某區(qū)域公司（以下簡稱“區(qū)域公司”）組織本單位及專業(yè)測評機構共同完成對公司及分支單位的工控網(wǎng)絡安全專項風險評估和督導檢查工作，對受檢單位網(wǎng)絡安全情況進行摸底，發(fā)現(xiàn)大多數(shù)受檢單位工控生產(chǎn)網(wǎng)絡缺少入侵防范、惡意代碼防范、安全審計、身份鑒別和安全管理等方面的設備設施和管理機制，網(wǎng)絡安全問題不容樂觀。區(qū)域公司通過專用工控生產(chǎn)網(wǎng)絡與各分支單位連接，任何一個分支單位網(wǎng)絡安全出現(xiàn)問題，都會對區(qū)域公司整體網(wǎng)絡安全造成威脅，只有當各分支單位網(wǎng)絡安全達到同一安全基線后，才能有效減少區(qū)域內(nèi)的網(wǎng)絡安全威脅，提升網(wǎng)絡安全合規(guī)性，降低網(wǎng)絡安全維護成本。

為落實等保2.0標準體系“一個中心、三重防護”的理念，區(qū)域公司組織開展工控網(wǎng)絡安全統(tǒng)一管控一體化建設。項目建設范圍包含下屬8家分支單位，通過部署相關安防產(chǎn)品，以提升區(qū)域公司及分支單位的的網(wǎng)絡安全監(jiān)視、審計、分析、預警和管控、處理能力，滿足國家和行業(yè)的安全防護要求。本研究以縱深防御理念為核心，構建了從網(wǎng)絡邊界防護、流量行為監(jiān)測、主機終端防護、統(tǒng)一安全管理到安全運維為一體的縱深防御技術體系，針對攻擊鏈條的各個階段，采取有效的防護措施，能夠抵御黑客、病毒、惡意代碼對網(wǎng)絡與應用系統(tǒng)的破壞和攻擊，確保關鍵業(yè)務數(shù)據(jù)的可用性、機密性、完整性，保障整個公司的業(yè)務系統(tǒng)安全、穩(wěn)定運行。

實施路徑和方法

在區(qū)域公司工控生產(chǎn)業(yè)務網(wǎng)絡部署統(tǒng)一安全管控平臺，劃分出特定的安全管理區(qū)域，建立安全的信息傳輸路徑，對生產(chǎn)業(yè)務網(wǎng)絡中的所有安全設備、安全組件進行統(tǒng)一管控。通過安全管理中心，對網(wǎng)絡鏈路、安全設備、網(wǎng)絡設備和服務器等的運行狀況進行集中監(jiān)測；通過統(tǒng)一管控平臺，對各安全設備進行策略下發(fā)；通過安全管理中心，對分散在各個設備上的審計數(shù)據(jù)進行收集匯總和集中分析；通過對感知要素的獲取、理解、預測，以及對即時發(fā)生的安全事件的分析，實現(xiàn)安全決策、應急處置，以及阻斷外部侵入、隔離外力干擾、遏制內(nèi)部介入、管控安全風險的目標。結合區(qū)域公司和下屬分支單位實際安全需求和等級保護2.0的新要求，實現(xiàn)安全事前預警、事中防范和事后取證等安全能力。

在區(qū)域公司和各分支單位工控生產(chǎn)業(yè)務網(wǎng)絡組建安全管理專網(wǎng)，專網(wǎng)由日志審計、數(shù)據(jù)庫審計、工控威脅檢測、入侵檢測、運維管理審計、統(tǒng)一安全管控平臺等網(wǎng)絡安防設備組成，使用工控防火墻進行邏輯隔離，以“最小化原則”配置邊界進出策略，實現(xiàn)安防設備對生產(chǎn)控制大區(qū)設備鏡像流量和日志數(shù)據(jù)的采集。同時，在工控生產(chǎn)業(yè)務網(wǎng)絡主機、服務器、工作站、工控終端部署主機安全防護客戶端，實現(xiàn)主機安全防護的統(tǒng)一管控。

1.入侵檢測系統(tǒng)通過采集旁路鏡像流量的方式部署，不會對工控系統(tǒng)網(wǎng)絡造成任何影響，主要監(jiān)控已知攻擊行為并發(fā)送告警，將網(wǎng)絡邊界端口、重要服務器通信流量同步傳入后進行實時檢測，用于監(jiān)控網(wǎng)絡中可能存在的各種已知攻擊行為，并進行審計告警。

2.日志審計系統(tǒng)主要采集生產(chǎn)業(yè)務網(wǎng)絡安全區(qū)Ⅰ和安全區(qū)Ⅱ的交換機日志，實時不間斷地將來自不同廠商的安全設備、網(wǎng)絡設備、主機、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、用戶業(yè)務系統(tǒng)的日志及警報等信息匯集到審計中心，對日志進行統(tǒng)一收集與分析。所有設備的日志存儲時間不少于6個月，以實現(xiàn)全網(wǎng)綜合安全審計。

3.工控威脅監(jiān)測系統(tǒng)主要采集安全區(qū)Ⅰ和安全區(qū)Ⅱ的鏡像流量數(shù)據(jù)，內(nèi)置應用級沙箱等專利技術，對網(wǎng)絡流量進行深度協(xié)議解析和文件還原，深度檢測APT攻擊和新型高級威脅。 

4.工控防火墻用于隔離生產(chǎn)控制大區(qū)A、B網(wǎng)業(yè)務數(shù)據(jù)和鏡像流量，用于生產(chǎn)控制大區(qū)與安全管理網(wǎng)的隔離防護。

5.運維審計系統(tǒng)提供認證管理、授權管理、賬戶管理、操作審計功能，具備全方位運維安全風險控制的安全管理與審計能力。該系統(tǒng)支持對網(wǎng)絡設備、數(shù)據(jù)庫、安全設備、主機系統(tǒng)等資源的運維與審計，以實現(xiàn)集中化運維管控、運維過程實時監(jiān)管、運維訪問合規(guī)性控制、運維過程圖形化審計等功能。

6.數(shù)據(jù)庫審計系統(tǒng)通過采集旁路鏡像流量的方式部署，對不同環(huán)境下數(shù)據(jù)庫操作行為進行細粒度審計和合規(guī)性管理，通過對訪問數(shù)據(jù)庫的行為進行解析、分析、記錄、匯報，幫助用戶進行事前風險評估，事中行為實時監(jiān)控、違規(guī)操作行為及時響應告警，以及事后合規(guī)報告、事故追蹤溯源，同時加強內(nèi)、外部數(shù)據(jù)庫操作行為監(jiān)管，加強對數(shù)據(jù)安全的運營維護。

7.主機安全防護系統(tǒng)具備入口攔截、運行攔截、擴散攔截、基于智能匹配的白名單技術以及USB移動存儲管控等功能，以實現(xiàn)白名單管控、病毒攔截、入侵和攻擊檢測、外設管控、授權管理、漏洞檢測等目標，對工業(yè)主機進行全面安全防護。

8.統(tǒng)一安全管控平臺主要管理工控生產(chǎn)網(wǎng)絡安全區(qū)Ⅰ和安全區(qū)Ⅱ相關安全設備，為企業(yè)安全管理者提供資產(chǎn)、威脅、脆弱性等相關管理，并滿足ISO 27000信息安全管理體系和等級保護基本要求，具備對威脅的事前預警、事中發(fā)現(xiàn)和事后回溯的能力，對威脅進行整體生命周期管理。各分支單位的安全管理平臺接收到本單位的數(shù)據(jù)后，通過安全區(qū)Ⅱ加密裝置傳送至區(qū)域公司統(tǒng)一安全管控平臺。

如圖1所示。統(tǒng)一安全管控平臺對所有工控網(wǎng)絡安全設備進行集中管控，實現(xiàn)全網(wǎng)安全系統(tǒng)的狀態(tài)監(jiān)控，安全風險的集中收集、存儲、關聯(lián)分析與可視化，以及安全風險集中處置等集中安全管理功能。統(tǒng)一安全管控平臺不僅能夠監(jiān)控安全設備的運行狀態(tài)，還可以對安全設備進行安全策略配置與調(diào)整，實現(xiàn)網(wǎng)絡安全防護體系的總體防護效能，主要可以實現(xiàn)以下功能。

圖1 網(wǎng)絡安全統(tǒng)一管控邏輯示意圖

（1）對網(wǎng)絡鏈路、安全設備、網(wǎng)絡設備和服務器等的運行狀況進行集中監(jiān)測。

（2）實現(xiàn)安全設備策略和特征庫的單點下發(fā)或多點集中下發(fā)。

（3）通過安全管理中心，對分散在各個設備上的審計數(shù)據(jù)進行收集匯總和集中分析。

（4）對感知要素的獲取、理解、預測和即時發(fā)生的安全事件，實現(xiàn)安全決策、應急處置。

（5）實現(xiàn)監(jiān)測外部侵入、隔離外力干擾、遏制內(nèi)部介入、管控安全風險的目標。

（6）結合區(qū)域公司和下屬分支單位實際安全需求和等級保護2.0的新要求，實現(xiàn)安全事前預警、事中防范和事后取證等安全能力。

各分支單位統(tǒng)一安全管控平臺采集相關安全設備數(shù)據(jù)，并將數(shù)據(jù)發(fā)送給區(qū)域公司統(tǒng)一安全管控平臺，構建了區(qū)域公司與分支單位兩級管控模式。

創(chuàng)新點與關鍵技術

該技術研究為區(qū)域公司提供全生命周期的網(wǎng)絡安全體系建設。在實施過程中，通過開展交流培訓、風險評估、制定針對性解決方案，在網(wǎng)絡、主機、應用、數(shù)據(jù)等層面設計綜合防護平臺；從邊界、網(wǎng)絡、設備等維度構建縱深協(xié)同防御技術架構；建設從安全培訓、風險評估，到安全防護、持續(xù)安全運維的全生命周期防御思路，實現(xiàn)全生命周期的網(wǎng)絡安全防護，從根源上提升公司網(wǎng)絡安全防護水平。

1. 創(chuàng)新點

（1）資產(chǎn)監(jiān)控。確立以資產(chǎn)安全為核心的安全生產(chǎn)原則，保障資產(chǎn)按時、按規(guī)定正常運行，及時檢測出針對資產(chǎn)的異常行為，從而保護生產(chǎn)全過程的安全。

（2）空間域監(jiān)測。在空間域方面，借鑒了縱深防御的思想，形成一套縱深監(jiān)測架構，包括邊界監(jiān)測、區(qū)域監(jiān)測、節(jié)點監(jiān)測、核心監(jiān)測和整體監(jiān)測五個方面。

（3） 時間域監(jiān)測。在時間域方面，設計了基于預警、防護、檢測、響應、恢復的安全過程，通過持續(xù)實施該五個過程，積極響應工控網(wǎng)絡風險變化，促進工控網(wǎng)絡整體安全的螺旋式上升。

2.關鍵技術

（1）基于業(yè)務應用場景的工控生產(chǎn)網(wǎng)絡安全。工控生產(chǎn)業(yè)務網(wǎng)絡工藝復雜、系統(tǒng)種類繁多，工藝及生產(chǎn)裝置、核心控制系統(tǒng)、通信協(xié)議、網(wǎng)絡結構等不盡相同，需要多維度考量針對工業(yè)控制系統(tǒng)的影響因素。本技術研究充分考慮了研究對象及控制網(wǎng)絡的特殊性，依托定制化的工控安全管理平臺，綜合運用全套本地化信息安全產(chǎn)品，并針對區(qū)域公司業(yè)務生產(chǎn)流程、網(wǎng)絡架構、形勢特點進行定制化設計開發(fā)，為企業(yè)量身打造。安全產(chǎn)品系統(tǒng)兼容性、數(shù)據(jù)安全性和呈現(xiàn)效果比較突出。

（2）基于工控協(xié)議的訪問控制。目前，工控網(wǎng)絡面臨的安全威脅不僅僅是常規(guī)的IT攻擊手段或病毒感染，針對工控通信協(xié)議和控制設備自身安全缺陷和漏洞的定向攻擊給工控系統(tǒng)帶來的危害最為嚴重。因此，網(wǎng)絡邊界、區(qū)域邊界安全防護的細粒度成為工控網(wǎng)絡安全建設成敗的根本因素。以往的端口級訪問控制策略無法做到對工業(yè)協(xié)議惡意代碼攻擊的保護，這就需要工控安全防護產(chǎn)品能夠實現(xiàn)對工控協(xié)議數(shù)據(jù)包進行深度的識別與解析。

（3）主機安全與應用安全。主機系統(tǒng)與承載的應用數(shù)據(jù)系統(tǒng)的安全是整個區(qū)域公司工控業(yè)務生產(chǎn)的重要環(huán)節(jié)。從整個架構上看，系統(tǒng)的主機主要包括運行核心業(yè)務系統(tǒng)的服務器和供業(yè)務人員使用的操作終端。出于生產(chǎn)連續(xù)性和穩(wěn)定性考慮，這些主機的系統(tǒng)或軟件通常不會被及時升級或打補??；這些主機即使部署了各類殺毒軟件，但是其大部分位于專有網(wǎng)絡，無法做到及時更新病毒庫，而且傳統(tǒng)基于黑名單機制的殺毒軟件也會拖慢主機系統(tǒng)的運行速度而影響工控主機的運行安全。通過技術研究，基于白名單技術的工控主機防護系統(tǒng)可以成功解決工控主機的安全問題，有效地適應工控業(yè)務生產(chǎn)網(wǎng)絡安全防護的需求。

（4）定制化主機防護系統(tǒng)集中管理方案。綜合考慮區(qū)域公司、分支單位安全態(tài)勢整體形勢，可以應用高可靠、針對性強、定制化的工控安全產(chǎn)品，配合安全管理和安全服務方案，以實現(xiàn)針對工控主機的整體防護和集中管理。

（5）工控安全集中監(jiān)測管理。本技術研究旨在為工控生產(chǎn)業(yè)務網(wǎng)絡提供整套的信息安全防護解決方案，及時、有效地避免突發(fā)病毒感染和惡意入侵，避免非計劃的生產(chǎn)信息丟失、信息堵塞、節(jié)點死機、系統(tǒng)崩潰甚至生產(chǎn)裝置停滯導致的生產(chǎn)事故等諸多隱患問題，確保生產(chǎn)業(yè)務安全、穩(wěn)定、高效地運行。工控安全集中管理平臺的建設，將實現(xiàn)各業(yè)務板塊工控系統(tǒng)網(wǎng)絡安全集中管理、集中監(jiān)測、集中展示、集中支援等總體目標，遵循“統(tǒng)一架構、統(tǒng)一管控”的信息化建設原則。

（6）滿足工控業(yè)務網(wǎng)絡安全與功能安全的融合需求。本技術研究以保障工控業(yè)務生產(chǎn)可用性為目標，將網(wǎng)絡安全產(chǎn)品以對業(yè)務最小影響方式融入既有業(yè)務系統(tǒng)網(wǎng)絡。主機安全防護系統(tǒng)軟件通過白名單技術，徹底解決工控主機不能安裝殺毒軟件的問題或者病毒庫升級后影響程序運行的問題，保障了軟件的兼容性和對業(yè)務系統(tǒng)的無影響性。采用被動引流的方式，依靠高效引擎進行監(jiān)測審計，以旁路的方式，全面監(jiān)測工控網(wǎng)絡中存在的安全風險并進行審計告警，與防護系統(tǒng)配套使用，輔助防護系統(tǒng)安全策略調(diào)優(yōu)，實現(xiàn)對風險的管控。

結語

工控網(wǎng)絡安全統(tǒng)一管控一體化建設使得區(qū)域內(nèi)各單位網(wǎng)絡安全達到同一安全基線，可有效減少區(qū)域內(nèi)各單位的網(wǎng)絡安全威脅，降低網(wǎng)絡安全維護成本，同時遵守國家相關法律法規(guī)，滿足上級相關機構文件要求，提升企業(yè)合規(guī)管控和風險防控能力，有效保護企業(yè)內(nèi)部系統(tǒng)數(shù)據(jù)安全，保障企業(yè)生產(chǎn)業(yè)務系統(tǒng)及網(wǎng)絡的安全穩(wěn)定運行，避免因網(wǎng)絡安全事件導致的企業(yè)形象受損，同時避免因企業(yè)內(nèi)部系統(tǒng)網(wǎng)絡安全不合規(guī)而被考核問責。

來源：《網(wǎng)絡安全和信息化》雜志

作者：貴州烏江水電開發(fā)有限責任公司水電站遠程集控中心?謝志奇