1.1.1  方案概述

本方案的是結(jié)合智能油庫(kù)的網(wǎng)絡(luò)安全現(xiàn)狀，確定油庫(kù)企業(yè)的安全建設(shè)需求，按照《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019）和中石化318號(hào)文等政策要求，加強(qiáng)“監(jiān)測(cè)預(yù)警系統(tǒng)”、“終端安全查殺能力”、“應(yīng)急響應(yīng)手段”、“大數(shù)據(jù)安全平臺(tái)”、“信息系統(tǒng)等級(jí)保護(hù)建設(shè)”的推進(jìn)工作，全面提升油氣集輸行業(yè)的網(wǎng)絡(luò)安全保護(hù)及整網(wǎng)安全能力，并建立一個(gè)完善的信息安全預(yù)防、監(jiān)測(cè)、防御和響應(yīng)的縱深防御的安全體系。

1.方案背景

工業(yè)控制系統(tǒng)是支撐國(guó)民經(jīng)濟(jì)的重要設(shè)施，是工業(yè)領(lǐng)域的神經(jīng)中樞。目前工業(yè)控制系統(tǒng)已廣泛應(yīng)用于電力、軌道交通、石油化工、高新電子和航空航天等領(lǐng)域，這些領(lǐng)域中涉及國(guó)計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施超過(guò)80%都需要依靠工業(yè)控制系統(tǒng)來(lái)實(shí)現(xiàn)自動(dòng)化作業(yè)，由此可見(jiàn)工業(yè)控制系統(tǒng)已經(jīng)成為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分。

隨著我國(guó)工業(yè)由傳統(tǒng)產(chǎn)業(yè)向網(wǎng)絡(luò)化、數(shù)字化和智能化的逐步轉(zhuǎn)型升級(jí)以及工業(yè)互聯(lián)網(wǎng)平臺(tái)的建成，網(wǎng)絡(luò)安全威脅日益向工業(yè)領(lǐng)域蔓延。與此同時(shí)，我國(guó)工業(yè)領(lǐng)域還存在信息安全防護(hù)水平偏低、管理力度稍顯不足、防護(hù)措施不到位、從業(yè)人員安全意識(shí)不強(qiáng)和安全技術(shù)人才匱乏等問(wèn)題。

為了保障網(wǎng)絡(luò)安全，國(guó)家頒布了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，將網(wǎng)絡(luò)安全上升到了法律的層面。國(guó)標(biāo)《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019）暨等級(jí)保護(hù)2.0標(biāo)準(zhǔn)增加了工業(yè)控制系統(tǒng)擴(kuò)展要求。在等級(jí)保護(hù)的基礎(chǔ)上又頒布了關(guān)鍵基礎(chǔ)設(shè)施保護(hù)條例，對(duì)關(guān)鍵基礎(chǔ)設(shè)施的保護(hù)力度大大加強(qiáng)。工信部發(fā)布了《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》從管理、技術(shù)兩方面明確了工業(yè)企業(yè)工控安全防護(hù)要求，《“工業(yè)互聯(lián)網(wǎng)+安全生產(chǎn)”行動(dòng)計(jì)劃（2021-2023）年》提出堅(jiān)持工業(yè)互聯(lián)網(wǎng)與安全生產(chǎn)同規(guī)劃、同部署、同發(fā)展，構(gòu)建基于工業(yè)互聯(lián)網(wǎng)的安全感知、監(jiān)測(cè)、預(yù)警、處置及評(píng)估體系。我國(guó)針對(duì)工業(yè)控制系統(tǒng)信息安全頒布實(shí)施的一系列標(biāo)準(zhǔn)、政策、法規(guī)，表明了我國(guó)在保護(hù)工業(yè)控制系統(tǒng)安全方面的決心和力度。集團(tuán)公司依據(jù)國(guó)家有關(guān)政策法規(guī)、工信部相關(guān)系列標(biāo)準(zhǔn)發(fā)布了《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)安全防護(hù)的指導(dǎo)意見(jiàn)》、《中國(guó)石化工業(yè)儀表控制系統(tǒng)安全防護(hù)實(shí)施規(guī)定》以及《關(guān)于推進(jìn)工控系統(tǒng)安全防護(hù)治理工作的通知》，對(duì)企業(yè)提升工業(yè)控制系統(tǒng)的安全防護(hù)能力提供了指南和依據(jù)，通知要求工控系統(tǒng)管理部門(mén)和信息管理部門(mén)組建安全防護(hù)治理工作小組，對(duì)照實(shí)施規(guī)定及時(shí)整改網(wǎng)絡(luò)架構(gòu)，開(kāi)展工控系統(tǒng)邊界隔離防護(hù)和內(nèi)外部安全加固，提高工控網(wǎng)絡(luò)態(tài)勢(shì)感知和事件追溯能力。

2.方案簡(jiǎn)介

成品油油庫(kù)是銷(xiāo)售公司石油供應(yīng)鏈中至關(guān)重要的一個(gè)環(huán)節(jié)，而工控系統(tǒng)作為油庫(kù)的核心系統(tǒng)，其安全與生產(chǎn)安全直接關(guān)聯(lián)。隨著油庫(kù)的信息化建設(shè)和改造，工業(yè)化與信息化的結(jié)合日益緊密，油庫(kù)工控系統(tǒng)安全環(huán)境也從單機(jī)走向互聯(lián)，從封閉走向開(kāi)放，從物理隔離的工業(yè)以太網(wǎng)走向開(kāi)放的工業(yè)互聯(lián)網(wǎng)。油庫(kù)工控系統(tǒng)正面臨著嚴(yán)峻的信息安全威脅，其尚未完善的網(wǎng)絡(luò)安防體系給油庫(kù)的工控系統(tǒng)運(yùn)行環(huán)境帶來(lái)了巨大的安全隱患，因此急需設(shè)計(jì)一套集安全防護(hù)、安全運(yùn)營(yíng)、安全集成與一體的綜合性全生命周期的解決方案、加強(qiáng)油庫(kù)工控系統(tǒng)安全建設(shè)，為油庫(kù)的安全生產(chǎn)提供網(wǎng)絡(luò)安全基礎(chǔ)。

工控系統(tǒng)的安全方案設(shè)計(jì)應(yīng)考慮物理安全、網(wǎng)絡(luò)安全、應(yīng)用安全和數(shù)據(jù)安全等多方面安全因素，任何一個(gè)方面的安全隱患都會(huì)給整個(gè)工業(yè)控制系統(tǒng)帶來(lái)安全事故。目前國(guó)家網(wǎng)信辦、工信部及公安部先后出臺(tái)的網(wǎng)絡(luò)安全和工控安全相關(guān)法律條例中對(duì)信息安全技術(shù)和工控系統(tǒng)信息安全等方面做出了指導(dǎo)與要求。2021 年，集團(tuán)公司下發(fā)了工控系統(tǒng)安全防護(hù)治理工作的通知，要求開(kāi)展工控系統(tǒng)邊界隔離防護(hù)和內(nèi)外部安全加固工作，提高工程網(wǎng)絡(luò)態(tài)勢(shì)感知和事件追溯能力，銷(xiāo)售公司也對(duì)油庫(kù)智能化建設(shè)標(biāo)準(zhǔn)提出了要求，對(duì)油庫(kù)下一步信息化建設(shè)提出了指導(dǎo)意見(jiàn)和具體措施。在工業(yè)控制系統(tǒng)的安全防護(hù)建設(shè)中，需嚴(yán)格遵循國(guó)家和行業(yè)有關(guān)標(biāo)準(zhǔn)，并遵照中國(guó)石化相關(guān)安全管理規(guī)定，結(jié)合生產(chǎn)企業(yè)具體情況和需求進(jìn)行規(guī)劃與建設(shè)。

3.方案目標(biāo)

目前銷(xiāo)售企業(yè)油庫(kù)整體智能化水平較低，大多數(shù)油庫(kù)僅具備基本的信息安全防護(hù)條件，仍難以滿足油庫(kù)信息化建設(shè)對(duì)工控系統(tǒng)安全的要求，主要存在以下的問(wèn)題：

（1）安全區(qū)域不清晰，缺少邊界防護(hù)措施

油庫(kù)缺失分區(qū)分域安全隔離，油庫(kù)生產(chǎn)網(wǎng)與管理網(wǎng)混用，傳統(tǒng)的IT 網(wǎng)絡(luò)威脅向生產(chǎn)網(wǎng)蔓延，工控網(wǎng)通訊協(xié)議較多，單一的隔離設(shè)備無(wú)法滿足多樣的網(wǎng)絡(luò)通訊及安全隔離要求，難以保障油庫(kù)工控網(wǎng)絡(luò)隔離有效性，易感染病毒及惡意程序，同時(shí)也可能導(dǎo)致工業(yè)控制系統(tǒng)內(nèi)不同安全域之間的邊界防護(hù)機(jī)制失效。

因此，在油庫(kù)工控系統(tǒng)中，存在缺少混合組網(wǎng)隔離、分區(qū)分域網(wǎng)絡(luò)隔離、數(shù)據(jù)隔離防護(hù)措施及惡意代碼防范措施等問(wèn)題。

（2）缺少終端安全防護(hù)

油庫(kù)工控網(wǎng)絡(luò)中硬件設(shè)備或軟件產(chǎn)品不足，部分設(shè)施和操作系統(tǒng)老舊，漏洞補(bǔ)丁更新不及時(shí)，網(wǎng)絡(luò)安全防護(hù)能力較低，缺少工控安全病毒防護(hù)，缺少網(wǎng)絡(luò)準(zhǔn)入等安全管理工具。同時(shí)工控安全領(lǐng)域中的終端防護(hù)軟件種類(lèi)多，難以形成統(tǒng)一的防護(hù)規(guī)范，亦存在重大安全隱患。

（3）缺少安全審計(jì)和分析

油庫(kù)工控系統(tǒng)的數(shù)據(jù)本地存儲(chǔ)、數(shù)據(jù)共享能力較差，應(yīng)用深度不夠，對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)人員缺乏統(tǒng)一賬號(hào)管理，缺乏數(shù)據(jù)訪問(wèn)隔離措施及數(shù)據(jù)操作審計(jì)，缺乏對(duì)數(shù)據(jù)庫(kù)信息的收集、審計(jì)和分析等能力。

（4）缺少統(tǒng)一的安全管理平臺(tái)

油庫(kù)缺乏對(duì)第三方運(yùn)維機(jī)構(gòu)的管控和統(tǒng)一安全運(yùn)維管理，無(wú)法將各安全設(shè)備集中管控，缺乏對(duì)各運(yùn)維人員身份的認(rèn)證授權(quán)及操作行為的監(jiān)管，造成日常運(yùn)維操作繁瑣、過(guò)程冗雜、效率低下等問(wèn)題。油庫(kù)部分系統(tǒng)孤立，集成度較差，不能實(shí)現(xiàn)數(shù)據(jù)共享，存在“信息孤島”現(xiàn)象，導(dǎo)致油庫(kù)工控網(wǎng)絡(luò)全貌無(wú)法得到集中統(tǒng)一展現(xiàn)。同時(shí)，也給省級(jí)統(tǒng)一平臺(tái)構(gòu)建帶來(lái)困難，不利于系統(tǒng)間集成、作業(yè)全流程跟蹤、生產(chǎn)動(dòng)態(tài)的實(shí)時(shí)掌控和預(yù)知預(yù)排，無(wú)法掌握整體信息安全態(tài)勢(shì)。無(wú)法及時(shí)發(fā)現(xiàn)和追溯工控安全事件，缺乏對(duì)工控系統(tǒng)安全狀態(tài)感知及可視化的展示方式。

本方案的建設(shè)目標(biāo)是結(jié)合智能油庫(kù)的網(wǎng)絡(luò)安全現(xiàn)狀，確定油庫(kù)企業(yè)的安全建設(shè)需求，按照《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019）和中石化318號(hào)文等政策要求，加強(qiáng)“監(jiān)測(cè)預(yù)警系統(tǒng)”、“終端安全查殺能力”、“應(yīng)急響應(yīng)手段”、“大數(shù)據(jù)安全平臺(tái)”、“信息系統(tǒng)等級(jí)保護(hù)建設(shè)”的推進(jìn)工作，全面提升油氣集輸行業(yè)的網(wǎng)絡(luò)安全保護(hù)及整網(wǎng)安全能力，并建立一個(gè)完善的信息安全預(yù)防、監(jiān)測(cè)、防御和響應(yīng)的縱深防御的安全體系。具體目標(biāo)如下：

在技術(shù)方面，圍繞“一個(gè)中心三重防護(hù)”策略構(gòu)建基礎(chǔ)防護(hù)：

? 通過(guò)安全計(jì)算環(huán)境防護(hù)，實(shí)現(xiàn)油庫(kù)工控系統(tǒng)的工業(yè)主機(jī)、服務(wù)器、操作站、工業(yè)應(yīng)用軟件等計(jì)算環(huán)境安全防護(hù)；

? 通過(guò)安全區(qū)域邊界防護(hù)，實(shí)現(xiàn)油庫(kù)工控系統(tǒng)網(wǎng)絡(luò)與非工控網(wǎng)絡(luò)的安全隔離，保護(hù)工控系統(tǒng)網(wǎng)絡(luò)安全；

? 通過(guò)安全通訊網(wǎng)絡(luò)的搭建，保障油庫(kù)工控系統(tǒng)的通信基礎(chǔ)網(wǎng)絡(luò)安全可靠；

? 通過(guò)安全管理中心實(shí)現(xiàn)對(duì)油庫(kù)工控系統(tǒng)網(wǎng)絡(luò)的全流量審計(jì)、分析，同時(shí)對(duì)油庫(kù)工控系統(tǒng)威脅狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控，對(duì)整個(gè)油庫(kù)工業(yè)控制網(wǎng)絡(luò)安全威脅集中管控和展示。

在管理方面，圍繞安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理五個(gè)方面進(jìn)行提升，以分區(qū)分域、可靠認(rèn)證、綜合防護(hù)、集中掌控為防護(hù)原則，實(shí)現(xiàn)技術(shù)和管理相結(jié)合的油庫(kù)網(wǎng)絡(luò)安全縱深防護(hù)體系，從而提升油庫(kù)工控系統(tǒng)的主動(dòng)防御、感知預(yù)警、事件追溯和集中安全運(yùn)維的能力。

1.1.2  方案實(shí)施概況

1.方案總體規(guī)劃

（1）方案設(shè)計(jì)原則

等級(jí)保護(hù)是國(guó)家信息安全建設(shè)的重要政策，其核心是對(duì)信息系統(tǒng)分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。對(duì)于智慧油庫(kù)信息安全建設(shè)，應(yīng)當(dāng)以適度安全為核心，以重點(diǎn)保護(hù)為原則，從業(yè)務(wù)的角度出發(fā)，重點(diǎn)保護(hù)重要的業(yè)務(wù)系統(tǒng)。對(duì)于工控安全建設(shè)，應(yīng)當(dāng)以適度安全為核心，以重點(diǎn)保護(hù)為原則，從業(yè)務(wù)的角度出發(fā)，重點(diǎn)保護(hù)重要的業(yè)務(wù)系統(tǒng)，在方案設(shè)計(jì)中應(yīng)當(dāng)遵循以下的原則：  

適度安全原則

任何信息系統(tǒng)都不能做到絕對(duì)的安全，在進(jìn)行工控安全等級(jí)保護(hù)規(guī)劃中，要在安全需求、安全風(fēng)險(xiǎn)和安全成本之間進(jìn)行平衡和折中，過(guò)多的安全要求必將造成安全成本的迅速增加和運(yùn)行的復(fù)雜性。

適度安全也是等級(jí)保護(hù)建設(shè)的初衷，因此在進(jìn)行等級(jí)保護(hù)設(shè)計(jì)的過(guò)程中，一方面要嚴(yán)格遵循基本要求，從物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)等層面加強(qiáng)防護(hù)措施，保障信息系統(tǒng)的機(jī)密性、完整性和可用性，另外也要綜合成本的角度，針對(duì)系統(tǒng)的實(shí)際風(fēng)險(xiǎn)，提出對(duì)應(yīng)的保護(hù)強(qiáng)度，并按照保護(hù)強(qiáng)度進(jìn)行安全防護(hù)系統(tǒng)的設(shè)計(jì)和建設(shè)，從而有效控制成本。

技術(shù)管理并重原則

工控安全問(wèn)題從來(lái)就不是單純的技術(shù)問(wèn)題，把防范黑客入侵和病毒感染理解為工控安全問(wèn)題的全部是片面的，僅僅通過(guò)部署安全產(chǎn)品很難完全覆蓋所有的工控安全問(wèn)題，因此必須要把技術(shù)措施和管理措施結(jié)合起來(lái)，更有效的保障信息系統(tǒng)的整體安全性，形成技術(shù)和管理兩個(gè)部分的建設(shè)方案。

分區(qū)分域建設(shè)原則

對(duì)信息系統(tǒng)進(jìn)行安全保護(hù)的有效方法就是分區(qū)分域，由于信息系統(tǒng)中各個(gè)信息資產(chǎn)的重要性是不同的，并且訪問(wèn)特點(diǎn)也不盡相同，因此需要把具有相似特點(diǎn)的信息資產(chǎn)集合起來(lái)，進(jìn)行總體防護(hù)，從而可更好地保障安全策略的有效性和一致性；另外分區(qū)分域還有助于對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行集中管理，一旦其中某些安全區(qū)域內(nèi)發(fā)生安全事件，可通過(guò)嚴(yán)格的邊界安全防護(hù)限制事件在整網(wǎng)蔓延；

標(biāo)準(zhǔn)性原則

安全保護(hù)體系應(yīng)當(dāng)同時(shí)考慮與其他標(biāo)準(zhǔn)的符合性，在方案中的技術(shù)部分將參考《GB/T 25070-2010工控安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》進(jìn)行設(shè)計(jì)，在管理方面同時(shí)參考《GB/T 22239-2008 工控安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》以及27001安全管理指南，使建成后的等級(jí)保護(hù)體系更具有廣泛的實(shí)用性；

動(dòng)態(tài)調(diào)整原則

工控安全問(wèn)題不是靜態(tài)的，它總是隨著管理相關(guān)的組織策略、組織架構(gòu)、信息系統(tǒng)和操作流程的改變而改變，因此必須要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護(hù)措施；

成熟性原則

本方案設(shè)計(jì)采取的安全措施和產(chǎn)品，在技術(shù)上是成熟的，是被檢驗(yàn)確實(shí)能夠解決安全問(wèn)題并在很多方案中有成功應(yīng)用的。

（2）總體安全防護(hù)設(shè)計(jì)

構(gòu)建分域的控制體系：智能油庫(kù)工業(yè)互聯(lián)網(wǎng)安全解決方案，在總體架構(gòu)上將按照區(qū)域邊界保護(hù)思路進(jìn)行，智能油庫(kù)控制系統(tǒng)和外部系統(tǒng)從結(jié)構(gòu)上劃分為不同的安全區(qū)域，以安全區(qū)域?yàn)閱挝贿M(jìn)行安全防御技術(shù)措施的建設(shè)，從而構(gòu)成了分域的安全控制體系。

構(gòu)建縱深的防御體系：智能油庫(kù)工業(yè)互聯(lián)網(wǎng)安全解決方案包括技術(shù)和管理兩個(gè)部分，智能油庫(kù)系統(tǒng)圍繞著安全管理中心，從安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境三個(gè)維度進(jìn)行安全技術(shù)和措施的設(shè)計(jì)，保證業(yè)務(wù)應(yīng)用的可用性、完整性和保密性保護(hù)；通過(guò)集中管理，可對(duì)安全設(shè)備進(jìn)行聯(lián)動(dòng)，對(duì)確認(rèn)的重大威脅或攻擊可進(jìn)行安全聯(lián)動(dòng)防護(hù)，充分考慮各種技術(shù)的組合和功能的互補(bǔ)性，提供多重安全措施的綜合防護(hù)能力，從外到內(nèi)形成一個(gè)縱深的安全防御體系，保障系統(tǒng)整體的安全保護(hù)能力。

保證一致的安全強(qiáng)度：智能油庫(kù)等級(jí)保護(hù)設(shè)計(jì)方案將采用分級(jí)的辦法，對(duì)于同一安全等級(jí)系統(tǒng)采取強(qiáng)度一致的安全措施，并采取統(tǒng)一的防護(hù)策略，使各安全措施在作用和功能上相互補(bǔ)充，形成動(dòng)態(tài)的防護(hù)體系。

（3）分域安全防護(hù)設(shè)計(jì)

安全域是根據(jù)等級(jí)保護(hù)要求、信息性質(zhì)、使用主體、安全目標(biāo)和策略等的不同來(lái)劃分的，是具有相近的安全屬性需求的網(wǎng)絡(luò)實(shí)體的集合。一個(gè)安全域內(nèi)可進(jìn)一步被劃分為安全子域，安全子域也可繼續(xù)依次細(xì)化為次級(jí)安全域、三級(jí)安全域等等。同一級(jí)安全域之間的安全需求包括兩個(gè)方面：隔離需求和連接需求。隔離需求對(duì)應(yīng)著網(wǎng)絡(luò)邊界的身份認(rèn)證、訪問(wèn)控制、不可抵賴、審計(jì)、監(jiān)測(cè)等安全服務(wù)；連接需求對(duì)應(yīng)著傳輸過(guò)程中保密性、完整性、可用性等安全服務(wù)。下級(jí)安全域繼承上級(jí)安全域的隔離和連接需求。

智能油庫(kù)安全區(qū)域的劃分主要依監(jiān)控系統(tǒng)的應(yīng)用功能、資產(chǎn)價(jià)值、資產(chǎn)所面臨的風(fēng)險(xiǎn)，劃分原則如下：

系統(tǒng)功能和應(yīng)用相似性原則：安全區(qū)域的劃分要以服務(wù)智能油庫(kù)業(yè)務(wù)系統(tǒng)應(yīng)用為基本原則，根據(jù)應(yīng)用的功能和應(yīng)用內(nèi)容劃分不同的安全區(qū)域。

安全要求相似性原則：在信息安全的三個(gè)基本屬性方面，同一安全區(qū)域內(nèi)的信息資產(chǎn)應(yīng)具有相似的機(jī)密性要求、完整性要求和可用性要求。

威脅相似性原則：同一安全區(qū)域內(nèi)的信息資產(chǎn)應(yīng)處在相似的風(fēng)險(xiǎn)環(huán)境中，面臨相似的威脅。

安全域的原則：必須對(duì)高級(jí)別安全域進(jìn)行保護(hù)，使之免受可能導(dǎo)致高級(jí)別數(shù)據(jù)被低級(jí)別安全域的用戶泄漏、篡改、破壞的攻擊，高級(jí)別安全域中的資源不能由非授權(quán)的低級(jí)別安全域用戶使用、修改、破壞或禁用。

2.2 實(shí)施內(nèi)容

（1）體系建設(shè)

本方案從安全管理、安全建設(shè)和安全運(yùn)營(yíng)三個(gè)方面對(duì)油庫(kù)信息化安全方案進(jìn)行設(shè)計(jì)與規(guī)劃，通過(guò)制度建設(shè)、人員配置、技術(shù)建設(shè)、整體運(yùn)維管控等措施，從制度上對(duì)油庫(kù)工控安全進(jìn)行管理與約束，從技術(shù)上提升油庫(kù)工控安全防護(hù)水平，從而構(gòu)建油庫(kù)工控安全防護(hù)體系?？傮w安全方案設(shè)計(jì)架構(gòu)如圖所示：

圖10-1  總體安全方案設(shè)計(jì)架構(gòu)

l 安全管理

通過(guò)建立完善的油庫(kù)信息化安全管理制度，組建人員成立安全管理機(jī)構(gòu)，并對(duì)安全管理人員定期開(kāi)展網(wǎng)絡(luò)安全培訓(xùn)以提高油庫(kù)工控安全整體管理水平，同時(shí)，在建設(shè)和運(yùn)維方面也做出安全管理要求，制定油庫(kù)工控系統(tǒng)安全建設(shè)和運(yùn)維細(xì)則，加強(qiáng)在油庫(kù)工控系統(tǒng)建設(shè)和運(yùn)維環(huán)節(jié)的規(guī)范，實(shí)現(xiàn)油庫(kù)工控安全管理的規(guī)范化、標(biāo)準(zhǔn)化與制度化。

l 安全建設(shè)

制定安全基線標(biāo)準(zhǔn)，定期開(kāi)展安全監(jiān)測(cè)工作，集中管控終端計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備，對(duì)油庫(kù)工控網(wǎng)流量日志進(jìn)行審計(jì)與分析，做到風(fēng)險(xiǎn)防控與阻攔；加強(qiáng)對(duì)安全事件、隱患漏洞、攻擊行為的實(shí)時(shí)監(jiān)測(cè)與智能分析，能夠利用大數(shù)據(jù)分析、告警取證、流量畫(huà)像等手段快速追蹤溯源，采取自動(dòng)處置與人工處置相結(jié)合的方式開(kāi)展應(yīng)急響應(yīng)工作，形成安全檢測(cè)、安全防御、安全運(yùn)維、安全響應(yīng)的全生命周期管理。

l 安全運(yùn)營(yíng)

構(gòu)建油庫(kù)工控安全防護(hù)體系，搭建管理服務(wù)平臺(tái)，通過(guò)統(tǒng)一身份認(rèn)證、統(tǒng)一授權(quán)和統(tǒng)一監(jiān)控等手段，加強(qiáng)對(duì)用戶和運(yùn)維角色的監(jiān)管；通過(guò)對(duì)安全設(shè)備、資產(chǎn)及應(yīng)用的集中管控，安全事件的自動(dòng)監(jiān)測(cè)，全天候全方位網(wǎng)絡(luò)安全的態(tài)勢(shì)感知，實(shí)現(xiàn)智能安全運(yùn)營(yíng)管理、增強(qiáng)網(wǎng)絡(luò)安全防御能力。

（2）安全技術(shù)實(shí)施內(nèi)容

首先對(duì)辦公網(wǎng)和生產(chǎn)網(wǎng)進(jìn)行縱向分層，劃分橫向安全區(qū)域，以工業(yè)防火墻、入侵檢測(cè)和工業(yè)安全監(jiān)測(cè)審計(jì)平臺(tái)等工具構(gòu)建安全區(qū)域邊界，利用工業(yè)網(wǎng)閘實(shí)現(xiàn)油庫(kù)生產(chǎn)網(wǎng)中的通信安全，保障重要業(yè)務(wù)系統(tǒng)間的數(shù)據(jù)傳輸安全；其次在油庫(kù)終端設(shè)備上部署終端安全防護(hù)，并對(duì)數(shù)據(jù)庫(kù)的操作進(jìn)行審計(jì)，確保計(jì)算環(huán)境的安全性，并采用堡壘機(jī)，便攜式安全移動(dòng)運(yùn)維平臺(tái)等實(shí)現(xiàn)安全運(yùn)維管理；最后通過(guò)工業(yè)安全管理平臺(tái)、綜合日志審計(jì)平臺(tái)等搭建總體的安全管理中心，油庫(kù)信息安全建設(shè)技術(shù)架構(gòu)如圖所示：

圖10-2  油庫(kù)信息安全建設(shè)技術(shù)架構(gòu)

l 網(wǎng)絡(luò)安全

邊界防護(hù)與區(qū)域隔離

根據(jù)油庫(kù)的現(xiàn)狀進(jìn)行縱向分層、橫向分區(qū)，通過(guò)相應(yīng)的技術(shù)隔離手段，加強(qiáng)區(qū)域隔離、邊界防護(hù)，細(xì)化訪問(wèn)控制策略，在辦公網(wǎng)與生產(chǎn)網(wǎng)之間、生產(chǎn)網(wǎng)內(nèi)部建立不同層級(jí)間安全防護(hù)，構(gòu)建油庫(kù)生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全架構(gòu)。如下圖所示。

圖10-3  邊界防護(hù)與區(qū)域隔離

縱向分層：按照網(wǎng)絡(luò)劃分為生產(chǎn)網(wǎng)和辦公網(wǎng)，在生產(chǎn)網(wǎng)與辦公網(wǎng)之間部署工業(yè)防火墻，通過(guò)白名單、訪問(wèn)控制等隔離技術(shù)手段，防止辦公網(wǎng)的非法入侵和訪問(wèn)，保護(hù)生產(chǎn)系統(tǒng)的業(yè)務(wù)安全。

橫向分區(qū)：按照現(xiàn)場(chǎng)的不同業(yè)務(wù)需求劃分不同的安全域，將油庫(kù)調(diào)度系統(tǒng)、視頻監(jiān)控、消防控制站以及安防系統(tǒng)等分別劃分為不同的安全域，安全域之間通過(guò)工業(yè)防火墻的不同業(yè)務(wù)口實(shí)現(xiàn)安全域之間的隔離，利用設(shè)備本身的多個(gè)業(yè)務(wù)口，防止不同安全域之間安全威脅的蔓延以及對(duì)安全域之間的訪問(wèn)控制，阻擋來(lái)自其他安全域的病毒、蠕蟲(chóng)、木馬、間諜軟件、惡意軟件等，有效地解決區(qū)域安全、流量控制等工控網(wǎng)絡(luò)安全問(wèn)題。

核心系統(tǒng)的安全防護(hù)：根據(jù)業(yè)務(wù)現(xiàn)狀，對(duì)于重要的業(yè)務(wù)系統(tǒng)（例如：付油系統(tǒng)、閥門(mén)聯(lián)動(dòng)系統(tǒng)）設(shè)計(jì)單獨(dú)的工業(yè)網(wǎng)閘，實(shí)現(xiàn)單向數(shù)據(jù)傳輸，確保業(yè)務(wù)系統(tǒng)的相對(duì)安全。

第三方信息交互：與第三方進(jìn)行信息交互的場(chǎng)景，第三方網(wǎng)絡(luò)通信鏈路連接到網(wǎng)閘外聯(lián)口，通過(guò)網(wǎng)閘實(shí)現(xiàn)第三方網(wǎng)絡(luò)與工控網(wǎng)絡(luò)的安全隔離和信息的單向流動(dòng)，可以在保障安全的情況下實(shí)現(xiàn)數(shù)據(jù)交換。

入侵檢測(cè)與行為審計(jì)

在辦公網(wǎng)和生產(chǎn)網(wǎng)中分別部署入侵檢測(cè)和工控安全審計(jì)系統(tǒng)，實(shí)時(shí)發(fā)現(xiàn)針對(duì)重要工業(yè)控制系統(tǒng)的攻擊和破壞行為，實(shí)時(shí)檢測(cè)針對(duì)工業(yè)協(xié)議的網(wǎng)絡(luò)攻擊、用戶誤操作、用戶違規(guī)操作、非法設(shè)備接入以及蠕蟲(chóng)、病毒等惡意軟件的非法入侵和傳播并實(shí)時(shí)報(bào)警，同時(shí)詳實(shí)記錄一切網(wǎng)絡(luò)通信行為，包括指令級(jí)的工業(yè)控制協(xié)議通信記錄，加強(qiáng)已知威脅、異常行為、異常流量等攻擊行為的檢測(cè)能力。如下圖所示。

圖10-4  入侵檢測(cè)與行為審計(jì)

在辦公網(wǎng)的核心交換機(jī)上旁路部署，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)上的攻擊和威脅。利用被動(dòng)流量分析技術(shù)對(duì)僵尸網(wǎng)絡(luò)、數(shù)據(jù)泄露等各類(lèi)安全威脅進(jìn)行深度檢測(cè)、智能分析以及威脅感知，及時(shí)發(fā)現(xiàn)和定位網(wǎng)絡(luò)中存在的安全威脅，在油庫(kù)的網(wǎng)絡(luò)、主機(jī)、應(yīng)用等檢測(cè)的基礎(chǔ)上，實(shí)現(xiàn)業(yè)務(wù)零影響、持續(xù)跟蹤的感知能力，提升攻擊行為關(guān)聯(lián)分析能力，為油庫(kù)企業(yè)等提供信息安全保障。

在生產(chǎn)網(wǎng)內(nèi)部根據(jù)業(yè)務(wù)需求把相應(yīng)業(yè)務(wù)系統(tǒng)的流量數(shù)據(jù)發(fā)送給工控安全審計(jì)，完成異常行為、異常流量的審計(jì)。通過(guò)對(duì)生產(chǎn)網(wǎng)中的工業(yè)協(xié)議進(jìn)行深度解析，支持對(duì)30 多種(OPC、SiemensS7、Modbus、IEC104、Profinet、DNP3 等）工控協(xié)議的深度解析和自定義擴(kuò)展工控協(xié)議解析，還原工控指令，理解工控業(yè)務(wù)，提取關(guān)鍵信息，對(duì)當(dāng)前的通信行為與已有的基線進(jìn)行對(duì)比，實(shí)現(xiàn)異常指令操作、非法設(shè)備（IP 地址）等告警，工控審計(jì)對(duì)風(fēng)險(xiǎn)告警數(shù)據(jù)可進(jìn)行細(xì)粒度的分類(lèi)統(tǒng)計(jì)展示和聯(lián)動(dòng)操作，風(fēng)險(xiǎn)信息可一鍵關(guān)聯(lián)至規(guī)則，對(duì)風(fēng)險(xiǎn)信息提供了可操作性強(qiáng)的處置措施建議。

對(duì)威脅與異常檢測(cè)的審計(jì)主要分為以下五個(gè)方面：

一是異常報(bào)文檢測(cè)：支持對(duì)TCP/IP、工控協(xié)議畸形報(bào)文的攻擊檢測(cè)；

二是關(guān)鍵事件檢測(cè)：支持對(duì)工程師站組態(tài)變更、操控指令變更、PLC 下裝、零流量等工控關(guān)鍵事件的檢測(cè)；

三是基線白名單檢測(cè)：通過(guò)機(jī)器學(xué)習(xí)等自學(xué)方式生成工控環(huán)境資產(chǎn)基線、訪問(wèn)關(guān)系基線、流量基線、工控行為基線四種安全基線模型；

四是自定義規(guī)則檢測(cè)：用戶可自定義對(duì)多種工控協(xié)議進(jìn)行細(xì)粒度的規(guī)則配置；

五是工控入侵規(guī)則檢測(cè)：內(nèi)置豐富的入侵檢測(cè)規(guī)則庫(kù)，支持利用已知工控設(shè)備漏洞的入侵攻擊行為檢測(cè)。

l 終端安全

在油庫(kù)的終端設(shè)備上部署終端安全防護(hù)客戶端，在省級(jí)安全管理中心上部署終端防護(hù)管理系統(tǒng)，解決終端設(shè)備的安全威脅，提高終端設(shè)備的安全防護(hù)能力。如下圖所示。

圖10-5  終端安全防護(hù)

對(duì)于可以安裝終端安全防護(hù)客戶端的終端設(shè)備，可以在終端防護(hù)管理平臺(tái)上實(shí)時(shí)監(jiān)控終端設(shè)備的性能、存在的漏洞、威脅事件等并進(jìn)行統(tǒng)一管理。對(duì)于不能安裝終端安全防護(hù)客戶端的終端設(shè)備，利用總部的準(zhǔn)入系統(tǒng)查看哪些終端設(shè)備沒(méi)有安裝。客戶端可部署在Windows 系列如WinXP 、Win7 、Win10 、Win2003 、Win2008 、Win2012 、Win2016 等， inux 系統(tǒng)如Centos5.0+ 、Redhat5.0+、Suse11+、Ubuntu14+等，國(guó)產(chǎn)系統(tǒng)如中標(biāo)麒麟、銀河麒麟、統(tǒng)信等終端系統(tǒng)上。

終端安全防護(hù)系統(tǒng)集白名單、黑名單和加固功能于一體，集成了豐富的系統(tǒng)加固與防護(hù)、網(wǎng)絡(luò)加固與防護(hù)等功能的終端安全產(chǎn)品。包含專(zhuān)門(mén)應(yīng)對(duì)攻防對(duì)抗場(chǎng)景的高級(jí)威脅模塊和具有勒索專(zhuān)防專(zhuān)殺能力的文件誘餌引擎；通過(guò)內(nèi)核級(jí)東西向流量隔離技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)隔離與防護(hù)；擁有補(bǔ)丁修復(fù)、外設(shè)管控、文件審計(jì)、違規(guī)外聯(lián)檢測(cè)與阻斷、進(jìn)程防護(hù)、端口防護(hù)和安全告警等終端安全防護(hù)能力。

l 應(yīng)用及數(shù)據(jù)安全

在總部云平臺(tái)上部署數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)，提升對(duì)數(shù)據(jù)庫(kù)的原始信息收集、審計(jì)和分析等能力，保障應(yīng)用及數(shù)據(jù)安全，部署架構(gòu)如下圖所示。

圖10-6  數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制

數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)實(shí)時(shí)記錄運(yùn)維人員及應(yīng)用服務(wù)器對(duì)數(shù)據(jù)庫(kù)的操作行為，并按照相關(guān)要求進(jìn)行合規(guī)性管理，當(dāng)系統(tǒng)檢測(cè)到數(shù)據(jù)庫(kù)面臨風(fēng)險(xiǎn)行為時(shí)，會(huì)自動(dòng)以郵件、短信、SYSLOG、SNMP 等形式進(jìn)行實(shí)時(shí)告警。此外，數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)還支持的功能如下所示：

加密協(xié)議審計(jì)及雙向?qū)徲?jì)：系統(tǒng)不僅支持對(duì)數(shù)據(jù)請(qǐng)求的報(bào)文進(jìn)行加密協(xié)議審計(jì)，同時(shí)也可以對(duì)請(qǐng)求的返回結(jié)果進(jìn)行審計(jì)，如操作回應(yīng)、作用數(shù)量、執(zhí)行時(shí)長(zhǎng)等內(nèi)容，并能夠根據(jù)返回結(jié)果進(jìn)行審計(jì)策略定制。

建立安全訪問(wèn)基線：系統(tǒng)支持配置安全訪問(wèn)策略和設(shè)立安全訪問(wèn)基線，這樣可以防范來(lái)自內(nèi)外部的惡意攻擊，保障油庫(kù)工控系統(tǒng)數(shù)據(jù)的機(jī)密性和完整性，同時(shí)支持自行定義安全訪問(wèn)基線的檢查項(xiàng)，因此可以根據(jù)油庫(kù)實(shí)際業(yè)務(wù)需要定制檢查閾值、自定義檢查目錄等以滿足油庫(kù)多樣化的內(nèi)部監(jiān)管要求。

追蹤用戶訪問(wèn)行為：提供全方位的多層（應(yīng)用層、中間層、數(shù)據(jù)庫(kù)層）的訪問(wèn)審計(jì)，通過(guò)多層業(yè)務(wù)審計(jì)可實(shí)現(xiàn)對(duì)數(shù)據(jù)操作用戶的精確追蹤。并根據(jù)事件發(fā)生的時(shí)間、用戶、訪問(wèn)方式（客戶端、TELNET、FTP）、用戶IP、服務(wù)器等組合查詢，對(duì)用戶訪問(wèn)行為過(guò)程進(jìn)行回放和追溯。

操作風(fēng)險(xiǎn)實(shí)時(shí)可知可查對(duì)數(shù)據(jù)庫(kù)的操作行為進(jìn)行實(shí)時(shí)檢測(cè)，結(jié)合預(yù)設(shè)置的風(fēng)險(xiǎn)控制策略和對(duì)數(shù)據(jù)庫(kù)活動(dòng)的實(shí)時(shí)監(jiān)控信息進(jìn)行特征檢測(cè)，所有嘗試攻擊操作將被檢測(cè)出來(lái)進(jìn)而被阻斷或告警。

l 安全運(yùn)維與審計(jì)

在總部云平臺(tái)上部署綜合日志審計(jì)系統(tǒng)，對(duì)工業(yè)網(wǎng)絡(luò)中的各種設(shè)備（網(wǎng)絡(luò)設(shè)備、安全設(shè)備、工控主機(jī)設(shè)備、應(yīng)用及數(shù)據(jù)庫(kù)等）產(chǎn)生的日志進(jìn)行采集、存儲(chǔ)和分析，對(duì)危險(xiǎn)的事件進(jìn)行告警，同時(shí)將數(shù)據(jù)信息進(jìn)行匯集然后集中展現(xiàn)，加強(qiáng)對(duì)異常事件的追溯及取證，便于管理人員集中查看所接入設(shè)備的運(yùn)行狀況并在第一時(shí)間獲知當(dāng)前發(fā)生的安全事件告警，使得等級(jí)保護(hù)滿足合規(guī)檢查。綜合日志審計(jì)系統(tǒng)部署架構(gòu)如下圖所示。

圖10-7  綜合日志審計(jì)系統(tǒng)部署架構(gòu)圖

在總部部署運(yùn)維審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)（簡(jiǎn)稱堡壘機(jī)）是集用戶管理、授權(quán)管理、認(rèn)證管理和綜合審計(jì)于一體的集中運(yùn)維管理系統(tǒng)，在省級(jí)安全管理中心部署堡壘機(jī)可實(shí)現(xiàn)對(duì)企業(yè)運(yùn)維人員在運(yùn)維過(guò)程中進(jìn)行統(tǒng)一身份認(rèn)證、統(tǒng)一授權(quán)、統(tǒng)一審計(jì)、統(tǒng)一監(jiān)控管理等一系列操作，使運(yùn)維簡(jiǎn)單化，操作規(guī)范化，過(guò)程可視化，企業(yè)運(yùn)維管控能力也得以提升，堡壘機(jī)部署架構(gòu)如下圖所示。

圖10-8  堡壘機(jī)部署圖

l 安全集中管理

在總部云平臺(tái)上部署工業(yè)安全管理平臺(tái)，實(shí)現(xiàn)對(duì)工業(yè)防火墻、入侵檢測(cè)、工控安全審計(jì)、堡壘機(jī)、數(shù)據(jù)庫(kù)審計(jì)、工業(yè)網(wǎng)閘等安全設(shè)備的集中管控、狀態(tài)監(jiān)測(cè)、策略配置下發(fā)等，并支持通過(guò)標(biāo)準(zhǔn)接口（例如syslog）與第三方設(shè)備通訊，從而實(shí)現(xiàn)資產(chǎn)安全狀況的統(tǒng)一管理和安全風(fēng)險(xiǎn)的智能分析，工業(yè)安全管理平臺(tái)以省公司為單位開(kāi)通統(tǒng)一租戶賬號(hào)。如下圖所示。

圖10-9  工業(yè)安全管理平臺(tái)部署圖

工業(yè)安全管理平臺(tái)可及時(shí)發(fā)現(xiàn)、報(bào)告并處理工業(yè)控制系統(tǒng)中的網(wǎng)絡(luò)攻擊或異常行為，通過(guò)統(tǒng)一調(diào)度安全預(yù)警、安全監(jiān)測(cè)、安全防護(hù)和應(yīng)急處置，全方位保障工業(yè)控制系統(tǒng)信息安全。除此之外，平臺(tái)可以對(duì)工業(yè)控制系統(tǒng)資產(chǎn)進(jìn)行全局管理，幫助用戶梳理工控資產(chǎn)，資產(chǎn)間的訪問(wèn)關(guān)系，網(wǎng)絡(luò)中的工業(yè)行為等，尤其可對(duì)部署在系統(tǒng)中的安全防護(hù)類(lèi)設(shè)備進(jìn)行統(tǒng)一配置。

（3）安全管理方案

通過(guò)建立完善的油庫(kù)信息化安全管理體系，組建人員成立安全管理機(jī)構(gòu)，建立安全組織體系，制定油庫(kù)工控系統(tǒng)安全運(yùn)行細(xì)則，加強(qiáng)在油庫(kù)工控系統(tǒng)建設(shè)和運(yùn)維環(huán)節(jié)的規(guī)范，制定應(yīng)急響應(yīng)制度最大限度的減輕安全事件的危害和影響，并對(duì)安全管理人員定期開(kāi)展網(wǎng)絡(luò)安全培訓(xùn)以提高油庫(kù)工控安全整體管理水平，實(shí)現(xiàn)油庫(kù)工控安全管理的規(guī)范化、標(biāo)準(zhǔn)化與制度化。

l 安全管理制度

在信息安全中，最活躍的因素是人，對(duì)人的管理包括法律、法規(guī)與政策的約束、安全指南的幫助、安全意識(shí)的提高、安全技能的培訓(xùn)、人力資源管理措施，這些功能的實(shí)現(xiàn)都是以完備的安全管理政策和制度為前提。這里所說(shuō)的安全管理制度包括信息安全工作的總體方針、策略、規(guī)范各種安全管理活動(dòng)的管理制度以及管理人員或操作人員日常操作的操作規(guī)程。

安全管理制度主要包括：

管理制度：針對(duì)管理人員和操作人員的建立相關(guān)安全管理制度，形成由成安全策略、管理制度、操作規(guī)程、記錄表單等構(gòu)成的全面的安全管理制度體系。

制定和發(fā)布：安全管理制度的制定應(yīng)由專(zhuān)業(yè)的人員負(fù)責(zé)制定，且要通過(guò)正式有效的方式發(fā)布并進(jìn)行版本控制。

評(píng)審和修訂：應(yīng)定期對(duì)安全管理制度的合理性和適用性進(jìn)行論證和審定并及時(shí)修訂。

l 安全管理機(jī)構(gòu)

要建立一個(gè)健全、務(wù)實(shí)、有效、統(tǒng)一指揮、統(tǒng)一步調(diào)的完善的安全管理機(jī)構(gòu)，明確機(jī)構(gòu)成員的安全職責(zé)，這是信息安全管理得以實(shí)施、推廣的基礎(chǔ)。在單位的內(nèi)部結(jié)構(gòu)上必須建立一整套從單位最高管理層到執(zhí)行管理層以及業(yè)務(wù)運(yùn)營(yíng)層的管理結(jié)構(gòu)來(lái)約束和保證各項(xiàng)安全管理措施的執(zhí)行。其主要工作內(nèi)容包括對(duì)機(jī)構(gòu)內(nèi)重要的信息安全工作進(jìn)行授權(quán)和審批、內(nèi)部相關(guān)業(yè)務(wù)部門(mén)和安全管理部門(mén)之間的溝通協(xié)調(diào)以及與機(jī)構(gòu)外部各類(lèi)單位的合作、定期對(duì)系統(tǒng)的安全措施落實(shí)情況進(jìn)行檢查，以發(fā)現(xiàn)問(wèn)題進(jìn)行改進(jìn)。

安全管理機(jī)構(gòu)主要包括：

崗位設(shè)置：成立指導(dǎo)和管理網(wǎng)絡(luò)安全工作的委員會(huì)或領(lǐng)導(dǎo)小組、設(shè)立安全管理工作職能部門(mén)、設(shè)立相關(guān)管理崗位并明確各崗位職責(zé)。

人員配備：配備專(zhuān)職安全管理員，根據(jù)情況配備一定數(shù)量的系統(tǒng)管理員、審計(jì)管理員和安全管理員。

授權(quán)和審批：明確各部門(mén)審批事項(xiàng)部門(mén)及批準(zhǔn)人。對(duì)重要活動(dòng)建立逐級(jí)審批制度，并定期審查審批事項(xiàng)，更新授權(quán)事項(xiàng)和審批方案。

溝通和合作：加強(qiáng)組織內(nèi)部間溝通交流，定期召開(kāi)協(xié)調(diào)會(huì)議，共同協(xié)作處理網(wǎng)絡(luò)安全問(wèn)題。

審核和檢查：根據(jù)安全檢查表格開(kāi)展常規(guī)安全檢查及全面安全檢查，匯總安全檢查數(shù)據(jù)，形成安全檢查報(bào)告。

l 人員安全管理

很多重要的工控系統(tǒng)安全問(wèn)題都涉及到用戶、設(shè)計(jì)人員、實(shí)施人員以及管理人員。如果這些與人員有關(guān)的安全問(wèn)題沒(méi)有得到很好的解決，任何一個(gè)工控系統(tǒng)都不可能達(dá)到真正的安全。只有對(duì)人員進(jìn)行了正確完善的管理，才有可能降低人為錯(cuò)誤、盜竊、詐騙和誤用設(shè)備的風(fēng)險(xiǎn)，從而減小了工控系統(tǒng)遭受人員錯(cuò)誤造成損失的概率。

對(duì)人員安全的管理具體包括：

人員錄用、離崗：錄用時(shí)對(duì)擬錄用人員進(jìn)行專(zhuān)業(yè)技能考核并簽訂保密協(xié)議及責(zé)任協(xié)議。離職后嚴(yán)格辦理調(diào)離手續(xù)。

安全意識(shí)教育和培訓(xùn)：根據(jù)崗位制定培訓(xùn)計(jì)劃，并進(jìn)行技能考核。

外部人員訪問(wèn)管理：外部人員應(yīng)先提出書(shū)面申請(qǐng)，批準(zhǔn)后有專(zhuān)人全程陪同監(jiān)督。

l 系統(tǒng)建設(shè)管理

工控系統(tǒng)的安全管理貫穿系統(tǒng)的整個(gè)生命周期，系統(tǒng)建設(shè)管理主要關(guān)注的是生命周期中的前三個(gè)階段（即，初始、采購(gòu)、實(shí)施）中各項(xiàng)安全管理活動(dòng)。

系統(tǒng)建設(shè)管理分別從工程實(shí)施建設(shè)前、建設(shè)過(guò)程以及建設(shè)完畢交付等三方面考慮，具體包括：

產(chǎn)品采購(gòu)和使用：擬選產(chǎn)品無(wú)比符合國(guó)家相關(guān)規(guī)定。對(duì)所選產(chǎn)品定期審定并更新候選產(chǎn)品名單。

自行軟件開(kāi)發(fā)：擬定詳細(xì)的開(kāi)發(fā)管理制度，說(shuō)明開(kāi)發(fā)過(guò)程的控制方法及人員行為。對(duì)軟件設(shè)計(jì)的相關(guān)文檔和使用指南進(jìn)行控制。

外包軟件開(kāi)發(fā)：存儲(chǔ)備份開(kāi)發(fā)單位提供的軟件源代碼并審查軟件中可能存在的各種問(wèn)題。

還有工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、系統(tǒng)備案和安全服務(wù)商選擇等。對(duì)建設(shè)過(guò)程的各項(xiàng)活動(dòng)都要求進(jìn)行制度化規(guī)范，按照制度要求進(jìn)行活動(dòng)的開(kāi)展。對(duì)建設(shè)前的安全方案提出體系化要求，并加強(qiáng)了對(duì)其的論證工作。

l 系統(tǒng)運(yùn)維管理

根據(jù)基本要求進(jìn)行信息系統(tǒng)日常運(yùn)行維護(hù)管理，利用管理制度以及安全管理中心進(jìn)行，主要包括：

環(huán)境管理：根據(jù)資產(chǎn)的重要程度采取對(duì)應(yīng)的管理措施。

資產(chǎn)管理：編制保護(hù)對(duì)象資產(chǎn)清單，根據(jù)資產(chǎn)價(jià)值選擇對(duì)應(yīng)的管理措施。

介質(zhì)管理、設(shè)備管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理等。使系統(tǒng)始終處于等保要求的安全狀態(tài)中。

1.1.3 下一步實(shí)施計(jì)劃

油庫(kù)工控安全建設(shè)是一項(xiàng)涉及面廣、影響大、安全運(yùn)行要求高，集數(shù)據(jù)處理、信息發(fā)布、資源整合于一體的信息化方案。為了更好的執(zhí)行該方案，將采取統(tǒng)一指揮、并行實(shí)施、協(xié)調(diào)合作的實(shí)施辦法，構(gòu)建一套油庫(kù)信息安全服務(wù)平臺(tái)，逐級(jí)提升的油庫(kù)工控安全防護(hù)體系。

油庫(kù)信息安全服務(wù)平臺(tái)是專(zhuān)注于工業(yè)環(huán)境的網(wǎng)絡(luò)安全智能分析運(yùn)營(yíng)平臺(tái)。平臺(tái)全面采集各類(lèi)工控流量及日志信息，通過(guò)內(nèi)置的大數(shù)據(jù)安全分析模型整合零散的工業(yè)安全數(shù)據(jù)，深入挖掘安全風(fēng)險(xiǎn)與攻擊事件，實(shí)現(xiàn)工業(yè)網(wǎng)絡(luò)空間安全風(fēng)險(xiǎn)的預(yù)知。平臺(tái)采用威脅發(fā)現(xiàn)、智能研判和自動(dòng)化響應(yīng)處置的閉環(huán)安全管理體系，有效提高安全運(yùn)維工作效率，幫助油庫(kù)實(shí)現(xiàn)智能安全運(yùn)營(yíng)，具體功能架構(gòu)圖如下：

圖10-10 油庫(kù)信息安全服務(wù)平臺(tái)功能架構(gòu)圖

采用8+1+4的架構(gòu)，即八大工業(yè)安全引擎、一個(gè)工業(yè)安全數(shù)據(jù)分析平臺(tái)和四大業(yè)務(wù)應(yīng)用模型。

n 八大工業(yè)安全引擎

主要負(fù)責(zé)采集各類(lèi)工控網(wǎng)環(huán)境的安全數(shù)據(jù)，包括工業(yè)網(wǎng)絡(luò)空間測(cè)繪數(shù)據(jù)、工業(yè)威脅檢測(cè)數(shù)據(jù)、工業(yè)云安全監(jiān)測(cè)數(shù)據(jù)、工業(yè)網(wǎng)絡(luò)安全防御、工業(yè)威脅情報(bào)數(shù)據(jù)、工業(yè)網(wǎng)絡(luò)攻擊誘捕數(shù)據(jù)、工業(yè)網(wǎng)站安全數(shù)據(jù)、工業(yè)線下安全檢測(cè)數(shù)據(jù)，數(shù)據(jù)覆蓋線上、線上采集。

n 工業(yè)安全數(shù)據(jù)分析平臺(tái)

提供數(shù)據(jù)采集治理、威脅情報(bào)碰撞、大數(shù)據(jù)智能分析、工業(yè)威脅建模。

n 四大業(yè)務(wù)應(yīng)用

在數(shù)據(jù)中臺(tái)的服務(wù)能力基礎(chǔ)上，以安全監(jiān)測(cè)、安全分析、安全運(yùn)營(yíng)和資產(chǎn)管理四大業(yè)務(wù)應(yīng)用為核心，為用戶建立工業(yè)安全運(yùn)營(yíng)閉環(huán)管理體系。

1.數(shù)據(jù)采集方案設(shè)計(jì)

（1）多元異構(gòu)日志采集

支持目前包括但不限于主流安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫(kù)、中間件、應(yīng)用系統(tǒng)和虛擬化系統(tǒng)等；

支持常見(jiàn)的虛擬機(jī)環(huán)境日志收集，包括Xen、VMWare、Hyper-V等

可以通過(guò)自定義配置將用戶不關(guān)心的日志過(guò)濾掉；

支持對(duì)收集到的重復(fù)的日志進(jìn)行自動(dòng)的聚合歸并，減少日志量；

支持將收集到的日志轉(zhuǎn)發(fā)，當(dāng)原始日志設(shè)備無(wú)法設(shè)置多個(gè)日志服務(wù)器時(shí)，可以通過(guò)本系統(tǒng)的日志轉(zhuǎn)發(fā)功能將日志轉(zhuǎn)發(fā)到其他日志存儲(chǔ)設(shè)備。

為適配各種采集數(shù)據(jù)源，需要支持多種采集協(xié)議，以實(shí)現(xiàn)對(duì)各類(lèi)數(shù)據(jù)的采集，包括不限于安全對(duì)象屬性、運(yùn)行狀態(tài)、安全事件、評(píng)估與檢測(cè)等數(shù)據(jù)。為實(shí)現(xiàn)對(duì)包括安全對(duì)象的屬性、運(yùn)行狀態(tài)、安全事件、評(píng)估與檢測(cè)等數(shù)據(jù)的采集，針對(duì)不同類(lèi)型的數(shù)據(jù)以及對(duì)應(yīng)的適配協(xié)議

每個(gè)數(shù)據(jù)采集引擎支持配置不同的采集策略，保證每個(gè)數(shù)據(jù)采集引擎有針對(duì)性的采集數(shù)據(jù)，如動(dòng)態(tài)配置采集周期，清洗過(guò)濾策略等。需滿足如下采集部署要求。

? 支持分布式多節(jié)點(diǎn)部署；

? 支持多采集節(jié)點(diǎn)存活、健康狀態(tài)監(jiān)控，發(fā)現(xiàn)節(jié)點(diǎn)異常后，及時(shí)告警；

? 支持對(duì)采集節(jié)點(diǎn)性能監(jiān)控，保證采集性能與數(shù)據(jù)量匹配，防止數(shù)據(jù)丟失。

? 采集策略管理。支持對(duì)設(shè)備的采集策略的管理，包括采集頻率、采集協(xié)議、采集目標(biāo)、過(guò)濾策略等。

? 支持流量數(shù)據(jù)鏡像采集的方式。支持在多個(gè)機(jī)房的交換機(jī)上復(fù)制鏡像，分布式部署分光器和DPI的方式采集，并將多余的接口關(guān)閉；

? 支持主機(jī)終端的數(shù)據(jù)采集，支持?jǐn)?shù)據(jù)庫(kù)審計(jì)分析的數(shù)據(jù)采集；

? 支持?jǐn)?shù)據(jù)匯聚。綜合考慮專(zhuān)網(wǎng)傳輸性能的基礎(chǔ)上，需滿足將多個(gè)機(jī)房采集到的數(shù)據(jù)傳輸匯聚。

（2）全流量數(shù)據(jù)采集

面對(duì)全流量威脅進(jìn)行識(shí)別，并通過(guò)雙向流量檢測(cè)對(duì)網(wǎng)絡(luò)流量行為（例如數(shù)據(jù)報(bào)文惡意特征匹配、資源使用情況、使用者的訪問(wèn)行為等）判定，識(shí)別出病毒、木馬、敏感信息等異常行為。

? 威脅行為分析

組件根據(jù)數(shù)據(jù)包特征和流量行為對(duì)流量進(jìn)行深度解析，通過(guò)對(duì)數(shù)據(jù)流中威脅行為識(shí)別，達(dá)到惡意流量檢測(cè)的目的。

通過(guò)流量深度解析，系統(tǒng)異常、網(wǎng)絡(luò)木馬、異常端口訪問(wèn)、網(wǎng)絡(luò)掃描、DoS、通用協(xié)議命令解碼、WEB應(yīng)用漏洞利用及程序攻擊、惡意文件及病毒攻擊、異常威脅、異常用戶名登錄請(qǐng)求、可疑執(zhí)行代碼等非正常和非RFC遵從的請(qǐng)求行為以風(fēng)險(xiǎn)級(jí)別實(shí)時(shí)呈現(xiàn)，為威脅風(fēng)險(xiǎn)分析和管理提供依據(jù)。

? 威脅行為識(shí)別

通過(guò)以下幾個(gè)方面對(duì)威脅行為進(jìn)行識(shí)別：

基于4000+條規(guī)則庫(kù)進(jìn)行特征匹配；

根據(jù)資源使用狀況或者使用者訪問(wèn)行為進(jìn)行識(shí)別；

基于異常檢測(cè)技術(shù)識(shí)別威脅行為，例如病毒、木馬、攻擊等；

通過(guò)索引實(shí)時(shí)查詢頁(yè)面告警信息。

? 合規(guī)行為檢測(cè)

通過(guò)以下多個(gè)角度對(duì)違規(guī)違法行為檢測(cè)：

信息泄露：通過(guò)漏洞利用竊取用戶信息。

不良信息內(nèi)容：實(shí)現(xiàn)對(duì)不適宜信息內(nèi)容檢測(cè)審計(jì)。

敏感信息過(guò)濾：實(shí)現(xiàn)對(duì)身份信息、關(guān)鍵字、數(shù)據(jù)源等的自定義，實(shí)時(shí)

掌握流量中的敏感信息定位，實(shí)現(xiàn)對(duì)不合規(guī)行為有效監(jiān)測(cè)。

隱私權(quán)侵害：通過(guò)策略獲取信息系統(tǒng)內(nèi)部系統(tǒng)訪問(wèn)權(quán)限，侵犯數(shù)據(jù)隱

私。

（3）資產(chǎn)信息探測(cè)采集

除了基于流量被動(dòng)發(fā)現(xiàn)存貨資產(chǎn)，工業(yè)安全數(shù)據(jù)分析平臺(tái)可以與遠(yuǎn)程安全評(píng)估相結(jié)合，通過(guò)主動(dòng)掃描的方式發(fā)現(xiàn)系統(tǒng)內(nèi)存在的信息資產(chǎn)。

資產(chǎn)發(fā)現(xiàn)功能可對(duì)網(wǎng)絡(luò)中所有在線設(shè)備進(jìn)行自主網(wǎng)絡(luò)掃描和深入識(shí)別，獲取資產(chǎn)的網(wǎng)絡(luò)地址、系統(tǒng)網(wǎng)絡(luò)指紋、系統(tǒng)開(kāi)放端口和服務(wù)指紋，并根據(jù)積累和運(yùn)營(yíng)的指紋庫(kù)裁定每個(gè)資產(chǎn)的類(lèi)型、操作系統(tǒng)、廠商信息等。其具體功能需要滿足以下要求：

? 支持定時(shí)任務(wù)，用戶可自定義任務(wù)開(kāi)始的日期和時(shí)間

? 系統(tǒng)可采用主動(dòng)探測(cè)的方式，對(duì)網(wǎng)絡(luò)中在線設(shè)備的發(fā)現(xiàn)和識(shí)別，能夠識(shí)別到存活設(shè)備；

? 系統(tǒng)可實(shí)現(xiàn)資產(chǎn)詳情信息的采集和定義，包括資產(chǎn)名稱、所屬系統(tǒng)、IP地址、分組、廠家、型號(hào)、操作系統(tǒng)類(lèi)型等；

? 系統(tǒng)需能夠?qū)崿F(xiàn)資產(chǎn)服務(wù)信息的采集，包括資產(chǎn)服務(wù)的IP地址、端口號(hào)、服務(wù)名、服務(wù)版本、協(xié)議等服務(wù)屬性進(jìn)行管理；

? 系統(tǒng)需要能夠支持指紋庫(kù)的管理，并能進(jìn)行指紋的自定義；

? 可識(shí)別、定義網(wǎng)絡(luò)中所有資產(chǎn)。

（4）漏洞信息探測(cè)采集

漏洞檢測(cè)功能需要支持主動(dòng)的系統(tǒng)、應(yīng)用層、中間件、數(shù)據(jù)庫(kù)漏洞檢測(cè)，漏洞庫(kù)具備實(shí)時(shí)更新和自定義功能；可檢測(cè)主流windows、Linux、國(guó)產(chǎn)操作系統(tǒng)漏洞；內(nèi)置通用性弱口令字典，并可增加自定義字典。

本次系統(tǒng)的漏洞檢測(cè)發(fā)現(xiàn)功能設(shè)計(jì)，基于安全自主研發(fā)的漏掃引擎，通過(guò)深度掃描、漏洞檢測(cè)、木馬檢測(cè)、邏輯漏洞檢測(cè)等方式對(duì)掃描對(duì)象進(jìn)行全面的探測(cè)與檢查，以脆弱性和漏洞為導(dǎo)向,以安全風(fēng)險(xiǎn)管理為基礎(chǔ), 對(duì)資產(chǎn)進(jìn)行深度遍歷。支持主流的漏洞。

采用強(qiáng)大的過(guò)濾模塊，過(guò)濾掉重復(fù)或者不必要的網(wǎng)頁(yè)鏈接，提高運(yùn)行效率。單引擎單位時(shí)間的發(fā)包速率的可控化，可以有效防止掃描數(shù)據(jù)量過(guò)大影響系統(tǒng)正常運(yùn)行的問(wèn)題。 掃描數(shù)據(jù)實(shí)時(shí)存儲(chǔ)，掃描過(guò)程中實(shí)時(shí)存儲(chǔ)掃描數(shù)據(jù)和結(jié)果，不管是由于程序自身引擎中斷、進(jìn)程人為關(guān)閉，還是機(jī)器斷電引起掃描中斷，掃描數(shù)據(jù)都不會(huì)丟失，可以進(jìn)行斷點(diǎn)續(xù)掃。系統(tǒng)具體功能模塊實(shí)現(xiàn)頁(yè)面如下所示。

系統(tǒng)內(nèi)置可更新的漏洞知識(shí)庫(kù)模塊，對(duì)掃描出來(lái)的漏洞提供詳細(xì)的解決方案參考。

提供接口可以導(dǎo)入第三方漏洞掃描結(jié)果。

2.詳細(xì)功能設(shè)計(jì)

（1）工業(yè)數(shù)據(jù)采集處理

數(shù)據(jù)采集模塊以協(xié)議/接口采集為主，Agent收集為輔。針對(duì)不能通過(guò)協(xié)議采集或接口轉(zhuǎn)發(fā)數(shù)據(jù)的必要采集對(duì)象，采用安裝Agent的方式進(jìn)行數(shù)據(jù)采集。

系統(tǒng)支持的數(shù)據(jù)采集方式如下：

? 協(xié)議/接口采集：支持采集節(jié)點(diǎn)通過(guò)Syslog、Kafka、Ftp/Sftp、

Webservice、SNMP、File、JDBC/ODBC等方式；

? Agent采集：Agent支持Windows、Linux、Unix等系 統(tǒng)的數(shù)據(jù)收集。

系統(tǒng)支持采集的數(shù)據(jù)源類(lèi)型如下：

? 網(wǎng)絡(luò)系統(tǒng)全量數(shù)據(jù)：工業(yè)網(wǎng)絡(luò)流量、工業(yè)日志數(shù)據(jù)、工業(yè)資產(chǎn)信息、組

織架構(gòu)、安全域、人員、賬號(hào)等以及第三方相關(guān)數(shù)據(jù)；

? 威脅情報(bào)：惡意IP、惡意域名、郵箱和文件Hash值等；

工控網(wǎng)環(huán)境復(fù)雜，采集所得原始數(shù)據(jù)有一部分是非結(jié)構(gòu)化數(shù)據(jù)，需要將這部分非結(jié)構(gòu)化的原始日志處理轉(zhuǎn)換為結(jié)構(gòu)化數(shù)據(jù)。系統(tǒng)提供了一個(gè)鏈?zhǔn)娇刹灏蔚臄?shù)據(jù)ETL模塊，以插件的形式實(shí)現(xiàn)各種原始日志的格式化流程。

圖10-11  詳細(xì)功能圖

（2）分布式存儲(chǔ)

分布式存儲(chǔ)技術(shù)能夠?qū)崿F(xiàn)結(jié)構(gòu)化及半結(jié)構(gòu)化數(shù)據(jù)的統(tǒng)一存儲(chǔ)，兼容傳統(tǒng)的關(guān)系型數(shù)據(jù)庫(kù)以及SQL訪問(wèn)模型，同時(shí)支持對(duì)海量數(shù)據(jù)的在線實(shí)時(shí)流式處理框架和離線分布式計(jì)算框架。分布式數(shù)據(jù)庫(kù)面向時(shí)序數(shù)據(jù)和小文件數(shù)據(jù)存儲(chǔ)進(jìn)行深度優(yōu)化，支持第三方存儲(chǔ)引擎和傳統(tǒng)關(guān)系型數(shù)據(jù)庫(kù)的無(wú)縫接入；支持海量混合數(shù)據(jù)的統(tǒng)一存儲(chǔ)管理和在線離線一體化查詢；支持可插拔安全算法模塊和主流分布式計(jì)算框架；支持跨庫(kù)、跨源、異構(gòu)數(shù)據(jù)庫(kù)之間的跨庫(kù)訪問(wèn)和關(guān)聯(lián)查詢，解決了多系統(tǒng)交互時(shí)對(duì)海量混合數(shù)據(jù)統(tǒng)一管控的問(wèn)題；支持多源異構(gòu)混搭數(shù)據(jù)間基于規(guī)則導(dǎo)向的高可靠近實(shí)時(shí)數(shù)據(jù)同步。主要功能包括：

? 大數(shù)據(jù)采集存儲(chǔ)和分析處理

滿足采集海量數(shù)據(jù)儲(chǔ)存需要，如流量信息、設(shè)備狀態(tài)、鏈路狀態(tài)等，滿足大規(guī)模結(jié)構(gòu)化流式數(shù)據(jù)的并發(fā)能力、吞吐量、低時(shí)延的高要求。

? 分層架構(gòu)、模塊化設(shè)計(jì)、多場(chǎng)景支持

采用模塊化的設(shè)計(jì)思路，在數(shù)據(jù)訪問(wèn)層、數(shù)據(jù)路由層和數(shù)據(jù)存儲(chǔ)層都提供多種高內(nèi)聚、低耦合的模塊，通過(guò)這些模塊的靈活搭配，分布式數(shù)據(jù)庫(kù)表現(xiàn)出不同的技術(shù)特征，從而能夠適應(yīng)不同的業(yè)務(wù)場(chǎng)景。

? 在線檢索和離線分析一體化

通過(guò)配置，分布式數(shù)據(jù)庫(kù)可同時(shí)支持高速數(shù)據(jù)寫(xiě)入，在線交互訪問(wèn)、實(shí)時(shí)查詢以及高并發(fā)大數(shù)據(jù)集查詢?cè)趦?nèi)的各種訪問(wèn)方式，適應(yīng)在線檢索和離線分析等不同業(yè)務(wù)場(chǎng)景。

? 混合數(shù)據(jù)支持

分布式數(shù)據(jù)庫(kù)支持與傳統(tǒng)關(guān)系型數(shù)據(jù)庫(kù)Oracle、MySQL等聯(lián)合訪問(wèn)。業(yè)務(wù)系統(tǒng)可以把部分表建在Oracle或MySQL上，把部分表建在分布式數(shù)據(jù)庫(kù)上，然后透明地訪問(wèn)這些表，包括在這些表之間進(jìn)行join、union等操作。

? 跨域、多數(shù)據(jù)中心支持

分布式數(shù)據(jù)庫(kù)在保證數(shù)據(jù)一致性的前提下支持多數(shù)據(jù)中心或多數(shù)據(jù)集群之間近實(shí)時(shí)的跨域數(shù)據(jù)同步復(fù)制，實(shí)現(xiàn)系統(tǒng)的跨域多中心部署模式。總體處理性能，數(shù)據(jù)讀寫(xiě)、掃描等，隨集群規(guī)模擴(kuò)展線性增長(zhǎng)。

? 分布式存儲(chǔ)

分布式存儲(chǔ)技術(shù)用于系統(tǒng)架構(gòu)的大數(shù)據(jù)組件當(dāng)中，使系統(tǒng)能夠?qū)崿F(xiàn)高效的數(shù)據(jù)采集和檢索能力。

主要基于通用/定制化的服務(wù)器提供存儲(chǔ)，可提供對(duì)象、文件和塊存儲(chǔ)，具備低成本、靈活擴(kuò)容、高并發(fā)訪問(wèn)等優(yōu)勢(shì)，通過(guò)軟件保障性能和可靠性。可作為資源池的分級(jí)存儲(chǔ)手段，滿足中低端存儲(chǔ)、數(shù)據(jù)歸檔備份、大數(shù)據(jù)存儲(chǔ)等需求。采用分布式塊存儲(chǔ)軟件技術(shù)的Server-SAN在I/O能力、部署速度和擴(kuò)展性方面已驗(yàn)證優(yōu)于傳統(tǒng)塊存儲(chǔ)技術(shù)。

（3）全文檢索

全文檢索技術(shù)是態(tài)勢(shì)感知系統(tǒng)的核心基礎(chǔ)功能，其基礎(chǔ)要求是根據(jù)搜索條件快速、準(zhǔn)確的匹配命中數(shù)據(jù)對(duì)象，為安全分析人員提供高效準(zhǔn)確的分析工具，以便能更加快速的發(fā)現(xiàn)安全風(fēng)險(xiǎn)。因?yàn)榇髷?shù)據(jù)系統(tǒng)往往采用分布式存儲(chǔ)技術(shù)，所以全文檢索技術(shù)的選擇必須能夠支持主流的分布式存儲(chǔ)系統(tǒng)。同時(shí)，分布式并行計(jì)算系統(tǒng)的支持也是在技術(shù)路線選擇中必須考慮的因素，需能夠做到對(duì)并行計(jì)算框架的無(wú)縫對(duì)接。由于需要具備對(duì)數(shù)據(jù)搜索準(zhǔn)度、實(shí)時(shí)性與多樣性的要求，這就要求檢索技術(shù)需支持基于關(guān)鍵詞，數(shù)值范圍，日期范圍等各種復(fù)雜的搜索功能。

全文檢索技術(shù)采用倒排索引的結(jié)構(gòu)達(dá)到快速全文檢索的目的，倒排檢索是實(shí)現(xiàn)“單詞”-“文檔矩陣”的一種具體存儲(chǔ)形式，通過(guò)倒排索引可以更加快速的獲取包含這個(gè)單詞的文檔列表，倒排索引主要由兩個(gè)部分組成“單詞詞典”和“倒排文件”，具體結(jié)構(gòu)如下圖：

圖10-12  全文檢索技術(shù)架構(gòu)圖

全文檢索技術(shù)運(yùn)用在安全監(jiān)測(cè)中，主要用于對(duì)監(jiān)測(cè)數(shù)據(jù)的檢索查詢，通過(guò)查詢安全分析人員能夠?qū)崿F(xiàn)對(duì)安全事件的細(xì)致分析，并將有效數(shù)據(jù)運(yùn)用于模型建立當(dāng)中。

（4）威脅潛伏檢測(cè)

平臺(tái)利用認(rèn)知攻擊循環(huán)模型（偵查滲透、駐留控制、執(zhí)行滲透或橫向移動(dòng)）和ATT&CK安全模型，通過(guò)對(duì)安全大數(shù)據(jù)中心（SDC）匯聚的網(wǎng)絡(luò)數(shù)據(jù)包、文件元數(shù)據(jù)、終端日志、威脅情報(bào)、沙箱報(bào)告、漏洞知識(shí)庫(kù)等進(jìn)行智能分析，重建攻擊全路徑，洞悉發(fā)動(dòng)攻擊的人員、目標(biāo)、時(shí)間、地點(diǎn)和手段，發(fā)現(xiàn)高級(jí)潛伏威脅。

（5）工業(yè)安全實(shí)時(shí)分析

在工業(yè)場(chǎng)景中，對(duì)數(shù)據(jù)的實(shí)時(shí)性要求很高，數(shù)據(jù)的價(jià)值隨著時(shí)間的流逝而降低。工業(yè)安全監(jiān)測(cè)分析能夠?qū)φ诎l(fā)生的事件進(jìn)行實(shí)時(shí)分析，及時(shí)發(fā)現(xiàn)最可疑的安全威脅。

? 預(yù)置工業(yè)威脅模型

結(jié)合IT與OT應(yīng)用場(chǎng)景，內(nèi)置了1300多種安全分析模型，包括180多種掃描探查檢測(cè)類(lèi)模型、740多種滲透攻擊檢測(cè)類(lèi)模型、20多種獲取權(quán)限檢測(cè)類(lèi)模型、210多種命令控制檢測(cè)類(lèi)模型和30多種資產(chǎn)破壞類(lèi)檢測(cè)模型，覆蓋Intrusion Kill Chain的各個(gè)維度。

? 自定義工業(yè)安全分析模型

在工控網(wǎng)絡(luò)中，用戶對(duì)安全生產(chǎn)的要求是非常高的，要確保整個(gè)工控網(wǎng)絡(luò)的穩(wěn)定性和可靠性，利用自定義工業(yè)安全分析模型，可根據(jù)用戶實(shí)際業(yè)務(wù)場(chǎng)景，將安全生產(chǎn)指標(biāo)與網(wǎng)絡(luò)安全指標(biāo)進(jìn)行融合分析，從中發(fā)現(xiàn)威脅與風(fēng)險(xiǎn)，并進(jìn)行有效的處置。當(dāng)前支持五大自定義安全分析模型，主要包括規(guī)則模型、統(tǒng)計(jì)模型、情報(bào)模型、關(guān)聯(lián)模型和AI模型等。

? 威脅情報(bào)碰撞

平臺(tái)集成海量的威脅情報(bào)數(shù)據(jù)。情報(bào)來(lái)源包括國(guó)內(nèi)外200余家威脅情報(bào)交換數(shù)據(jù)。采用云沙箱、機(jī)器學(xué)習(xí)識(shí)別與專(zhuān)家分析等方式，提煉形成面向政企用戶網(wǎng)絡(luò)安全的高質(zhì)量威脅情報(bào)中心。為用戶提供如下核心情報(bào)功能：

情報(bào)收集（內(nèi)部+外部各類(lèi)情報(bào)源）

多源情報(bào)關(guān)聯(lián)分析

情報(bào)檢索驗(yàn)證與攻擊溯源

情報(bào)更新維護(hù)

關(guān)聯(lián)下游產(chǎn)品

（6）工業(yè)場(chǎng)景實(shí)體行為分析

在工業(yè)控制場(chǎng)景下，用戶的操作可達(dá)到指令級(jí)，每個(gè)指令是否正常都意味著能否持續(xù)進(jìn)行安全生產(chǎn)。通過(guò)對(duì)實(shí)識(shí)設(shè)備、用戶、工業(yè)通信指令進(jìn)行智能AI學(xué)習(xí)或進(jìn)行基線設(shè)置，構(gòu)建出用戶在不同場(chǎng)景中的基線狀態(tài)。及時(shí)發(fā)現(xiàn)用戶、系統(tǒng)和設(shè)備存在的可疑行為，解決海量日志里快速定位安全事件的難題。

該系統(tǒng)亮點(diǎn)如下：

? 快速發(fā)現(xiàn)異常用戶行為

采用專(zhuān)用的用戶行為分析算法，能夠快速發(fā)現(xiàn)異常用戶行為，包括歷史未出現(xiàn)過(guò)的異常行為。

? 精準(zhǔn)的用戶異常行為監(jiān)測(cè)

利用網(wǎng)絡(luò)分析的方法，把看似不相關(guān)的用戶和行為關(guān)聯(lián)起來(lái)，從而提高異常行為監(jiān)測(cè)的準(zhǔn)確度和靈敏度，并通過(guò)多維態(tài)勢(shì)可視化系統(tǒng)能夠?qū)崟r(shí)展現(xiàn)總體用戶行為威脅狀況。

? 定制化用戶畫(huà)像能力

由于用戶行為隨實(shí)際網(wǎng)絡(luò)環(huán)境的不同存在較大差異性，平臺(tái)支持根據(jù)用戶實(shí)際業(yè)務(wù)場(chǎng)景定制行為分析畫(huà)像，確保分析結(jié)果真實(shí)可靠。

圖10-13  定制行為分析

（7）資產(chǎn)管理

? 資產(chǎn)管理

資產(chǎn)管理作為態(tài)勢(shì)感知的最基礎(chǔ)功能，確定了安全管理的對(duì)象和目標(biāo)，將所有業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)設(shè)備、工控設(shè)備、安全設(shè)備、服務(wù)器及其之上承載的操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)、接口方式、硬件屬性、使用維護(hù)人員等信息均作為資產(chǎn)管理的內(nèi)容，提供資產(chǎn)錄入、管理、變更等管理功能?？赏ㄟ^(guò)流量監(jiān)控開(kāi)放端口、主動(dòng)外連行為等。資產(chǎn)管理主要提供如下功能：

提供與第三方資源管理系統(tǒng)的接口以實(shí)現(xiàn)資源共享、同步更新、信息的查詢和導(dǎo)入等功能。同時(shí)內(nèi)置資產(chǎn)通用屬性接口，用于實(shí)現(xiàn)與第三方資產(chǎn)管理系統(tǒng)的數(shù)據(jù)格式相互轉(zhuǎn)換；

資產(chǎn)管理模塊中各項(xiàng)資產(chǎn)的屬性值將參與到安全事件管理、脆弱性管理、風(fēng)險(xiǎn)管理、拓?fù)湟晥D、報(bào)表系統(tǒng)等其它安全管理模塊；

提供資產(chǎn)的手動(dòng)和自動(dòng)發(fā)現(xiàn)，資產(chǎn)接入或者移除，能夠自動(dòng)更新，并作出提示，對(duì)新接入資產(chǎn)進(jìn)行預(yù)管理，對(duì)移除資產(chǎn)進(jìn)行記錄管理；

將安全事件與資產(chǎn)進(jìn)行綁定關(guān)聯(lián)，實(shí)現(xiàn)以資產(chǎn)視角的安全事件管理，在資產(chǎn)拓?fù)湟晥D上直接展現(xiàn)安全事件的信息，支持鉆取溯源等安全處置功能；

提供根據(jù)客戶組織架構(gòu)或者網(wǎng)絡(luò)架構(gòu)進(jìn)行資產(chǎn)域/安全域劃分，方便運(yùn)維。

資產(chǎn)管理的信息和維度包含如下：

基本信息：資產(chǎn)IP、資產(chǎn)名稱、資產(chǎn)重要性（普通、重要），資產(chǎn)標(biāo)簽、資產(chǎn)類(lèi)型

更多信息：資產(chǎn)編號(hào)、資產(chǎn)狀態(tài)、組織架構(gòu)、使用人、C-機(jī)密性、I-完整性、A-可用性、是否等保資產(chǎn)、地理位置、描述等。

操作系統(tǒng)信息：操作系統(tǒng)、OS版本、MAC地址

設(shè)備管理：設(shè)備廠商、設(shè)備型號(hào)、設(shè)備版本、設(shè)備存放地址、管理地址、日志量監(jiān)控、在線狀態(tài)檢測(cè)。

? 安全設(shè)備管理

安全設(shè)備管理確定了本平臺(tái)對(duì)接、聯(lián)動(dòng)和監(jiān)控的安全設(shè)備目錄，以及安全設(shè)備關(guān)聯(lián)的防護(hù)資產(chǎn)信息，管理整個(gè)網(wǎng)絡(luò)信息系統(tǒng)和業(yè)務(wù)資產(chǎn)的防護(hù)狀態(tài)和安全建設(shè)系統(tǒng)。

安全設(shè)備編輯。提供安全設(shè)備的增加、編輯、刪除功能。安全設(shè)備的管理信息包括設(shè)備名稱、設(shè)備類(lèi)型、設(shè)備廠商、關(guān)聯(lián)資產(chǎn)等。

安全設(shè)備監(jiān)控。提供包括安全設(shè)備攔截狀態(tài)和安全設(shè)備運(yùn)行狀態(tài)監(jiān)控，可跳轉(zhuǎn)投屏。

? 區(qū)域管理

區(qū)域管理模塊是根據(jù)企業(yè)網(wǎng)絡(luò)環(huán)境、組織架構(gòu)以及安全域分布實(shí)現(xiàn)資產(chǎn)/業(yè)務(wù)拓?fù)湟晥D，并能夠在資產(chǎn)視圖上將弱點(diǎn)爆發(fā)的安全事件所屬網(wǎng)絡(luò)區(qū)域或業(yè)務(wù)系統(tǒng)分組予以展示。

安全域添加。根據(jù)企業(yè)的網(wǎng)絡(luò)劃分情報(bào)、組織架構(gòu)等情況，進(jìn)行安全域添加；

安全域修改。

安全域刪除。

內(nèi)部IP配置。對(duì)內(nèi)部IP地址進(jìn)行配置，解決企業(yè)網(wǎng)絡(luò)內(nèi)外網(wǎng)地址私用等情況。

? 業(yè)務(wù)建模

實(shí)現(xiàn)以業(yè)務(wù)資產(chǎn)視角，輔助客戶以資產(chǎn)為核心的工作層面之上構(gòu)建一個(gè)面向業(yè)務(wù)部門(mén)和管理層的業(yè)務(wù)資產(chǎn)模型。該功能主要管理用戶的業(yè)務(wù)支撐系統(tǒng)，為用戶提供業(yè)務(wù)的實(shí)時(shí)監(jiān)控能力，保障用戶業(yè)務(wù)的可持續(xù)平穩(wěn)運(yùn)行。為用戶提供如下功能；

支持資產(chǎn)的自動(dòng)發(fā)現(xiàn)和從客戶現(xiàn)有的資產(chǎn)平臺(tái)同步功能，支持資產(chǎn)的修改、刪除等管理功能，并根據(jù)客戶資產(chǎn)的用途和網(wǎng)站結(jié)構(gòu)進(jìn)行劃分，至少分為內(nèi)部資產(chǎn)、互聯(lián)網(wǎng)資產(chǎn)和重點(diǎn)安全資產(chǎn)；

提供安全資產(chǎn)拓?fù)湟晥D，支持根據(jù)網(wǎng)絡(luò)架構(gòu)自定義資產(chǎn)拓?fù)?，支持拓?fù)涞哪０鍖?dǎo)入和編輯好的資產(chǎn)拓?fù)湮募?dǎo)出；

用戶可以根據(jù)具體的業(yè)務(wù)流程構(gòu)建相應(yīng)的業(yè)務(wù)模型，支持業(yè)務(wù)模型的管理功能。

圖10-14  業(yè)務(wù)建模

? 弱點(diǎn)管理

弱點(diǎn)管理是以資產(chǎn)和漏洞為視角，結(jié)合內(nèi)部管理制度和流程，實(shí)現(xiàn)資產(chǎn)弱點(diǎn)的全生命周期管理的資產(chǎn)弱點(diǎn)綜合性管理，通過(guò)標(biāo)準(zhǔn)化引擎，支持將掃描器掃描發(fā)現(xiàn)漏洞、安全服務(wù)人工滲透漏洞、內(nèi)部運(yùn)維人員運(yùn)維發(fā)現(xiàn)漏洞、互聯(lián)網(wǎng)公布漏洞等不同的漏洞進(jìn)行自動(dòng)化收集或人工錄入、導(dǎo)入方式收集，將形式格式不一的漏洞進(jìn)行標(biāo)準(zhǔn)化。同時(shí)，通過(guò)內(nèi)部資產(chǎn)清單導(dǎo)入、掃描探測(cè)發(fā)現(xiàn)、人工錄入、對(duì)接CMDB配置庫(kù)等方式梳理企業(yè)資產(chǎn)。再通過(guò)自動(dòng)化關(guān)聯(lián)引擎，實(shí)現(xiàn)資產(chǎn)、弱點(diǎn)、業(yè)務(wù)系統(tǒng)、資產(chǎn)責(zé)任人的關(guān)聯(lián)，形成資產(chǎn)維度的脆弱性視角。在此基礎(chǔ)上，進(jìn)一步結(jié)合企業(yè)的管理制度和流程，通過(guò)平臺(tái)內(nèi)置工單或?qū)悠髽I(yè)內(nèi)部工單系統(tǒng)，實(shí)現(xiàn)資產(chǎn)、漏洞的全生命周期管理，以輔助企業(yè)實(shí)現(xiàn)安全建設(shè)管理及決策。

圖10-15  弱點(diǎn)管理

（8）安全監(jiān)測(cè)

? 態(tài)勢(shì)感知

態(tài)勢(shì)感知以單位數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、網(wǎng)絡(luò)安全事件與威脅風(fēng)險(xiǎn)監(jiān)測(cè)為驅(qū)動(dòng)，基于多維態(tài)勢(shì)可視化技術(shù)，對(duì)網(wǎng)絡(luò)空間安全相關(guān)信息進(jìn)行匯聚融合，從不同視角出發(fā)感知網(wǎng)絡(luò)安全態(tài)勢(shì)。

綜合態(tài)勢(shì)：綜合態(tài)勢(shì)全面采集各類(lèi)工控流量和日志信息，通過(guò)內(nèi)置的大數(shù)據(jù)安全分析模型整合零散的工業(yè)安全數(shù)據(jù)，深入挖掘安全風(fēng)險(xiǎn)與攻擊事件，可感可控工業(yè)系統(tǒng)安全，實(shí)現(xiàn)工控網(wǎng)安全態(tài)勢(shì)的全面感知。

圖10-16  綜合態(tài)勢(shì)

場(chǎng)站態(tài)勢(shì)：場(chǎng)站態(tài)勢(shì)以各場(chǎng)站實(shí)際網(wǎng)絡(luò)應(yīng)用場(chǎng)景為底圖，為用戶建立可視的場(chǎng)站安全態(tài)勢(shì)感知，通過(guò)繪制場(chǎng)站網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)?，?biāo)記關(guān)鍵資產(chǎn)和業(yè)務(wù)系統(tǒng)，及時(shí)發(fā)現(xiàn)場(chǎng)站發(fā)生的關(guān)鍵事件，達(dá)到快速處置目的。

圖10-17  場(chǎng)站態(tài)勢(shì)

業(yè)務(wù)系統(tǒng)態(tài)勢(shì)：業(yè)務(wù)系統(tǒng)態(tài)勢(shì)以業(yè)務(wù)安全感知為唯度，監(jiān)測(cè)各場(chǎng)站關(guān)鍵業(yè)務(wù)系統(tǒng)的在線運(yùn)行狀況，掌握各場(chǎng)站業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)安全狀態(tài)，如各業(yè)務(wù)系統(tǒng)流量，各業(yè)務(wù)系統(tǒng)威脅排行、發(fā)生安全事件排行、趨勢(shì)等信息，及時(shí)發(fā)現(xiàn)關(guān)鍵業(yè)務(wù)系統(tǒng)的安全態(tài)勢(shì)。

圖10-18  業(yè)務(wù)系統(tǒng)太少

異常行為態(tài)勢(shì)：異常行為態(tài)勢(shì)主要關(guān)注在場(chǎng)站內(nèi)發(fā)現(xiàn)的異常流量行為，將不符合安全基線的行為記錄并進(jìn)行展現(xiàn)，主要包括工控異常行為、工控高危操作行為、無(wú)流量行為，不合規(guī)行為等。

圖10-19  異常行為態(tài)勢(shì)

橫向威脅態(tài)勢(shì)：橫向威脅感知主要關(guān)注企業(yè)內(nèi)部資產(chǎn)之間的違規(guī)操作和病毒傳播，實(shí)時(shí)監(jiān)控跨安全域的訪問(wèn)行為和業(yè)務(wù)訪問(wèn)情況，通過(guò)自由布局和圓形布局觀測(cè)資產(chǎn)之前的威脅關(guān)系，及時(shí)發(fā)現(xiàn)并處置違規(guī)資產(chǎn)對(duì)企業(yè)環(huán)境內(nèi)部造成的破壞。

圖10-19  橫向威脅態(tài)勢(shì)

違規(guī)行為態(tài)勢(shì)：違規(guī)行為態(tài)勢(shì)主要關(guān)注來(lái)自各場(chǎng)站不同安全區(qū)是否存在跨區(qū)訪問(wèn)的情況，及時(shí)發(fā)現(xiàn)哪些資產(chǎn)主動(dòng)外聯(lián)，哪些資產(chǎn)經(jīng)常被跨區(qū)訪問(wèn)，跨區(qū)外聯(lián)的場(chǎng)站及所屬安全區(qū)，以及這些違規(guī)外聯(lián)訪問(wèn)是否發(fā)生安全事件。

圖10-20  違規(guī)行為態(tài)勢(shì)

攻擊者追蹤溯源態(tài)勢(shì)：攻擊者追蹤溯源可視化分析大屏，為安全運(yùn)維人員提供包括攻擊行為分析、團(tuán)伙分析、攻擊取證信息、攻擊趨勢(shì)、攻擊手段，攻擊影響范圍等信息，支持任意攻擊者信息查詢，可生成詳細(xì)的攻擊者溯源報(bào)告，并能夠一鍵導(dǎo)出報(bào)告。

圖10-21  攻擊者追蹤溯源態(tài)勢(shì)

資產(chǎn)威脅溯源態(tài)勢(shì)：資產(chǎn)威脅溯源可視化分析大屏，為安全運(yùn)維人員提供包括被攻擊行為分析、影響資產(chǎn)范圍分析、攻擊取證信息等，支持任意資產(chǎn)查詢，可呈現(xiàn)被訪問(wèn)趨勢(shì)、被攻擊趨勢(shì)、被攻擊手段、資產(chǎn)狀態(tài)，資產(chǎn)評(píng)分等信息。

? 資產(chǎn)感知

以資產(chǎn)為核心視角，直觀了解自身網(wǎng)絡(luò)環(huán)境中存在風(fēng)險(xiǎn)資產(chǎn)。資產(chǎn)感知通過(guò)攻擊鏈形式展示，剖析從掃描探查階段到資產(chǎn)破壞階段資產(chǎn)失陷過(guò)程。感知失陷、異常資產(chǎn)，從海量的日志中提取有價(jià)值的資產(chǎn)溯源路線。平臺(tái)簡(jiǎn)單易用，支持一鍵全方面鉆取，降低運(yùn)維成本，提高運(yùn)維效率。

風(fēng)險(xiǎn)資產(chǎn)視圖：以資產(chǎn)被攻擊的維度展示網(wǎng)絡(luò)內(nèi)的安全風(fēng)險(xiǎn)，包括已失陷、高風(fēng)險(xiǎn)、低風(fēng)險(xiǎn)三種維度；

安全域風(fēng)險(xiǎn)視圖：以資產(chǎn)安全域的維度展示網(wǎng)絡(luò)內(nèi)的安全風(fēng)險(xiǎn)，可根據(jù)安全域進(jìn)行鉆取處理事件；

風(fēng)險(xiǎn)資產(chǎn)列表：為用戶列出正在遭受高級(jí)風(fēng)險(xiǎn)的資產(chǎn)列表，方便快速處置。

業(yè)務(wù)系統(tǒng)視圖：以業(yè)務(wù)系統(tǒng)被攻擊的維度展示網(wǎng)絡(luò)內(nèi)的安全風(fēng)險(xiǎn)，可根根業(yè)務(wù)系統(tǒng)進(jìn)行鉆取處理事件。

生產(chǎn)大區(qū)視圖：以生產(chǎn)大區(qū)被攻擊的維度展示網(wǎng)絡(luò)內(nèi)的安全風(fēng)險(xiǎn)，可根根業(yè)務(wù)系統(tǒng)進(jìn)行鉆取處理事件。

管理大區(qū)視圖：以生產(chǎn)大區(qū)被攻擊的維度展示網(wǎng)絡(luò)內(nèi)的安全風(fēng)險(xiǎn)，可根根業(yè)務(wù)系統(tǒng)進(jìn)行鉆取處理事件。

? 事件感知

事件感知可以通過(guò)搜索、聚合、關(guān)聯(lián)等調(diào)查取證手段，提供攻擊事件數(shù)據(jù)包、攻擊者設(shè)備指紋等舉證信息。平臺(tái)支持基于源、目的、事件名、攻擊意圖等多種聚合調(diào)查方式，從不同維度聚合統(tǒng)計(jì)安全事件?？梢躁P(guān)聯(lián)資產(chǎn)信息、威脅情報(bào)、弱點(diǎn)詳情、安全事件、處置方式等多維數(shù)據(jù)進(jìn)行調(diào)查取證。同時(shí)提供場(chǎng)景化的事件感知能力，如安全基線事件分析、網(wǎng)絡(luò)攻擊分析等。

? 安全熱點(diǎn)

安全熱點(diǎn)是結(jié)合用戶實(shí)際需求，將用戶關(guān)心的安全熱點(diǎn)問(wèn)題進(jìn)行自定義設(shè)置，用戶可選擇內(nèi)置安全事件作為安全熱點(diǎn)，也可以通過(guò)自定義威脅模型定義安全事件后再設(shè)置成安全熱點(diǎn)。安全熱點(diǎn)可幫助用戶快速排查重點(diǎn)問(wèn)題，發(fā)現(xiàn)最重要的事件，發(fā)起快速處置。

圖10-22  安全熱點(diǎn)

（9）安全分析

? 威脅模型

提供集中的安全規(guī)則、模型以及策略的管理功能，制訂統(tǒng)一的安全策略，并有效貫徹執(zhí)行這些安全策略，不僅有助于提高安全水平，而且將這些安全策略進(jìn)行上網(wǎng)發(fā)布也有助于知識(shí)的共享，讓各級(jí)安全管理人員合理運(yùn)用安全策略，有效地管理網(wǎng)絡(luò)，保障網(wǎng)絡(luò)的安全運(yùn)行。因此，安全策略管理模塊將負(fù)責(zé)全網(wǎng)的基本網(wǎng)絡(luò)安全策略模板的制訂，并將安全策略轉(zhuǎn)換為可執(zhí)行的腳本，便于安全策略的有效執(zhí)行和快速部署。

圖10-23  威脅模型

應(yīng)用層面設(shè)計(jì)策略管理模塊，支持策略的維護(hù)、啟停、編輯、新增等功能，并具備策略規(guī)則庫(kù)字典的維護(hù)管理功能。具體如下：

提供對(duì)事件過(guò)濾規(guī)則進(jìn)行編輯功能，可自定義過(guò)濾規(guī)則，歸并事件告警，避免產(chǎn)生告警風(fēng)暴；

關(guān)聯(lián)規(guī)則匹配條件支持運(yùn)算符、支持引用外部資源包括過(guò)濾器、資產(chǎn)屬性、自定義資源、已有規(guī)則、黑白名單。觸發(fā)條件支持對(duì)各不同字段的計(jì)數(shù)。支持預(yù)定義包括時(shí)間、地址、端口等在內(nèi)的資源，可在規(guī)則定義中直接引用已定義的資源；

支持列表顯示分析規(guī)則，顯示內(nèi)容包括規(guī)則名稱、類(lèi)型、類(lèi)別、啟用狀態(tài)、規(guī)則創(chuàng)建時(shí)間、修改時(shí)間、規(guī)則觸發(fā)后告警等。

模型構(gòu)建和管理

設(shè)計(jì)便捷的拖拽式安全建模能力，可支持包括規(guī)則建模、安全事件關(guān)聯(lián)、安全事件統(tǒng)計(jì)、威脅情報(bào)關(guān)聯(lián)以及AI學(xué)習(xí)建模等安全威脅建模功能。

規(guī)則建模。為用戶提供一個(gè)規(guī)則建模平臺(tái)，可支持根據(jù)客戶的網(wǎng)絡(luò)安全狀況、業(yè)務(wù)狀況以及用戶行為等構(gòu)建分析規(guī)則能力；

關(guān)聯(lián)建模。為用戶提供一個(gè)關(guān)聯(lián)建模平臺(tái)，可將多個(gè)安全事件進(jìn)行字段管理安、邏輯關(guān)聯(lián)發(fā)現(xiàn)相關(guān)事件中隱藏的高級(jí)威脅及安全風(fēng)險(xiǎn)；

統(tǒng)計(jì)建模。支持用戶對(duì)安全事件、安全行為以及安全威脅等特征進(jìn)行統(tǒng)計(jì)分析，從網(wǎng)絡(luò)信息中發(fā)現(xiàn)重要的安全威脅統(tǒng)計(jì)型特征；

情報(bào)關(guān)聯(lián)。通過(guò)安全威脅分析與預(yù)警平臺(tái)和威脅情報(bào)的集成，實(shí)現(xiàn)全網(wǎng)的基于威脅情報(bào)的協(xié)同聯(lián)動(dòng)，為用戶發(fā)現(xiàn)精準(zhǔn)的情報(bào)事件，做到防范于未然；

AI學(xué)習(xí)建模。為用戶提供一個(gè)內(nèi)置大量集群學(xué)習(xí)算法，包含時(shí)序算法、分類(lèi)算法、聚類(lèi)算法等多種算法原型，為用戶提供針對(duì)任意數(shù)據(jù)的學(xué)習(xí)分析能力，輸出高級(jí)安全威脅和未知威脅等。

? 追蹤溯源

平臺(tái)能實(shí)現(xiàn)基于資產(chǎn)安全告警和攻擊者的追蹤溯源功能，結(jié)合先進(jìn)的大數(shù)據(jù)關(guān)聯(lián)技術(shù)能夠?qū)崿F(xiàn)對(duì)安全告警事件和攻擊者的追蹤與取證，并提供溯源報(bào)表的一鍵智能下載。

圖10-24  追蹤溯源

告警溯源：能夠?qū)Ω婢录?shí)現(xiàn)閉環(huán)式溯源，并提供對(duì)告警事件原始日志的查詢服務(wù)。

攻擊者追蹤溯源：提供攻擊者追蹤溯源大屏，基于大數(shù)據(jù)關(guān)聯(lián)分析技術(shù)，聚合展現(xiàn)疑似黑客組織IP組、攻擊引發(fā)告警類(lèi)型以及類(lèi)似攻擊行為手段，可基于時(shí)間軸動(dòng)態(tài)查看攻擊行為取證列表，實(shí)現(xiàn)對(duì)攻擊者的精準(zhǔn)追蹤溯源。

資產(chǎn)威脅溯源：提供資產(chǎn)威脅溯源可視化分析大屏，為安全運(yùn)維人員聚合呈現(xiàn)資產(chǎn)被攻擊行為、影響資產(chǎn)范圍、告警取證信息等，支持針對(duì)網(wǎng)內(nèi)任意資產(chǎn)查詢并呈現(xiàn)被訪問(wèn)趨勢(shì)、被攻擊趨勢(shì)、被攻擊手段、資產(chǎn)健康狀態(tài)，資產(chǎn)評(píng)分等信息。

? 資產(chǎn)畫(huà)像

工業(yè)資產(chǎn)畫(huà)像以采集到的各種數(shù)據(jù)為依據(jù)，通過(guò)安全建模分析，提供可視化工業(yè)資產(chǎn)畫(huà)像，主要包括：資產(chǎn)基本信息、風(fēng)險(xiǎn)信息、訪問(wèn)關(guān)系、行為畫(huà)像、服務(wù)端口、訪問(wèn)端口、脆弱性等。

工業(yè)資產(chǎn)畫(huà)像可以快速分析重點(diǎn)資產(chǎn)的安全防護(hù)效果與威脅情況，為資產(chǎn)風(fēng)險(xiǎn)評(píng)估、安全加固和安全保護(hù)建設(shè)提供依據(jù)。

圖10-25  資產(chǎn)畫(huà)像

? 日志檢索

平臺(tái)的日志搜索入口，提供關(guān)鍵字組合輸入功能，實(shí)現(xiàn)日志快速檢索，包含原始日志搜索、標(biāo)準(zhǔn)化日志搜索、自定義搜索模板和歷史搜索快照。提供如下檢索功能：

支持任意關(guān)鍵字、參數(shù)、和正則表達(dá)式進(jìn)行過(guò)濾查詢；并提供檢索關(guān)鍵字排除功能；

支持可指定多個(gè)查詢條件進(jìn)行組合查詢；可通過(guò)關(guān)鍵字、條件表達(dá)式、時(shí)間范圍對(duì)事件及數(shù)據(jù)進(jìn)行快速檢索，快速定位到安全分析人員關(guān)注的威脅和上下文數(shù)據(jù)，并支持檢索趨勢(shì)統(tǒng)計(jì)；

支持以時(shí)間軸的方式展示檢索結(jié)果，并支持時(shí)間軸鉆取和追加搜索；

支持對(duì)檢索結(jié)果追加檢索，支持點(diǎn)擊檢索結(jié)果字段快速加入到檢索條件；

支持對(duì)展示字段靈活定義，允許用戶選擇特定的字段顯示；

支持將查詢的條件存儲(chǔ)為查詢模版，方便再次使用；

支持檢索結(jié)果導(dǎo)出（不少于10000條），至少支持excel或CSV格式。

具備如下日志分類(lèi)檢索功能，智能檢索滿足基本要求外，還提供以下特定功能：

原始日志檢索：支持選擇日志源進(jìn)行檢索；

安全告警檢索：支持根據(jù)安全事件的處置狀態(tài)、威脅等級(jí)、攻擊意圖、所處攻擊鏈階段等多個(gè)維度進(jìn)行檢索；支持檢索結(jié)果進(jìn)行處理，處理狀態(tài)標(biāo)簽包括：未處理、處理中、處理完成、誤報(bào)等；

安全事件檢索：支持根據(jù)安全事件威脅等級(jí)、攻擊意圖、所處攻擊鏈階段等多個(gè)維度進(jìn)行檢索。

圖10-26  日志檢索

（10）安全運(yùn)營(yíng)

? 通報(bào)預(yù)警

為用戶提供預(yù)警和通報(bào)功能，用戶對(duì)平臺(tái)產(chǎn)生的安全告警進(jìn)行新增預(yù)警，提示平臺(tái)用戶該告警可能存在一定風(fēng)險(xiǎn)隱患。

預(yù)警。提供用戶/組織維度的安全風(fēng)險(xiǎn)預(yù)警，可選擇特定的用戶或組織進(jìn)行下發(fā) 預(yù)警，可設(shè)置預(yù)警級(jí)別、標(biāo)簽等。針對(duì)未通報(bào)的事件，將根據(jù)事件信息，利用系統(tǒng)配置好的日常通報(bào)模板生成通報(bào)文件。

通報(bào)。提供全局維度的安全分析通報(bào)，按照預(yù)警名稱的維度對(duì)公開(kāi)預(yù)警進(jìn)行查詢的功能，并可根據(jù)指定的查詢條件，快速定位需要重點(diǎn)關(guān)注的公開(kāi)預(yù)警。

? 工單管理

提供工單管理視圖，可以通過(guò)工單管理界面新增工單、通報(bào)詳情頁(yè)面新增工單、安全告警頁(yè)面新增工單，并將工單指派給相應(yīng)的處理人，經(jīng)過(guò)各個(gè)環(huán)節(jié)的處理，工單記錄狀態(tài)未處理/處理中/已解決/已關(guān)閉，便于監(jiān)督工單是否及時(shí)處理以及閉環(huán)。提供包括工單查詢、工單新增、工單處置、工單刪除、工單跟著以及工單批量操作等功能。

? 安全評(píng)價(jià)

安全評(píng)價(jià)實(shí)現(xiàn)對(duì)被考核對(duì)象的安全合規(guī)評(píng)價(jià)和工業(yè)網(wǎng)絡(luò)安全狀態(tài)的整體評(píng)價(jià)，支持按天、周、月、季度、半年、年度進(jìn)行安全評(píng)定。安全評(píng)價(jià)有別于綜治考核，綜治考核為一年一次，有嚴(yán)格的計(jì)分標(biāo)準(zhǔn)。

? 訂閱管理

提供安全事件、工單等消息的訂閱功能，可將具備安全工單/消息推送給制定的人員。提供預(yù)警、工單、短信和郵件4種推送方式，當(dāng)安全告警滿足訂閱規(guī)則時(shí)，平臺(tái)對(duì)訂閱規(guī)則通知人自動(dòng)生成預(yù)警/工單、發(fā)送郵件/短信，讓用戶可以實(shí)時(shí)關(guān)注到平臺(tái)告警情況。

? 安全工作臺(tái)

為運(yùn)維人員提供安全事件處置工作界面，包括工單管理、通報(bào)情況、最新安全動(dòng)態(tài)等視圖，并為用戶提供代辦工單狀態(tài)工作臺(tái)，方便用戶快速進(jìn)行需要處理的安全工單。

1.1.4  方案創(chuàng)新點(diǎn)和實(shí)施效果

1. 方案先進(jìn)性及創(chuàng)新點(diǎn)

本方案在實(shí)施過(guò)程中，為了有效解決新場(chǎng)景新業(yè)務(wù)帶來(lái)的新安全問(wèn)題，創(chuàng)新的采用了一些新技術(shù)，主要體現(xiàn)在下面的幾個(gè)方面：

（1）采用運(yùn)行拓?fù)?/span>(topology)的strom架構(gòu)

目前技術(shù)上一般提供Hadoop架構(gòu)對(duì)大規(guī)模數(shù)據(jù)的計(jì)算進(jìn)行分解，然后交由眾多的計(jì)算節(jié)點(diǎn)分別完成，再統(tǒng)一匯總計(jì)算結(jié)果。Hadoop架構(gòu)通常的使用方式為批量收集輸入數(shù)據(jù),批量計(jì)算，然后批量吐出計(jì)算結(jié)果。然而在安全大數(shù)據(jù)分析的應(yīng)用場(chǎng)景下，通常對(duì)告警的實(shí)時(shí)性要求較高，需要對(duì)海量的原始數(shù)據(jù)進(jìn)行實(shí)時(shí)流式處理和持續(xù)處理，Hadoop架構(gòu)難以處理實(shí)時(shí)性要求較高的業(yè)務(wù)。針對(duì)這一難題，本方案采用運(yùn)行拓?fù)?/span>(topology)的strom架構(gòu)，極大的降低了安全事件的告警延遲。

Storm集群提供控制節(jié)點(diǎn)(master node)和工作節(jié)點(diǎn)(worker node)。控制節(jié)點(diǎn)上面運(yùn)行一個(gè)叫Nimbus后臺(tái)程序，負(fù)責(zé)在集群里面分發(fā)代碼，分配計(jì)算任務(wù)和監(jiān)控狀態(tài)。每一個(gè)工作節(jié)點(diǎn)上面運(yùn)行一個(gè)Supervisor的進(jìn)程，監(jiān)聽(tīng)分配給它那臺(tái)機(jī)器的工作，根據(jù)需要啟動(dòng)/關(guān)閉工作進(jìn)程worker，多個(gè)工作進(jìn)程worker組成拓?fù)?/span>(topology)。

工作進(jìn)程worker中每一個(gè)spout/bolt（數(shù)據(jù)處理單元）的線程稱為一個(gè)task（任務(wù)），使用Spout/Bolt編程模型來(lái)對(duì)消息進(jìn)行流式處理。Spout組件是消息生產(chǎn)者，支持從多種異構(gòu)數(shù)據(jù)源讀取數(shù)據(jù)，并發(fā)射消息流，Bolt組件負(fù)責(zé)接收Spout組件發(fā)射的信息流，并完成具體的處理邏輯。在復(fù)雜的業(yè)務(wù)邏輯中可以串聯(lián)多個(gè)Bolt組件，在每個(gè)Bolt組件中編寫(xiě)各自不同的功能，從而實(shí)現(xiàn)整體的處理邏輯，只需將不同的實(shí)時(shí)分析數(shù)據(jù)處理任務(wù)按照一定的規(guī)則和接口納入和封裝到Bolt組件中，就可以動(dòng)態(tài)的實(shí)現(xiàn)實(shí)時(shí)分析功能的模塊擴(kuò)展。

（2）基于機(jī)器學(xué)習(xí)算法的異常行為檢測(cè)創(chuàng)新

本方案創(chuàng)新地將機(jī)器學(xué)習(xí)算法、分析方法應(yīng)用到對(duì)系統(tǒng)日志、網(wǎng)絡(luò)流量、告警日志等安全數(shù)據(jù)的分析中，實(shí)現(xiàn)了對(duì)異常行為、惡意流量的有效識(shí)別。首先，根據(jù)工業(yè)互聯(lián)網(wǎng)系統(tǒng)中用戶及網(wǎng)絡(luò)設(shè)備之間訪問(wèn)行為的業(yè)務(wù)特征，確定行為指標(biāo)。其次，提取行為指標(biāo)作為多維變量數(shù)據(jù)，然后利用無(wú)監(jiān)督算法對(duì)數(shù)據(jù)進(jìn)行聚類(lèi)分析并進(jìn)行標(biāo)記，標(biāo)記后的數(shù)據(jù)再交給有監(jiān)督算法進(jìn)行分析并產(chǎn)生分類(lèi)規(guī)則。第三，聯(lián)合有監(jiān)督和無(wú)監(jiān)督算法對(duì)行為日志進(jìn)行分析，經(jīng)過(guò)反復(fù)迭代有監(jiān)督算法分析，逐漸將專(zhuān)家經(jīng)驗(yàn)積累到分析算法中。日志、流量等數(shù)據(jù)經(jīng)過(guò)上述算法的分析，可以準(zhǔn)確發(fā)現(xiàn)工業(yè)互聯(lián)網(wǎng)中的異常行為、惡意流量。

圖10-27  基于機(jī)器學(xué)習(xí)算法的異常行為檢測(cè)原理圖

（3）面向生產(chǎn)控制網(wǎng)絡(luò)專(zhuān)有協(xié)議的深度數(shù)據(jù)包解析技術(shù)

解析工控網(wǎng)絡(luò)專(zhuān)有協(xié)議的深度數(shù)據(jù)包，且能夠?qū)Ω黝?lèi)數(shù)據(jù)包進(jìn)行快速有針對(duì)性的捕獲與深度解析，同時(shí)滿足生產(chǎn)系統(tǒng)在生產(chǎn)和制造過(guò)程中的通信效率保障和冗余機(jī)制等要求。

（4）基于智能機(jī)器學(xué)習(xí)的威脅感知技術(shù)

自動(dòng)收集、分析和學(xué)習(xí)系統(tǒng)正常運(yùn)行狀態(tài)下的數(shù)據(jù)行為，智能提取用戶節(jié)點(diǎn)的行為特征，并自動(dòng)生成操作規(guī)則、白名單、配置規(guī)則等，實(shí)現(xiàn)自動(dòng)化特征規(guī)則的提取和生成，對(duì)異常數(shù)據(jù)、操作行為、安全事件、安全隱患等進(jìn)行告警及綜合管理。

（5）基于SOAR的場(chǎng)景推理適度阻斷技術(shù)

針對(duì)工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域安全事件頻發(fā)，面對(duì)海量的工業(yè)互聯(lián)網(wǎng)安全相關(guān)數(shù)據(jù)和告警，僅僅利用安全分析規(guī)則和粗放式的調(diào)用安全能力是遠(yuǎn)遠(yuǎn)不夠的。在工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)攻擊態(tài)勢(shì)推理中，發(fā)現(xiàn)任何安全告警信號(hào)后，需要進(jìn)行分揀、調(diào)查、核實(shí)、影響評(píng)估、取證、定級(jí)。利用多源異構(gòu)數(shù)據(jù)進(jìn)行自動(dòng)化關(guān)聯(lián)與推理，通過(guò)構(gòu)建出網(wǎng)絡(luò)安全知識(shí)圖譜，提供跨越時(shí)間空間的強(qiáng)大有效的上下文環(huán)境，極大提升安全運(yùn)維效率。

圖10-28  場(chǎng)景關(guān)聯(lián)分析推理圖

實(shí)現(xiàn)通過(guò)安全知識(shí)圖譜驅(qū)動(dòng)自動(dòng)化響應(yīng)。通過(guò)學(xué)習(xí)安全專(zhuān)家在安全事件響應(yīng)中的處理，學(xué)習(xí)應(yīng)對(duì)威脅的響應(yīng)處置點(diǎn)、技術(shù)手段、流程，在安全知識(shí)庫(kù)、漏洞庫(kù)、處置案例庫(kù)之間，構(gòu)建這些知識(shí)間的聯(lián)結(jié)，逐漸學(xué)習(xí)到如何設(shè)計(jì)縱深防御、組合防御等各種響應(yīng)方案，學(xué)習(xí)阻斷、隔離等不同策略，學(xué)習(xí)防火墻ACL列表、WAF策略、SDN流控制器等技術(shù)手段，學(xué)習(xí)掃描、POC利用等檢驗(yàn)評(píng)估過(guò)程和規(guī)則。

隨著響應(yīng)經(jīng)驗(yàn)的持續(xù)積累，知識(shí)圖譜會(huì)逐漸學(xué)習(xí)到安全事件、攻擊、響應(yīng)間的聯(lián)結(jié)，自動(dòng)化提出快速、有效的安全決策，自動(dòng)化生成響應(yīng)方案、推薦選擇響應(yīng)方案、最終實(shí)現(xiàn)自動(dòng)化響應(yīng)，實(shí)現(xiàn)網(wǎng)絡(luò)威脅風(fēng)險(xiǎn)的智能推理可視化和適度阻斷能力。

2. 實(shí)施效果

（1）劃分安全域

橫向安全域隔離，縱向邊界防護(hù)，實(shí)現(xiàn)縱深防御工控網(wǎng)絡(luò)與企業(yè)資源網(wǎng)的打通，導(dǎo)致網(wǎng)絡(luò)安全風(fēng)險(xiǎn)增大，需要在兩個(gè)網(wǎng)絡(luò)間增加有效的安全隔離措施，保證兩網(wǎng)融合后原有隔離網(wǎng)絡(luò)的獨(dú)立安全性，使其能應(yīng)對(duì)各種未知信息安全風(fēng)險(xiǎn)，同時(shí)部署相應(yīng)工控信息安全產(chǎn)品以實(shí)現(xiàn)橫向安全區(qū)域間的隔離、生產(chǎn)數(shù)據(jù)單向采集及監(jiān)控。

（2）部署工控信息安全產(chǎn)品

實(shí)現(xiàn)終端設(shè)備全天候防護(hù)油庫(kù)生產(chǎn)運(yùn)行中的終端設(shè)備應(yīng)部署工控終端防護(hù)產(chǎn)品，及時(shí)更新版本，實(shí)現(xiàn)全天候病毒防護(hù)，產(chǎn)品可進(jìn)行統(tǒng)一監(jiān)控、策略下發(fā)、異常報(bào)警等，同時(shí)對(duì)移動(dòng)存儲(chǔ)介質(zhì)使用進(jìn)行管理，保障各工業(yè)現(xiàn)場(chǎng)主機(jī)能夠有效抵御未知病毒、木馬、惡意程序、非法入侵等對(duì)于終端的攻擊。

（3）加強(qiáng)應(yīng)用及數(shù)據(jù)的檢測(cè)審計(jì)

實(shí)現(xiàn)異常告警兩網(wǎng)融合后，數(shù)據(jù)橫向和縱向交互增多，造成數(shù)據(jù)風(fēng)險(xiǎn)增大，需加強(qiáng)數(shù)據(jù)集成、數(shù)據(jù)上云和數(shù)據(jù)操作的機(jī)密性、完整性和可審計(jì)性，構(gòu)建數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，實(shí)現(xiàn)對(duì)數(shù)據(jù)實(shí)時(shí)、動(dòng)態(tài)的監(jiān)測(cè)審計(jì)，及時(shí)識(shí)別數(shù)據(jù)庫(kù)的異常情況和風(fēng)險(xiǎn)行為并進(jìn)行告警。

（4）建立主動(dòng)防護(hù)機(jī)制

提升安全運(yùn)營(yíng)服務(wù)能力油庫(kù)工控網(wǎng)絡(luò)應(yīng)具備主動(dòng)防護(hù)功能，定期對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行漏洞掃描和安全檢查，及時(shí)發(fā)現(xiàn)應(yīng)用的安全漏洞及撞庫(kù)攻擊、暴力破解等惡意的攻擊行為，提升漏洞發(fā)現(xiàn)、威脅感知、異常行為和異常流量的審計(jì)等安全運(yùn)營(yíng)服務(wù)能力。同時(shí)，需加強(qiáng)對(duì)油庫(kù)資產(chǎn)、設(shè)備的集中管控和對(duì)運(yùn)維人員身份認(rèn)證、操作行為的統(tǒng)一管理，構(gòu)建運(yùn)維管理平臺(tái)，提升油庫(kù)運(yùn)維管控能力。

（5）建立油庫(kù)安全管理平臺(tái)

實(shí)現(xiàn)統(tǒng)一安全運(yùn)維管控，對(duì)分布在油庫(kù)各網(wǎng)絡(luò)中的安全防護(hù)設(shè)備進(jìn)行有效的統(tǒng)一管理，實(shí)現(xiàn)各防護(hù)設(shè)備之間的互相支撐，密切協(xié)同，有機(jī)互動(dòng)，從而充分發(fā)揮安全防護(hù)的作用。平臺(tái)通過(guò)總體配置、調(diào)控，實(shí)現(xiàn)對(duì)油庫(kù)各類(lèi)安全設(shè)備的統(tǒng)一策略管理、監(jiān)控、統(tǒng)一預(yù)警等；實(shí)現(xiàn)多種安全功能模塊之間的互聯(lián)互通，使得安全管理工作由繁變簡(jiǎn)，有效性得以提高，從而解決油庫(kù)安全設(shè)備分散問(wèn)題，實(shí)現(xiàn)統(tǒng)一安全管理。

（6）核心系統(tǒng)的安全防護(hù)

對(duì)于重要的業(yè)務(wù)系統(tǒng)（例如：付油系統(tǒng)、閥門(mén)聯(lián)動(dòng)系統(tǒng)）采用工業(yè)網(wǎng)閘專(zhuān)用的安全通道實(shí)現(xiàn)重要業(yè)務(wù)系統(tǒng)的信息交換，業(yè)務(wù)數(shù)據(jù)通過(guò)物理隔離、協(xié)議隔離、內(nèi)容隔離等措施使其他業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)及有害數(shù)據(jù)信息無(wú)法進(jìn)入該業(yè)務(wù)系統(tǒng)，保障了重要業(yè)務(wù)系統(tǒng)的相對(duì)安全。

（7）數(shù)據(jù)采集與共享

數(shù)據(jù)采集：油庫(kù)工業(yè)控制系統(tǒng)環(huán)境復(fù)雜，由于一些系統(tǒng)比較落后，沒(méi)有聯(lián)網(wǎng)或者沒(méi)有網(wǎng)絡(luò)接口，通過(guò)工業(yè)網(wǎng)閘采集未聯(lián)網(wǎng)設(shè)備（含串口總線設(shè)備），實(shí)現(xiàn)對(duì)未接入的數(shù)據(jù)采集，保證數(shù)據(jù)采集的全面性，為智能油庫(kù)建設(shè)提供數(shù)據(jù)支撐。

數(shù)據(jù)共享：與第三方進(jìn)行信息交互的場(chǎng)景，第三方網(wǎng)絡(luò)通信鏈路連接到工業(yè)網(wǎng)閘外聯(lián)口，通過(guò)工業(yè)網(wǎng)閘實(shí)現(xiàn)第三方網(wǎng)絡(luò)與工控網(wǎng)絡(luò)的安全隔離和信息的單向流動(dòng)，可以在保障安全的情況下實(shí)現(xiàn)數(shù)據(jù)交換。

1.1.5  單位基本信息

杭州安恒信息技術(shù)股份有限公司（DBAPPSecurity），簡(jiǎn)稱“安恒信息”，成立于2007年5月，是由“國(guó)家千人計(jì)劃”獲得者范淵先生創(chuàng)辦的國(guó)家級(jí)高新技術(shù)企業(yè)，企業(yè)注冊(cè)資金7407.4075萬(wàn)元。國(guó)內(nèi)總部設(shè)在杭州高新區(qū)（濱江），并在北京、上海、廣州、深圳、南京、成都、重慶、濟(jì)南、西安、沈陽(yáng)、武漢、福州、鄭州、長(zhǎng)春、內(nèi)蒙等地設(shè)有分支機(jī)構(gòu)。安恒信息主營(yíng)業(yè)務(wù)涵蓋云計(jì)算安全、大數(shù)據(jù)安全、應(yīng)用安全、數(shù)據(jù)庫(kù)安全、移動(dòng)互聯(lián)網(wǎng)安全、智慧城市安全等，包括安全態(tài)勢(shì)感知、威脅情報(bào)分析、攻防實(shí)戰(zhàn)培訓(xùn)、頂層設(shè)計(jì)、標(biāo)準(zhǔn)制定、課題和安全技術(shù)研究、產(chǎn)品研發(fā)、產(chǎn)品及服務(wù)綜合解決方案提供等。安恒信息多次入選由美國(guó)著名網(wǎng)絡(luò)安全風(fēng)險(xiǎn)投資公司（Cybersecurity Ventures）推出的 “全球網(wǎng)絡(luò)安全企業(yè)500強(qiáng)”榜單。

目前，企業(yè)正式員工4125名，其中研發(fā)團(tuán)隊(duì)人員1459名。公司設(shè)立有安全研究院和產(chǎn)品研發(fā)中心兩大研發(fā)機(jī)構(gòu)。安全研究院致力于前沿技術(shù)預(yù)研、創(chuàng)新業(yè)務(wù)探索和核心能力積累。研發(fā)中心主要由云事業(yè)群、AiLPHA大數(shù)據(jù)智能安全事業(yè)群、物聯(lián)網(wǎng)+事業(yè)群、智慧城市事業(yè)群、基礎(chǔ)安全事業(yè)群等多個(gè)子部門(mén)組成，除負(fù)責(zé)公司現(xiàn)有產(chǎn)品的迭代升級(jí)研發(fā)外，還覆蓋云安全、移動(dòng)安全，智能設(shè)備安全、大數(shù)據(jù)安全、工控安全等多個(gè)新興領(lǐng)域產(chǎn)品的開(kāi)發(fā)。

杭州安恒信息技術(shù)股份有限公司成立以來(lái)發(fā)展迅速，經(jīng)營(yíng)業(yè)績(jī)快速攀升，各項(xiàng)業(yè)務(wù)指標(biāo)持續(xù)快速增長(zhǎng)。2020年，公司總資產(chǎn)達(dá)到260133.57萬(wàn)元，凈資產(chǎn)達(dá)171463.85萬(wàn)元，營(yíng)業(yè)收入129159.33萬(wàn)元，凈利潤(rùn)12115.22萬(wàn)元。 

作為國(guó)內(nèi)網(wǎng)絡(luò)信息安全領(lǐng)域的領(lǐng)導(dǎo)者之一，公司積極承擔(dān)我國(guó)網(wǎng)絡(luò)信息安全產(chǎn)業(yè)發(fā)展的社會(huì)責(zé)任。根據(jù)國(guó)家發(fā)改委正式發(fā)布的“2018年度國(guó)家地方聯(lián)合工程研究中心”名單，安恒信息成為“大數(shù)據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)感知及智能防控技術(shù)國(guó)家地方聯(lián)合工程研究中心”的依托單位，先后承擔(dān)“國(guó)家發(fā)改委信息安全專(zhuān)項(xiàng)”、“工信部電子發(fā)展基金方案”、“科技部火炬計(jì)劃方案”等國(guó)家級(jí)、省市級(jí)科技計(jì)劃方案50余項(xiàng)。針對(duì)關(guān)鍵技術(shù)申請(qǐng)1490項(xiàng)專(zhuān)利（獲得授權(quán)發(fā)明專(zhuān)利266項(xiàng)），擁有計(jì)算機(jī)軟件著作權(quán)272項(xiàng)。參與制訂信息安全類(lèi)國(guó)家標(biāo)準(zhǔn)10余項(xiàng)，入選2020《中國(guó)網(wǎng)絡(luò)安全能力100強(qiáng)》安恒信息榮獲“領(lǐng)軍者”稱號(hào)。

2020年11月23日，安恒信息正式簽約2022年杭州第19屆亞運(yùn)會(huì)，成為其網(wǎng)絡(luò)安全類(lèi)官方合作伙伴，這也是國(guó)際大型綜合性賽事網(wǎng)絡(luò)信息安全類(lèi)最高層級(jí)合作，作為國(guó)家級(jí)重保核心單位，安恒信息先后參與：2008年北京奧運(yùn)會(huì)、上海世博會(huì)、廣州亞運(yùn)會(huì)、歷屆世界互聯(lián)網(wǎng)大會(huì)、G20杭州峰會(huì)、廈門(mén)金磚、世界游泳錦標(biāo)賽、武漢軍運(yùn)會(huì)等世界級(jí)重大活動(dòng)的網(wǎng)絡(luò)安全保障工作，并先后簽約2020第六屆亞沙灘運(yùn)動(dòng)會(huì)、2021年成都大運(yùn)會(huì)，以先進(jìn)的理念和專(zhuān)業(yè)的服務(wù)獲得各盛事主辦方和監(jiān)管機(jī)構(gòu)的一致好評(píng)。