1.1.1  方案概述

本方案針對(duì)現(xiàn)有信息系統(tǒng)的安全管理中心、計(jì)算環(huán)境安全、區(qū)域邊界安全和通信網(wǎng)絡(luò)安全進(jìn)行合規(guī)的總體框架設(shè)計(jì)。建立以計(jì)算環(huán)境安全為基礎(chǔ)，以區(qū)域邊界安全、通信網(wǎng)絡(luò)安全為保障，以安全管理中心為核心的信息安全整體保障框架體系，并通過(guò)安全監(jiān)測(cè)預(yù)警、安全主動(dòng)防御、及時(shí)安全響應(yīng)、有效安全恢復(fù)的技術(shù)手段，將信息系統(tǒng)構(gòu)建成具備主動(dòng)防御、多級(jí)防護(hù)、縱深防控、整體保護(hù)能力的安全、可靠信息系統(tǒng)。

1.方案背景

鋼鐵企業(yè)主要生產(chǎn)工藝流程有：焦化、煉鐵、煉焦制氣、煉鋼、鋼軋、冷軋薄、動(dòng)力等；每個(gè)工業(yè)流程均是由以PLC+工業(yè)PC+工業(yè)通訊網(wǎng)絡(luò)構(gòu)成的自動(dòng)化控制系統(tǒng)。PLC系統(tǒng)由PLC控制柜、通訊柜、端子柜組成?，F(xiàn)場(chǎng)來(lái)的電纜先接入端子柜,再由端子柜接至PLC，PLC與上位機(jī)通過(guò)工業(yè)交換機(jī)進(jìn)行數(shù)據(jù)交換。不同PLC系統(tǒng)與其它PLC系統(tǒng)有關(guān)的連鎖信號(hào)通過(guò)網(wǎng)絡(luò)通訊完成數(shù)據(jù)交換。鋼鐵廠工業(yè)以太網(wǎng)一般采用環(huán)網(wǎng)結(jié)構(gòu)，為實(shí)時(shí)控制網(wǎng)，負(fù)責(zé)控制器、操作站和工程師站之間過(guò)程控制數(shù)據(jù)實(shí)時(shí)通訊，網(wǎng)絡(luò)上所有操作站、數(shù)采機(jī)和PLC都采用以太網(wǎng)接口，網(wǎng)絡(luò)中遠(yuǎn)距離傳輸介質(zhì)為光纜，本地傳輸介質(zhì)為網(wǎng)線（如PLC與操作站之間）。生產(chǎn)監(jiān)控主機(jī)利用雙網(wǎng)卡結(jié)構(gòu)與管理網(wǎng)互聯(lián)。鋼鐵企業(yè)的工業(yè)控制系統(tǒng)具有多個(gè)生產(chǎn)工藝流程混合、控制網(wǎng)絡(luò)組網(wǎng)復(fù)雜，多種通信方式并存、生產(chǎn)控制系統(tǒng)品牌多、新老系統(tǒng)并存，多種高級(jí)應(yīng)用分而自治，使得可以被黑客利用的漏洞大量存在。可見(jiàn)，對(duì)于這樣的系統(tǒng)網(wǎng)絡(luò)，不能采用單一的防護(hù)策略，需要根據(jù)實(shí)際情況，從不同角度和層次應(yīng)用多種策略進(jìn)行綜合防護(hù)。

隨著工業(yè)互聯(lián)網(wǎng)和鋼鐵行業(yè)信息化的推進(jìn)以及MES、EMS、APS等系統(tǒng)的逐步推廣應(yīng)用，原本相互獨(dú)立的DCS、PLC、電儀系統(tǒng)、SCADA等控制子系統(tǒng)需要通過(guò)網(wǎng)絡(luò)與信息系統(tǒng)連接在一起。這些控制子系統(tǒng)負(fù)責(zé)完成對(duì)高爐控制系統(tǒng)、轉(zhuǎn)爐控制系統(tǒng)、燃燒控制系統(tǒng)、煉鋼智能控制系統(tǒng)、軋薄帶智能控制系統(tǒng)、高精度板厚控制系統(tǒng)的采集、存儲(chǔ)、輸送等控制任務(wù)，一旦受到惡性攻擊、病毒感染，就會(huì)導(dǎo)致鋼鐵生產(chǎn)受到嚴(yán)重影響，甚至造成人員傷亡等嚴(yán)重后果。在鋼鐵行業(yè)統(tǒng)一管理集中監(jiān)控的大趨勢(shì)下，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的集成度越來(lái)越高，與其他信息網(wǎng)絡(luò)的互聯(lián)程度也隨之提高。與此同時(shí)，未經(jīng)隔離的網(wǎng)絡(luò)與主機(jī)、誤操作、惡意操作、未授權(quán)的接入與操作、未授權(quán)的程序安裝、系統(tǒng)資源濫用與誤用、外部接口濫用（usb口及其他擴(kuò)展接口）以及新型攻擊（APT）也對(duì)工業(yè)控制系統(tǒng)安全帶來(lái)極大的威脅。如果工業(yè)控制系統(tǒng)不加強(qiáng)主動(dòng)防護(hù)、監(jiān)測(cè)審計(jì)、集中監(jiān)管和預(yù)警響應(yīng)等安全措施的建設(shè)，將在系統(tǒng)中留下大量的安全盲點(diǎn)與灰色地帶，給各類外部威脅留下可乘之機(jī)，不但無(wú)法對(duì)安全事件做到及時(shí)響應(yīng)處置，還非常容易對(duì)生產(chǎn)業(yè)務(wù)產(chǎn)生嚴(yán)重的影響。

2.方案簡(jiǎn)介

目前鋼鐵企業(yè)工控系統(tǒng)各個(gè)系統(tǒng)之間互聯(lián)互通密切，隨著網(wǎng)絡(luò)化的逐漸深入，新的場(chǎng)景也帶來(lái)了新的風(fēng)險(xiǎn)，鋼鐵企業(yè)目前面臨不同的生產(chǎn)區(qū)域之間為了連接的便利性未做有效的區(qū)域劃分、工業(yè)控制通信協(xié)議在設(shè)計(jì)時(shí)通常只強(qiáng)調(diào)通信的實(shí)時(shí)性及可用性對(duì)安全性普遍考慮不足、工控上位機(jī)大多數(shù)處于“裸奔”狀態(tài)、軟件開(kāi)發(fā)階段缺少安全設(shè)計(jì)軟件存在大量的安全漏洞、員工安全意識(shí)淡薄等等一系列安全問(wèn)題。

依據(jù)《網(wǎng)絡(luò)安全法》、“等保2.0”等現(xiàn)行法規(guī)、規(guī)范和標(biāo)準(zhǔn)的要求，在安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向加密、分級(jí)綜合防護(hù)的基礎(chǔ)上，通過(guò)工控網(wǎng)絡(luò)“智能白名單”形式，對(duì)鋼鐵廠生產(chǎn)控制大區(qū)系統(tǒng)進(jìn)行自主可控、安全可靠的工控安全整體防護(hù)。利用“AI基因，威脅免疫”安全防護(hù)技術(shù)構(gòu)建鋼鐵廠網(wǎng)絡(luò)信息安全綜合防護(hù)架構(gòu)；完善鋼鐵廠生產(chǎn)控制大區(qū)工控網(wǎng)絡(luò)信息安全防護(hù)體系，符合工控等保2.0第三級(jí)安全防護(hù)要求。

3.方案目標(biāo)

建立自動(dòng)化生產(chǎn)系統(tǒng)的安全加固與主動(dòng)預(yù)警的安全防護(hù)體系，從網(wǎng)絡(luò)層、主機(jī)層、系統(tǒng)層、應(yīng)用層和管理制度等多方面進(jìn)行主動(dòng)式威脅管理，提高工業(yè)控制系統(tǒng)整體安全防護(hù)等級(jí)，保證鋼鐵企業(yè)工業(yè)控制系統(tǒng)的穩(wěn)定有序運(yùn)行。

（1）建設(shè)工控網(wǎng)絡(luò)邊界安全防護(hù)及終端計(jì)算環(huán)境安全防護(hù)

通過(guò)技術(shù)手段對(duì)在工控網(wǎng)絡(luò)邊界部署安全產(chǎn)品，以鋼鐵生產(chǎn)工藝流程為單位，對(duì)安全生產(chǎn)網(wǎng)絡(luò)進(jìn)行安全域的劃分，堅(jiān)持“橫向分區(qū)、縱向分層”的原則構(gòu)建可信工控系統(tǒng)，防護(hù)網(wǎng)絡(luò)攻擊與威脅，保證工業(yè)生產(chǎn)系統(tǒng)安全，打造工控安全計(jì)算白環(huán)境；部署統(tǒng)一運(yùn)維平臺(tái)進(jìn)行工控網(wǎng)絡(luò)安全工作高效可靠管理，初步建立工控網(wǎng)絡(luò)安全管理體系，即利用技術(shù)手段和管理手段保證企業(yè)安全生產(chǎn)。

（2）建設(shè)完善的安全審計(jì)措施和未知威脅檢測(cè)，完善縱深防御體系

通過(guò)旁路監(jiān)聽(tīng)與智能分析技術(shù)，對(duì)系統(tǒng)的控制、采集請(qǐng)求、網(wǎng)絡(luò)行為進(jìn)行詳細(xì)的審計(jì)，對(duì)攻擊及時(shí)預(yù)警。建立事前攻擊的提前發(fā)現(xiàn)和預(yù)防，事中攻擊的主動(dòng)檢測(cè)、主動(dòng)防御，事后及時(shí)溯源，做到應(yīng)急響應(yīng)。同時(shí)構(gòu)建清晰的資產(chǎn)互訪拓?fù)洌粚?duì)攻擊場(chǎng)景進(jìn)行還原，對(duì)每個(gè)攻擊階段進(jìn)行回溯分析，通過(guò)豐富的可視化技術(shù)進(jìn)行多維呈現(xiàn)。

（3）建設(shè)網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警與信息通報(bào)平臺(tái)

建立針對(duì)鋼鐵行業(yè)各工藝段工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)預(yù)警、信息通報(bào)、應(yīng)急處置手段，提高威脅信息的共享，對(duì)監(jiān)測(cè)發(fā)現(xiàn)的安全風(fēng)險(xiǎn)隱患及時(shí)通報(bào)相關(guān)企業(yè)；實(shí)現(xiàn)工業(yè)設(shè)備資產(chǎn)感知、工業(yè)漏洞感知、工業(yè)配置感知、工業(yè)協(xié)議識(shí)別和分析、工業(yè)連接和網(wǎng)絡(luò)行為感知、工業(yè)僵木蠕檢測(cè)、工業(yè)攻擊鏈的監(jiān)測(cè)和分析等安全態(tài)感知功能，實(shí)時(shí)識(shí)別和預(yù)警工業(yè)控制網(wǎng)絡(luò)和工業(yè)互聯(lián)網(wǎng)絡(luò)的安全威脅，及時(shí)與工業(yè)安全設(shè)備聯(lián)動(dòng)實(shí)現(xiàn)協(xié)同防護(hù)，并提供攻擊回溯取證和安全態(tài)勢(shì)定期報(bào)表，為制定工控安全策略提供支撐，形成安全閉環(huán)，進(jìn)而實(shí)現(xiàn)工業(yè)控制網(wǎng)絡(luò)和工業(yè)互聯(lián)網(wǎng)絡(luò)安全威脅的可視、可控、可管。

1.1.2  方案實(shí)施概況

鑒于當(dāng)前鋼鐵行業(yè)工控系統(tǒng)安全現(xiàn)狀，若要同層級(jí)不同區(qū)域的縱深防護(hù)，需要對(duì)工業(yè)網(wǎng)絡(luò)內(nèi)部通信的各種數(shù)據(jù)采集協(xié)議和控制協(xié)議進(jìn)行深度解析，對(duì)工控網(wǎng)絡(luò)進(jìn)行區(qū)域劃分與隔離，對(duì)工控主機(jī)進(jìn)行安全加固，對(duì)工控網(wǎng)絡(luò)進(jìn)行全網(wǎng)安全審計(jì)和威脅感知。

1.方案總體架構(gòu)和主要內(nèi)容

（1）方案總體架構(gòu)

工控系統(tǒng)安全建設(shè)遵循“一個(gè)中心，三重防護(hù)”的建設(shè)原則，在鋼鐵廠集團(tuán)數(shù)據(jù)中心建設(shè)工控安全管理平臺(tái)、工控安全態(tài)勢(shì)平臺(tái)及工控系統(tǒng)數(shù)據(jù)災(zāi)備中心。

該廠均在內(nèi)部建設(shè)獨(dú)立的工控安全管理平臺(tái)和工控安全態(tài)勢(shì)感知平臺(tái)，本部生產(chǎn)基地為數(shù)據(jù)分析中心，各基地平臺(tái)將數(shù)據(jù)上傳至本部生產(chǎn)基地工控安全管理平臺(tái)和工控安全態(tài)勢(shì)感知平臺(tái)進(jìn)行審計(jì)分析、數(shù)據(jù)綜合分析與展示。

數(shù)據(jù)災(zāi)備中心將各廠區(qū)重要業(yè)務(wù)系統(tǒng)的數(shù)據(jù)集中匯總收集，集中災(zāi)備，避免意外造成的數(shù)據(jù)丟失。

在集團(tuán)下各分廠搭建縱深的三重防護(hù)體系，以安全服務(wù)的形式梳理通信網(wǎng)絡(luò)，理清網(wǎng)絡(luò)邊界，在網(wǎng)絡(luò)邊界構(gòu)建訪問(wèn)控制體系，阻斷非正常的邊界訪問(wèn)，搭建分支管理中心，對(duì)計(jì)算環(huán)境進(jìn)行綜合監(jiān)管與安全審計(jì)，對(duì)終端設(shè)備進(jìn)行安全運(yùn)維，對(duì)終端系統(tǒng)進(jìn)行白名單準(zhǔn)入管控。

拓?fù)浼軜?gòu)如圖4-1所示：

圖4-1  拓?fù)浼軜?gòu)

在部署防護(hù)措施的時(shí)候，首先做好網(wǎng)絡(luò)隔離安全，明確網(wǎng)絡(luò)邊界，基于數(shù)字證書(shū)等措施進(jìn)行身份認(rèn)證和授權(quán)管理，基于零信任措施嚴(yán)格執(zhí)行細(xì)粒度的訪問(wèn)控制；

其次在生產(chǎn)控制網(wǎng)部署工業(yè)監(jiān)測(cè)審計(jì)設(shè)備記錄應(yīng)用和設(shè)備情況，學(xué)習(xí)通信和數(shù)據(jù)的特點(diǎn)，結(jié)合主機(jī)白名單軟件建立工控網(wǎng)絡(luò)安全“白環(huán)境”。

再次采用堡壘機(jī)應(yīng)對(duì)工控網(wǎng)絡(luò)系統(tǒng)管理員特權(quán)以及非法操作等突出安全問(wèn)題；

然后采取綜合審計(jì)措施，對(duì)網(wǎng)絡(luò)安全事件進(jìn)行發(fā)現(xiàn)和追溯管理；

最后基于安全服務(wù)，對(duì)生產(chǎn)廠全網(wǎng)進(jìn)行安全加固，逐一終端檢查本地安全服務(wù)及本地安全策略，排查弱口令，雷同口令，非法外設(shè)等，并利用備份機(jī)制和并行機(jī)制，結(jié)合應(yīng)急響應(yīng)預(yù)案建立快速響應(yīng)能力。

（2）方案主要內(nèi)容

?   安全域劃分

廠內(nèi)各機(jī)組按分廠（分線）統(tǒng)一安全監(jiān)控。按具體情況：

其一，L2網(wǎng)絡(luò)能夠連接成一個(gè)網(wǎng)絡(luò)的情況，可以在L2機(jī)房（或主電室）配置核心交換機(jī)統(tǒng)一與生產(chǎn)網(wǎng)匯聚交換機(jī)連通，分期分階段將網(wǎng)絡(luò)匯聚到廠內(nèi)L2機(jī)房（或主電室）核心交換機(jī)。各機(jī)組網(wǎng)絡(luò)用工業(yè)防火墻進(jìn)行隔離，可以根據(jù)需要進(jìn)行連通（或不連通）；

其二，L2系統(tǒng)無(wú)法進(jìn)行統(tǒng)一接入的情況，L2通訊服務(wù)器就近接入到生產(chǎn)網(wǎng)的接入交換機(jī)，中間用工業(yè)防火墻進(jìn)行隔離。

內(nèi)部安全域劃分上，首先，基于三層交換機(jī)，按IP地址為生產(chǎn)網(wǎng)劃分VLAN，并設(shè)置子網(wǎng)地址。采用VLAN提供的安全機(jī)制，可以限制特定用戶的訪問(wèn)，甚至鎖定網(wǎng)絡(luò)成員的MAC地址，這樣，就限制了未經(jīng)安全許可的用戶和網(wǎng)絡(luò)成員對(duì)網(wǎng)絡(luò)的使用。如無(wú)法劃分VLAN，可以在工業(yè)防火墻啟用NAT功能；其次，配置交換機(jī)的（ACL）訪問(wèn)控制策略，通過(guò)包過(guò)濾技術(shù)禁止外部非法用戶對(duì)內(nèi)部的訪問(wèn)。同時(shí)建議關(guān)閉或限制使用交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備的不必要功能、端口、協(xié)議和服務(wù)。

管理網(wǎng)與工控網(wǎng)邊界：在管理網(wǎng)與工控網(wǎng)之間均采用工業(yè)網(wǎng)閘進(jìn)行網(wǎng)絡(luò)隔離。能夠阻止不必要的流量進(jìn)入工控網(wǎng)。僅定義必要的工控應(yīng)用服務(wù)器與管理網(wǎng)的業(yè)務(wù)服務(wù)器允許通信，其他通信都被禁止。最大限度的阻止從管理網(wǎng)絡(luò)向工控網(wǎng)絡(luò)入侵行為的傳播，同時(shí)保證必要的業(yè)務(wù)系統(tǒng)間的數(shù)據(jù)共享。滿足等保2.0“安全網(wǎng)絡(luò)通信”中：保證跨越邊界的訪問(wèn)和數(shù)據(jù)流通過(guò)邊界防護(hù)設(shè)備提供的受控接口進(jìn)行通信的合規(guī)要求。

各生產(chǎn)子網(wǎng)的邊界：在網(wǎng)絡(luò)之間采用工業(yè)防火墻進(jìn)行隔離。阻止生產(chǎn)子網(wǎng)以外的數(shù)據(jù)包或惡意程序進(jìn)入生產(chǎn)子網(wǎng)，限制子網(wǎng)內(nèi)的允許跨網(wǎng)通信的主機(jī)數(shù)量，除非必要，否則將禁止子網(wǎng)間的通信。同時(shí)防止一個(gè)子網(wǎng)感染病毒后向其他子網(wǎng)或上層安全域傳播的可能。工業(yè)防火墻具有工控網(wǎng)絡(luò)通信協(xié)議的深度內(nèi)容檢查功能，能夠及時(shí)發(fā)現(xiàn)功能碼錯(cuò)誤或指令攻擊行為，提供阻斷或報(bào)警功能。

安全管理中心邊界：安全管理中心因?yàn)楸仨氃诰W(wǎng)絡(luò)上與被管理設(shè)備間路由可達(dá)，防火墻應(yīng)設(shè)置端到端的、基于端口的嚴(yán)格訪問(wèn)控制規(guī)則，阻止對(duì)安全管理中心的非授權(quán)訪問(wèn)行為，阻止來(lái)自任意網(wǎng)絡(luò)對(duì)安全管理域的不必要流量，保障管理中心自身安全。

未知邊界管理：由于工控網(wǎng)絡(luò)的物理邊界范圍太大，給管理帶來(lái)非常大的難度，隨身WIFI設(shè)備、無(wú)線路由私接、手機(jī)熱點(diǎn)等都隨時(shí)可能破壞網(wǎng)絡(luò)邊界的完整性，使得用戶在網(wǎng)絡(luò)邊界上的努力和投入化為烏有。在網(wǎng)絡(luò)核心處部署邊界完整性檢查產(chǎn)品，快速網(wǎng)絡(luò)檢測(cè)、定位與阻斷控制破壞網(wǎng)絡(luò)邊界行為，保護(hù)邊界安全。

?   縱深安全防御

基于邊界訪問(wèn)控制、邊界入侵防御等構(gòu)建縱深安全防御體系。入侵防御是工業(yè)控制系統(tǒng)安全防護(hù)的重要技術(shù)措施。在工業(yè)防火墻選擇工業(yè)入侵防御模塊，可以實(shí)時(shí)監(jiān)控關(guān)鍵業(yè)務(wù)系統(tǒng)的關(guān)鍵路徑信息，實(shí)現(xiàn)安全事件的可發(fā)現(xiàn)、可追蹤、可審計(jì)和阻斷。

工業(yè)入侵防御系統(tǒng)采用協(xié)議分析、模式匹配、異常檢測(cè)等技術(shù)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量、數(shù)據(jù)包的動(dòng)態(tài)監(jiān)視、記錄和管理、對(duì)異常事件進(jìn)行告警等。滿足等保2.0“安全網(wǎng)絡(luò)通信”中：在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從外部（或內(nèi)部）發(fā)起的網(wǎng)絡(luò)攻擊行為的合規(guī)要求。

?   網(wǎng)絡(luò)安全預(yù)警

通過(guò)在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)處對(duì)數(shù)據(jù)流量做鏡像采集，并交由中心節(jié)點(diǎn)的分析平臺(tái)做數(shù)據(jù)分析的方式進(jìn)行安全分析與威脅預(yù)警。采用“AI基因，威脅免疫”的防護(hù)理念，運(yùn)用人工智能技術(shù)實(shí)現(xiàn)對(duì)安全威脅的主動(dòng)防御，能夠在攻擊產(chǎn)生破壞行為之前及時(shí)被發(fā)現(xiàn)并響應(yīng)，避免發(fā)生更大的經(jīng)濟(jì)損失與社會(huì)影響。

通過(guò)新一代高性能分布式大數(shù)據(jù)平臺(tái)，搭載大數(shù)據(jù)AI分析引擎，采用無(wú)監(jiān)督學(xué)習(xí)算法，以產(chǎn)線內(nèi)資產(chǎn)為核心構(gòu)建AI模型，全面檢測(cè)高級(jí)威脅和未知威脅。

通過(guò)聚焦于資產(chǎn)發(fā)現(xiàn)和未知威脅檢測(cè)兩大客戶痛點(diǎn)，通過(guò)高效處理海量數(shù)據(jù)，自動(dòng)發(fā)現(xiàn)內(nèi)網(wǎng)資產(chǎn)，構(gòu)建清晰的資產(chǎn)互訪拓?fù)洌煌ㄟ^(guò)全流量AI未知威脅檢測(cè)，結(jié)合全球威脅情報(bào)進(jìn)行威脅溯源；通過(guò)精準(zhǔn)攻擊場(chǎng)景還原，采用攻擊鏈對(duì)每個(gè)攻擊階段進(jìn)行回溯分析，并留存攻擊取證報(bào)文；結(jié)合AI檢測(cè)、規(guī)則檢測(cè)進(jìn)行關(guān)聯(lián)分析，自動(dòng)評(píng)估風(fēng)險(xiǎn)資產(chǎn)，通過(guò)豐富的可視化技術(shù)進(jìn)行多維呈現(xiàn)。

2. 網(wǎng)絡(luò)、平臺(tái)或安全互聯(lián)架構(gòu)

（1）網(wǎng)絡(luò)互聯(lián)架構(gòu)

鋼鐵行業(yè)是我國(guó)基礎(chǔ)性產(chǎn)業(yè)，是國(guó)民經(jīng)濟(jì)的支柱產(chǎn)業(yè)之一。相當(dāng)長(zhǎng)的一段時(shí)間鋼鐵企業(yè)的工業(yè)控制系統(tǒng)一直處于“信息孤島”狀態(tài)。近年來(lái)，隨著互聯(lián)網(wǎng)+、物聯(lián)網(wǎng)和智能制造技術(shù)的發(fā)展，鋼鐵行業(yè)積極推進(jìn)信息化建設(shè)，顯著提升了鋼鐵行業(yè)的生產(chǎn)能力和管理水平。鋼鐵行業(yè)工控系統(tǒng)不斷優(yōu)化升級(jí)，這一發(fā)展過(guò)程中，工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全面臨著重大挑戰(zhàn)。在全球信息化飛速發(fā)展的新形勢(shì)下，如何確保鋼鐵行業(yè)工控系統(tǒng)的信息安全，一直備受重視。

鋼鐵冶煉是將鐵礦石經(jīng)過(guò)一些列工序冶煉成鋼并軋制成鋼材的過(guò)程。為了支撐這一過(guò)程，鋼廠的工業(yè)生產(chǎn)流程還包括了石灰白灰制造，發(fā)電，煤的焦化提純，空氣壓縮，制氧等一系列能源、輔料以及高價(jià)值副產(chǎn)品的生產(chǎn)，工業(yè)流程主體如圖4-2所示：

圖4-2  工業(yè)流程主體

（2）安全風(fēng)險(xiǎn)

?   生產(chǎn)控制大區(qū)內(nèi)部工控系統(tǒng)邊界缺乏有效的防護(hù)手段

各生產(chǎn)線之間的網(wǎng)絡(luò)邊界未部署針對(duì)工業(yè)環(huán)境的安全產(chǎn)品，某個(gè)域中感染病毒或者受到攻擊后，威脅有可能蔓延到整個(gè)工控網(wǎng)絡(luò)。

?   生產(chǎn)監(jiān)控工業(yè)主機(jī)及服務(wù)器中存在安全隱患

工業(yè)控制系統(tǒng)中的主機(jī)、工控機(jī)未安裝專門(mén)的工控防護(hù)軟件，工業(yè)主機(jī)使用了相對(duì)主流的windows操作系統(tǒng)，為了保證系統(tǒng)的穩(wěn)定性和兼容性往往難以進(jìn)行必要的安全性補(bǔ)丁更新，在當(dāng)前的工控網(wǎng)絡(luò)架構(gòu)下，其暴露程度也相對(duì)較高，存在被植入病毒和各類間諜軟件的風(fēng)險(xiǎn)。

根據(jù)對(duì)工控系統(tǒng)存在的安全風(fēng)險(xiǎn)，得出工控安全建設(shè)需求，要以滿足未來(lái)的等級(jí)保護(hù)2.0工業(yè)控制系統(tǒng)安全擴(kuò)展要求為前提，通過(guò)建立多層次的縱深安全防護(hù)機(jī)制，防止攻擊對(duì)工控系統(tǒng)造成不良影響，具體建設(shè)需求如下：

網(wǎng)絡(luò)攻擊防護(hù)：根據(jù)該鋼鐵廠的環(huán)網(wǎng)特點(diǎn)，采用適當(dāng)?shù)木W(wǎng)絡(luò)攻擊預(yù)警、發(fā)現(xiàn)及防護(hù)機(jī)制，防止網(wǎng)絡(luò)入侵，惡意軟件擴(kuò)散等情況的出現(xiàn)。

主機(jī)安全防護(hù)：針對(duì)工業(yè)主機(jī)的特點(diǎn)，采用適當(dāng)?shù)姆桨阜乐箰阂廛浖诠I(yè)主機(jī)上啟動(dòng)運(yùn)行。

?   生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)內(nèi)部缺乏完整性管控手段和運(yùn)維審計(jì)措施

在日常的生產(chǎn)運(yùn)營(yíng)和維護(hù)中，需要第三方運(yùn)維單位進(jìn)行設(shè)備巡檢和檢修，為了工作的便捷性，經(jīng)常將辦公用的筆記本及便攜設(shè)備等接入到生產(chǎn)網(wǎng)絡(luò)中，由于缺少網(wǎng)絡(luò)準(zhǔn)入技術(shù)及安全審計(jì)技術(shù)，不能對(duì)私自接入的設(shè)備進(jìn)行管控，給生產(chǎn)系統(tǒng)帶來(lái)了很大的安全隱患。在疫情影響下，運(yùn)維人員還有可能通過(guò)遠(yuǎn)程桌面方式進(jìn)行運(yùn)維，缺乏完善的運(yùn)維審計(jì)機(jī)制，對(duì)運(yùn)維人員的操作過(guò)程沒(méi)有記錄。

3. 具體應(yīng)用場(chǎng)景和安全應(yīng)用模式

（1）鋼鐵行業(yè)云數(shù)據(jù)中心安全防護(hù)建設(shè)

隨著互聯(lián)網(wǎng)的重心逐步向移動(dòng)互聯(lián)網(wǎng)轉(zhuǎn)移，各種新技術(shù)新業(yè)務(wù)上線運(yùn)營(yíng)，帶來(lái)海量數(shù)據(jù)的爆炸式增長(zhǎng)，關(guān)于客戶的隱私數(shù)據(jù)也日益增加。因此，需要構(gòu)建整體全面的云計(jì)算安全體系，對(duì)內(nèi)實(shí)現(xiàn)安全管理，對(duì)外實(shí)現(xiàn)安全運(yùn)營(yíng)。

在虛擬機(jī)資源池環(huán)境中，物理服務(wù)器內(nèi)部存在多個(gè)虛擬機(jī)，每個(gè)虛擬機(jī)都承載不同業(yè)務(wù)系統(tǒng)；同時(shí)，同一物理服務(wù)器內(nèi)部的不同虛擬機(jī)間的流量可以通過(guò)內(nèi)部的虛擬網(wǎng)絡(luò)層直接通信，不再通過(guò)外部的物理防火墻，使得原有的物理安全邊界在虛擬化環(huán)境下發(fā)生改變，因此，原有的安全防護(hù)機(jī)制無(wú)法有效應(yīng)對(duì)虛擬化環(huán)境的場(chǎng)景，給云數(shù)據(jù)中心用戶業(yè)務(wù)上云帶來(lái)了極大的阻礙。該場(chǎng)景拓?fù)涫疽鈭D如圖4-3：

圖4-3  場(chǎng)景拓?fù)涫疽鈭D

根據(jù)等級(jí)保護(hù)“一個(gè)中心，三重防護(hù)”的指導(dǎo)思想，參照《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)安全要求中“安全通用要求”與“云計(jì)算安全擴(kuò)展要求”，通過(guò)技術(shù)手段實(shí)現(xiàn)的防護(hù)主要包含如下幾個(gè)層面：

?   安全通信網(wǎng)絡(luò)：通過(guò)部署六方云池實(shí)現(xiàn)租戶間的隔離。通過(guò)部署云池

產(chǎn)品實(shí)現(xiàn)不同云租戶虛擬網(wǎng)絡(luò)間的隔離及邊界防護(hù)與入侵防范，滿足等保中安全通信網(wǎng)絡(luò)的要求；由于云數(shù)據(jù)中心網(wǎng)絡(luò)中有一個(gè)不可控區(qū)域，即用戶托管的服務(wù)器區(qū)。此區(qū)域的服務(wù)器，最終用戶擁有完全控制權(quán)限，因此此部分很容易被當(dāng)成肉雞，直接繞過(guò)邊界防火墻訪問(wèn)云服務(wù)器。因此通過(guò)在托管服務(wù)器區(qū)邊界部署下一代防火墻，實(shí)現(xiàn)云計(jì)算服務(wù)器與網(wǎng)絡(luò)中其他網(wǎng)絡(luò)的邊界防護(hù)與入侵防范等。

?   安全區(qū)域邊界：通過(guò)安全設(shè)備及網(wǎng)絡(luò)設(shè)備合理劃分安全域：云數(shù)據(jù)中心

為內(nèi)部區(qū)域，其它為外部區(qū)域，通過(guò)在核心交換機(jī)上部署入侵檢測(cè)系統(tǒng)（IDS），實(shí)現(xiàn)發(fā)現(xiàn)訪問(wèn)控制過(guò)程中的威脅并及時(shí)做好防護(hù)策略；通過(guò)旁路部署神探系統(tǒng)流量探針，采用監(jiān)聽(tīng)與智能分析技術(shù)，對(duì)系統(tǒng)的控制、采集請(qǐng)求，數(shù)據(jù)庫(kù)存取、系統(tǒng)運(yùn)維等關(guān)鍵行為進(jìn)行審計(jì)，對(duì)攻擊及時(shí)預(yù)警；在內(nèi)部用戶網(wǎng)絡(luò)邊界部署下一代防火墻配合入侵防御模塊（IPS），實(shí)現(xiàn)內(nèi)部用戶終端到云服務(wù)器區(qū)的訪問(wèn)控制，對(duì)云服務(wù)器的安全起到安全保障；在互聯(lián)網(wǎng)邊界，通過(guò)部署入侵防御系統(tǒng)（IPS）實(shí)現(xiàn)對(duì)原有外部邊界防火墻的功能互補(bǔ)，抵御來(lái)自互聯(lián)網(wǎng)的攻擊，通過(guò)部署蜜罐設(shè)備及時(shí)發(fā)現(xiàn)來(lái)自互聯(lián)網(wǎng)的威脅，將威脅攻擊誘捕至蜜罐，從而讓安全運(yùn)維人員及早發(fā)現(xiàn)黑客的攻擊行為與手段，提前做出預(yù)判并提升安全防護(hù)等級(jí)，也為安全防護(hù)策略的建議爭(zhēng)取寶貴的時(shí)間，從而滿足等保中安全區(qū)域邊界的要求。

?   安全計(jì)算環(huán)境：通過(guò)部署六方云池，采用流量引流或鏡像的接口，通過(guò)

云池平臺(tái)上包含的各類安全組件來(lái)實(shí)現(xiàn)防護(hù)；通過(guò)在云主機(jī)安裝云主機(jī)防護(hù)軟件，實(shí)現(xiàn)對(duì)終端主機(jī)的防護(hù)，滿足等保中安全計(jì)算環(huán)境的相關(guān)要求。

?   安全管理中心：以神探系統(tǒng)分析平臺(tái)作為輔助安全管理中心，實(shí)現(xiàn)對(duì)網(wǎng)

絡(luò)流量的統(tǒng)一采集、分析及主要防護(hù)設(shè)備的統(tǒng)一運(yùn)維，形成云數(shù)據(jù)中心的安全運(yùn)營(yíng)中心，統(tǒng)一維護(hù)日常的信息安全防護(hù)，對(duì)安全事件的應(yīng)急處置、攻擊行為的發(fā)現(xiàn)提供技術(shù)支撐。

（2）熱軋工業(yè)控制系統(tǒng)安全防護(hù)建設(shè)

工業(yè)控制系統(tǒng)安全防護(hù)設(shè)計(jì)應(yīng)以構(gòu)建可持續(xù)演進(jìn)的、能主動(dòng)發(fā)現(xiàn)隱患并支持智能決策的安全防護(hù)能力為目標(biāo)。為實(shí)現(xiàn)這一目標(biāo)，不能單純依賴技術(shù)手段、安全軟硬件設(shè)施的簡(jiǎn)單堆疊，而應(yīng)當(dāng)采用先進(jìn)的安全技術(shù)、構(gòu)建全天候的安全運(yùn)營(yíng)體系、并落實(shí)因地制宜的安全管理制度。其中，安全運(yùn)營(yíng)是銜接技術(shù)手段和管理制度，并讓安全防護(hù)能力持續(xù)有效的核心。

在安全技術(shù)、安全運(yùn)營(yíng)能力及安全管理制度的落實(shí)中，必須考慮到企業(yè)工控網(wǎng)絡(luò)在時(shí)延敏感性、工業(yè)控制協(xié)議、工控網(wǎng)絡(luò)架構(gòu)、工業(yè)上下位機(jī)漏洞等方面的特點(diǎn)并有針對(duì)性的提出防護(hù)方法，總結(jié)得出關(guān)鍵防護(hù)原則如下：

?分層分區(qū)：依據(jù)“垂直分層，水平分區(qū)”的思想對(duì)工業(yè)控制系統(tǒng)進(jìn)行細(xì)致的安全區(qū)域劃分，同時(shí)根據(jù)不同區(qū)域的安全防護(hù)需求特點(diǎn)分安全級(jí)別的落實(shí)安全措施。

?本體保護(hù)：工業(yè)系統(tǒng)中的各個(gè)模塊均應(yīng)實(shí)現(xiàn)自身的安全。同時(shí)，在條件不具備的條件下將各模塊本體作為安全防護(hù)的單元，應(yīng)用必要的安全技術(shù)、管理手段和應(yīng)急措施。

?智能分析：在構(gòu)筑安全架構(gòu)的基礎(chǔ)上，通過(guò)對(duì)AI技術(shù)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)行為中潛藏異常風(fēng)險(xiǎn)進(jìn)行挖掘，通過(guò)智能化的策略建議提供更高的安全防護(hù)水平。

?集中管控：對(duì)部署的安全防護(hù)技術(shù)手段應(yīng)在系統(tǒng)范圍內(nèi)進(jìn)行集中管控，將孤立的安全能力整合成協(xié)同工作的安全防護(hù)體系。

詳細(xì)拓?fù)淙鐖D4-4所示：

圖4-4  拓?fù)涫疽鈭D

1.1.3  下一步實(shí)施計(jì)劃

1. 計(jì)劃1

全面提升鋼鐵廠生產(chǎn)控制大區(qū)工控網(wǎng)絡(luò)安全防護(hù)管理的合規(guī)性，符合國(guó)家主管部門(mén)、行業(yè)監(jiān)管部門(mén)的管理要求以及工控安全防護(hù)要求。

2. 計(jì)劃2

通過(guò)初步安全防護(hù)實(shí)施，整體提升工控安全防護(hù)能力，提升整個(gè)工控網(wǎng)絡(luò)實(shí)時(shí)監(jiān)測(cè)預(yù)警能力以及安全運(yùn)維能力；全面改善業(yè)務(wù)人員的安全水平和安全意識(shí)，提升安全管理水平、工作效率和管理效率。

3. 計(jì)劃3

實(shí)現(xiàn)惡意代碼的監(jiān)測(cè)、分析、告警、處置和管理，能夠監(jiān)測(cè)惡意代碼網(wǎng)絡(luò)傳播和攻擊行為，并采用人工智能技術(shù)進(jìn)行關(guān)聯(lián)分析和綜合分析，有效解決靜態(tài)特征碼監(jiān)測(cè)方式的弊端，提升全行業(yè)動(dòng)態(tài)檢測(cè)能力。

1.1.4  方案創(chuàng)新點(diǎn)和實(shí)施效果

1. 方案先進(jìn)性及創(chuàng)新點(diǎn)

（1）打造IT與OT融合的縱深防御體系

方案設(shè)計(jì)中通過(guò)部署工業(yè)審計(jì)、智能工業(yè)防火墻、全流量未知威脅檢測(cè)與回溯系統(tǒng)、工業(yè)衛(wèi)士、監(jiān)管平臺(tái)產(chǎn)品，打造IT和OT融合的縱深防御體系。采用IT和OT數(shù)據(jù)融合技術(shù)、AI技術(shù)、人工智能技術(shù)，基于工業(yè)大數(shù)據(jù)全流量持續(xù)監(jiān)測(cè)系統(tǒng)中已知威脅和未知威脅。

（2）全網(wǎng)資產(chǎn)測(cè)繪以及工業(yè)行為可視化

實(shí)現(xiàn)工控網(wǎng)絡(luò)資產(chǎn)的可視化管理，動(dòng)態(tài)識(shí)別非法接入設(shè)備，直觀展示工控網(wǎng)絡(luò)安全威脅，利用豐富的可視化展現(xiàn)經(jīng)驗(yàn)和技術(shù)手段。平臺(tái)建設(shè)完成后將依據(jù)工業(yè)網(wǎng)絡(luò)系統(tǒng)實(shí)際拓?fù)涮峁┐罅康谋O(jiān)視視圖。可視化視圖將針對(duì)不同的展示數(shù)據(jù)，不僅提供餅狀圖、柱狀圖等形式展示對(duì)比及分布數(shù)據(jù)，利用趨勢(shì)圖反映周期性的監(jiān)測(cè)數(shù)據(jù)，同時(shí)采用復(fù)雜算法和布局的可視化展示技術(shù)創(chuàng)建視網(wǎng)膜圖、多維視圖反映數(shù)據(jù)規(guī)律，增加用戶對(duì)數(shù)據(jù)的可讀性。

（3）極大減少運(yùn)維工作量

產(chǎn)品采用AI模型進(jìn)行威脅檢測(cè)，從核心技術(shù)上區(qū)別于傳統(tǒng)安全感知設(shè)備，通過(guò)安全日志AI聚合技術(shù)，將一類安全告警形成簡(jiǎn)潔的安全事件呈現(xiàn)給用戶，克服了傳統(tǒng)設(shè)備告警數(shù)量巨大、誤報(bào)率高的缺點(diǎn)，極大地減少了運(yùn)維人員的工作量。

2. 實(shí)施效果

通過(guò)一系列的安全防護(hù)建設(shè)，滿足了等級(jí)保護(hù)制度對(duì)工業(yè)控制系統(tǒng)安全防護(hù)的要求，為客戶解決生產(chǎn)控制系統(tǒng)管理難、運(yùn)維難、資產(chǎn)看不清、資產(chǎn)之間訪問(wèn)關(guān)系和訪問(wèn)行為無(wú)法掌握等難題。

n   實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)從未知到已知

通過(guò)建立生產(chǎn)控制系統(tǒng)信息安全監(jiān)管與預(yù)警平臺(tái)，摸清家底，感知網(wǎng)絡(luò)中的資產(chǎn)信息，實(shí)現(xiàn)網(wǎng)絡(luò)資產(chǎn)可視化。通過(guò)摸清家底，了解網(wǎng)絡(luò)中存在哪些設(shè)備、對(duì)應(yīng)的責(zé)任人是誰(shuí)、使用什么操作系統(tǒng)、安裝了哪些軟件和應(yīng)用，分別是什么組件、什么版本，分別存在哪些漏洞、已經(jīng)修補(bǔ)了哪些補(bǔ)丁等等，真正做到底數(shù)清、情況明確。

n   實(shí)現(xiàn)網(wǎng)絡(luò)安全防御從被動(dòng)到主動(dòng)

通過(guò)建立鋼鐵行業(yè)生產(chǎn)控制系統(tǒng)監(jiān)管預(yù)警平臺(tái)，利用安全大數(shù)據(jù)、態(tài)勢(shì)感知、攻擊鏈模型和算法，結(jié)合最新的全球網(wǎng)絡(luò)安全威脅情報(bào)，持續(xù)監(jiān)測(cè)，準(zhǔn)確及時(shí)地發(fā)現(xiàn)各種潛在威脅和攻擊，并進(jìn)行通報(bào)預(yù)警，提前感知攻擊者的下一步攻擊計(jì)劃，采取有效處置措施，構(gòu)建彈性防御體系，以期最大限度上避免、轉(zhuǎn)移、降低信息系統(tǒng)所面臨的風(fēng)險(xiǎn)。

n   實(shí)現(xiàn)從單一設(shè)備防護(hù)到協(xié)同聯(lián)動(dòng)

通過(guò)建立生產(chǎn)控制系統(tǒng)監(jiān)管與預(yù)警平臺(tái)，作為聯(lián)動(dòng)樞紐，實(shí)現(xiàn)網(wǎng)絡(luò)中所有安全設(shè)備的數(shù)據(jù)匯總分析、數(shù)據(jù)共享及策略協(xié)同，打通終端、邊界協(xié)同聯(lián)動(dòng)，有機(jī)整合各種網(wǎng)絡(luò)安全技術(shù)，達(dá)到“智能檢測(cè)”、“智能上報(bào)”、“智能響應(yīng)”，建立一個(gè)以威脅情報(bào)為驅(qū)動(dòng)，終端安全、邊界安全、大數(shù)據(jù)分析等多層次、縱深智能協(xié)同的安全防御體系，有效提升整體網(wǎng)絡(luò)防護(hù)能力。

n   實(shí)現(xiàn)網(wǎng)絡(luò)安全縱深防御防護(hù)體系

通過(guò)工控系統(tǒng)安全防護(hù)要求，對(duì)生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)安全進(jìn)行整改加固，在堅(jiān)持“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的原則，強(qiáng)化邊界防護(hù)的基礎(chǔ)上，加強(qiáng)內(nèi)部的物理安全、網(wǎng)絡(luò)安全、操作系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全防護(hù)以及安全運(yùn)維管控，構(gòu)建縱深防線，實(shí)現(xiàn)智能制造企業(yè)生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)安全的縱深防御、綜合防護(hù)。

1.1.5  單位基本信息

北京六方云信息技術(shù)有限公司是一家技術(shù)領(lǐng)先的“新安全”公司，六方云借助人工智能技術(shù)仿生人體免疫機(jī)制，針對(duì)工業(yè)客戶和政企客戶的安全需求，創(chuàng)造性地提出了“AI基因、威脅免疫”的“新時(shí)代、新安全”安全理念，采用+AI和AI+戰(zhàn)略，將人工智能技術(shù)應(yīng)用于全系列產(chǎn)品，構(gòu)建安全威脅免疫系統(tǒng)。在國(guó)家新基建戰(zhàn)略下，致力于提供關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、工業(yè)互聯(lián)網(wǎng)安全的產(chǎn)品和解決方案，擁有保護(hù)工業(yè)客戶和政企客戶的“5+1”產(chǎn)品線：工控安全產(chǎn)品線、網(wǎng)絡(luò)安全產(chǎn)品線、云安全產(chǎn)品線、安全態(tài)勢(shì)感知產(chǎn)品線、人工智能安全產(chǎn)品線及安全服務(wù)。

六方云董事長(zhǎng)任增強(qiáng)表示：工業(yè)互聯(lián)網(wǎng)安全、云安全、人工智能安全是“新安全”，是未來(lái)，而未來(lái)世界發(fā)展的主要推動(dòng)力來(lái)自于技術(shù)。六方云堅(jiān)持以吸引和團(tuán)結(jié)有共同價(jià)值觀的人才為核心，持續(xù)不斷地耕耘攻堅(jiān)，實(shí)現(xiàn)“以技術(shù)保障技術(shù)”，用最先進(jìn)的技術(shù)解決國(guó)家與行業(yè)在高速發(fā)展中的安全問(wèn)題，保障國(guó)家工業(yè)互聯(lián)網(wǎng)戰(zhàn)略、云安全戰(zhàn)略、以及新基建安全的實(shí)現(xiàn)，讓萬(wàn)物安全互聯(lián)。