1.1.1  方案概述

本方案的是結(jié)合智能油庫的網(wǎng)絡(luò)安全現(xiàn)狀，確定油庫企業(yè)的安全建設(shè)需求，按照《網(wǎng)絡(luò)安全等級保護基本要求》（GB/T22239-2019）和中石化318號文等政策要求，加強“監(jiān)測預(yù)警系統(tǒng)”、“終端安全查殺能力”、“應(yīng)急響應(yīng)手段”、“大數(shù)據(jù)安全平臺”、“信息系統(tǒng)等級保護建設(shè)”的推進工作，全面提升油氣集輸行業(yè)的網(wǎng)絡(luò)安全保護及整網(wǎng)安全能力，并建立一個完善的信息安全預(yù)防、監(jiān)測、防御和響應(yīng)的縱深防御的安全體系。

1.方案背景

工業(yè)控制系統(tǒng)是支撐國民經(jīng)濟的重要設(shè)施，是工業(yè)領(lǐng)域的神經(jīng)中樞。目前工業(yè)控制系統(tǒng)已廣泛應(yīng)用于電力、軌道交通、石油化工、高新電子和航空航天等領(lǐng)域，這些領(lǐng)域中涉及國計民生的關(guān)鍵基礎(chǔ)設(shè)施超過80%都需要依靠工業(yè)控制系統(tǒng)來實現(xiàn)自動化作業(yè)，由此可見工業(yè)控制系統(tǒng)已經(jīng)成為國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分。

隨著我國工業(yè)由傳統(tǒng)產(chǎn)業(yè)向網(wǎng)絡(luò)化、數(shù)字化和智能化的逐步轉(zhuǎn)型升級以及工業(yè)互聯(lián)網(wǎng)平臺的建成，網(wǎng)絡(luò)安全威脅日益向工業(yè)領(lǐng)域蔓延。與此同時，我國工業(yè)領(lǐng)域還存在信息安全防護水平偏低、管理力度稍顯不足、防護措施不到位、從業(yè)人員安全意識不強和安全技術(shù)人才匱乏等問題。

為了保障網(wǎng)絡(luò)安全，國家頒布了《中華人民共和國網(wǎng)絡(luò)安全法》，將網(wǎng)絡(luò)安全上升到了法律的層面。國標《網(wǎng)絡(luò)安全等級保護基本要求》（GB/T22239-2019）暨等級保護2.0標準增加了工業(yè)控制系統(tǒng)擴展要求。在等級保護的基礎(chǔ)上又頒布了關(guān)鍵基礎(chǔ)設(shè)施保護條例，對關(guān)鍵基礎(chǔ)設(shè)施的保護力度大大加強。工信部發(fā)布了《工業(yè)控制系統(tǒng)信息安全防護指南》從管理、技術(shù)兩方面明確了工業(yè)企業(yè)工控安全防護要求，《“工業(yè)互聯(lián)網(wǎng)+安全生產(chǎn)”行動計劃（2021-2023）年》提出堅持工業(yè)互聯(lián)網(wǎng)與安全生產(chǎn)同規(guī)劃、同部署、同發(fā)展，構(gòu)建基于工業(yè)互聯(lián)網(wǎng)的安全感知、監(jiān)測、預(yù)警、處置及評估體系。我國針對工業(yè)控制系統(tǒng)信息安全頒布實施的一系列標準、政策、法規(guī)，表明了我國在保護工業(yè)控制系統(tǒng)安全方面的決心和力度。集團公司依據(jù)國家有關(guān)政策法規(guī)、工信部相關(guān)系列標準發(fā)布了《關(guān)于加強工業(yè)控制系統(tǒng)安全防護的指導(dǎo)意見》、《中國石化工業(yè)儀表控制系統(tǒng)安全防護實施規(guī)定》以及《關(guān)于推進工控系統(tǒng)安全防護治理工作的通知》，對企業(yè)提升工業(yè)控制系統(tǒng)的安全防護能力提供了指南和依據(jù)，通知要求工控系統(tǒng)管理部門和信息管理部門組建安全防護治理工作小組，對照實施規(guī)定及時整改網(wǎng)絡(luò)架構(gòu)，開展工控系統(tǒng)邊界隔離防護和內(nèi)外部安全加固，提高工控網(wǎng)絡(luò)態(tài)勢感知和事件追溯能力。

2.方案簡介

成品油油庫是銷售公司石油供應(yīng)鏈中至關(guān)重要的一個環(huán)節(jié)，而工控系統(tǒng)作為油庫的核心系統(tǒng)，其安全與生產(chǎn)安全直接關(guān)聯(lián)。隨著油庫的信息化建設(shè)和改造，工業(yè)化與信息化的結(jié)合日益緊密，油庫工控系統(tǒng)安全環(huán)境也從單機走向互聯(lián)，從封閉走向開放，從物理隔離的工業(yè)以太網(wǎng)走向開放的工業(yè)互聯(lián)網(wǎng)。油庫工控系統(tǒng)正面臨著嚴峻的信息安全威脅，其尚未完善的網(wǎng)絡(luò)安防體系給油庫的工控系統(tǒng)運行環(huán)境帶來了巨大的安全隱患，因此急需設(shè)計一套集安全防護、安全運營、安全集成與一體的綜合性全生命周期的解決方案、加強油庫工控系統(tǒng)安全建設(shè)，為油庫的安全生產(chǎn)提供網(wǎng)絡(luò)安全基礎(chǔ)。

工控系統(tǒng)的安全方案設(shè)計應(yīng)考慮物理安全、網(wǎng)絡(luò)安全、應(yīng)用安全和數(shù)據(jù)安全等多方面安全因素，任何一個方面的安全隱患都會給整個工業(yè)控制系統(tǒng)帶來安全事故。目前國家網(wǎng)信辦、工信部及公安部先后出臺的網(wǎng)絡(luò)安全和工控安全相關(guān)法律條例中對信息安全技術(shù)和工控系統(tǒng)信息安全等方面做出了指導(dǎo)與要求。2021 年，集團公司下發(fā)了工控系統(tǒng)安全防護治理工作的通知，要求開展工控系統(tǒng)邊界隔離防護和內(nèi)外部安全加固工作，提高工程網(wǎng)絡(luò)態(tài)勢感知和事件追溯能力，銷售公司也對油庫智能化建設(shè)標準提出了要求，對油庫下一步信息化建設(shè)提出了指導(dǎo)意見和具體措施。在工業(yè)控制系統(tǒng)的安全防護建設(shè)中，需嚴格遵循國家和行業(yè)有關(guān)標準，并遵照中國石化相關(guān)安全管理規(guī)定，結(jié)合生產(chǎn)企業(yè)具體情況和需求進行規(guī)劃與建設(shè)。

3.方案目標

目前銷售企業(yè)油庫整體智能化水平較低，大多數(shù)油庫僅具備基本的信息安全防護條件，仍難以滿足油庫信息化建設(shè)對工控系統(tǒng)安全的要求，主要存在以下的問題：

（1）安全區(qū)域不清晰，缺少邊界防護措施

油庫缺失分區(qū)分域安全隔離，油庫生產(chǎn)網(wǎng)與管理網(wǎng)混用，傳統(tǒng)的IT 網(wǎng)絡(luò)威脅向生產(chǎn)網(wǎng)蔓延，工控網(wǎng)通訊協(xié)議較多，單一的隔離設(shè)備無法滿足多樣的網(wǎng)絡(luò)通訊及安全隔離要求，難以保障油庫工控網(wǎng)絡(luò)隔離有效性，易感染病毒及惡意程序，同時也可能導(dǎo)致工業(yè)控制系統(tǒng)內(nèi)不同安全域之間的邊界防護機制失效。

因此，在油庫工控系統(tǒng)中，存在缺少混合組網(wǎng)隔離、分區(qū)分域網(wǎng)絡(luò)隔離、數(shù)據(jù)隔離防護措施及惡意代碼防范措施等問題。

（2）缺少終端安全防護

油庫工控網(wǎng)絡(luò)中硬件設(shè)備或軟件產(chǎn)品不足，部分設(shè)施和操作系統(tǒng)老舊，漏洞補丁更新不及時，網(wǎng)絡(luò)安全防護能力較低，缺少工控安全病毒防護，缺少網(wǎng)絡(luò)準入等安全管理工具。同時工控安全領(lǐng)域中的終端防護軟件種類多，難以形成統(tǒng)一的防護規(guī)范，亦存在重大安全隱患。

（3）缺少安全審計和分析

油庫工控系統(tǒng)的數(shù)據(jù)本地存儲、數(shù)據(jù)共享能力較差，應(yīng)用深度不夠，對數(shù)據(jù)庫的訪問人員缺乏統(tǒng)一賬號管理，缺乏數(shù)據(jù)訪問隔離措施及數(shù)據(jù)操作審計，缺乏對數(shù)據(jù)庫信息的收集、審計和分析等能力。

（4）缺少統(tǒng)一的安全管理平臺

油庫缺乏對第三方運維機構(gòu)的管控和統(tǒng)一安全運維管理，無法將各安全設(shè)備集中管控，缺乏對各運維人員身份的認證授權(quán)及操作行為的監(jiān)管，造成日常運維操作繁瑣、過程冗雜、效率低下等問題。油庫部分系統(tǒng)孤立，集成度較差，不能實現(xiàn)數(shù)據(jù)共享，存在“信息孤島”現(xiàn)象，導(dǎo)致油庫工控網(wǎng)絡(luò)全貌無法得到集中統(tǒng)一展現(xiàn)。同時，也給省級統(tǒng)一平臺構(gòu)建帶來困難，不利于系統(tǒng)間集成、作業(yè)全流程跟蹤、生產(chǎn)動態(tài)的實時掌控和預(yù)知預(yù)排，無法掌握整體信息安全態(tài)勢。無法及時發(fā)現(xiàn)和追溯工控安全事件，缺乏對工控系統(tǒng)安全狀態(tài)感知及可視化的展示方式。

本方案的建設(shè)目標是結(jié)合智能油庫的網(wǎng)絡(luò)安全現(xiàn)狀，確定油庫企業(yè)的安全建設(shè)需求，按照《網(wǎng)絡(luò)安全等級保護基本要求》（GB/T22239-2019）和中石化318號文等政策要求，加強“監(jiān)測預(yù)警系統(tǒng)”、“終端安全查殺能力”、“應(yīng)急響應(yīng)手段”、“大數(shù)據(jù)安全平臺”、“信息系統(tǒng)等級保護建設(shè)”的推進工作，全面提升油氣集輸行業(yè)的網(wǎng)絡(luò)安全保護及整網(wǎng)安全能力，并建立一個完善的信息安全預(yù)防、監(jiān)測、防御和響應(yīng)的縱深防御的安全體系。具體目標如下：

在技術(shù)方面，圍繞“一個中心三重防護”策略構(gòu)建基礎(chǔ)防護：

? 通過安全計算環(huán)境防護，實現(xiàn)油庫工控系統(tǒng)的工業(yè)主機、服務(wù)器、操作站、工業(yè)應(yīng)用軟件等計算環(huán)境安全防護；

? 通過安全區(qū)域邊界防護，實現(xiàn)油庫工控系統(tǒng)網(wǎng)絡(luò)與非工控網(wǎng)絡(luò)的安全隔離，保護工控系統(tǒng)網(wǎng)絡(luò)安全；

? 通過安全通訊網(wǎng)絡(luò)的搭建，保障油庫工控系統(tǒng)的通信基礎(chǔ)網(wǎng)絡(luò)安全可靠；

? 通過安全管理中心實現(xiàn)對油庫工控系統(tǒng)網(wǎng)絡(luò)的全流量審計、分析，同時對油庫工控系統(tǒng)威脅狀態(tài)進行實時監(jiān)控，對整個油庫工業(yè)控制網(wǎng)絡(luò)安全威脅集中管控和展示。

在管理方面，圍繞安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理、安全運維管理五個方面進行提升，以分區(qū)分域、可靠認證、綜合防護、集中掌控為防護原則，實現(xiàn)技術(shù)和管理相結(jié)合的油庫網(wǎng)絡(luò)安全縱深防護體系，從而提升油庫工控系統(tǒng)的主動防御、感知預(yù)警、事件追溯和集中安全運維的能力。

1.1.2  方案實施概況

1.方案總體規(guī)劃

（1）方案設(shè)計原則

等級保護是國家信息安全建設(shè)的重要政策，其核心是對信息系統(tǒng)分等級、按標準進行建設(shè)、管理和監(jiān)督。對于智慧油庫信息安全建設(shè)，應(yīng)當以適度安全為核心，以重點保護為原則，從業(yè)務(wù)的角度出發(fā)，重點保護重要的業(yè)務(wù)系統(tǒng)。對于工控安全建設(shè)，應(yīng)當以適度安全為核心，以重點保護為原則，從業(yè)務(wù)的角度出發(fā)，重點保護重要的業(yè)務(wù)系統(tǒng)，在方案設(shè)計中應(yīng)當遵循以下的原則：  

適度安全原則

任何信息系統(tǒng)都不能做到絕對的安全，在進行工控安全等級保護規(guī)劃中，要在安全需求、安全風(fēng)險和安全成本之間進行平衡和折中，過多的安全要求必將造成安全成本的迅速增加和運行的復(fù)雜性。

適度安全也是等級保護建設(shè)的初衷，因此在進行等級保護設(shè)計的過程中，一方面要嚴格遵循基本要求，從物理、網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)等層面加強防護措施，保障信息系統(tǒng)的機密性、完整性和可用性，另外也要綜合成本的角度，針對系統(tǒng)的實際風(fēng)險，提出對應(yīng)的保護強度，并按照保護強度進行安全防護系統(tǒng)的設(shè)計和建設(shè)，從而有效控制成本。

技術(shù)管理并重原則

工控安全問題從來就不是單純的技術(shù)問題，把防范黑客入侵和病毒感染理解為工控安全問題的全部是片面的，僅僅通過部署安全產(chǎn)品很難完全覆蓋所有的工控安全問題，因此必須要把技術(shù)措施和管理措施結(jié)合起來，更有效的保障信息系統(tǒng)的整體安全性，形成技術(shù)和管理兩個部分的建設(shè)方案。

分區(qū)分域建設(shè)原則

對信息系統(tǒng)進行安全保護的有效方法就是分區(qū)分域，由于信息系統(tǒng)中各個信息資產(chǎn)的重要性是不同的，并且訪問特點也不盡相同，因此需要把具有相似特點的信息資產(chǎn)集合起來，進行總體防護，從而可更好地保障安全策略的有效性和一致性；另外分區(qū)分域還有助于對網(wǎng)絡(luò)系統(tǒng)進行集中管理，一旦其中某些安全區(qū)域內(nèi)發(fā)生安全事件，可通過嚴格的邊界安全防護限制事件在整網(wǎng)蔓延；

標準性原則

安全保護體系應(yīng)當同時考慮與其他標準的符合性，在方案中的技術(shù)部分將參考《GB/T 25070-2010工控安全技術(shù) 信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》進行設(shè)計，在管理方面同時參考《GB/T 22239-2008 工控安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》以及27001安全管理指南，使建成后的等級保護體系更具有廣泛的實用性；

動態(tài)調(diào)整原則

工控安全問題不是靜態(tài)的，它總是隨著管理相關(guān)的組織策略、組織架構(gòu)、信息系統(tǒng)和操作流程的改變而改變，因此必須要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護措施；

成熟性原則

本方案設(shè)計采取的安全措施和產(chǎn)品，在技術(shù)上是成熟的，是被檢驗確實能夠解決安全問題并在很多方案中有成功應(yīng)用的。

（2）總體安全防護設(shè)計

構(gòu)建分域的控制體系：智能油庫工業(yè)互聯(lián)網(wǎng)安全解決方案，在總體架構(gòu)上將按照區(qū)域邊界保護思路進行，智能油庫控制系統(tǒng)和外部系統(tǒng)從結(jié)構(gòu)上劃分為不同的安全區(qū)域，以安全區(qū)域為單位進行安全防御技術(shù)措施的建設(shè)，從而構(gòu)成了分域的安全控制體系。

構(gòu)建縱深的防御體系：智能油庫工業(yè)互聯(lián)網(wǎng)安全解決方案包括技術(shù)和管理兩個部分，智能油庫系統(tǒng)圍繞著安全管理中心，從安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境三個維度進行安全技術(shù)和措施的設(shè)計，保證業(yè)務(wù)應(yīng)用的可用性、完整性和保密性保護；通過集中管理，可對安全設(shè)備進行聯(lián)動，對確認的重大威脅或攻擊可進行安全聯(lián)動防護，充分考慮各種技術(shù)的組合和功能的互補性，提供多重安全措施的綜合防護能力，從外到內(nèi)形成一個縱深的安全防御體系，保障系統(tǒng)整體的安全保護能力。

保證一致的安全強度：智能油庫等級保護設(shè)計方案將采用分級的辦法，對于同一安全等級系統(tǒng)采取強度一致的安全措施，并采取統(tǒng)一的防護策略，使各安全措施在作用和功能上相互補充，形成動態(tài)的防護體系。

（3）分域安全防護設(shè)計

安全域是根據(jù)等級保護要求、信息性質(zhì)、使用主體、安全目標和策略等的不同來劃分的，是具有相近的安全屬性需求的網(wǎng)絡(luò)實體的集合。一個安全域內(nèi)可進一步被劃分為安全子域，安全子域也可繼續(xù)依次細化為次級安全域、三級安全域等等。同一級安全域之間的安全需求包括兩個方面：隔離需求和連接需求。隔離需求對應(yīng)著網(wǎng)絡(luò)邊界的身份認證、訪問控制、不可抵賴、審計、監(jiān)測等安全服務(wù)；連接需求對應(yīng)著傳輸過程中保密性、完整性、可用性等安全服務(wù)。下級安全域繼承上級安全域的隔離和連接需求。

智能油庫安全區(qū)域的劃分主要依監(jiān)控系統(tǒng)的應(yīng)用功能、資產(chǎn)價值、資產(chǎn)所面臨的風(fēng)險，劃分原則如下：

系統(tǒng)功能和應(yīng)用相似性原則：安全區(qū)域的劃分要以服務(wù)智能油庫業(yè)務(wù)系統(tǒng)應(yīng)用為基本原則，根據(jù)應(yīng)用的功能和應(yīng)用內(nèi)容劃分不同的安全區(qū)域。

安全要求相似性原則：在信息安全的三個基本屬性方面，同一安全區(qū)域內(nèi)的信息資產(chǎn)應(yīng)具有相似的機密性要求、完整性要求和可用性要求。

威脅相似性原則：同一安全區(qū)域內(nèi)的信息資產(chǎn)應(yīng)處在相似的風(fēng)險環(huán)境中，面臨相似的威脅。

安全域的原則：必須對高級別安全域進行保護，使之免受可能導(dǎo)致高級別數(shù)據(jù)被低級別安全域的用戶泄漏、篡改、破壞的攻擊，高級別安全域中的資源不能由非授權(quán)的低級別安全域用戶使用、修改、破壞或禁用。

2.2 實施內(nèi)容

（1）體系建設(shè)

本方案從安全管理、安全建設(shè)和安全運營三個方面對油庫信息化安全方案進行設(shè)計與規(guī)劃，通過制度建設(shè)、人員配置、技術(shù)建設(shè)、整體運維管控等措施，從制度上對油庫工控安全進行管理與約束，從技術(shù)上提升油庫工控安全防護水平，從而構(gòu)建油庫工控安全防護體系。總體安全方案設(shè)計架構(gòu)如圖所示：

圖10-1  總體安全方案設(shè)計架構(gòu)

l 安全管理

通過建立完善的油庫信息化安全管理制度，組建人員成立安全管理機構(gòu)，并對安全管理人員定期開展網(wǎng)絡(luò)安全培訓(xùn)以提高油庫工控安全整體管理水平，同時，在建設(shè)和運維方面也做出安全管理要求，制定油庫工控系統(tǒng)安全建設(shè)和運維細則，加強在油庫工控系統(tǒng)建設(shè)和運維環(huán)節(jié)的規(guī)范，實現(xiàn)油庫工控安全管理的規(guī)范化、標準化與制度化。

l 安全建設(shè)

制定安全基線標準，定期開展安全監(jiān)測工作，集中管控終端計算機、網(wǎng)絡(luò)設(shè)備、安全設(shè)備，對油庫工控網(wǎng)流量日志進行審計與分析，做到風(fēng)險防控與阻攔；加強對安全事件、隱患漏洞、攻擊行為的實時監(jiān)測與智能分析，能夠利用大數(shù)據(jù)分析、告警取證、流量畫像等手段快速追蹤溯源，采取自動處置與人工處置相結(jié)合的方式開展應(yīng)急響應(yīng)工作，形成安全檢測、安全防御、安全運維、安全響應(yīng)的全生命周期管理。

l 安全運營

構(gòu)建油庫工控安全防護體系，搭建管理服務(wù)平臺，通過統(tǒng)一身份認證、統(tǒng)一授權(quán)和統(tǒng)一監(jiān)控等手段，加強對用戶和運維角色的監(jiān)管；通過對安全設(shè)備、資產(chǎn)及應(yīng)用的集中管控，安全事件的自動監(jiān)測，全天候全方位網(wǎng)絡(luò)安全的態(tài)勢感知，實現(xiàn)智能安全運營管理、增強網(wǎng)絡(luò)安全防御能力。

（2）安全技術(shù)實施內(nèi)容

首先對辦公網(wǎng)和生產(chǎn)網(wǎng)進行縱向分層，劃分橫向安全區(qū)域，以工業(yè)防火墻、入侵檢測和工業(yè)安全監(jiān)測審計平臺等工具構(gòu)建安全區(qū)域邊界，利用工業(yè)網(wǎng)閘實現(xiàn)油庫生產(chǎn)網(wǎng)中的通信安全，保障重要業(yè)務(wù)系統(tǒng)間的數(shù)據(jù)傳輸安全；其次在油庫終端設(shè)備上部署終端安全防護，并對數(shù)據(jù)庫的操作進行審計，確保計算環(huán)境的安全性，并采用堡壘機，便攜式安全移動運維平臺等實現(xiàn)安全運維管理；最后通過工業(yè)安全管理平臺、綜合日志審計平臺等搭建總體的安全管理中心，油庫信息安全建設(shè)技術(shù)架構(gòu)如圖所示：

圖10-2  油庫信息安全建設(shè)技術(shù)架構(gòu)

l 網(wǎng)絡(luò)安全

邊界防護與區(qū)域隔離

根據(jù)油庫的現(xiàn)狀進行縱向分層、橫向分區(qū)，通過相應(yīng)的技術(shù)隔離手段，加強區(qū)域隔離、邊界防護，細化訪問控制策略，在辦公網(wǎng)與生產(chǎn)網(wǎng)之間、生產(chǎn)網(wǎng)內(nèi)部建立不同層級間安全防護，構(gòu)建油庫生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全架構(gòu)。如下圖所示。

圖10-3  邊界防護與區(qū)域隔離

縱向分層：按照網(wǎng)絡(luò)劃分為生產(chǎn)網(wǎng)和辦公網(wǎng)，在生產(chǎn)網(wǎng)與辦公網(wǎng)之間部署工業(yè)防火墻，通過白名單、訪問控制等隔離技術(shù)手段，防止辦公網(wǎng)的非法入侵和訪問，保護生產(chǎn)系統(tǒng)的業(yè)務(wù)安全。

橫向分區(qū)：按照現(xiàn)場的不同業(yè)務(wù)需求劃分不同的安全域，將油庫調(diào)度系統(tǒng)、視頻監(jiān)控、消防控制站以及安防系統(tǒng)等分別劃分為不同的安全域，安全域之間通過工業(yè)防火墻的不同業(yè)務(wù)口實現(xiàn)安全域之間的隔離，利用設(shè)備本身的多個業(yè)務(wù)口，防止不同安全域之間安全威脅的蔓延以及對安全域之間的訪問控制，阻擋來自其他安全域的病毒、蠕蟲、木馬、間諜軟件、惡意軟件等，有效地解決區(qū)域安全、流量控制等工控網(wǎng)絡(luò)安全問題。

核心系統(tǒng)的安全防護：根據(jù)業(yè)務(wù)現(xiàn)狀，對于重要的業(yè)務(wù)系統(tǒng)（例如：付油系統(tǒng)、閥門聯(lián)動系統(tǒng)）設(shè)計單獨的工業(yè)網(wǎng)閘，實現(xiàn)單向數(shù)據(jù)傳輸，確保業(yè)務(wù)系統(tǒng)的相對安全。

第三方信息交互：與第三方進行信息交互的場景，第三方網(wǎng)絡(luò)通信鏈路連接到網(wǎng)閘外聯(lián)口，通過網(wǎng)閘實現(xiàn)第三方網(wǎng)絡(luò)與工控網(wǎng)絡(luò)的安全隔離和信息的單向流動，可以在保障安全的情況下實現(xiàn)數(shù)據(jù)交換。

入侵檢測與行為審計

在辦公網(wǎng)和生產(chǎn)網(wǎng)中分別部署入侵檢測和工控安全審計系統(tǒng)，實時發(fā)現(xiàn)針對重要工業(yè)控制系統(tǒng)的攻擊和破壞行為，實時檢測針對工業(yè)協(xié)議的網(wǎng)絡(luò)攻擊、用戶誤操作、用戶違規(guī)操作、非法設(shè)備接入以及蠕蟲、病毒等惡意軟件的非法入侵和傳播并實時報警，同時詳實記錄一切網(wǎng)絡(luò)通信行為，包括指令級的工業(yè)控制協(xié)議通信記錄，加強已知威脅、異常行為、異常流量等攻擊行為的檢測能力。如下圖所示。

圖10-4  入侵檢測與行為審計

在辦公網(wǎng)的核心交換機上旁路部署，及時發(fā)現(xiàn)網(wǎng)絡(luò)上的攻擊和威脅。利用被動流量分析技術(shù)對僵尸網(wǎng)絡(luò)、數(shù)據(jù)泄露等各類安全威脅進行深度檢測、智能分析以及威脅感知，及時發(fā)現(xiàn)和定位網(wǎng)絡(luò)中存在的安全威脅，在油庫的網(wǎng)絡(luò)、主機、應(yīng)用等檢測的基礎(chǔ)上，實現(xiàn)業(yè)務(wù)零影響、持續(xù)跟蹤的感知能力，提升攻擊行為關(guān)聯(lián)分析能力，為油庫企業(yè)等提供信息安全保障。

在生產(chǎn)網(wǎng)內(nèi)部根據(jù)業(yè)務(wù)需求把相應(yīng)業(yè)務(wù)系統(tǒng)的流量數(shù)據(jù)發(fā)送給工控安全審計，完成異常行為、異常流量的審計。通過對生產(chǎn)網(wǎng)中的工業(yè)協(xié)議進行深度解析，支持對30 多種(OPC、SiemensS7、Modbus、IEC104、Profinet、DNP3 等）工控協(xié)議的深度解析和自定義擴展工控協(xié)議解析，還原工控指令，理解工控業(yè)務(wù)，提取關(guān)鍵信息，對當前的通信行為與已有的基線進行對比，實現(xiàn)異常指令操作、非法設(shè)備（IP 地址）等告警，工控審計對風(fēng)險告警數(shù)據(jù)可進行細粒度的分類統(tǒng)計展示和聯(lián)動操作，風(fēng)險信息可一鍵關(guān)聯(lián)至規(guī)則，對風(fēng)險信息提供了可操作性強的處置措施建議。

對威脅與異常檢測的審計主要分為以下五個方面：

一是異常報文檢測：支持對TCP/IP、工控協(xié)議畸形報文的攻擊檢測；

二是關(guān)鍵事件檢測：支持對工程師站組態(tài)變更、操控指令變更、PLC 下裝、零流量等工控關(guān)鍵事件的檢測；

三是基線白名單檢測：通過機器學(xué)習(xí)等自學(xué)方式生成工控環(huán)境資產(chǎn)基線、訪問關(guān)系基線、流量基線、工控行為基線四種安全基線模型；

四是自定義規(guī)則檢測：用戶可自定義對多種工控協(xié)議進行細粒度的規(guī)則配置；

五是工控入侵規(guī)則檢測：內(nèi)置豐富的入侵檢測規(guī)則庫，支持利用已知工控設(shè)備漏洞的入侵攻擊行為檢測。

l 終端安全

在油庫的終端設(shè)備上部署終端安全防護客戶端，在省級安全管理中心上部署終端防護管理系統(tǒng)，解決終端設(shè)備的安全威脅，提高終端設(shè)備的安全防護能力。如下圖所示。

圖10-5  終端安全防護

對于可以安裝終端安全防護客戶端的終端設(shè)備，可以在終端防護管理平臺上實時監(jiān)控終端設(shè)備的性能、存在的漏洞、威脅事件等并進行統(tǒng)一管理。對于不能安裝終端安全防護客戶端的終端設(shè)備，利用總部的準入系統(tǒng)查看哪些終端設(shè)備沒有安裝?？蛻舳丝刹渴鹪?/span>Windows 系列如WinXP 、Win7 、Win10 、Win2003 、Win2008 、Win2012 、Win2016 等， inux 系統(tǒng)如Centos5.0+ 、Redhat5.0+、Suse11+、Ubuntu14+等，國產(chǎn)系統(tǒng)如中標麒麟、銀河麒麟、統(tǒng)信等終端系統(tǒng)上。

終端安全防護系統(tǒng)集白名單、黑名單和加固功能于一體，集成了豐富的系統(tǒng)加固與防護、網(wǎng)絡(luò)加固與防護等功能的終端安全產(chǎn)品。包含專門應(yīng)對攻防對抗場景的高級威脅模塊和具有勒索專防專殺能力的文件誘餌引擎；通過內(nèi)核級東西向流量隔離技術(shù)，實現(xiàn)網(wǎng)絡(luò)隔離與防護；擁有補丁修復(fù)、外設(shè)管控、文件審計、違規(guī)外聯(lián)檢測與阻斷、進程防護、端口防護和安全告警等終端安全防護能力。

l 應(yīng)用及數(shù)據(jù)安全

在總部云平臺上部署數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)，提升對數(shù)據(jù)庫的原始信息收集、審計和分析等能力，保障應(yīng)用及數(shù)據(jù)安全，部署架構(gòu)如下圖所示。

圖10-6  數(shù)據(jù)庫審計與風(fēng)險控制

數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)實時記錄運維人員及應(yīng)用服務(wù)器對數(shù)據(jù)庫的操作行為，并按照相關(guān)要求進行合規(guī)性管理，當系統(tǒng)檢測到數(shù)據(jù)庫面臨風(fēng)險行為時，會自動以郵件、短信、SYSLOG、SNMP 等形式進行實時告警。此外，數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)還支持的功能如下所示：

加密協(xié)議審計及雙向?qū)徲嫞合到y(tǒng)不僅支持對數(shù)據(jù)請求的報文進行加密協(xié)議審計，同時也可以對請求的返回結(jié)果進行審計，如操作回應(yīng)、作用數(shù)量、執(zhí)行時長等內(nèi)容，并能夠根據(jù)返回結(jié)果進行審計策略定制。

建立安全訪問基線：系統(tǒng)支持配置安全訪問策略和設(shè)立安全訪問基線，這樣可以防范來自內(nèi)外部的惡意攻擊，保障油庫工控系統(tǒng)數(shù)據(jù)的機密性和完整性，同時支持自行定義安全訪問基線的檢查項，因此可以根據(jù)油庫實際業(yè)務(wù)需要定制檢查閾值、自定義檢查目錄等以滿足油庫多樣化的內(nèi)部監(jiān)管要求。

追蹤用戶訪問行為：提供全方位的多層（應(yīng)用層、中間層、數(shù)據(jù)庫層）的訪問審計，通過多層業(yè)務(wù)審計可實現(xiàn)對數(shù)據(jù)操作用戶的精確追蹤。并根據(jù)事件發(fā)生的時間、用戶、訪問方式（客戶端、TELNET、FTP）、用戶IP、服務(wù)器等組合查詢，對用戶訪問行為過程進行回放和追溯。

操作風(fēng)險實時可知可查對數(shù)據(jù)庫的操作行為進行實時檢測，結(jié)合預(yù)設(shè)置的風(fēng)險控制策略和對數(shù)據(jù)庫活動的實時監(jiān)控信息進行特征檢測，所有嘗試攻擊操作將被檢測出來進而被阻斷或告警。

l 安全運維與審計

在總部云平臺上部署綜合日志審計系統(tǒng)，對工業(yè)網(wǎng)絡(luò)中的各種設(shè)備（網(wǎng)絡(luò)設(shè)備、安全設(shè)備、工控主機設(shè)備、應(yīng)用及數(shù)據(jù)庫等）產(chǎn)生的日志進行采集、存儲和分析，對危險的事件進行告警，同時將數(shù)據(jù)信息進行匯集然后集中展現(xiàn)，加強對異常事件的追溯及取證，便于管理人員集中查看所接入設(shè)備的運行狀況并在第一時間獲知當前發(fā)生的安全事件告警，使得等級保護滿足合規(guī)檢查。綜合日志審計系統(tǒng)部署架構(gòu)如下圖所示。

圖10-7  綜合日志審計系統(tǒng)部署架構(gòu)圖

在總部部署運維審計與風(fēng)險控制系統(tǒng)（簡稱堡壘機）是集用戶管理、授權(quán)管理、認證管理和綜合審計于一體的集中運維管理系統(tǒng)，在省級安全管理中心部署堡壘機可實現(xiàn)對企業(yè)運維人員在運維過程中進行統(tǒng)一身份認證、統(tǒng)一授權(quán)、統(tǒng)一審計、統(tǒng)一監(jiān)控管理等一系列操作，使運維簡單化，操作規(guī)范化，過程可視化，企業(yè)運維管控能力也得以提升，堡壘機部署架構(gòu)如下圖所示。

圖10-8  堡壘機部署圖

l 安全集中管理

在總部云平臺上部署工業(yè)安全管理平臺，實現(xiàn)對工業(yè)防火墻、入侵檢測、工控安全審計、堡壘機、數(shù)據(jù)庫審計、工業(yè)網(wǎng)閘等安全設(shè)備的集中管控、狀態(tài)監(jiān)測、策略配置下發(fā)等，并支持通過標準接口（例如syslog）與第三方設(shè)備通訊，從而實現(xiàn)資產(chǎn)安全狀況的統(tǒng)一管理和安全風(fēng)險的智能分析，工業(yè)安全管理平臺以省公司為單位開通統(tǒng)一租戶賬號。如下圖所示。

圖10-9  工業(yè)安全管理平臺部署圖

工業(yè)安全管理平臺可及時發(fā)現(xiàn)、報告并處理工業(yè)控制系統(tǒng)中的網(wǎng)絡(luò)攻擊或異常行為，通過統(tǒng)一調(diào)度安全預(yù)警、安全監(jiān)測、安全防護和應(yīng)急處置，全方位保障工業(yè)控制系統(tǒng)信息安全。除此之外，平臺可以對工業(yè)控制系統(tǒng)資產(chǎn)進行全局管理，幫助用戶梳理工控資產(chǎn)，資產(chǎn)間的訪問關(guān)系，網(wǎng)絡(luò)中的工業(yè)行為等，尤其可對部署在系統(tǒng)中的安全防護類設(shè)備進行統(tǒng)一配置。

（3）安全管理方案

通過建立完善的油庫信息化安全管理體系，組建人員成立安全管理機構(gòu)，建立安全組織體系，制定油庫工控系統(tǒng)安全運行細則，加強在油庫工控系統(tǒng)建設(shè)和運維環(huán)節(jié)的規(guī)范，制定應(yīng)急響應(yīng)制度最大限度的減輕安全事件的危害和影響，并對安全管理人員定期開展網(wǎng)絡(luò)安全培訓(xùn)以提高油庫工控安全整體管理水平，實現(xiàn)油庫工控安全管理的規(guī)范化、標準化與制度化。

l 安全管理制度

在信息安全中，最活躍的因素是人，對人的管理包括法律、法規(guī)與政策的約束、安全指南的幫助、安全意識的提高、安全技能的培訓(xùn)、人力資源管理措施，這些功能的實現(xiàn)都是以完備的安全管理政策和制度為前提。這里所說的安全管理制度包括信息安全工作的總體方針、策略、規(guī)范各種安全管理活動的管理制度以及管理人員或操作人員日常操作的操作規(guī)程。

安全管理制度主要包括：

管理制度：針對管理人員和操作人員的建立相關(guān)安全管理制度，形成由成安全策略、管理制度、操作規(guī)程、記錄表單等構(gòu)成的全面的安全管理制度體系。

制定和發(fā)布：安全管理制度的制定應(yīng)由專業(yè)的人員負責(zé)制定，且要通過正式有效的方式發(fā)布并進行版本控制。

評審和修訂：應(yīng)定期對安全管理制度的合理性和適用性進行論證和審定并及時修訂。

l 安全管理機構(gòu)

要建立一個健全、務(wù)實、有效、統(tǒng)一指揮、統(tǒng)一步調(diào)的完善的安全管理機構(gòu)，明確機構(gòu)成員的安全職責(zé)，這是信息安全管理得以實施、推廣的基礎(chǔ)。在單位的內(nèi)部結(jié)構(gòu)上必須建立一整套從單位最高管理層到執(zhí)行管理層以及業(yè)務(wù)運營層的管理結(jié)構(gòu)來約束和保證各項安全管理措施的執(zhí)行。其主要工作內(nèi)容包括對機構(gòu)內(nèi)重要的信息安全工作進行授權(quán)和審批、內(nèi)部相關(guān)業(yè)務(wù)部門和安全管理部門之間的溝通協(xié)調(diào)以及與機構(gòu)外部各類單位的合作、定期對系統(tǒng)的安全措施落實情況進行檢查，以發(fā)現(xiàn)問題進行改進。

安全管理機構(gòu)主要包括：

崗位設(shè)置：成立指導(dǎo)和管理網(wǎng)絡(luò)安全工作的委員會或領(lǐng)導(dǎo)小組、設(shè)立安全管理工作職能部門、設(shè)立相關(guān)管理崗位并明確各崗位職責(zé)。

人員配備：配備專職安全管理員，根據(jù)情況配備一定數(shù)量的系統(tǒng)管理員、審計管理員和安全管理員。

授權(quán)和審批：明確各部門審批事項部門及批準人。對重要活動建立逐級審批制度，并定期審查審批事項，更新授權(quán)事項和審批方案。

溝通和合作：加強組織內(nèi)部間溝通交流，定期召開協(xié)調(diào)會議，共同協(xié)作處理網(wǎng)絡(luò)安全問題。

審核和檢查：根據(jù)安全檢查表格開展常規(guī)安全檢查及全面安全檢查，匯總安全檢查數(shù)據(jù)，形成安全檢查報告。

l 人員安全管理

很多重要的工控系統(tǒng)安全問題都涉及到用戶、設(shè)計人員、實施人員以及管理人員。如果這些與人員有關(guān)的安全問題沒有得到很好的解決，任何一個工控系統(tǒng)都不可能達到真正的安全。只有對人員進行了正確完善的管理，才有可能降低人為錯誤、盜竊、詐騙和誤用設(shè)備的風(fēng)險，從而減小了工控系統(tǒng)遭受人員錯誤造成損失的概率。

對人員安全的管理具體包括：

人員錄用、離崗：錄用時對擬錄用人員進行專業(yè)技能考核并簽訂保密協(xié)議及責(zé)任協(xié)議。離職后嚴格辦理調(diào)離手續(xù)。

安全意識教育和培訓(xùn)：根據(jù)崗位制定培訓(xùn)計劃，并進行技能考核。

外部人員訪問管理：外部人員應(yīng)先提出書面申請，批準后有專人全程陪同監(jiān)督。

l 系統(tǒng)建設(shè)管理

工控系統(tǒng)的安全管理貫穿系統(tǒng)的整個生命周期，系統(tǒng)建設(shè)管理主要關(guān)注的是生命周期中的前三個階段（即，初始、采購、實施）中各項安全管理活動。

系統(tǒng)建設(shè)管理分別從工程實施建設(shè)前、建設(shè)過程以及建設(shè)完畢交付等三方面考慮，具體包括：

產(chǎn)品采購和使用：擬選產(chǎn)品無比符合國家相關(guān)規(guī)定。對所選產(chǎn)品定期審定并更新候選產(chǎn)品名單。

自行軟件開發(fā)：擬定詳細的開發(fā)管理制度，說明開發(fā)過程的控制方法及人員行為。對軟件設(shè)計的相關(guān)文檔和使用指南進行控制。

外包軟件開發(fā)：存儲備份開發(fā)單位提供的軟件源代碼并審查軟件中可能存在的各種問題。

還有工程實施、測試驗收、系統(tǒng)交付、系統(tǒng)備案和安全服務(wù)商選擇等。對建設(shè)過程的各項活動都要求進行制度化規(guī)范，按照制度要求進行活動的開展。對建設(shè)前的安全方案提出體系化要求，并加強了對其的論證工作。

l 系統(tǒng)運維管理

根據(jù)基本要求進行信息系統(tǒng)日常運行維護管理，利用管理制度以及安全管理中心進行，主要包括：

環(huán)境管理：根據(jù)資產(chǎn)的重要程度采取對應(yīng)的管理措施。

資產(chǎn)管理：編制保護對象資產(chǎn)清單，根據(jù)資產(chǎn)價值選擇對應(yīng)的管理措施。

介質(zhì)管理、設(shè)備管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理等。使系統(tǒng)始終處于等保要求的安全狀態(tài)中。

1.1.3 下一步實施計劃

油庫工控安全建設(shè)是一項涉及面廣、影響大、安全運行要求高，集數(shù)據(jù)處理、信息發(fā)布、資源整合于一體的信息化方案。為了更好的執(zhí)行該方案，將采取統(tǒng)一指揮、并行實施、協(xié)調(diào)合作的實施辦法，構(gòu)建一套油庫信息安全服務(wù)平臺，逐級提升的油庫工控安全防護體系。

油庫信息安全服務(wù)平臺是專注于工業(yè)環(huán)境的網(wǎng)絡(luò)安全智能分析運營平臺。平臺全面采集各類工控流量及日志信息，通過內(nèi)置的大數(shù)據(jù)安全分析模型整合零散的工業(yè)安全數(shù)據(jù)，深入挖掘安全風(fēng)險與攻擊事件，實現(xiàn)工業(yè)網(wǎng)絡(luò)空間安全風(fēng)險的預(yù)知。平臺采用威脅發(fā)現(xiàn)、智能研判和自動化響應(yīng)處置的閉環(huán)安全管理體系，有效提高安全運維工作效率，幫助油庫實現(xiàn)智能安全運營，具體功能架構(gòu)圖如下：

圖10-10 油庫信息安全服務(wù)平臺功能架構(gòu)圖

采用8+1+4的架構(gòu)，即八大工業(yè)安全引擎、一個工業(yè)安全數(shù)據(jù)分析平臺和四大業(yè)務(wù)應(yīng)用模型。

n 八大工業(yè)安全引擎

主要負責(zé)采集各類工控網(wǎng)環(huán)境的安全數(shù)據(jù)，包括工業(yè)網(wǎng)絡(luò)空間測繪數(shù)據(jù)、工業(yè)威脅檢測數(shù)據(jù)、工業(yè)云安全監(jiān)測數(shù)據(jù)、工業(yè)網(wǎng)絡(luò)安全防御、工業(yè)威脅情報數(shù)據(jù)、工業(yè)網(wǎng)絡(luò)攻擊誘捕數(shù)據(jù)、工業(yè)網(wǎng)站安全數(shù)據(jù)、工業(yè)線下安全檢測數(shù)據(jù)，數(shù)據(jù)覆蓋線上、線上采集。

n 工業(yè)安全數(shù)據(jù)分析平臺

提供數(shù)據(jù)采集治理、威脅情報碰撞、大數(shù)據(jù)智能分析、工業(yè)威脅建模。

n 四大業(yè)務(wù)應(yīng)用

在數(shù)據(jù)中臺的服務(wù)能力基礎(chǔ)上，以安全監(jiān)測、安全分析、安全運營和資產(chǎn)管理四大業(yè)務(wù)應(yīng)用為核心，為用戶建立工業(yè)安全運營閉環(huán)管理體系。

1.數(shù)據(jù)采集方案設(shè)計

（1）多元異構(gòu)日志采集

支持目前包括但不限于主流安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)和虛擬化系統(tǒng)等；

支持常見的虛擬機環(huán)境日志收集，包括Xen、VMWare、Hyper-V等

可以通過自定義配置將用戶不關(guān)心的日志過濾掉；

支持對收集到的重復(fù)的日志進行自動的聚合歸并，減少日志量；

支持將收集到的日志轉(zhuǎn)發(fā)，當原始日志設(shè)備無法設(shè)置多個日志服務(wù)器時，可以通過本系統(tǒng)的日志轉(zhuǎn)發(fā)功能將日志轉(zhuǎn)發(fā)到其他日志存儲設(shè)備。

為適配各種采集數(shù)據(jù)源，需要支持多種采集協(xié)議，以實現(xiàn)對各類數(shù)據(jù)的采集，包括不限于安全對象屬性、運行狀態(tài)、安全事件、評估與檢測等數(shù)據(jù)。為實現(xiàn)對包括安全對象的屬性、運行狀態(tài)、安全事件、評估與檢測等數(shù)據(jù)的采集，針對不同類型的數(shù)據(jù)以及對應(yīng)的適配協(xié)議

每個數(shù)據(jù)采集引擎支持配置不同的采集策略，保證每個數(shù)據(jù)采集引擎有針對性的采集數(shù)據(jù)，如動態(tài)配置采集周期，清洗過濾策略等。需滿足如下采集部署要求。

? 支持分布式多節(jié)點部署；

? 支持多采集節(jié)點存活、健康狀態(tài)監(jiān)控，發(fā)現(xiàn)節(jié)點異常后，及時告警；

? 支持對采集節(jié)點性能監(jiān)控，保證采集性能與數(shù)據(jù)量匹配，防止數(shù)據(jù)丟失。

? 采集策略管理。支持對設(shè)備的采集策略的管理，包括采集頻率、采集協(xié)議、采集目標、過濾策略等。

? 支持流量數(shù)據(jù)鏡像采集的方式。支持在多個機房的交換機上復(fù)制鏡像，分布式部署分光器和DPI的方式采集，并將多余的接口關(guān)閉；

? 支持主機終端的數(shù)據(jù)采集，支持數(shù)據(jù)庫審計分析的數(shù)據(jù)采集；

? 支持數(shù)據(jù)匯聚。綜合考慮專網(wǎng)傳輸性能的基礎(chǔ)上，需滿足將多個機房采集到的數(shù)據(jù)傳輸匯聚。

（2）全流量數(shù)據(jù)采集

面對全流量威脅進行識別，并通過雙向流量檢測對網(wǎng)絡(luò)流量行為（例如數(shù)據(jù)報文惡意特征匹配、資源使用情況、使用者的訪問行為等）判定，識別出病毒、木馬、敏感信息等異常行為。

? 威脅行為分析

組件根據(jù)數(shù)據(jù)包特征和流量行為對流量進行深度解析，通過對數(shù)據(jù)流中威脅行為識別，達到惡意流量檢測的目的。

通過流量深度解析，系統(tǒng)異常、網(wǎng)絡(luò)木馬、異常端口訪問、網(wǎng)絡(luò)掃描、DoS、通用協(xié)議命令解碼、WEB應(yīng)用漏洞利用及程序攻擊、惡意文件及病毒攻擊、異常威脅、異常用戶名登錄請求、可疑執(zhí)行代碼等非正常和非RFC遵從的請求行為以風(fēng)險級別實時呈現(xiàn)，為威脅風(fēng)險分析和管理提供依據(jù)。

? 威脅行為識別

通過以下幾個方面對威脅行為進行識別：

基于4000+條規(guī)則庫進行特征匹配；

根據(jù)資源使用狀況或者使用者訪問行為進行識別；

基于異常檢測技術(shù)識別威脅行為，例如病毒、木馬、攻擊等；

通過索引實時查詢頁面告警信息。

? 合規(guī)行為檢測

通過以下多個角度對違規(guī)違法行為檢測：

信息泄露：通過漏洞利用竊取用戶信息。

不良信息內(nèi)容：實現(xiàn)對不適宜信息內(nèi)容檢測審計。

敏感信息過濾：實現(xiàn)對身份信息、關(guān)鍵字、數(shù)據(jù)源等的自定義，實時

掌握流量中的敏感信息定位，實現(xiàn)對不合規(guī)行為有效監(jiān)測。

隱私權(quán)侵害：通過策略獲取信息系統(tǒng)內(nèi)部系統(tǒng)訪問權(quán)限，侵犯數(shù)據(jù)隱

私。

（3）資產(chǎn)信息探測采集

除了基于流量被動發(fā)現(xiàn)存貨資產(chǎn)，工業(yè)安全數(shù)據(jù)分析平臺可以與遠程安全評估相結(jié)合，通過主動掃描的方式發(fā)現(xiàn)系統(tǒng)內(nèi)存在的信息資產(chǎn)。

資產(chǎn)發(fā)現(xiàn)功能可對網(wǎng)絡(luò)中所有在線設(shè)備進行自主網(wǎng)絡(luò)掃描和深入識別，獲取資產(chǎn)的網(wǎng)絡(luò)地址、系統(tǒng)網(wǎng)絡(luò)指紋、系統(tǒng)開放端口和服務(wù)指紋，并根據(jù)積累和運營的指紋庫裁定每個資產(chǎn)的類型、操作系統(tǒng)、廠商信息等。其具體功能需要滿足以下要求：

? 支持定時任務(wù)，用戶可自定義任務(wù)開始的日期和時間

? 系統(tǒng)可采用主動探測的方式，對網(wǎng)絡(luò)中在線設(shè)備的發(fā)現(xiàn)和識別，能夠識別到存活設(shè)備；

? 系統(tǒng)可實現(xiàn)資產(chǎn)詳情信息的采集和定義，包括資產(chǎn)名稱、所屬系統(tǒng)、IP地址、分組、廠家、型號、操作系統(tǒng)類型等；

? 系統(tǒng)需能夠?qū)崿F(xiàn)資產(chǎn)服務(wù)信息的采集，包括資產(chǎn)服務(wù)的IP地址、端口號、服務(wù)名、服務(wù)版本、協(xié)議等服務(wù)屬性進行管理；

? 系統(tǒng)需要能夠支持指紋庫的管理，并能進行指紋的自定義；

? 可識別、定義網(wǎng)絡(luò)中所有資產(chǎn)。

（4）漏洞信息探測采集

漏洞檢測功能需要支持主動的系統(tǒng)、應(yīng)用層、中間件、數(shù)據(jù)庫漏洞檢測，漏洞庫具備實時更新和自定義功能；可檢測主流windows、Linux、國產(chǎn)操作系統(tǒng)漏洞；內(nèi)置通用性弱口令字典，并可增加自定義字典。

本次系統(tǒng)的漏洞檢測發(fā)現(xiàn)功能設(shè)計，基于安全自主研發(fā)的漏掃引擎，通過深度掃描、漏洞檢測、木馬檢測、邏輯漏洞檢測等方式對掃描對象進行全面的探測與檢查，以脆弱性和漏洞為導(dǎo)向,以安全風(fēng)險管理為基礎(chǔ), 對資產(chǎn)進行深度遍歷。支持主流的漏洞。

采用強大的過濾模塊，過濾掉重復(fù)或者不必要的網(wǎng)頁鏈接，提高運行效率。單引擎單位時間的發(fā)包速率的可控化，可以有效防止掃描數(shù)據(jù)量過大影響系統(tǒng)正常運行的問題。 掃描數(shù)據(jù)實時存儲，掃描過程中實時存儲掃描數(shù)據(jù)和結(jié)果，不管是由于程序自身引擎中斷、進程人為關(guān)閉，還是機器斷電引起掃描中斷，掃描數(shù)據(jù)都不會丟失，可以進行斷點續(xù)掃。系統(tǒng)具體功能模塊實現(xiàn)頁面如下所示。

系統(tǒng)內(nèi)置可更新的漏洞知識庫模塊，對掃描出來的漏洞提供詳細的解決方案參考。

提供接口可以導(dǎo)入第三方漏洞掃描結(jié)果。

2.詳細功能設(shè)計

（1）工業(yè)數(shù)據(jù)采集處理

數(shù)據(jù)采集模塊以協(xié)議/接口采集為主，Agent收集為輔。針對不能通過協(xié)議采集或接口轉(zhuǎn)發(fā)數(shù)據(jù)的必要采集對象，采用安裝Agent的方式進行數(shù)據(jù)采集。

系統(tǒng)支持的數(shù)據(jù)采集方式如下：

? 協(xié)議/接口采集：支持采集節(jié)點通過Syslog、Kafka、Ftp/Sftp、

Webservice、SNMP、File、JDBC/ODBC等方式；

? Agent采集：Agent支持Windows、Linux、Unix等系 統(tǒng)的數(shù)據(jù)收集。

系統(tǒng)支持采集的數(shù)據(jù)源類型如下：

? 網(wǎng)絡(luò)系統(tǒng)全量數(shù)據(jù)：工業(yè)網(wǎng)絡(luò)流量、工業(yè)日志數(shù)據(jù)、工業(yè)資產(chǎn)信息、組

織架構(gòu)、安全域、人員、賬號等以及第三方相關(guān)數(shù)據(jù)；

? 威脅情報：惡意IP、惡意域名、郵箱和文件Hash值等；

工控網(wǎng)環(huán)境復(fù)雜，采集所得原始數(shù)據(jù)有一部分是非結(jié)構(gòu)化數(shù)據(jù)，需要將這部分非結(jié)構(gòu)化的原始日志處理轉(zhuǎn)換為結(jié)構(gòu)化數(shù)據(jù)。系統(tǒng)提供了一個鏈式可插拔的數(shù)據(jù)ETL模塊，以插件的形式實現(xiàn)各種原始日志的格式化流程。

圖10-11  詳細功能圖

（2）分布式存儲

分布式存儲技術(shù)能夠?qū)崿F(xiàn)結(jié)構(gòu)化及半結(jié)構(gòu)化數(shù)據(jù)的統(tǒng)一存儲，兼容傳統(tǒng)的關(guān)系型數(shù)據(jù)庫以及SQL訪問模型，同時支持對海量數(shù)據(jù)的在線實時流式處理框架和離線分布式計算框架。分布式數(shù)據(jù)庫面向時序數(shù)據(jù)和小文件數(shù)據(jù)存儲進行深度優(yōu)化，支持第三方存儲引擎和傳統(tǒng)關(guān)系型數(shù)據(jù)庫的無縫接入；支持海量混合數(shù)據(jù)的統(tǒng)一存儲管理和在線離線一體化查詢；支持可插拔安全算法模塊和主流分布式計算框架；支持跨庫、跨源、異構(gòu)數(shù)據(jù)庫之間的跨庫訪問和關(guān)聯(lián)查詢，解決了多系統(tǒng)交互時對海量混合數(shù)據(jù)統(tǒng)一管控的問題；支持多源異構(gòu)混搭數(shù)據(jù)間基于規(guī)則導(dǎo)向的高可靠近實時數(shù)據(jù)同步。主要功能包括：

? 大數(shù)據(jù)采集存儲和分析處理

滿足采集海量數(shù)據(jù)儲存需要，如流量信息、設(shè)備狀態(tài)、鏈路狀態(tài)等，滿足大規(guī)模結(jié)構(gòu)化流式數(shù)據(jù)的并發(fā)能力、吞吐量、低時延的高要求。

? 分層架構(gòu)、模塊化設(shè)計、多場景支持

采用模塊化的設(shè)計思路，在數(shù)據(jù)訪問層、數(shù)據(jù)路由層和數(shù)據(jù)存儲層都提供多種高內(nèi)聚、低耦合的模塊，通過這些模塊的靈活搭配，分布式數(shù)據(jù)庫表現(xiàn)出不同的技術(shù)特征，從而能夠適應(yīng)不同的業(yè)務(wù)場景。

? 在線檢索和離線分析一體化

通過配置，分布式數(shù)據(jù)庫可同時支持高速數(shù)據(jù)寫入，在線交互訪問、實時查詢以及高并發(fā)大數(shù)據(jù)集查詢在內(nèi)的各種訪問方式，適應(yīng)在線檢索和離線分析等不同業(yè)務(wù)場景。

? 混合數(shù)據(jù)支持

分布式數(shù)據(jù)庫支持與傳統(tǒng)關(guān)系型數(shù)據(jù)庫Oracle、MySQL等聯(lián)合訪問。業(yè)務(wù)系統(tǒng)可以把部分表建在Oracle或MySQL上，把部分表建在分布式數(shù)據(jù)庫上，然后透明地訪問這些表，包括在這些表之間進行join、union等操作。

? 跨域、多數(shù)據(jù)中心支持

分布式數(shù)據(jù)庫在保證數(shù)據(jù)一致性的前提下支持多數(shù)據(jù)中心或多數(shù)據(jù)集群之間近實時的跨域數(shù)據(jù)同步復(fù)制，實現(xiàn)系統(tǒng)的跨域多中心部署模式?？傮w處理性能，數(shù)據(jù)讀寫、掃描等，隨集群規(guī)模擴展線性增長。

? 分布式存儲

分布式存儲技術(shù)用于系統(tǒng)架構(gòu)的大數(shù)據(jù)組件當中，使系統(tǒng)能夠?qū)崿F(xiàn)高效的數(shù)據(jù)采集和檢索能力。

主要基于通用/定制化的服務(wù)器提供存儲，可提供對象、文件和塊存儲，具備低成本、靈活擴容、高并發(fā)訪問等優(yōu)勢，通過軟件保障性能和可靠性?？勺鳛橘Y源池的分級存儲手段，滿足中低端存儲、數(shù)據(jù)歸檔備份、大數(shù)據(jù)存儲等需求。采用分布式塊存儲軟件技術(shù)的Server-SAN在I/O能力、部署速度和擴展性方面已驗證優(yōu)于傳統(tǒng)塊存儲技術(shù)。

（3）全文檢索

全文檢索技術(shù)是態(tài)勢感知系統(tǒng)的核心基礎(chǔ)功能，其基礎(chǔ)要求是根據(jù)搜索條件快速、準確的匹配命中數(shù)據(jù)對象，為安全分析人員提供高效準確的分析工具，以便能更加快速的發(fā)現(xiàn)安全風(fēng)險。因為大數(shù)據(jù)系統(tǒng)往往采用分布式存儲技術(shù)，所以全文檢索技術(shù)的選擇必須能夠支持主流的分布式存儲系統(tǒng)。同時，分布式并行計算系統(tǒng)的支持也是在技術(shù)路線選擇中必須考慮的因素，需能夠做到對并行計算框架的無縫對接。由于需要具備對數(shù)據(jù)搜索準度、實時性與多樣性的要求，這就要求檢索技術(shù)需支持基于關(guān)鍵詞，數(shù)值范圍，日期范圍等各種復(fù)雜的搜索功能。

全文檢索技術(shù)采用倒排索引的結(jié)構(gòu)達到快速全文檢索的目的，倒排檢索是實現(xiàn)“單詞”-“文檔矩陣”的一種具體存儲形式，通過倒排索引可以更加快速的獲取包含這個單詞的文檔列表，倒排索引主要由兩個部分組成“單詞詞典”和“倒排文件”，具體結(jié)構(gòu)如下圖：

圖10-12  全文檢索技術(shù)架構(gòu)圖

全文檢索技術(shù)運用在安全監(jiān)測中，主要用于對監(jiān)測數(shù)據(jù)的檢索查詢，通過查詢安全分析人員能夠?qū)崿F(xiàn)對安全事件的細致分析，并將有效數(shù)據(jù)運用于模型建立當中。

（4）威脅潛伏檢測

平臺利用認知攻擊循環(huán)模型（偵查滲透、駐留控制、執(zhí)行滲透或橫向移動）和ATT&CK安全模型，通過對安全大數(shù)據(jù)中心（SDC）匯聚的網(wǎng)絡(luò)數(shù)據(jù)包、文件元數(shù)據(jù)、終端日志、威脅情報、沙箱報告、漏洞知識庫等進行智能分析，重建攻擊全路徑，洞悉發(fā)動攻擊的人員、目標、時間、地點和手段，發(fā)現(xiàn)高級潛伏威脅。

（5）工業(yè)安全實時分析

在工業(yè)場景中，對數(shù)據(jù)的實時性要求很高，數(shù)據(jù)的價值隨著時間的流逝而降低。工業(yè)安全監(jiān)測分析能夠?qū)φ诎l(fā)生的事件進行實時分析，及時發(fā)現(xiàn)最可疑的安全威脅。

? 預(yù)置工業(yè)威脅模型

結(jié)合IT與OT應(yīng)用場景，內(nèi)置了1300多種安全分析模型，包括180多種掃描探查檢測類模型、740多種滲透攻擊檢測類模型、20多種獲取權(quán)限檢測類模型、210多種命令控制檢測類模型和30多種資產(chǎn)破壞類檢測模型，覆蓋Intrusion Kill Chain的各個維度。

? 自定義工業(yè)安全分析模型

在工控網(wǎng)絡(luò)中，用戶對安全生產(chǎn)的要求是非常高的，要確保整個工控網(wǎng)絡(luò)的穩(wěn)定性和可靠性，利用自定義工業(yè)安全分析模型，可根據(jù)用戶實際業(yè)務(wù)場景，將安全生產(chǎn)指標與網(wǎng)絡(luò)安全指標進行融合分析，從中發(fā)現(xiàn)威脅與風(fēng)險，并進行有效的處置。當前支持五大自定義安全分析模型，主要包括規(guī)則模型、統(tǒng)計模型、情報模型、關(guān)聯(lián)模型和AI模型等。

? 威脅情報碰撞

平臺集成海量的威脅情報數(shù)據(jù)。情報來源包括國內(nèi)外200余家威脅情報交換數(shù)據(jù)。采用云沙箱、機器學(xué)習(xí)識別與專家分析等方式，提煉形成面向政企用戶網(wǎng)絡(luò)安全的高質(zhì)量威脅情報中心。為用戶提供如下核心情報功能：

情報收集（內(nèi)部+外部各類情報源）

多源情報關(guān)聯(lián)分析

情報檢索驗證與攻擊溯源

情報更新維護

關(guān)聯(lián)下游產(chǎn)品

（6）工業(yè)場景實體行為分析

在工業(yè)控制場景下，用戶的操作可達到指令級，每個指令是否正常都意味著能否持續(xù)進行安全生產(chǎn)。通過對實識設(shè)備、用戶、工業(yè)通信指令進行智能AI學(xué)習(xí)或進行基線設(shè)置，構(gòu)建出用戶在不同場景中的基線狀態(tài)。及時發(fā)現(xiàn)用戶、系統(tǒng)和設(shè)備存在的可疑行為，解決海量日志里快速定位安全事件的難題。

該系統(tǒng)亮點如下：

? 快速發(fā)現(xiàn)異常用戶行為

采用專用的用戶行為分析算法，能夠快速發(fā)現(xiàn)異常用戶行為，包括歷史未出現(xiàn)過的異常行為。

? 精準的用戶異常行為監(jiān)測

利用網(wǎng)絡(luò)分析的方法，把看似不相關(guān)的用戶和行為關(guān)聯(lián)起來，從而提高異常行為監(jiān)測的準確度和靈敏度，并通過多維態(tài)勢可視化系統(tǒng)能夠?qū)崟r展現(xiàn)總體用戶行為威脅狀況。

? 定制化用戶畫像能力

由于用戶行為隨實際網(wǎng)絡(luò)環(huán)境的不同存在較大差異性，平臺支持根據(jù)用戶實際業(yè)務(wù)場景定制行為分析畫像，確保分析結(jié)果真實可靠。

圖10-13  定制行為分析

（7）資產(chǎn)管理

? 資產(chǎn)管理

資產(chǎn)管理作為態(tài)勢感知的最基礎(chǔ)功能，確定了安全管理的對象和目標，將所有業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)設(shè)備、工控設(shè)備、安全設(shè)備、服務(wù)器及其之上承載的操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、接口方式、硬件屬性、使用維護人員等信息均作為資產(chǎn)管理的內(nèi)容，提供資產(chǎn)錄入、管理、變更等管理功能?？赏ㄟ^流量監(jiān)控開放端口、主動外連行為等。資產(chǎn)管理主要提供如下功能：

提供與第三方資源管理系統(tǒng)的接口以實現(xiàn)資源共享、同步更新、信息的查詢和導(dǎo)入等功能。同時內(nèi)置資產(chǎn)通用屬性接口，用于實現(xiàn)與第三方資產(chǎn)管理系統(tǒng)的數(shù)據(jù)格式相互轉(zhuǎn)換；

資產(chǎn)管理模塊中各項資產(chǎn)的屬性值將參與到安全事件管理、脆弱性管理、風(fēng)險管理、拓撲視圖、報表系統(tǒng)等其它安全管理模塊；

提供資產(chǎn)的手動和自動發(fā)現(xiàn)，資產(chǎn)接入或者移除，能夠自動更新，并作出提示，對新接入資產(chǎn)進行預(yù)管理，對移除資產(chǎn)進行記錄管理；

將安全事件與資產(chǎn)進行綁定關(guān)聯(lián)，實現(xiàn)以資產(chǎn)視角的安全事件管理，在資產(chǎn)拓撲視圖上直接展現(xiàn)安全事件的信息，支持鉆取溯源等安全處置功能；

提供根據(jù)客戶組織架構(gòu)或者網(wǎng)絡(luò)架構(gòu)進行資產(chǎn)域/安全域劃分，方便運維。

資產(chǎn)管理的信息和維度包含如下：

基本信息：資產(chǎn)IP、資產(chǎn)名稱、資產(chǎn)重要性（普通、重要），資產(chǎn)標簽、資產(chǎn)類型

更多信息：資產(chǎn)編號、資產(chǎn)狀態(tài)、組織架構(gòu)、使用人、C-機密性、I-完整性、A-可用性、是否等保資產(chǎn)、地理位置、描述等。

操作系統(tǒng)信息：操作系統(tǒng)、OS版本、MAC地址

設(shè)備管理：設(shè)備廠商、設(shè)備型號、設(shè)備版本、設(shè)備存放地址、管理地址、日志量監(jiān)控、在線狀態(tài)檢測。

? 安全設(shè)備管理

安全設(shè)備管理確定了本平臺對接、聯(lián)動和監(jiān)控的安全設(shè)備目錄，以及安全設(shè)備關(guān)聯(lián)的防護資產(chǎn)信息，管理整個網(wǎng)絡(luò)信息系統(tǒng)和業(yè)務(wù)資產(chǎn)的防護狀態(tài)和安全建設(shè)系統(tǒng)。

安全設(shè)備編輯。提供安全設(shè)備的增加、編輯、刪除功能。安全設(shè)備的管理信息包括設(shè)備名稱、設(shè)備類型、設(shè)備廠商、關(guān)聯(lián)資產(chǎn)等。

安全設(shè)備監(jiān)控。提供包括安全設(shè)備攔截狀態(tài)和安全設(shè)備運行狀態(tài)監(jiān)控，可跳轉(zhuǎn)投屏。

? 區(qū)域管理

區(qū)域管理模塊是根據(jù)企業(yè)網(wǎng)絡(luò)環(huán)境、組織架構(gòu)以及安全域分布實現(xiàn)資產(chǎn)/業(yè)務(wù)拓撲視圖，并能夠在資產(chǎn)視圖上將弱點爆發(fā)的安全事件所屬網(wǎng)絡(luò)區(qū)域或業(yè)務(wù)系統(tǒng)分組予以展示。

安全域添加。根據(jù)企業(yè)的網(wǎng)絡(luò)劃分情報、組織架構(gòu)等情況，進行安全域添加；

安全域修改。

安全域刪除。

內(nèi)部IP配置。對內(nèi)部IP地址進行配置，解決企業(yè)網(wǎng)絡(luò)內(nèi)外網(wǎng)地址私用等情況。

? 業(yè)務(wù)建模

實現(xiàn)以業(yè)務(wù)資產(chǎn)視角，輔助客戶以資產(chǎn)為核心的工作層面之上構(gòu)建一個面向業(yè)務(wù)部門和管理層的業(yè)務(wù)資產(chǎn)模型。該功能主要管理用戶的業(yè)務(wù)支撐系統(tǒng)，為用戶提供業(yè)務(wù)的實時監(jiān)控能力，保障用戶業(yè)務(wù)的可持續(xù)平穩(wěn)運行。為用戶提供如下功能；

支持資產(chǎn)的自動發(fā)現(xiàn)和從客戶現(xiàn)有的資產(chǎn)平臺同步功能，支持資產(chǎn)的修改、刪除等管理功能，并根據(jù)客戶資產(chǎn)的用途和網(wǎng)站結(jié)構(gòu)進行劃分，至少分為內(nèi)部資產(chǎn)、互聯(lián)網(wǎng)資產(chǎn)和重點安全資產(chǎn)；

提供安全資產(chǎn)拓撲視圖，支持根據(jù)網(wǎng)絡(luò)架構(gòu)自定義資產(chǎn)拓撲，支持拓撲的模板導(dǎo)入和編輯好的資產(chǎn)拓撲文件導(dǎo)出；

用戶可以根據(jù)具體的業(yè)務(wù)流程構(gòu)建相應(yīng)的業(yè)務(wù)模型，支持業(yè)務(wù)模型的管理功能。

圖10-14  業(yè)務(wù)建模

? 弱點管理

弱點管理是以資產(chǎn)和漏洞為視角，結(jié)合內(nèi)部管理制度和流程，實現(xiàn)資產(chǎn)弱點的全生命周期管理的資產(chǎn)弱點綜合性管理，通過標準化引擎，支持將掃描器掃描發(fā)現(xiàn)漏洞、安全服務(wù)人工滲透漏洞、內(nèi)部運維人員運維發(fā)現(xiàn)漏洞、互聯(lián)網(wǎng)公布漏洞等不同的漏洞進行自動化收集或人工錄入、導(dǎo)入方式收集，將形式格式不一的漏洞進行標準化。同時，通過內(nèi)部資產(chǎn)清單導(dǎo)入、掃描探測發(fā)現(xiàn)、人工錄入、對接CMDB配置庫等方式梳理企業(yè)資產(chǎn)。再通過自動化關(guān)聯(lián)引擎，實現(xiàn)資產(chǎn)、弱點、業(yè)務(wù)系統(tǒng)、資產(chǎn)責(zé)任人的關(guān)聯(lián)，形成資產(chǎn)維度的脆弱性視角。在此基礎(chǔ)上，進一步結(jié)合企業(yè)的管理制度和流程，通過平臺內(nèi)置工單或?qū)悠髽I(yè)內(nèi)部工單系統(tǒng)，實現(xiàn)資產(chǎn)、漏洞的全生命周期管理，以輔助企業(yè)實現(xiàn)安全建設(shè)管理及決策。

圖10-15  弱點管理

（8）安全監(jiān)測

? 態(tài)勢感知

態(tài)勢感知以單位數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、網(wǎng)絡(luò)安全事件與威脅風(fēng)險監(jiān)測為驅(qū)動，基于多維態(tài)勢可視化技術(shù)，對網(wǎng)絡(luò)空間安全相關(guān)信息進行匯聚融合，從不同視角出發(fā)感知網(wǎng)絡(luò)安全態(tài)勢。

綜合態(tài)勢：綜合態(tài)勢全面采集各類工控流量和日志信息，通過內(nèi)置的大數(shù)據(jù)安全分析模型整合零散的工業(yè)安全數(shù)據(jù)，深入挖掘安全風(fēng)險與攻擊事件，可感可控工業(yè)系統(tǒng)安全，實現(xiàn)工控網(wǎng)安全態(tài)勢的全面感知。

圖10-16  綜合態(tài)勢

場站態(tài)勢：場站態(tài)勢以各場站實際網(wǎng)絡(luò)應(yīng)用場景為底圖，為用戶建立可視的場站安全態(tài)勢感知，通過繪制場站網(wǎng)絡(luò)結(jié)構(gòu)拓撲，標記關(guān)鍵資產(chǎn)和業(yè)務(wù)系統(tǒng)，及時發(fā)現(xiàn)場站發(fā)生的關(guān)鍵事件，達到快速處置目的。

圖10-17  場站態(tài)勢

業(yè)務(wù)系統(tǒng)態(tài)勢：業(yè)務(wù)系統(tǒng)態(tài)勢以業(yè)務(wù)安全感知為唯度，監(jiān)測各場站關(guān)鍵業(yè)務(wù)系統(tǒng)的在線運行狀況，掌握各場站業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)安全狀態(tài)，如各業(yè)務(wù)系統(tǒng)流量，各業(yè)務(wù)系統(tǒng)威脅排行、發(fā)生安全事件排行、趨勢等信息，及時發(fā)現(xiàn)關(guān)鍵業(yè)務(wù)系統(tǒng)的安全態(tài)勢。

圖10-18  業(yè)務(wù)系統(tǒng)太少

異常行為態(tài)勢：異常行為態(tài)勢主要關(guān)注在場站內(nèi)發(fā)現(xiàn)的異常流量行為，將不符合安全基線的行為記錄并進行展現(xiàn)，主要包括工控異常行為、工控高危操作行為、無流量行為，不合規(guī)行為等。

圖10-19  異常行為態(tài)勢

橫向威脅態(tài)勢：橫向威脅感知主要關(guān)注企業(yè)內(nèi)部資產(chǎn)之間的違規(guī)操作和病毒傳播，實時監(jiān)控跨安全域的訪問行為和業(yè)務(wù)訪問情況，通過自由布局和圓形布局觀測資產(chǎn)之前的威脅關(guān)系，及時發(fā)現(xiàn)并處置違規(guī)資產(chǎn)對企業(yè)環(huán)境內(nèi)部造成的破壞。

圖10-19  橫向威脅態(tài)勢

違規(guī)行為態(tài)勢：違規(guī)行為態(tài)勢主要關(guān)注來自各場站不同安全區(qū)是否存在跨區(qū)訪問的情況，及時發(fā)現(xiàn)哪些資產(chǎn)主動外聯(lián)，哪些資產(chǎn)經(jīng)常被跨區(qū)訪問，跨區(qū)外聯(lián)的場站及所屬安全區(qū)，以及這些違規(guī)外聯(lián)訪問是否發(fā)生安全事件。

圖10-20  違規(guī)行為態(tài)勢

攻擊者追蹤溯源態(tài)勢：攻擊者追蹤溯源可視化分析大屏，為安全運維人員提供包括攻擊行為分析、團伙分析、攻擊取證信息、攻擊趨勢、攻擊手段，攻擊影響范圍等信息，支持任意攻擊者信息查詢，可生成詳細的攻擊者溯源報告，并能夠一鍵導(dǎo)出報告。

圖10-21  攻擊者追蹤溯源態(tài)勢

資產(chǎn)威脅溯源態(tài)勢：資產(chǎn)威脅溯源可視化分析大屏，為安全運維人員提供包括被攻擊行為分析、影響資產(chǎn)范圍分析、攻擊取證信息等，支持任意資產(chǎn)查詢，可呈現(xiàn)被訪問趨勢、被攻擊趨勢、被攻擊手段、資產(chǎn)狀態(tài)，資產(chǎn)評分等信息。

? 資產(chǎn)感知

以資產(chǎn)為核心視角，直觀了解自身網(wǎng)絡(luò)環(huán)境中存在風(fēng)險資產(chǎn)。資產(chǎn)感知通過攻擊鏈形式展示，剖析從掃描探查階段到資產(chǎn)破壞階段資產(chǎn)失陷過程。感知失陷、異常資產(chǎn)，從海量的日志中提取有價值的資產(chǎn)溯源路線。平臺簡單易用，支持一鍵全方面鉆取，降低運維成本，提高運維效率。

風(fēng)險資產(chǎn)視圖：以資產(chǎn)被攻擊的維度展示網(wǎng)絡(luò)內(nèi)的安全風(fēng)險，包括已失陷、高風(fēng)險、低風(fēng)險三種維度；

安全域風(fēng)險視圖：以資產(chǎn)安全域的維度展示網(wǎng)絡(luò)內(nèi)的安全風(fēng)險，可根據(jù)安全域進行鉆取處理事件；

風(fēng)險資產(chǎn)列表：為用戶列出正在遭受高級風(fēng)險的資產(chǎn)列表，方便快速處置。

業(yè)務(wù)系統(tǒng)視圖：以業(yè)務(wù)系統(tǒng)被攻擊的維度展示網(wǎng)絡(luò)內(nèi)的安全風(fēng)險，可根根業(yè)務(wù)系統(tǒng)進行鉆取處理事件。

生產(chǎn)大區(qū)視圖：以生產(chǎn)大區(qū)被攻擊的維度展示網(wǎng)絡(luò)內(nèi)的安全風(fēng)險，可根根業(yè)務(wù)系統(tǒng)進行鉆取處理事件。

管理大區(qū)視圖：以生產(chǎn)大區(qū)被攻擊的維度展示網(wǎng)絡(luò)內(nèi)的安全風(fēng)險，可根根業(yè)務(wù)系統(tǒng)進行鉆取處理事件。

? 事件感知

事件感知可以通過搜索、聚合、關(guān)聯(lián)等調(diào)查取證手段，提供攻擊事件數(shù)據(jù)包、攻擊者設(shè)備指紋等舉證信息。平臺支持基于源、目的、事件名、攻擊意圖等多種聚合調(diào)查方式，從不同維度聚合統(tǒng)計安全事件。可以關(guān)聯(lián)資產(chǎn)信息、威脅情報、弱點詳情、安全事件、處置方式等多維數(shù)據(jù)進行調(diào)查取證。同時提供場景化的事件感知能力，如安全基線事件分析、網(wǎng)絡(luò)攻擊分析等。

? 安全熱點

安全熱點是結(jié)合用戶實際需求，將用戶關(guān)心的安全熱點問題進行自定義設(shè)置，用戶可選擇內(nèi)置安全事件作為安全熱點，也可以通過自定義威脅模型定義安全事件后再設(shè)置成安全熱點。安全熱點可幫助用戶快速排查重點問題，發(fā)現(xiàn)最重要的事件，發(fā)起快速處置。

圖10-22  安全熱點

（9）安全分析

? 威脅模型

提供集中的安全規(guī)則、模型以及策略的管理功能，制訂統(tǒng)一的安全策略，并有效貫徹執(zhí)行這些安全策略，不僅有助于提高安全水平，而且將這些安全策略進行上網(wǎng)發(fā)布也有助于知識的共享，讓各級安全管理人員合理運用安全策略，有效地管理網(wǎng)絡(luò)，保障網(wǎng)絡(luò)的安全運行。因此，安全策略管理模塊將負責(zé)全網(wǎng)的基本網(wǎng)絡(luò)安全策略模板的制訂，并將安全策略轉(zhuǎn)換為可執(zhí)行的腳本，便于安全策略的有效執(zhí)行和快速部署。

圖10-23  威脅模型

應(yīng)用層面設(shè)計策略管理模塊，支持策略的維護、啟停、編輯、新增等功能，并具備策略規(guī)則庫字典的維護管理功能。具體如下：

提供對事件過濾規(guī)則進行編輯功能，可自定義過濾規(guī)則，歸并事件告警，避免產(chǎn)生告警風(fēng)暴；

關(guān)聯(lián)規(guī)則匹配條件支持運算符、支持引用外部資源包括過濾器、資產(chǎn)屬性、自定義資源、已有規(guī)則、黑白名單。觸發(fā)條件支持對各不同字段的計數(shù)。支持預(yù)定義包括時間、地址、端口等在內(nèi)的資源，可在規(guī)則定義中直接引用已定義的資源；

支持列表顯示分析規(guī)則，顯示內(nèi)容包括規(guī)則名稱、類型、類別、啟用狀態(tài)、規(guī)則創(chuàng)建時間、修改時間、規(guī)則觸發(fā)后告警等。

模型構(gòu)建和管理

設(shè)計便捷的拖拽式安全建模能力，可支持包括規(guī)則建模、安全事件關(guān)聯(lián)、安全事件統(tǒng)計、威脅情報關(guān)聯(lián)以及AI學(xué)習(xí)建模等安全威脅建模功能。

規(guī)則建模。為用戶提供一個規(guī)則建模平臺，可支持根據(jù)客戶的網(wǎng)絡(luò)安全狀況、業(yè)務(wù)狀況以及用戶行為等構(gòu)建分析規(guī)則能力；

關(guān)聯(lián)建模。為用戶提供一個關(guān)聯(lián)建模平臺，可將多個安全事件進行字段管理安、邏輯關(guān)聯(lián)發(fā)現(xiàn)相關(guān)事件中隱藏的高級威脅及安全風(fēng)險；

統(tǒng)計建模。支持用戶對安全事件、安全行為以及安全威脅等特征進行統(tǒng)計分析，從網(wǎng)絡(luò)信息中發(fā)現(xiàn)重要的安全威脅統(tǒng)計型特征；

情報關(guān)聯(lián)。通過安全威脅分析與預(yù)警平臺和威脅情報的集成，實現(xiàn)全網(wǎng)的基于威脅情報的協(xié)同聯(lián)動，為用戶發(fā)現(xiàn)精準的情報事件，做到防范于未然；

AI學(xué)習(xí)建模。為用戶提供一個內(nèi)置大量集群學(xué)習(xí)算法，包含時序算法、分類算法、聚類算法等多種算法原型，為用戶提供針對任意數(shù)據(jù)的學(xué)習(xí)分析能力，輸出高級安全威脅和未知威脅等。

? 追蹤溯源

平臺能實現(xiàn)基于資產(chǎn)安全告警和攻擊者的追蹤溯源功能，結(jié)合先進的大數(shù)據(jù)關(guān)聯(lián)技術(shù)能夠?qū)崿F(xiàn)對安全告警事件和攻擊者的追蹤與取證，并提供溯源報表的一鍵智能下載。

圖10-24  追蹤溯源

告警溯源：能夠?qū)Ω婢录崿F(xiàn)閉環(huán)式溯源，并提供對告警事件原始日志的查詢服務(wù)。

攻擊者追蹤溯源：提供攻擊者追蹤溯源大屏，基于大數(shù)據(jù)關(guān)聯(lián)分析技術(shù)，聚合展現(xiàn)疑似黑客組織IP組、攻擊引發(fā)告警類型以及類似攻擊行為手段，可基于時間軸動態(tài)查看攻擊行為取證列表，實現(xiàn)對攻擊者的精準追蹤溯源。

資產(chǎn)威脅溯源：提供資產(chǎn)威脅溯源可視化分析大屏，為安全運維人員聚合呈現(xiàn)資產(chǎn)被攻擊行為、影響資產(chǎn)范圍、告警取證信息等，支持針對網(wǎng)內(nèi)任意資產(chǎn)查詢并呈現(xiàn)被訪問趨勢、被攻擊趨勢、被攻擊手段、資產(chǎn)健康狀態(tài)，資產(chǎn)評分等信息。

? 資產(chǎn)畫像

工業(yè)資產(chǎn)畫像以采集到的各種數(shù)據(jù)為依據(jù)，通過安全建模分析，提供可視化工業(yè)資產(chǎn)畫像，主要包括：資產(chǎn)基本信息、風(fēng)險信息、訪問關(guān)系、行為畫像、服務(wù)端口、訪問端口、脆弱性等。

工業(yè)資產(chǎn)畫像可以快速分析重點資產(chǎn)的安全防護效果與威脅情況，為資產(chǎn)風(fēng)險評估、安全加固和安全保護建設(shè)提供依據(jù)。

圖10-25  資產(chǎn)畫像

? 日志檢索

平臺的日志搜索入口，提供關(guān)鍵字組合輸入功能，實現(xiàn)日志快速檢索，包含原始日志搜索、標準化日志搜索、自定義搜索模板和歷史搜索快照。提供如下檢索功能：

支持任意關(guān)鍵字、參數(shù)、和正則表達式進行過濾查詢；并提供檢索關(guān)鍵字排除功能；

支持可指定多個查詢條件進行組合查詢；可通過關(guān)鍵字、條件表達式、時間范圍對事件及數(shù)據(jù)進行快速檢索，快速定位到安全分析人員關(guān)注的威脅和上下文數(shù)據(jù)，并支持檢索趨勢統(tǒng)計；

支持以時間軸的方式展示檢索結(jié)果，并支持時間軸鉆取和追加搜索；

支持對檢索結(jié)果追加檢索，支持點擊檢索結(jié)果字段快速加入到檢索條件；

支持對展示字段靈活定義，允許用戶選擇特定的字段顯示；

支持將查詢的條件存儲為查詢模版，方便再次使用；

支持檢索結(jié)果導(dǎo)出（不少于10000條），至少支持excel或CSV格式。

具備如下日志分類檢索功能，智能檢索滿足基本要求外，還提供以下特定功能：

原始日志檢索：支持選擇日志源進行檢索；

安全告警檢索：支持根據(jù)安全事件的處置狀態(tài)、威脅等級、攻擊意圖、所處攻擊鏈階段等多個維度進行檢索；支持檢索結(jié)果進行處理，處理狀態(tài)標簽包括：未處理、處理中、處理完成、誤報等；

安全事件檢索：支持根據(jù)安全事件威脅等級、攻擊意圖、所處攻擊鏈階段等多個維度進行檢索。

圖10-26  日志檢索

（10）安全運營

? 通報預(yù)警

為用戶提供預(yù)警和通報功能，用戶對平臺產(chǎn)生的安全告警進行新增預(yù)警，提示平臺用戶該告警可能存在一定風(fēng)險隱患。

預(yù)警。提供用戶/組織維度的安全風(fēng)險預(yù)警，可選擇特定的用戶或組織進行下發(fā) 預(yù)警，可設(shè)置預(yù)警級別、標簽等。針對未通報的事件，將根據(jù)事件信息，利用系統(tǒng)配置好的日常通報模板生成通報文件。

通報。提供全局維度的安全分析通報，按照預(yù)警名稱的維度對公開預(yù)警進行查詢的功能，并可根據(jù)指定的查詢條件，快速定位需要重點關(guān)注的公開預(yù)警。

? 工單管理

提供工單管理視圖，可以通過工單管理界面新增工單、通報詳情頁面新增工單、安全告警頁面新增工單，并將工單指派給相應(yīng)的處理人，經(jīng)過各個環(huán)節(jié)的處理，工單記錄狀態(tài)未處理/處理中/已解決/已關(guān)閉，便于監(jiān)督工單是否及時處理以及閉環(huán)。提供包括工單查詢、工單新增、工單處置、工單刪除、工單跟著以及工單批量操作等功能。

? 安全評價

安全評價實現(xiàn)對被考核對象的安全合規(guī)評價和工業(yè)網(wǎng)絡(luò)安全狀態(tài)的整體評價，支持按天、周、月、季度、半年、年度進行安全評定。安全評價有別于綜治考核，綜治考核為一年一次，有嚴格的計分標準。

? 訂閱管理

提供安全事件、工單等消息的訂閱功能，可將具備安全工單/消息推送給制定的人員。提供預(yù)警、工單、短信和郵件4種推送方式，當安全告警滿足訂閱規(guī)則時，平臺對訂閱規(guī)則通知人自動生成預(yù)警/工單、發(fā)送郵件/短信，讓用戶可以實時關(guān)注到平臺告警情況。

? 安全工作臺

為運維人員提供安全事件處置工作界面，包括工單管理、通報情況、最新安全動態(tài)等視圖，并為用戶提供代辦工單狀態(tài)工作臺，方便用戶快速進行需要處理的安全工單。

1.1.4  方案創(chuàng)新點和實施效果

1. 方案先進性及創(chuàng)新點

本方案在實施過程中，為了有效解決新場景新業(yè)務(wù)帶來的新安全問題，創(chuàng)新的采用了一些新技術(shù)，主要體現(xiàn)在下面的幾個方面：

（1）采用運行拓撲(topology)的strom架構(gòu)

目前技術(shù)上一般提供Hadoop架構(gòu)對大規(guī)模數(shù)據(jù)的計算進行分解，然后交由眾多的計算節(jié)點分別完成，再統(tǒng)一匯總計算結(jié)果。Hadoop架構(gòu)通常的使用方式為批量收集輸入數(shù)據(jù),批量計算，然后批量吐出計算結(jié)果。然而在安全大數(shù)據(jù)分析的應(yīng)用場景下，通常對告警的實時性要求較高，需要對海量的原始數(shù)據(jù)進行實時流式處理和持續(xù)處理，Hadoop架構(gòu)難以處理實時性要求較高的業(yè)務(wù)。針對這一難題，本方案采用運行拓撲(topology)的strom架構(gòu)，極大的降低了安全事件的告警延遲。

Storm集群提供控制節(jié)點(master node)和工作節(jié)點(worker node)?？刂乒?jié)點上面運行一個叫Nimbus后臺程序，負責(zé)在集群里面分發(fā)代碼，分配計算任務(wù)和監(jiān)控狀態(tài)。每一個工作節(jié)點上面運行一個Supervisor的進程，監(jiān)聽分配給它那臺機器的工作，根據(jù)需要啟動/關(guān)閉工作進程worker，多個工作進程worker組成拓撲(topology)。

工作進程worker中每一個spout/bolt（數(shù)據(jù)處理單元）的線程稱為一個task（任務(wù)），使用Spout/Bolt編程模型來對消息進行流式處理。Spout組件是消息生產(chǎn)者，支持從多種異構(gòu)數(shù)據(jù)源讀取數(shù)據(jù)，并發(fā)射消息流，Bolt組件負責(zé)接收Spout組件發(fā)射的信息流，并完成具體的處理邏輯。在復(fù)雜的業(yè)務(wù)邏輯中可以串聯(lián)多個Bolt組件，在每個Bolt組件中編寫各自不同的功能，從而實現(xiàn)整體的處理邏輯，只需將不同的實時分析數(shù)據(jù)處理任務(wù)按照一定的規(guī)則和接口納入和封裝到Bolt組件中，就可以動態(tài)的實現(xiàn)實時分析功能的模塊擴展。

（2）基于機器學(xué)習(xí)算法的異常行為檢測創(chuàng)新

本方案創(chuàng)新地將機器學(xué)習(xí)算法、分析方法應(yīng)用到對系統(tǒng)日志、網(wǎng)絡(luò)流量、告警日志等安全數(shù)據(jù)的分析中，實現(xiàn)了對異常行為、惡意流量的有效識別。首先，根據(jù)工業(yè)互聯(lián)網(wǎng)系統(tǒng)中用戶及網(wǎng)絡(luò)設(shè)備之間訪問行為的業(yè)務(wù)特征，確定行為指標。其次，提取行為指標作為多維變量數(shù)據(jù)，然后利用無監(jiān)督算法對數(shù)據(jù)進行聚類分析并進行標記，標記后的數(shù)據(jù)再交給有監(jiān)督算法進行分析并產(chǎn)生分類規(guī)則。第三，聯(lián)合有監(jiān)督和無監(jiān)督算法對行為日志進行分析，經(jīng)過反復(fù)迭代有監(jiān)督算法分析，逐漸將專家經(jīng)驗積累到分析算法中。日志、流量等數(shù)據(jù)經(jīng)過上述算法的分析，可以準確發(fā)現(xiàn)工業(yè)互聯(lián)網(wǎng)中的異常行為、惡意流量。

圖10-27  基于機器學(xué)習(xí)算法的異常行為檢測原理圖

（3）面向生產(chǎn)控制網(wǎng)絡(luò)專有協(xié)議的深度數(shù)據(jù)包解析技術(shù)

解析工控網(wǎng)絡(luò)專有協(xié)議的深度數(shù)據(jù)包，且能夠?qū)Ω黝悢?shù)據(jù)包進行快速有針對性的捕獲與深度解析，同時滿足生產(chǎn)系統(tǒng)在生產(chǎn)和制造過程中的通信效率保障和冗余機制等要求。

（4）基于智能機器學(xué)習(xí)的威脅感知技術(shù)

自動收集、分析和學(xué)習(xí)系統(tǒng)正常運行狀態(tài)下的數(shù)據(jù)行為，智能提取用戶節(jié)點的行為特征，并自動生成操作規(guī)則、白名單、配置規(guī)則等，實現(xiàn)自動化特征規(guī)則的提取和生成，對異常數(shù)據(jù)、操作行為、安全事件、安全隱患等進行告警及綜合管理。

（5）基于SOAR的場景推理適度阻斷技術(shù)

針對工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域安全事件頻發(fā)，面對海量的工業(yè)互聯(lián)網(wǎng)安全相關(guān)數(shù)據(jù)和告警，僅僅利用安全分析規(guī)則和粗放式的調(diào)用安全能力是遠遠不夠的。在工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)攻擊態(tài)勢推理中，發(fā)現(xiàn)任何安全告警信號后，需要進行分揀、調(diào)查、核實、影響評估、取證、定級。利用多源異構(gòu)數(shù)據(jù)進行自動化關(guān)聯(lián)與推理，通過構(gòu)建出網(wǎng)絡(luò)安全知識圖譜，提供跨越時間空間的強大有效的上下文環(huán)境，極大提升安全運維效率。

圖10-28  場景關(guān)聯(lián)分析推理圖

實現(xiàn)通過安全知識圖譜驅(qū)動自動化響應(yīng)。通過學(xué)習(xí)安全專家在安全事件響應(yīng)中的處理，學(xué)習(xí)應(yīng)對威脅的響應(yīng)處置點、技術(shù)手段、流程，在安全知識庫、漏洞庫、處置案例庫之間，構(gòu)建這些知識間的聯(lián)結(jié)，逐漸學(xué)習(xí)到如何設(shè)計縱深防御、組合防御等各種響應(yīng)方案，學(xué)習(xí)阻斷、隔離等不同策略，學(xué)習(xí)防火墻ACL列表、WAF策略、SDN流控制器等技術(shù)手段，學(xué)習(xí)掃描、POC利用等檢驗評估過程和規(guī)則。

隨著響應(yīng)經(jīng)驗的持續(xù)積累，知識圖譜會逐漸學(xué)習(xí)到安全事件、攻擊、響應(yīng)間的聯(lián)結(jié)，自動化提出快速、有效的安全決策，自動化生成響應(yīng)方案、推薦選擇響應(yīng)方案、最終實現(xiàn)自動化響應(yīng)，實現(xiàn)網(wǎng)絡(luò)威脅風(fēng)險的智能推理可視化和適度阻斷能力。

2. 實施效果

（1）劃分安全域

橫向安全域隔離，縱向邊界防護，實現(xiàn)縱深防御工控網(wǎng)絡(luò)與企業(yè)資源網(wǎng)的打通，導(dǎo)致網(wǎng)絡(luò)安全風(fēng)險增大，需要在兩個網(wǎng)絡(luò)間增加有效的安全隔離措施，保證兩網(wǎng)融合后原有隔離網(wǎng)絡(luò)的獨立安全性，使其能應(yīng)對各種未知信息安全風(fēng)險，同時部署相應(yīng)工控信息安全產(chǎn)品以實現(xiàn)橫向安全區(qū)域間的隔離、生產(chǎn)數(shù)據(jù)單向采集及監(jiān)控。

（2）部署工控信息安全產(chǎn)品

實現(xiàn)終端設(shè)備全天候防護油庫生產(chǎn)運行中的終端設(shè)備應(yīng)部署工控終端防護產(chǎn)品，及時更新版本，實現(xiàn)全天候病毒防護，產(chǎn)品可進行統(tǒng)一監(jiān)控、策略下發(fā)、異常報警等，同時對移動存儲介質(zhì)使用進行管理，保障各工業(yè)現(xiàn)場主機能夠有效抵御未知病毒、木馬、惡意程序、非法入侵等對于終端的攻擊。

（3）加強應(yīng)用及數(shù)據(jù)的檢測審計

實現(xiàn)異常告警兩網(wǎng)融合后，數(shù)據(jù)橫向和縱向交互增多，造成數(shù)據(jù)風(fēng)險增大，需加強數(shù)據(jù)集成、數(shù)據(jù)上云和數(shù)據(jù)操作的機密性、完整性和可審計性，構(gòu)建數(shù)據(jù)庫審計系統(tǒng)，實現(xiàn)對數(shù)據(jù)實時、動態(tài)的監(jiān)測審計，及時識別數(shù)據(jù)庫的異常情況和風(fēng)險行為并進行告警。

（4）建立主動防護機制

提升安全運營服務(wù)能力油庫工控網(wǎng)絡(luò)應(yīng)具備主動防護功能，定期對業(yè)務(wù)系統(tǒng)進行漏洞掃描和安全檢查，及時發(fā)現(xiàn)應(yīng)用的安全漏洞及撞庫攻擊、暴力破解等惡意的攻擊行為，提升漏洞發(fā)現(xiàn)、威脅感知、異常行為和異常流量的審計等安全運營服務(wù)能力。同時，需加強對油庫資產(chǎn)、設(shè)備的集中管控和對運維人員身份認證、操作行為的統(tǒng)一管理，構(gòu)建運維管理平臺，提升油庫運維管控能力。

（5）建立油庫安全管理平臺

實現(xiàn)統(tǒng)一安全運維管控，對分布在油庫各網(wǎng)絡(luò)中的安全防護設(shè)備進行有效的統(tǒng)一管理，實現(xiàn)各防護設(shè)備之間的互相支撐，密切協(xié)同，有機互動，從而充分發(fā)揮安全防護的作用。平臺通過總體配置、調(diào)控，實現(xiàn)對油庫各類安全設(shè)備的統(tǒng)一策略管理、監(jiān)控、統(tǒng)一預(yù)警等；實現(xiàn)多種安全功能模塊之間的互聯(lián)互通，使得安全管理工作由繁變簡，有效性得以提高，從而解決油庫安全設(shè)備分散問題，實現(xiàn)統(tǒng)一安全管理。

（6）核心系統(tǒng)的安全防護

對于重要的業(yè)務(wù)系統(tǒng)（例如：付油系統(tǒng)、閥門聯(lián)動系統(tǒng)）采用工業(yè)網(wǎng)閘專用的安全通道實現(xiàn)重要業(yè)務(wù)系統(tǒng)的信息交換，業(yè)務(wù)數(shù)據(jù)通過物理隔離、協(xié)議隔離、內(nèi)容隔離等措施使其他業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)及有害數(shù)據(jù)信息無法進入該業(yè)務(wù)系統(tǒng)，保障了重要業(yè)務(wù)系統(tǒng)的相對安全。

（7）數(shù)據(jù)采集與共享

數(shù)據(jù)采集：油庫工業(yè)控制系統(tǒng)環(huán)境復(fù)雜，由于一些系統(tǒng)比較落后，沒有聯(lián)網(wǎng)或者沒有網(wǎng)絡(luò)接口，通過工業(yè)網(wǎng)閘采集未聯(lián)網(wǎng)設(shè)備（含串口總線設(shè)備），實現(xiàn)對未接入的數(shù)據(jù)采集，保證數(shù)據(jù)采集的全面性，為智能油庫建設(shè)提供數(shù)據(jù)支撐。

數(shù)據(jù)共享：與第三方進行信息交互的場景，第三方網(wǎng)絡(luò)通信鏈路連接到工業(yè)網(wǎng)閘外聯(lián)口，通過工業(yè)網(wǎng)閘實現(xiàn)第三方網(wǎng)絡(luò)與工控網(wǎng)絡(luò)的安全隔離和信息的單向流動，可以在保障安全的情況下實現(xiàn)數(shù)據(jù)交換。

1.1.5  單位基本信息

杭州安恒信息技術(shù)股份有限公司（DBAPPSecurity），簡稱“安恒信息”，成立于2007年5月，是由“國家千人計劃”獲得者范淵先生創(chuàng)辦的國家級高新技術(shù)企業(yè)，企業(yè)注冊資金7407.4075萬元。國內(nèi)總部設(shè)在杭州高新區(qū)（濱江），并在北京、上海、廣州、深圳、南京、成都、重慶、濟南、西安、沈陽、武漢、福州、鄭州、長春、內(nèi)蒙等地設(shè)有分支機構(gòu)。安恒信息主營業(yè)務(wù)涵蓋云計算安全、大數(shù)據(jù)安全、應(yīng)用安全、數(shù)據(jù)庫安全、移動互聯(lián)網(wǎng)安全、智慧城市安全等，包括安全態(tài)勢感知、威脅情報分析、攻防實戰(zhàn)培訓(xùn)、頂層設(shè)計、標準制定、課題和安全技術(shù)研究、產(chǎn)品研發(fā)、產(chǎn)品及服務(wù)綜合解決方案提供等。安恒信息多次入選由美國著名網(wǎng)絡(luò)安全風(fēng)險投資公司（Cybersecurity Ventures）推出的 “全球網(wǎng)絡(luò)安全企業(yè)500強”榜單。

目前，企業(yè)正式員工4125名，其中研發(fā)團隊人員1459名。公司設(shè)立有安全研究院和產(chǎn)品研發(fā)中心兩大研發(fā)機構(gòu)。安全研究院致力于前沿技術(shù)預(yù)研、創(chuàng)新業(yè)務(wù)探索和核心能力積累。研發(fā)中心主要由云事業(yè)群、AiLPHA大數(shù)據(jù)智能安全事業(yè)群、物聯(lián)網(wǎng)+事業(yè)群、智慧城市事業(yè)群、基礎(chǔ)安全事業(yè)群等多個子部門組成，除負責(zé)公司現(xiàn)有產(chǎn)品的迭代升級研發(fā)外，還覆蓋云安全、移動安全，智能設(shè)備安全、大數(shù)據(jù)安全、工控安全等多個新興領(lǐng)域產(chǎn)品的開發(fā)。

杭州安恒信息技術(shù)股份有限公司成立以來發(fā)展迅速，經(jīng)營業(yè)績快速攀升，各項業(yè)務(wù)指標持續(xù)快速增長。2020年，公司總資產(chǎn)達到260133.57萬元，凈資產(chǎn)達171463.85萬元，營業(yè)收入129159.33萬元，凈利潤12115.22萬元。 

作為國內(nèi)網(wǎng)絡(luò)信息安全領(lǐng)域的領(lǐng)導(dǎo)者之一，公司積極承擔我國網(wǎng)絡(luò)信息安全產(chǎn)業(yè)發(fā)展的社會責(zé)任。根據(jù)國家發(fā)改委正式發(fā)布的“2018年度國家地方聯(lián)合工程研究中心”名單，安恒信息成為“大數(shù)據(jù)網(wǎng)絡(luò)安全態(tài)勢感知及智能防控技術(shù)國家地方聯(lián)合工程研究中心”的依托單位，先后承擔“國家發(fā)改委信息安全專項”、“工信部電子發(fā)展基金方案”、“科技部火炬計劃方案”等國家級、省市級科技計劃方案50余項。針對關(guān)鍵技術(shù)申請1490項專利（獲得授權(quán)發(fā)明專利266項），擁有計算機軟件著作權(quán)272項。參與制訂信息安全類國家標準10余項，入選2020《中國網(wǎng)絡(luò)安全能力100強》安恒信息榮獲“領(lǐng)軍者”稱號。

2020年11月23日，安恒信息正式簽約2022年杭州第19屆亞運會，成為其網(wǎng)絡(luò)安全類官方合作伙伴，這也是國際大型綜合性賽事網(wǎng)絡(luò)信息安全類最高層級合作，作為國家級重保核心單位，安恒信息先后參與：2008年北京奧運會、上海世博會、廣州亞運會、歷屆世界互聯(lián)網(wǎng)大會、G20杭州峰會、廈門金磚、世界游泳錦標賽、武漢軍運會等世界級重大活動的網(wǎng)絡(luò)安全保障工作，并先后簽約2020第六屆亞沙灘運動會、2021年成都大運會，以先進的理念和專業(yè)的服務(wù)獲得各盛事主辦方和監(jiān)管機構(gòu)的一致好評。