引言：

石油銷售公司下轄油庫均采取煉廠直輸進庫，管道、鐵路、公路出庫的“一進三出”方式，是中國石油在多省份成品油資源的重要集散地，承擔著保障油庫所在地區(qū)的后路暢通和成品油市場穩(wěn)定供應(yīng)的重任，配送范圍覆蓋半個中國。經(jīng)過“十五”以來近十五年信息化建設(shè)，實現(xiàn)了從“集中”到“集成”的飛躍，促進了“兩化”的深度融合。目前，銷售信息化已完成大規(guī)模全局性信息系統(tǒng)建設(shè)和系統(tǒng)集成，逐漸完成系統(tǒng)提升與集成應(yīng)用工作，正在邁向商業(yè)智能、決策支持方向發(fā)展，提高信息利用與共享能力，通過信息化建設(shè)促進油庫主營業(yè)務(wù)轉(zhuǎn)型升級。原來相對分散、獨立的裝置通過內(nèi)部網(wǎng)絡(luò)連接到一起，數(shù)據(jù)耦合程度增加，使得來自于外部和內(nèi)部的網(wǎng)絡(luò)安全風險增加，油庫生產(chǎn)系統(tǒng)的網(wǎng)絡(luò)安全建設(shè)迫在眉睫。

本方案結(jié)合相關(guān)國家標準、行業(yè)要求，采用“白環(huán)境” 的縱深防御安全防護技術(shù)體系架構(gòu)，積極開展網(wǎng)絡(luò)安全升級改造建設(shè)，提升自身網(wǎng)絡(luò)安全防護能力。

一、 項目概況

石油銷售公司借鑒相關(guān)安全管理規(guī)定，參照等級保護以及指導(dǎo)方案要求，結(jié)合部署在總部數(shù)據(jù)中心系統(tǒng)和部署在庫站系統(tǒng)的實際，制定了基于“行為白名單”的“縱深安全防御”技術(shù)方案，滿足等保2.0“一個中心、三重防護”以及中石油信息處規(guī)劃總院的《銷售工控系統(tǒng)安全防護指導(dǎo)方案》要求，進而構(gòu)筑油庫生產(chǎn)系統(tǒng)“安全可信環(huán)境”，達到“只有可信任的設(shè)備，才能接入控制網(wǎng)絡(luò)”、“只有可信任的消息，才能在網(wǎng)絡(luò)上傳輸”、“只有可信任的軟件，才允許被執(zhí)行”的防護效果。并且在此項目中創(chuàng)新應(yīng)用基于“行為白名單”建立的面向工控PLC設(shè)備的行為模型固化技術(shù)，結(jié)合油庫生產(chǎn)系統(tǒng)業(yè)務(wù)流程，利用智能技術(shù)，以時間周期維度作為判斷，發(fā)現(xiàn)工控指令隱藏的多重復(fù)雜周期模式，建立工控指令復(fù)雜周期場景指紋模型。通過該模型對工控指令和生產(chǎn)工藝行為進行更加精細化的解析和管控，解決“傳統(tǒng)白名單”只能靜態(tài)對工業(yè)控制協(xié)議指令識別的劣勢，避免因指令時間錯誤引起異常，有效識別誤操作、網(wǎng)絡(luò)攻擊、惡意操作等，保證工控業(yè)務(wù)穩(wěn)定運行。

項目建設(shè)完成后全面提升了油庫生產(chǎn)系統(tǒng)的整體安全性，確保設(shè)備、系統(tǒng)、網(wǎng)絡(luò)的高效運行，減少運維人員的工作量，提高了安全生產(chǎn)管理水平、工作效率以及管理效率。并且此項目在國內(nèi)石油銷售板塊具有“標桿”意義，能夠在國內(nèi)其它銷售公司進行廣泛推廣。

1. 項目背景

油庫是國家重要的能源基礎(chǔ)設(shè)施，應(yīng)做為安全防護的重點對象。由于燃油的易燃、易爆特性，在其儲存及運輸?shù)倪^程中面臨著諸多風險，一旦管理不當，將有可能引發(fā)重大安全事故，其中因油庫生產(chǎn)控制系統(tǒng)異常所導(dǎo)致的安全事故已屢見不鮮。攻擊者基于對目標系統(tǒng)所使用的工控協(xié)議及工業(yè)流程的深入了解，通過更改控制命令，導(dǎo)致安全事件的發(fā)生，甚至影響到廣大人民群眾的生命財產(chǎn)安全。比如，惡意下發(fā)非法工控指令，控制油庫壓力升高、停止發(fā)油業(yè)務(wù)等。

油庫生產(chǎn)系統(tǒng)在銷售系統(tǒng)的應(yīng)用流程中屬于關(guān)鍵業(yè)務(wù)模塊，通過油庫中庫級系統(tǒng)與工控系統(tǒng)集成，共同協(xié)作完成進銷存自動管理。在油庫生產(chǎn)場景中，石油銷售公司生產(chǎn)系統(tǒng)的主要威脅來自于上位機和下位機的通信，因為上位機就是普通的計算機，由人操作，很容易感染病毒、木馬入侵或人為惡意破壞，形成惡劣影響。在勒索病毒爆發(fā)時，石油銷售公司部分油庫庫級系統(tǒng)出現(xiàn)不同程度病毒感染，導(dǎo)致生產(chǎn)系統(tǒng)無法正常運行。因此需要依據(jù)網(wǎng)絡(luò)安全法、等保2.0以及中石油公司下發(fā)的指導(dǎo)方案要求積極開展網(wǎng)絡(luò)安全升級改造建設(shè)，提升自身網(wǎng)絡(luò)安全防護能力。

2. 項目簡介

石油銷售公司油庫庫級生產(chǎn)系統(tǒng)與工控系統(tǒng)集成，完成油庫進銷存的自動管理。油庫一般以專線方式接入到廣域網(wǎng)，目前大部分油庫與廣域網(wǎng)邊界無安全防護措施，信息網(wǎng)與工控網(wǎng)之間未作有效隔離，工控主機無有效安全防護措施，工控軟件及操作系統(tǒng)存在漏洞，設(shè)備聯(lián)網(wǎng)機制缺乏安全保障，業(yè)務(wù)及用戶行為無有效審計手段，組網(wǎng)混亂。因此需開展油庫生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全改造推廣項目，削弱或根除安全風險，提高油庫生產(chǎn)系統(tǒng)的網(wǎng)絡(luò)安全防護能力。

3. 項目目標

油庫是協(xié)調(diào)原油生產(chǎn)、原油加工、成品油供應(yīng)及運輸?shù)募~帶，是國家石油儲備和供應(yīng)的基地，它對于保障國防和促進國民經(jīng)濟高速發(fā)展具有相當重要的意義。本次油庫網(wǎng)絡(luò)安全改造推廣項目旨在全面提升石油銷售公司油庫生產(chǎn)系統(tǒng)的整體安全防護水平，保障設(shè)備、系統(tǒng)、網(wǎng)絡(luò)的可靠性及穩(wěn)定性，提高安全生產(chǎn)管理水平和工作效率，滿足我國等級保護相應(yīng)等級的防護要求及國家相關(guān)政策法規(guī)、標準要求，從而實現(xiàn)以下項目目標：

首先，按照生產(chǎn)系統(tǒng)重要程度，按照不同流程規(guī)劃不同安全區(qū)域，通過技術(shù)手段實現(xiàn)安全區(qū)域邊界的“白環(huán)境”，實現(xiàn)訪問控制白名單固化、工業(yè)協(xié)議白名單固化、業(yè)務(wù)白名單固化；其次，針對油庫生產(chǎn)系統(tǒng)的安全計算環(huán)境載體實現(xiàn)應(yīng)用鎖定、系統(tǒng)鎖定、外設(shè)鎖定、網(wǎng)絡(luò)鎖定，建立工控主機的安全管理中心、安全狀態(tài)監(jiān)測中心；再次，通過監(jiān)測生產(chǎn)系統(tǒng)內(nèi)關(guān)鍵網(wǎng)絡(luò)節(jié)點的業(yè)務(wù)流量，實現(xiàn)工控網(wǎng)絡(luò)異常流量監(jiān)測、異常事件監(jiān)測。

在油庫過程監(jiān)控層建設(shè)工業(yè)安全運營中心，實現(xiàn)工業(yè)資產(chǎn)的主動發(fā)現(xiàn)、漏洞無損掃描、網(wǎng)絡(luò)攻擊檢測、安全運維、日志記錄。通過統(tǒng)一安全管理平臺實現(xiàn)工控網(wǎng)絡(luò)安全產(chǎn)品的統(tǒng)一策略下發(fā)，提高運維效率，降低維護成本，構(gòu)建“一個中心、三重防護”的安全體系架構(gòu)。

二、項目實施概況

本項目采用“行為白名單”核心技術(shù)，結(jié)合石油銷售公司油庫生產(chǎn)系統(tǒng)業(yè)務(wù)流程，建立精準的安全防護模型，實現(xiàn)了辦公網(wǎng)與生產(chǎn)網(wǎng)物理隔離、主機加固及防護等，最終通過項目驗收，達到預(yù)期防護效果。

1. 項目總體架構(gòu)和主要內(nèi)容

項目以GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》、工信部信軟〔2016〕338號《工業(yè)控制系統(tǒng)信息安全防護指南》等國家標準為依據(jù)，采用“行為白名單”的縱深防御安全防護技術(shù)體系，從“一個中心、三重防護”的角度出發(fā)對油庫生產(chǎn)系統(tǒng)進行統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)，進而構(gòu)筑油庫生產(chǎn)控制系統(tǒng)安全“可信環(huán)境”，確保：

（1）只有可信任的設(shè)備，才能接入系統(tǒng)網(wǎng)絡(luò)；

（2）只有可信任的消息，才能在系統(tǒng)網(wǎng)絡(luò)上傳輸；

（3）只有可信任的軟件，才允許被執(zhí)行。

項目總體架構(gòu)設(shè)計圖如下所示：

圖2-1項目總體架構(gòu)設(shè)計

項目主要建設(shè)內(nèi)容涉及以下方面：

ü 構(gòu)建區(qū)域邊界“白環(huán)境”，在油庫現(xiàn)場設(shè)備層和現(xiàn)場監(jiān)控層之間部署工業(yè)防火墻，建立訪問控制白名單和工業(yè)協(xié)議白名單，實現(xiàn)“值域級”的細粒度訪問控制；在過程監(jiān)控層和生產(chǎn)管理層部署安全隔離與信息交換系統(tǒng)，實現(xiàn)油庫生產(chǎn)網(wǎng)環(huán)境中不同安全級別網(wǎng)絡(luò)之間數(shù)據(jù)安全交換的隔離，防止內(nèi)部機密信息的泄露，實現(xiàn)網(wǎng)間安全隔離和信息交換；

ü 構(gòu)建通信網(wǎng)絡(luò)“白環(huán)境”，在油庫生產(chǎn)系統(tǒng)關(guān)鍵網(wǎng)絡(luò)節(jié)點處部署工控安全監(jiān)測與審計系統(tǒng)，建立全流量行為模型，實現(xiàn)工業(yè)網(wǎng)絡(luò)異常流量監(jiān)測、工業(yè)網(wǎng)絡(luò)關(guān)鍵事件監(jiān)測、工控協(xié)議規(guī)約檢測、工控網(wǎng)絡(luò)通信記錄回溯等；

ü 構(gòu)建主機業(yè)務(wù)“白環(huán)境”，在油庫裝車監(jiān)控主機、罐區(qū)監(jiān)控主機、消防監(jiān)控主機、安全監(jiān)控主機以及數(shù)據(jù)管理平臺服務(wù)器部署工控主機衛(wèi)士，利用非法外聯(lián)、網(wǎng)絡(luò)白名單、雙因子認證、訪問控制、安全基線、程序白名單和外設(shè)管理等功能，有效阻止工控惡意程序或代碼在工控主機上的感染、執(zhí)行和擴散；

ü 構(gòu)建安全管理中心，實時對采集到的不同類型日志信息進行標準化處理和實時關(guān)聯(lián)分析，幫助用戶滿足安全審計的合規(guī)要求；制定嚴格的資源訪問策略，并采用強身份認證手段，全面保障系統(tǒng)資源安全；安全設(shè)備集中管理，對安全策略集中管控、安全事件集中分析，為油庫生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全狀態(tài)監(jiān)控、故障快速定位等提供技術(shù)支撐。

2. 具體應(yīng)用場景和安全應(yīng)用模式

具體應(yīng)用場景：采用“行為白名單”技術(shù)形成“三重固化、三種防護模式”下的縱深防御安全防護技術(shù)體系架構(gòu)，適用于油庫控制系統(tǒng)和油庫綜合自動化系統(tǒng)的安全防護，保障泵站監(jiān)控系統(tǒng)，罐區(qū)（庫區(qū)）監(jiān)控系統(tǒng)，裝車系統(tǒng)、油品檢驗系統(tǒng)的高效、穩(wěn)定運行。亦可為石油石化、電力、軌道交通、煙草、市政、智能制造、冶金及軍工等國家重點工控行業(yè)構(gòu)筑工控系統(tǒng)的網(wǎng)絡(luò)安全防護體系，保障工控系統(tǒng)平穩(wěn)、高效運行。

安全應(yīng)用模式： 現(xiàn)場控制層核心控制設(shè)備的正常運行對整個生產(chǎn)控制系統(tǒng)起到關(guān)鍵性的作用，因此在核心控制設(shè)備前端部署工業(yè)防火墻，采用白名單機制確保只有可信的消息才允許傳輸；在過程監(jiān)控層，對工程師站、操作站、服務(wù)器等工控主機上部署工控主機衛(wèi)士，采用程序白名單確保有可信的程序才允許運行；在生產(chǎn)管理層邊界部署工業(yè)防火墻，利用防火墻的訪問控制功能，提高生產(chǎn)控制系統(tǒng)的邊界防護能力；在生產(chǎn)管理層建立安全管理中心，通過統(tǒng)一安全管理平臺實現(xiàn)對所有安全設(shè)備的集中管控、安全事件的集中分析以及全網(wǎng)安全態(tài)勢的可視化展示，從而實現(xiàn)一體化的安全防護體系。

3. 安全及可靠性

項目從區(qū)域邊界安全、通信網(wǎng)絡(luò)安全、計算環(huán)境安全以及安全管理中心（簡稱一個中心、三重防護），4個方面為油庫生產(chǎn)系統(tǒng)提供安全防護，從而保障業(yè)務(wù)系統(tǒng)的高可靠性。

計算環(huán)境安全：基于“白名單”防護方式的工控主機衛(wèi)士，具備非法外聯(lián)檢測功能，可檢測非法網(wǎng)絡(luò)連接，日志記錄和告警；具備網(wǎng)絡(luò)白名單功能，只允許工業(yè)主機與特定服務(wù)器進行通信；具備雙因子認證功能，提供USB-key的組合認證，提升工業(yè)主機登錄安全；具備訪問控制功能，提供強制訪問控制模型，保護注冊表、系統(tǒng)文件、關(guān)鍵進程；具備安全基線功能，提供安全基線檢查和加固功能，提升操作系統(tǒng)安全等級；具備程序白名單功能，可自動掃描、跟蹤軟件安裝及升級生成可執(zhí)行程序白名單；具備外設(shè)管理功能，只允許經(jīng)過認證的特定USB設(shè)備才在工業(yè)主機上運行。通過以上主機衛(wèi)士7大核心安全功能，構(gòu)成了安全計算環(huán)節(jié)的基石，進而保障工控業(yè)務(wù)系統(tǒng)的高效、穩(wěn)定運行。

通信網(wǎng)絡(luò)安全：采用“白環(huán)境”為核心技術(shù)的工業(yè)防火墻，可有效解決傳統(tǒng)“黑名單”技術(shù)在解決工控網(wǎng)絡(luò)安全問題時存在的兼容性、易用性、日常工作量大等問題，同時可對工控網(wǎng)絡(luò)中的工業(yè)協(xié)議進行深度識別及有效管控，從而提升整個工控系統(tǒng)網(wǎng)絡(luò)環(huán)境的安全性，保障業(yè)務(wù)運行的可靠性。

區(qū)域邊界安全：結(jié)合業(yè)務(wù)系統(tǒng)的類型及其重要性，開展業(yè)務(wù)系統(tǒng)區(qū)域劃分，不同業(yè)務(wù)系統(tǒng)區(qū)域邊界采用工業(yè)防火墻進行有效的管控。防火墻具備傳統(tǒng)下一代防火墻IPS、AV等功能的同時，亦可對工控協(xié)議進行深度識別以及有效管控，從而保障了區(qū)域邊界的安全性，提升業(yè)務(wù)系統(tǒng)的穩(wěn)定性。

安全管理中心：部署統(tǒng)一安全管理平臺，滿足等保標準中“一個中心”的防護建設(shè)要求，同時解決了安全日志和時間管理分散、難以掌控全局風險等問題。實現(xiàn)了對工業(yè)網(wǎng)絡(luò)中的安全產(chǎn)品及安全事件進行統(tǒng)一管理的軟硬件一體化，通過對控制網(wǎng)絡(luò)中的邊界隔離、網(wǎng)絡(luò)監(jiān)測、主機防護等安全產(chǎn)品進行集中管理，實現(xiàn)對全網(wǎng)中各安全設(shè)備、系統(tǒng)及主機的統(tǒng)一配置、全面監(jiān)控、實時告警、流量分析等，降低運維成本、提高事件響應(yīng)效率。

4. 其他亮點

（1）針對工控領(lǐng)域的隱蔽攻擊發(fā)現(xiàn)問題，本項目采用了基于多視角報警融合的隱蔽攻擊發(fā)現(xiàn)技術(shù)。

研究網(wǎng)絡(luò)流和物理流信息提取算法，從工控網(wǎng)絡(luò)中，一方面提取資產(chǎn)信息、漏洞信息、拓撲信息等信息流特征，上述特征均是采用主被動結(jié)合的方式探測到的；另一方面提取控制流程、能量信息、業(yè)務(wù)信息等物理流特征，上述特征是從控制程序和現(xiàn)場傳感器獲取的。

基于協(xié)作式學(xué)習模型和標準正則化模型，研究多視角學(xué)習算法，從信息流和物理流特征中挖掘其中隱含的依存關(guān)系。工控環(huán)境由各個不同的組件（HMI、PLC、SCADA等）協(xié)作完成某個具體業(yè)務(wù)流程，且組件內(nèi)也存在多個服務(wù)共同完成某個具體任務(wù)。因此，在物理流和信息流中必然隱含著某種符合自然規(guī)律的依存關(guān)系，挖掘其中隱含的依存關(guān)系，從異常檢測報警數(shù)據(jù)中發(fā)現(xiàn)隱蔽式攻擊。

基于異常檢測報警數(shù)據(jù)，采用數(shù)據(jù)挖掘算法提取攻擊時間、攻擊序列、攻擊屬性等特征，并依據(jù)上述特征構(gòu)建工控網(wǎng)絡(luò)攻擊樹，從攻擊樹中建立物理流與信息流映射關(guān)系。若從異常檢測報警數(shù)據(jù)中實時提取的物理流與信息流間的映射關(guān)系，與歷史的物理流與信息流內(nèi)在依存關(guān)系存在沖突，且前者的特征符合威脅情報的某類特征，則表示發(fā)現(xiàn)了隱蔽攻擊。

（2）項目中使用的安全防護類產(chǎn)品均設(shè)計有多種防護模式，結(jié)合業(yè)務(wù)實際需求可調(diào)整至不同的應(yīng)用模式。

ü 學(xué)習模式：安全防護類設(shè)備初次接入工控系統(tǒng)網(wǎng)絡(luò)時，默認安全應(yīng)用模式為學(xué)習模式，處于該模式下可通過智能學(xué)習建立3類白名單（訪問控制白名單、工業(yè)協(xié)議白名單以及業(yè)務(wù)白名單），實現(xiàn)訪問控制白名單固化、工業(yè)協(xié)議白名單固化、業(yè)務(wù)白名單固化（簡稱三重固化）。學(xué)習模式下的安全防護設(shè)備只具備學(xué)習功能，無告警及防護功能；

ü 告警模式：告警模式下可針對違法白名單異常操作行為實時告警，同時安全運維人員可針對異常告警行為進行識別、結(jié)合實際業(yè)務(wù)情況對白名單防護規(guī)則進行優(yōu)化調(diào)整；

ü 防護模式：經(jīng)過學(xué)習模式、告警模式后，進入防護模式。處于防護模式下的安全防護設(shè)備可對違反白名單異常操作進行實時阻斷并產(chǎn)生告警，從而保障業(yè)務(wù)的高效、穩(wěn)定運行。

三、下一步實施計劃

優(yōu)化提升：不斷優(yōu)化提升項目中所采用的新技術(shù)、新方法，結(jié)合工控領(lǐng)域各行業(yè)不同工控系統(tǒng)業(yè)務(wù)流程，建立工控系統(tǒng)精準防護模型，對工控指令和生產(chǎn)工藝行為進行更加精細化的解析和管控，解決當下工控系統(tǒng)安全防護技術(shù)的困境。建立油庫生產(chǎn)系統(tǒng)工控網(wǎng)絡(luò)安全態(tài)勢感知平臺，整合各油庫內(nèi)部設(shè)備資產(chǎn)、網(wǎng)絡(luò)流量、安全漏洞、安全配置、安全日志、設(shè)備運行狀態(tài)、業(yè)務(wù)故障日志等信息，通過智能關(guān)聯(lián)分析獲取油庫生產(chǎn)系統(tǒng)的安全風險和態(tài)勢，指導(dǎo)安全告警的事件處置工作。

復(fù)制推廣：在我國工業(yè)向數(shù)字化、網(wǎng)絡(luò)化和智能化轉(zhuǎn)型升級的大環(huán)境下，在我國高舉“核心技術(shù)是國之重器”的旗幟下，推薦其他石油銷售公司借鑒本案例的經(jīng)驗，加強油庫生產(chǎn)系統(tǒng)的安全防護能力。

四、項目創(chuàng)新點和實施效果

1. 項目創(chuàng)新點

項目通過建立可信任網(wǎng)絡(luò)“白環(huán)境”和“白名單”防護理念，以自主可控的核心技術(shù)投入，以完全符合工業(yè)企業(yè)的產(chǎn)品設(shè)計，為工業(yè)企業(yè)構(gòu)筑“安全白環(huán)境”整體防護體系，保護工業(yè)企業(yè)設(shè)施的穩(wěn)定運行。

ü 基于“硬件級”的安全設(shè)備配置文件保護強化防護能力

面對復(fù)雜的網(wǎng)絡(luò)安全威脅與多樣的攻擊方式，在對油庫生產(chǎn)業(yè)務(wù)系統(tǒng)構(gòu)建邊界安全的同時，也要考慮安全設(shè)備配置文件級的安全防護，避免由于突破邊界防線，或內(nèi)部攻擊導(dǎo)致的配置文件修改，對工業(yè)控制系統(tǒng)實施破壞，造成不可預(yù)計的危險、損失等。本項目選用威努特自主研發(fā)的工業(yè)防火墻系列產(chǎn)品自帶硬件級安全策略寫保護功能，一旦設(shè)備完成策略配置投產(chǎn)運行，在開啟本地硬件配置寫保護功能后，將會阻斷一切非法配置修改請求。極端情況下，即使統(tǒng)一安全管理平被“攻破”，通過集中管理平臺也無法修改工業(yè)防火墻的現(xiàn)行配置策略。

ü 基于“硬件級”的單向流量接收消除潛在安全隱患

工業(yè)控制系統(tǒng)的安全建設(shè)要考慮到接入的設(shè)備對當前系統(tǒng)零影響，保證油庫生產(chǎn)業(yè)務(wù)系統(tǒng)平穩(wěn)運行，本項目選用威努特自主研發(fā)工控安全監(jiān)測與審計系列產(chǎn)品，具備獨創(chuàng)的基于硬件級的僅單向接收鏡像工控網(wǎng)絡(luò)通信流量，設(shè)備采用純物理單向設(shè)計，從網(wǎng)卡芯片級對數(shù)據(jù)發(fā)送進行閹割處理，所以設(shè)備僅接收流量不會發(fā)送任何通信信息，真正做到對油庫生產(chǎn)控制系統(tǒng)無影響。極端情況，管理平臺被攻陷也不會通過設(shè)備影響控制網(wǎng)。

ü 基于“行為白名單”建立的面向工控PLC設(shè)備的行為模型固化技術(shù)

為快速適用油庫生產(chǎn)業(yè)務(wù)系統(tǒng)的安全防護需求，解決傳統(tǒng)白名單使用中面臨的問題，本項目采用了基于“行為白名單”的“三重固化”技術(shù)。針對工控設(shè)備的屬性及行為進行描述，通過分析和抽象工控設(shè)備自身屬性、行為及與其它設(shè)備的交互特征，構(gòu)建工控設(shè)備行為模型描述框架，實現(xiàn)行為白名單的識別與固化；通過分析和抽象工控協(xié)議的狀態(tài)機及交互特征，構(gòu)建工控協(xié)議行為特征解碼引擎，實現(xiàn)協(xié)議白名單的識別與固化；結(jié)合油庫生產(chǎn)系統(tǒng)實際業(yè)務(wù)訪問需求，創(chuàng)建并實現(xiàn)訪問控制白名單的固化。

ü 基于時間維度判定的智能復(fù)雜周期模型檢測技術(shù)

在傳統(tǒng)白名單技術(shù)的基礎(chǔ)上，結(jié)合油庫生產(chǎn)系統(tǒng)業(yè)務(wù)流程，利用智能技術(shù)，以時間周期維度作為判斷，發(fā)現(xiàn)工控指令隱藏的多重復(fù)雜周期模式，建立工控指令復(fù)雜周期場景指紋模型。通過該模型對工控指令和生產(chǎn)工藝行為進行更加精細化的解析和管控，解決傳統(tǒng)白名單只能靜態(tài)對工業(yè)控制協(xié)議指令識別劣勢，避免因指令時間錯誤引起的異常，有效識別誤操作、網(wǎng)絡(luò)故障、惡意操作等引起的工控指令異常，保證工控業(yè)務(wù)的安全正常運行。

2. 實施效果

（1）經(jīng)濟效益

1）安全建設(shè)周期縮短，業(yè)務(wù)運行穩(wěn)定保障：

相比傳統(tǒng)IT安全項目建設(shè)周期，本次基于工業(yè)白環(huán)境理念的縱深防御安全防護建設(shè)項目由于采用“白名單”的相關(guān)技術(shù)原理，其不過度依賴于黑名單類型的規(guī)則庫、病毒庫等，其上線周期相比傳統(tǒng)安全建設(shè)項目縮短，業(yè)務(wù)系統(tǒng)安全風險同比建設(shè)初期降低，間接避免整體生產(chǎn)經(jīng)濟損失。

2）安全能力自動化，人力運維效率提升大：

通過采用自動化的統(tǒng)一運維管理平臺以及配套產(chǎn)品自身的安全可視化管理界面，為人為管理相關(guān)安全設(shè)備提供便捷。相比與以往人工手動運維和故障排查的方式，運維效率提升，進而人員結(jié)構(gòu)優(yōu)化帶來的經(jīng)濟效益表現(xiàn)為人力成本節(jié)約，企業(yè)整體運轉(zhuǎn)效率得到提升。

3）被動+主動的立體安全模式，避免大額勒索事件經(jīng)濟損失：

2017年勒索病毒Wannacry爆發(fā)至今，全球仍然每年會有不少制造企業(yè)遭受其勒索大額贖金，就已知的大額贖金事件當中，最高的可達千萬美元級別。本次建設(shè)項目所提供的白環(huán)境技術(shù)理念以及配套專業(yè)設(shè)備，在針對工業(yè)安全場景勒索事件的防護上具備健壯的防護能力，可幫助企業(yè)避免百萬美元級別的損失，每年幫助企業(yè)挽回間接的經(jīng)濟損失。

（2）社會效益

1）樹立工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全建設(shè)的風向標：

本次基于工業(yè)白環(huán)境理念的縱深防御安全防護建設(shè)項目所采用的的白環(huán)境技術(shù)理念，是貼合工業(yè)場景高可靠、低時延等相關(guān)特點設(shè)計和研發(fā)的技術(shù)體系，開創(chuàng)了有別于傳統(tǒng)黑名單機制網(wǎng)絡(luò)防護手段的工業(yè)安全防護體系，同時也彰顯了該石油銷售公司社會主角的擔當。

2）促進工業(yè)互聯(lián)網(wǎng)領(lǐng)域安全建設(shè)氛圍的形成：

石油銷售油庫工業(yè)安全相關(guān)建設(shè)的落地，將首先在其所屬石油石化行業(yè)針對工業(yè)互聯(lián)網(wǎng)企業(yè)安全分類分級建設(shè)起到示范作用，為其相關(guān)行業(yè)的其他工業(yè)互聯(lián)網(wǎng)企業(yè)提供安全建設(shè)的寶貴經(jīng)驗，也將在整個工業(yè)互聯(lián)網(wǎng)領(lǐng)域形成企業(yè)網(wǎng)絡(luò)安全建設(shè)的良好氛圍，以促進更多工業(yè)互聯(lián)網(wǎng)企業(yè)（含232家聯(lián)網(wǎng)工業(yè)企業(yè)、平臺企業(yè)、標識解析企業(yè)試點單位）貫徹落實《中華人民共和國網(wǎng)絡(luò)安全法》等相關(guān)法律法規(guī)和政策要求。