服務(wù)、安全技術(shù)與產(chǎn)品應(yīng)用以及安全管理體系構(gòu)建等手段相結(jié)合的方式，實(shí)現(xiàn)安全能力的全面整合與提升，有效提升鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)安全技術(shù)防護(hù)能力、安全管理能力以及安全運(yùn)營(yíng)能力。

3.1 智能工廠信息化架構(gòu)

圖1  智能工廠信息化架構(gòu)

該鋼管制造企業(yè)參考智能工廠框架，在企業(yè)內(nèi)部實(shí)現(xiàn)了MES、ERP、SCADA等信息系統(tǒng)的應(yīng)用，將車間的各類生產(chǎn)數(shù)據(jù)進(jìn)行采集、分析與決策，實(shí)現(xiàn)了多個(gè)數(shù)字化車間的統(tǒng)一管理與協(xié)同生產(chǎn)。同時(shí)，由于信息網(wǎng)絡(luò)集成程度的不斷提高，與其他信息網(wǎng)絡(luò)的互聯(lián)程度也隨之加深。網(wǎng)絡(luò)中各種未授權(quán)的接入與操作、誤操作、違規(guī)操作、未授權(quán)的程序安裝、外部接口濫用以及新型攻擊（APT）對(duì)集團(tuán)信息系統(tǒng)安全構(gòu)成極大的威脅。

若信息系統(tǒng)不加強(qiáng)主動(dòng)防護(hù)、監(jiān)測(cè)審計(jì)、集中監(jiān)管及預(yù)警響應(yīng)等安全措施的建設(shè)，那么各類威脅將得以趁虛而入，進(jìn)而可能對(duì)生產(chǎn)業(yè)務(wù)產(chǎn)生嚴(yán)重的負(fù)面影響。因此，需圍繞企業(yè)未來(lái)發(fā)展趨勢(shì)與安全建設(shè)需求，進(jìn)行全方位的生成網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)。

3.2方案規(guī)劃

方案總體規(guī)劃架構(gòu)以資產(chǎn)為基礎(chǔ)，以事件為主線，以風(fēng)險(xiǎn)為核心，采用多層次技術(shù)措施和防護(hù)手段，對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器等進(jìn)行全方位安全監(jiān)測(cè)。同時(shí)，結(jié)合安全事件模型、業(yè)務(wù)模型、威脅情報(bào)等信息，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)威脅的及時(shí)預(yù)警和快速處置，通過(guò)一系列措施，實(shí)現(xiàn)鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)態(tài)勢(shì)實(shí)時(shí)感知、威脅持續(xù)監(jiān)測(cè)、安全協(xié)同聯(lián)動(dòng)、風(fēng)險(xiǎn)主動(dòng)預(yù)警及事件應(yīng)急處置的目標(biāo)，全面提升鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)的安全防護(hù)水平。       

圖 2  總體框架設(shè)計(jì)

態(tài)勢(shì)感知：通過(guò)實(shí)時(shí)收集全網(wǎng)網(wǎng)絡(luò)流量、系統(tǒng)日志、用戶行為等數(shù)據(jù)，并基于大數(shù)據(jù)分析及機(jī)器學(xué)習(xí)等技術(shù)，對(duì)收集的數(shù)據(jù)進(jìn)行清洗、格式轉(zhuǎn)換等預(yù)處理操作，實(shí)現(xiàn)對(duì)資產(chǎn)、脆弱性、告警、攻擊、系統(tǒng)運(yùn)行狀態(tài)實(shí)時(shí)監(jiān)測(cè)及可視化展現(xiàn)，為主動(dòng)預(yù)警和事件追溯提供數(shù)據(jù)支撐。

持續(xù)監(jiān)測(cè)：通過(guò)實(shí)時(shí)數(shù)據(jù)采集與分析、威脅監(jiān)測(cè)預(yù)警、日志與事件管理以及可視化展示等功能，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全狀況的持續(xù)監(jiān)測(cè)。

聯(lián)動(dòng)防護(hù)：通過(guò)匯總各類安全數(shù)據(jù)，運(yùn)用關(guān)聯(lián)分析、用戶畫像、業(yè)務(wù)安全基線、模型分析、威脅情報(bào)等手段，形成安全聯(lián)動(dòng)、動(dòng)態(tài)感知的整體安全分析能力。

主動(dòng)預(yù)警：通過(guò)實(shí)時(shí)采集與處理安全數(shù)據(jù)，結(jié)合安全模型、業(yè)務(wù)模型及威脅情報(bào)等信息，實(shí)現(xiàn)對(duì)潛在威脅的精準(zhǔn)識(shí)別與快速定位。在發(fā)現(xiàn)安全事件時(shí)觸發(fā)預(yù)警機(jī)制，實(shí)現(xiàn)安全防御的主動(dòng)性。

應(yīng)急處置：通過(guò)實(shí)時(shí)分析網(wǎng)絡(luò)流量、安全日志等數(shù)據(jù)源，快速檢測(cè)并識(shí)別潛在的安全威脅，并在安全威脅檢測(cè)后，觸發(fā)告警機(jī)制，并將告警信息發(fā)送至相關(guān)人員，進(jìn)行事件處置。

n  安全技術(shù)防護(hù)體系

基于行為基線技術(shù)路線，建立鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)中業(yè)務(wù)通信與控制過(guò)程模型，綜合數(shù)據(jù)變化率、白名單防護(hù)等技術(shù)手段，確保在通信、控制、應(yīng)用等多個(gè)層面的細(xì)粒度安全管控，避免對(duì)生產(chǎn)過(guò)程形成安全威脅。

n  安全管理體系

從安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理等層面進(jìn)行網(wǎng)絡(luò)安全各項(xiàng)工作所需遵循的基本原則和方針的明確，與安全技術(shù)防護(hù)體系、安全運(yùn)營(yíng)體系、安全服務(wù)體系形成緊密耦合的安全防護(hù)機(jī)制，保障所有生產(chǎn)車間的生產(chǎn)安全和穩(wěn)定運(yùn)行。

n  安全服務(wù)體系

以安全管理手段、安全技術(shù)手段作為支持，采用風(fēng)險(xiǎn)評(píng)估、安全加固、新系統(tǒng)上線檢查等手段進(jìn)行風(fēng)險(xiǎn)識(shí)別及風(fēng)險(xiǎn)處置等，與安全管理體系、安全技術(shù)防護(hù)體系及安全運(yùn)營(yíng)體系形成層次化的安全策略體系。

n  安全運(yùn)營(yíng)體系

通過(guò)異構(gòu)數(shù)據(jù)采集、用戶畫像、大數(shù)據(jù)分析、AI等技術(shù)，統(tǒng)一收集和分析網(wǎng)絡(luò)流量、操作內(nèi)容、運(yùn)行日志、異常告警等信息，為鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)構(gòu)建安全監(jiān)測(cè)、日志分析、威脅預(yù)警、安全處置等綜合安全運(yùn)營(yíng)能力，從全局視角實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管控和運(yùn)營(yíng)分析管理。

3.3方案實(shí)施與應(yīng)用

3.3.1 安全技術(shù)防護(hù)體系設(shè)計(jì)

3.3.1.1    各生產(chǎn)車間訪問(wèn)控制設(shè)計(jì)

在煉鐵車間、煉鋼車間、軋管、管加工等各車間區(qū)域邊界與生產(chǎn)核心交換機(jī)處部署工業(yè)防火墻，基于工業(yè)協(xié)議深度解析技術(shù)，可以實(shí)現(xiàn)基于訪問(wèn)行為的細(xì)粒度控制。                   

圖 3  工業(yè)協(xié)議解析技術(shù)

3.3.1.2 企業(yè)生產(chǎn)網(wǎng)絡(luò)入侵行為檢測(cè)設(shè)計(jì)

在生產(chǎn)核心交換機(jī)處應(yīng)用工業(yè)入侵檢測(cè)系統(tǒng)的入侵檢測(cè)技術(shù)，對(duì)煉鐵車間、煉鋼車間、軋管、管加工等生產(chǎn)網(wǎng)絡(luò)中的數(shù)據(jù)流量進(jìn)行深度檢測(cè)、實(shí)時(shí)分析，并對(duì)網(wǎng)絡(luò)中的攻擊行為進(jìn)行監(jiān)測(cè)，動(dòng)態(tài)地發(fā)現(xiàn)來(lái)自內(nèi)部和外部網(wǎng)絡(luò)攻擊的行為，并發(fā)出報(bào)警。

圖 4  業(yè)務(wù)行為審計(jì)

3.3.1.3 企業(yè)工業(yè)主機(jī)安全管控設(shè)計(jì)

在煉鐵車間、煉鋼車間、軋管、管加工等各區(qū)域操作站、工程師站、服務(wù)器等主機(jī)終端上安裝基于“白名單”的工業(yè)主機(jī)安全防護(hù)產(chǎn)品，通過(guò)對(duì)終端運(yùn)行進(jìn)程、服務(wù)等以白名單方式進(jìn)行識(shí)別，策略范圍外進(jìn)程、服務(wù)禁用，實(shí)現(xiàn)對(duì)各車間主機(jī)終端的安全管控。

3.3.1.4 企業(yè)生產(chǎn)網(wǎng)絡(luò)操作行為安全審計(jì)設(shè)計(jì)

在煉鐵車間、煉鋼車間、軋管、管加工等各匯聚交換機(jī)處部署工業(yè)監(jiān)測(cè)審計(jì)系統(tǒng)，實(shí)現(xiàn)對(duì)工業(yè)報(bào)文內(nèi)容的深度解析，閾值的設(shè)定，以及對(duì)數(shù)據(jù)變化速度范圍的設(shè)定，以此來(lái)實(shí)現(xiàn)對(duì)下屬節(jié)點(diǎn)數(shù)據(jù)變化以及寫操作內(nèi)容的審計(jì)。

圖 5  工業(yè)流量審計(jì)

3.3.1.5 運(yùn)維人員操作行為安全設(shè)計(jì)

在運(yùn)維管理區(qū)部署工業(yè)運(yùn)維審計(jì)系統(tǒng)，通過(guò)應(yīng)用運(yùn)維安全審計(jì)手段，實(shí)現(xiàn)對(duì)運(yùn)維賬號(hào)統(tǒng)一管理，資源和權(quán)限進(jìn)行統(tǒng)一分配，對(duì)客戶從登錄到退出的全程操作行為進(jìn)行審計(jì)，加強(qiáng)遠(yuǎn)程維護(hù)的安全管理，降低人為安全風(fēng)險(xiǎn)。

3.3.1.6 企業(yè)生產(chǎn)網(wǎng)絡(luò)日志集中管理與分析設(shè)計(jì)

在運(yùn)維管理區(qū)部署工業(yè)日志收集與分析系統(tǒng)，通過(guò)應(yīng)用日志審計(jì)類手段，對(duì)鋼管制造企業(yè)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)和應(yīng)用系統(tǒng)日志進(jìn)行全面的標(biāo)準(zhǔn)化處理，基于關(guān)聯(lián)分析引擎能力，及時(shí)發(fā)現(xiàn)各種安全威脅、異常行為事件。

圖 6  工業(yè)日志收集與分析

3.3.1.7 企業(yè)生產(chǎn)網(wǎng)絡(luò)脆弱性檢測(cè)設(shè)計(jì)

在運(yùn)維管理區(qū)部署工業(yè)漏洞掃描系統(tǒng)，通過(guò)應(yīng)用工業(yè)漏洞掃描技術(shù)，對(duì)鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)進(jìn)行脆弱性分析和評(píng)估。同時(shí)還支持對(duì)生產(chǎn)網(wǎng)絡(luò)中所特有的設(shè)備/系統(tǒng)，比如SCADA、PLC等進(jìn)行已知漏洞的識(shí)別和檢測(cè)，及時(shí)發(fā)現(xiàn)安全漏洞。          

圖 7  工業(yè)漏掃資產(chǎn)掃描評(píng)估

3.3.1.8 企業(yè)生產(chǎn)網(wǎng)絡(luò)中安全設(shè)備、安全策略集中管控能力設(shè)計(jì)

在運(yùn)維管理區(qū)部署工業(yè)集中管理系統(tǒng)，通過(guò)應(yīng)用集中管理手段，實(shí)現(xiàn)對(duì)工業(yè)防火墻、工業(yè)入侵檢測(cè)系統(tǒng)、工業(yè)安全監(jiān)測(cè)審計(jì)、工業(yè)主機(jī)衛(wèi)士等安全產(chǎn)品的統(tǒng)一監(jiān)控、日志采集、安全分析、策略下發(fā)，為鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)安全運(yùn)營(yíng)提供決策支持，加強(qiáng)安全事件響應(yīng)速度與安全運(yùn)維能力，提升鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)整體信息安全水平。             

圖 8  資產(chǎn)集中管理

3.3.1.9 企業(yè)辦公網(wǎng)與生產(chǎn)網(wǎng)區(qū)域邊界隔離設(shè)計(jì)

針對(duì)中心機(jī)房與辦公網(wǎng)進(jìn)行現(xiàn)場(chǎng)監(jiān)測(cè)數(shù)據(jù)交互過(guò)程實(shí)現(xiàn)單向隔離傳輸機(jī)制，通過(guò)在辦公網(wǎng)與生產(chǎn)區(qū)域邊界部署工業(yè)隔離與交換系統(tǒng)，對(duì)辦公網(wǎng)的邊界流量進(jìn)行單向隔離，該隔離為應(yīng)用層單向即辦公網(wǎng)對(duì)訪問(wèn)控制策略允許的目標(biāo)設(shè)備進(jìn)行只讀操作，禁用對(duì)鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)的寫操作行為。

3.3.1.10整體部署實(shí)施

綜上所述，方案整體的部署實(shí)施圖見(jiàn)下圖。

圖 9   整體部署實(shí)施圖

3.3.2 安全管理體系設(shè)計(jì)

通過(guò)建立組織架構(gòu)管理、安全策略管理、資產(chǎn)安全管理等鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)安全管理制度，明確網(wǎng)絡(luò)安全各項(xiàng)工作所需遵循的基本原則和方針；并組建人員成立安全管理機(jī)構(gòu)，對(duì)安全管理人員定期開(kāi)展網(wǎng)絡(luò)安全教育、培訓(xùn)等提高鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)安全整體管理水平。

同時(shí)，在建設(shè)和運(yùn)維方面也做出安全管理要求，制定安全運(yùn)維管理制度、安全事件處置制度等，規(guī)范鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)安全建設(shè)和運(yùn)維細(xì)則，加強(qiáng)在鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)建設(shè)和運(yùn)維環(huán)節(jié)的把控，實(shí)現(xiàn)鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)安全管理的規(guī)范化、標(biāo)準(zhǔn)化與制度化。

33.3 安全服務(wù)體系設(shè)計(jì)

3.3.3.1 風(fēng)險(xiǎn)評(píng)估服務(wù)

通過(guò)對(duì)鋼管制造企業(yè)業(yè)務(wù)系統(tǒng)關(guān)鍵資產(chǎn)所存在脆弱性及其所面臨的威脅的量化分析，最終以全面、準(zhǔn)確、量化的分析結(jié)果呈現(xiàn)其面臨的各種風(fēng)險(xiǎn)，并提供針對(duì)性的安全風(fēng)險(xiǎn)控制方法，消除安全風(fēng)險(xiǎn)，提高業(yè)務(wù)系統(tǒng)運(yùn)轉(zhuǎn)效率。

3.3.3.2 新系統(tǒng)上線檢查

通過(guò)漏洞檢測(cè)、基線核查、滲透測(cè)試方式對(duì)鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)進(jìn)行測(cè)試，找出新上線業(yè)務(wù)系統(tǒng)（網(wǎng)絡(luò)設(shè)備、主機(jī)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)）中存在的安全配置錯(cuò)誤及漏洞信息，并提供針對(duì)性的建議方案，以免新上線業(yè)務(wù)系統(tǒng)存在的安全隱患給用戶的業(yè)務(wù)和生產(chǎn)帶來(lái)危害。

3.3.3.3 安全加固服務(wù)

針對(duì)鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)及應(yīng)用中間件等軟件系統(tǒng)，通過(guò)強(qiáng)化帳號(hào)安全、修改安全配置、優(yōu)化訪問(wèn)控制策略、堵塞漏洞及“后門”，合理進(jìn)行安全性加強(qiáng)，提高其健壯性和安全性，增加攻擊者入侵的難度。

3.3.3.4 滲透測(cè)試服務(wù)

通過(guò)模擬黑客的攻擊方法，采用工具+人工驗(yàn)證的方式對(duì)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行非破壞性質(zhì)的攻擊性測(cè)試。該檢測(cè)方式能夠綜合驗(yàn)證系統(tǒng)技術(shù)防護(hù)手段和安全管理手段的有效性，可以發(fā)現(xiàn)邏輯性更強(qiáng)、更深層次的弱點(diǎn)，讓管理者能夠直觀的了解自己網(wǎng)絡(luò)和系統(tǒng)的安全狀態(tài)。

3.3.3.5 基線核查服務(wù)

通過(guò)對(duì)鋼管制造企業(yè)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)、系統(tǒng)及應(yīng)用等進(jìn)行基線的合規(guī)性核查，出具基線核查報(bào)告及建議；對(duì)于非標(biāo)準(zhǔn)系統(tǒng)，根據(jù)系統(tǒng)特點(diǎn)進(jìn)行人工核查，并協(xié)助客戶定制基線標(biāo)準(zhǔn)；通過(guò)全局的安全基線核查，掌握網(wǎng)絡(luò)整體安全現(xiàn)況；依據(jù)安全基線核查結(jié)果與客戶業(yè)務(wù)模式特點(diǎn)，提供有針對(duì)性的安全修補(bǔ)建議，防止安全隱患再次被利用而產(chǎn)生的安全危害。

3.3.3.6 駐場(chǎng)服務(wù)

通過(guò)派遣專業(yè)的安服工程師為客戶提供駐場(chǎng)服務(wù)，定期向客戶工作人員提交網(wǎng)絡(luò)的安全狀態(tài)報(bào)告，幫助客戶實(shí)現(xiàn)安全動(dòng)態(tài)的實(shí)時(shí)監(jiān)控，突發(fā)事件的應(yīng)急處置、針對(duì)當(dāng)前安全問(wèn)題的安全建議，幫助客戶了解掌控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，保障網(wǎng)絡(luò)的安全運(yùn)行。

3.3.4 安全運(yùn)營(yíng)體系設(shè)計(jì)

3.3.4.1 技術(shù)架構(gòu)

平臺(tái)整合了終端、應(yīng)用系統(tǒng)、數(shù)據(jù)流量等各類感知數(shù)據(jù)源，采用大數(shù)據(jù)分析挖掘技術(shù)，使用智能算法和安全模型，將看似毫無(wú)聯(lián)系、混亂無(wú)序的各類安全數(shù)據(jù)轉(zhuǎn)化成直觀的可視化信息，實(shí)現(xiàn)威脅發(fā)現(xiàn)、精準(zhǔn)預(yù)警和綜合安全防護(hù)。

其中數(shù)據(jù)采集層通過(guò)資產(chǎn)發(fā)現(xiàn)、脆弱性檢測(cè)、流量審計(jì)等各類探針對(duì)被監(jiān)管網(wǎng)絡(luò)的資產(chǎn)、脆弱性、流量、日志等工業(yè)安全數(shù)據(jù)進(jìn)行檢測(cè)和收集，安全數(shù)據(jù)經(jīng)過(guò)數(shù)據(jù)匯入后存儲(chǔ)到存儲(chǔ)計(jì)算引擎中，核心業(yè)務(wù)對(duì)工業(yè)安全數(shù)據(jù)進(jìn)行分析后形成安全態(tài)勢(shì)和安全風(fēng)險(xiǎn)通過(guò)集中展示層展現(xiàn)給客戶，所有工業(yè)安全風(fēng)險(xiǎn)可以通過(guò)安全處置子系統(tǒng)進(jìn)行多人協(xié)同處置。

圖 10  平臺(tái)技術(shù)架構(gòu)

3.3.4.2 安全設(shè)計(jì)

在運(yùn)維管理區(qū)部署工業(yè)互聯(lián)網(wǎng)態(tài)勢(shì)分析與安全管理系統(tǒng)，將鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)內(nèi)所有安全設(shè)備采集到的流量信息、人員操作行為、異常告警信息進(jìn)行統(tǒng)一收集和整理分析，進(jìn)而掌握整個(gè)企業(yè)生產(chǎn)網(wǎng)絡(luò)中存在的安全隱患和風(fēng)險(xiǎn)，通過(guò)對(duì)行為內(nèi)容進(jìn)行建模分析，評(píng)估當(dāng)前網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)指數(shù)和潛在的受攻擊路線信息，結(jié)合對(duì)安全告警事件的種類、次數(shù)、等級(jí)的安全態(tài)勢(shì)分析，自動(dòng)生成一套符合當(dāng)前安全需要的安全防護(hù)策略建議。基于安全防護(hù)策略，衍生出當(dāng)前的安全預(yù)警分析基線，對(duì)于明顯不符合當(dāng)前網(wǎng)絡(luò)操作行為，做到事前有效預(yù)警和事中及時(shí)防護(hù)，減少不必要的生產(chǎn)損失。

同時(shí)，系統(tǒng)可實(shí)現(xiàn)安全事件追溯功能，結(jié)合機(jī)器自學(xué)習(xí)的方式以及安全漏洞庫(kù)和攻擊特征庫(kù)等，有效識(shí)別、跟蹤分析和判斷各項(xiàng)操作行為和動(dòng)作的合規(guī)性與安全性，對(duì)于超出當(dāng)前安全基線的行為提供全程的行為審計(jì)和事件還原能力，為安全管理人員提供高效的安全事件追溯功能。

3.3.4.2.1 威脅識(shí)別與預(yù)測(cè)

通過(guò)將功能安全數(shù)據(jù)、信息安全數(shù)據(jù)與生產(chǎn)過(guò)程中的重要監(jiān)測(cè)數(shù)據(jù)相互結(jié)合，形成面向系統(tǒng)、業(yè)務(wù)、威脅等狀態(tài)的多維度關(guān)聯(lián)性安全分析，并將安全措施與工業(yè)控制過(guò)程深度融合，實(shí)現(xiàn)安全威脅的快速預(yù)測(cè)、處置及管理。         

圖 11  威脅識(shí)別與預(yù)測(cè)

3.3.4.2.2 安全事件閉環(huán)處置

通過(guò)關(guān)聯(lián)分析系統(tǒng)日志、運(yùn)行狀態(tài)、安全日志、告警信息等數(shù)據(jù)，實(shí)現(xiàn)安全事件識(shí)別，并結(jié)合業(yè)務(wù)模型、安全模型及最新的網(wǎng)絡(luò)安全威脅情報(bào)等信息，準(zhǔn)確及時(shí)地發(fā)現(xiàn)各種潛在威脅和攻擊，進(jìn)行威脅快速定位及事件取證，采取有效處置措施，最終實(shí)現(xiàn)安全處置的閉環(huán)管理。        

圖 12  安全事件閉環(huán)處置

3.3方案創(chuàng)新性

n  面向生產(chǎn)網(wǎng)絡(luò)漏洞利用攻擊的輕量級(jí)靶向性虛擬補(bǔ)丁

通過(guò)構(gòu)建控制系統(tǒng)檢測(cè)引擎，并結(jié)合規(guī)則庫(kù)分級(jí)分類、漏洞規(guī)則庫(kù)新增等技術(shù)手段實(shí)現(xiàn)在網(wǎng)絡(luò)層面對(duì)于漏洞的加固，同時(shí)采用靶向性的技術(shù)手段避免了高延時(shí)、誤報(bào)的問(wèn)題形成對(duì)鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)已知漏洞的安全閉環(huán)。

n  基于數(shù)據(jù)變化率檢測(cè)的控制領(lǐng)域信息安全行為識(shí)別方法

通過(guò)對(duì)鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)中流量的數(shù)據(jù)報(bào)文進(jìn)行完整性還原,識(shí)別報(bào)文中的控制指令依據(jù)業(yè)務(wù)的通信行為與指令進(jìn)行關(guān)聯(lián)分析，并建立業(yè)務(wù)的控制行為基線，通過(guò)行為基線構(gòu)建深度分析體系，同時(shí)與態(tài)勢(shì)感知安全信息進(jìn)行匹配分析，識(shí)別異常控制行為。

n  采用基于數(shù)據(jù)字典的行為內(nèi)容識(shí)別技術(shù)

在對(duì)工業(yè)協(xié)議、工業(yè)通信原理的分析基礎(chǔ)之上，在其中加入通信主從站間數(shù)據(jù)字典能力，將報(bào)文監(jiān)測(cè)的信息與物理數(shù)據(jù)信息進(jìn)行關(guān)聯(lián)，進(jìn)而實(shí)現(xiàn)對(duì)數(shù)據(jù)處理權(quán)限的控制，解決了僅通過(guò)對(duì)通信報(bào)文監(jiān)測(cè)，無(wú)法獲取數(shù)據(jù)信息的難題。

n  雙安融合應(yīng)用

方案創(chuàng)新性將信息安全與功能安全相互融合，將功能安全產(chǎn)生的信息作為數(shù)據(jù)支撐，利用信息安全中的技術(shù)優(yōu)化功能安全的過(guò)程通信傳輸過(guò)程，將分析處置對(duì)象從寄存器轉(zhuǎn)變?yōu)槲锢碜兞浚跇?gòu)建通信傳輸信息安全能力的同時(shí)保障通信業(yè)務(wù)功能的安全可靠。同時(shí)將安全管理技術(shù)與運(yùn)營(yíng)分析技術(shù)進(jìn)行融合，通過(guò)功能安全數(shù)據(jù)、信息安全數(shù)據(jù)與生產(chǎn)過(guò)程中的重要監(jiān)測(cè)數(shù)據(jù)相互結(jié)合，擴(kuò)大分析所采用的數(shù)據(jù)范圍，構(gòu)建工業(yè)流程模型，進(jìn)行基于模型的檢測(cè)，判定安全運(yùn)營(yíng)狀態(tài)，保障企業(yè)安全運(yùn)營(yíng)。

3.4 存在的網(wǎng)絡(luò)安全問(wèn)題及解決思路

ü  兩化融合致生產(chǎn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)劇增

通過(guò)在生產(chǎn)網(wǎng)絡(luò)邊界采取邊界隔離措施，明確網(wǎng)絡(luò)邊界，配置不同安全域間訪問(wèn)控制策略，對(duì)非授權(quán)或越權(quán)跨越邊界行為阻斷報(bào)警，解決網(wǎng)絡(luò)安全風(fēng)險(xiǎn)蔓延的隱患。

ü  工業(yè)主機(jī)惡意程序影響業(yè)務(wù)正常進(jìn)行

操作員站、服務(wù)器等主機(jī)部署“白名單”安全防護(hù)軟件，通過(guò)白名單防護(hù)、外設(shè)管理、基線加固等措施，提升工業(yè)主機(jī)安全防護(hù)能力。

ü  網(wǎng)絡(luò)攻擊行為易造成業(yè)務(wù)中斷

在生產(chǎn)網(wǎng)絡(luò)邊界采取入侵檢測(cè)措施，發(fā)現(xiàn)控制網(wǎng)絡(luò)入侵攻擊、異常流量等安全威脅，對(duì)外來(lái)威脅及時(shí)告警，以便立即采取技術(shù)措施，防止業(yè)務(wù)中斷。

ü  操作行為不規(guī)范易導(dǎo)致生產(chǎn)業(yè)務(wù)停滯

應(yīng)用工業(yè)安全監(jiān)測(cè)審計(jì)手段，針對(duì)區(qū)域內(nèi)操作站、PLC異常通信、違規(guī)操作、協(xié)議規(guī)約異常以及關(guān)鍵事件等告警、記錄。

ü  安全漏洞致網(wǎng)絡(luò)攻擊行為發(fā)生

應(yīng)用脆弱性檢測(cè)技術(shù)，定期開(kāi)展針對(duì)生產(chǎn)網(wǎng)絡(luò)非運(yùn)行狀態(tài)及未上線前主機(jī)、應(yīng)用及控制器脆弱性掃描，實(shí)現(xiàn)對(duì)生產(chǎn)網(wǎng)絡(luò)及系統(tǒng)脆弱性識(shí)別。

ü  缺乏統(tǒng)一安全運(yùn)營(yíng)操作平臺(tái)導(dǎo)致安全運(yùn)維效率低下

應(yīng)用集中管控技術(shù)，對(duì)工業(yè)防火墻、工業(yè)入侵等安全設(shè)備進(jìn)行統(tǒng)一策略下發(fā)，提高整體安全運(yùn)維效率。

ü  安全盲區(qū)易導(dǎo)致攻擊行為趁虛而入

搭建工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知平臺(tái)，從全局視角實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管控和運(yùn)營(yíng)分析管理，解決安全盲區(qū)問(wèn)題。

4、應(yīng)用價(jià)值與效益

n  減少網(wǎng)絡(luò)安全問(wèn)題導(dǎo)致企業(yè)停工停產(chǎn)帶來(lái)的經(jīng)濟(jì)損失

通過(guò)建立工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知平臺(tái)，可實(shí)時(shí)監(jiān)測(cè)鋼管制造企業(yè)生產(chǎn)網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)的安全風(fēng)險(xiǎn)和脆弱性，對(duì)發(fā)現(xiàn)的重大威脅提前進(jìn)行安全風(fēng)險(xiǎn)預(yù)警，有效提升鋼管制造企業(yè)應(yīng)對(duì)網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)的能力，減少因?yàn)榫W(wǎng)絡(luò)安全問(wèn)題導(dǎo)致企業(yè)停工停產(chǎn)帶來(lái)的經(jīng)濟(jì)損失，保證生產(chǎn)業(yè)務(wù)的連續(xù)性、安全性。

n  提升對(duì)安全事件的處置效率

通過(guò)建立工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知平臺(tái)，幫助客戶打破安全數(shù)據(jù)交互壁壘，統(tǒng)籌安全能力，形成以漏洞管理、基線管理、事件管理、風(fēng)險(xiǎn)管理等多方面的安全合力，通過(guò)分析處理海量安全數(shù)據(jù)，挖掘數(shù)據(jù)真正價(jià)值，使得客戶網(wǎng)絡(luò)安全事件處置效率提升98%。

n  動(dòng)態(tài)進(jìn)行安全防御，提升安全事件響應(yīng)速度

通過(guò)聯(lián)動(dòng)網(wǎng)內(nèi)各類安全設(shè)備，可以對(duì)發(fā)現(xiàn)的安全問(wèn)題快速定位，并制定有效的安全防御手段，利用系統(tǒng)的安全策略集中管理能力，可以動(dòng)態(tài)調(diào)整設(shè)備安全策略，快速封堵安全漏洞，及時(shí)處置安全事件，最大程度的降低事件影響范圍。