1 項目概況

1.1 項目背景及簡介

在工業化、自動化、信息化和智能化的高度融合和持續推進下，工業網絡作為生產過程信息交互的載體，其安全已對國家安全和國民經濟發展產生重要而深遠的影響，為保障工業生產過程工控系統的持續、可靠、穩定、安全、有效運行，國務院、國家部委及地方各級政府部門近幾年來陸續出臺相關政策文件，積極鼓勵和支持工業企業網絡安全方面的建設發展，如《工業互聯網通用平臺》《工業互聯網平臺架構》《互聯網網絡架構發展白皮書》等一批規范指導文件為工業企業網絡合規性建設提供了重要支撐。

 某冶金企業非常重視工業生產流程的自動化、信息化、生產智能化建設。目前該冶金企業所有生產流程全部實現了工業過程自動化控制，但整個工控系統安全建設幾乎一片空白。

1.2 項目需求分析及目標

奇安信工業安全專家針對該冶金企業缺乏漏洞檢測和補償機制、無安全預警措施、無應急響應機制、無體系化的整體綜合解決方案的現狀，建立冶金行業工業控制網絡安全防護體系以滿足安全生產的需要，達到國家對關鍵基礎設施網絡安全的要求。

該冶金企業面臨的安全威脅是多層面、復雜多樣的，經過奇安信安全專家大量調研，總結如下網絡安全問題：

（1）由于工控網絡無安全規劃，縱向缺少物理隔離措施，廠級工控網絡通過光纖將不同裝置工控系統互聯，各個區域內主機設備、控制設備及服務器均可通過核心交換機進行區域之間互訪。交互過程中無安全防護，數據在傳輸過程中容易受到攻擊或篡改，一旦單點被突破，將危及整個生產網絡安全。

（2）各個關鍵節點和重要生產區域缺乏網絡安全監測手段，不能及時發現網絡安全問題，出現問題后靠人員經驗排查。生產網絡上普遍缺少信息安全監控機制，不能及時了解發現入侵行為、病毒、網絡訪問異常等問題，缺少安全審計措施。

（3）除近期建設投運的生產系統外，該冶金企業工控系統普遍存在主機老舊、有效監管和防護待完善的問題。由于工控系統本身的操作站、工程師站、服務器等主機無法安裝病毒軟件，且工程師站經常處于活躍狀態，一旦一臺感染病毒，則病毒會隨著網絡縱向、橫向傳播感染。

（4）該冶金企業目前有十多個工業生產單位，缺乏針對工業網絡的設備集中管理、設備集中監測、安全威脅分析。

 根據該冶金企業安全現狀，結合國內外先進防護技術，構建基于邊界防護、監測預警、入侵檢測、 漏洞檢查的多層次縱深防御體系。

2 項目實施

本案例重點介紹該冶金企業網絡安全防護平臺建設方案，通過工業安全隔離、工業安全審計、主機安全防護等系統綜合利用工業協議深度安全解析、白名單防護技術、網絡隔離技術、智能機器學習技術、數據動態建模與智能挖掘等技術，形成主機安全、設備安全、網絡安全的工業企業安全縱深防御解決方案。安全縱深防御解決方案架構如圖1所示。

圖1 安全縱深防御解決方案架構圖

（1）由于集團能源管理網需采集各系統內部生產數據，形成數據傳輸通道，故十多個生產單元核心交換與能源管理網核心之間部署工業網閘。通過工業網閘的數據擺渡傳輸模式，可有效保證工控系統的安全。通過單向傳輸設置，保障數據傳輸只能由工控系統端傳向能源管理網，禁止數據的回傳，切斷TCP通信，通過物理隔離方式保障工控系統網絡不受入侵和破壞。

 （2）為滿足生產網絡內的安全審計及入侵監測需求，在十多個生產單元工控系統內部核心交換機上部署工業安全監測系統。對整個工控系統內部網絡設備、安全設備、工控主機等日志、流量進行多維度分析，實時監測網絡流量狀態和情況，如發現網絡安全情況可進行實時告警，監測重要控制系統網內可能發生的網絡攻擊、違規操作、非法設備接入，實現區域內控制網絡安全狀況實時反饋。

（3）針對十多個生產單位工控系統網絡內的操作員站、工作站、服務器等部署工業主機安全防護系統，利用白名單技術阻止控制系統遭到病毒木馬和惡意攻擊的威脅，通過工業主機防護控制中心對工業主機終端進行集中策略配置、安全風險管控、終端版本推送、授權管理，以及終端單點維護。同時可對外部USB接入設備進行有效防護，通過USB白名單方式進行防護，USB設備以授權方式對主機進行訪問。

（4）在運行管控中心調度室匯聚中心交換機旁路部署工業安全態勢感知平臺，實現整個工業網絡的設備集中管理、設備集中監測、安全統一分析、日志統一采集、態勢統一展示，通過對全網流量的持續檢測，包括工業資產識別、漏洞發現、威脅監測、異常行為分析等，實時將工業安全風險可視化，掌握工業控制網絡情況，出現問題及時定位。

3 案例亮點及創新性

本項目基于冶金實際工業場景，構建梯級化管理監控平臺，完善廠級、車間級縱深防護及監測體系，全面提升該冶金企業工業控制系統安全抗風險能力。

本項目的落實，形成了良好的示范效應，提升了該冶金企業工業網絡安全防護能力，為國家推進工業互聯網創新示范基地和網絡安全創新基地發揮積極的引領和推動作用，保障國民經濟生產及國家建設安全，符合國家信息安全的戰略需求，經濟和社會效益顯著。

（1）IT、OT一體化防護

針對工控網絡中IT、OT流量進行全方位安全防護，通過應用識別、深度數據包解析以及一體化安全策略進行安全過濾，結合白名單、入侵防御、病毒檢測等技術進行安全威脅檢測和防護，保障工控網絡安全。

（2）白名單技術

工業主機安全防護系統可以掃描工業主機的進程，對經過確認的可執行程序生成一個唯一的特征碼，特征碼集合起來形成特征庫，即白名單。只有白名單內的軟件才可以運行，其它進程都被阻止，以此防止病毒、木馬、違規軟件的攻擊。

（3）關卡式病毒攔截

從“病毒入口-病毒運行-病毒擴散”三個環節層層設防，步步攔截，進行白進程準入、U盤管控、已有病毒防擴散等安全管理，做到病毒進不來、啟不動、擴散不了，實現主機安全無死角病毒防護。

（4）“永恒之藍”勒索病毒克星

工業主機安全防護系統內置獨創“永恒之藍”漏洞網絡防御引擎和專殺工具，可以對“永恒之藍”及其變種網絡攻擊實時攔截。利用“漏洞利用分析-流量解析對比-可疑攻擊阻斷”等技術，無需為主機打補丁、關端口，即可進行“永恒之藍”勒索病毒的預判與防御。

（5）以資產為中心

工業安全監測系統通過資產自動識別、資產管理、資產網絡關系圖繪制，提供了以資產為中心的安全管理視角。工業生產流程比較固定，相較于以告警事件為中心的威脅分析方案，以資產為中心的漏洞發現與風險分析更符合工業環境管理習慣。級聯無損部署方式，不影響生產。

（6）多功能合一

工業安全監測系統集流量審計、AV檢測、IDS檢測、白名單監測、工控關鍵操作監測引擎于一體，全面檢測工業網絡的病毒傳播、入侵行為。兼備傳統IT網絡與工控網絡安全檢測能力，適合IT/OT混合網絡環境。同時滿足合規要求和安全監測的要求。