★首鋼京唐鋼鐵聯(lián)合有限責任公司

1　方案目標和概述

隨著國家“智能制造”、“互聯(lián)網(wǎng)+”、“工業(yè)互聯(lián)網(wǎng)”戰(zhàn)略的持續(xù)推進，冶金行業(yè)迎來了新一輪發(fā)展機遇，融合數(shù)字化、網(wǎng)絡化、智能化的先進生產系統(tǒng)，使原本相對獨立的DCS、PLC、儀器儀表等控制系統(tǒng)通過網(wǎng)絡連為一體，實現(xiàn)對工業(yè)生產、能源管理、業(yè)務調度的扁平一體化管理。

但由于大量信息系統(tǒng)和新興技術的應用，也使工業(yè)行業(yè)面臨著普遍歷史性和新興技術帶來的雙重安全風險威脅。工業(yè)行業(yè)普遍存在歷史性、系統(tǒng)性存量網(wǎng)絡安全問題與5G、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新興技術應用帶來的新風險新問題的疊加，形成更為復雜嚴峻的網(wǎng)絡安全挑戰(zhàn)和現(xiàn)實威脅。

本方案針對工業(yè)控制網(wǎng)絡面臨的安全問題，采用了工業(yè)自適應綜合防護技術形成縱深防御體系，以加強和提升工業(yè)控制網(wǎng)絡的安全防護能力。具體目前如下：（1）通過執(zhí)行單元組件，對工業(yè)控制系統(tǒng)中訪問控制、協(xié)議指令、勒索病毒、未知病毒、進程安全、流量異常等威脅進行安全防護與行為監(jiān)測。

（2）通過工業(yè)自適應綜合防護技術，對工業(yè)控制系統(tǒng)全網(wǎng)資產資源、安全資源、數(shù)據(jù)資源進行整合，有效聯(lián)動，結合威脅情報各安全資源進行智能持續(xù)分析決策，預判系統(tǒng)薄弱點與被攻擊方向，實現(xiàn)全局性質的安全監(jiān)測預警和動態(tài)防護。

（3）通過基于工業(yè)安全自適應綜合防護技術平臺的建設，針對目前網(wǎng)絡中存在的已知威脅進行檢測分析，對未知威脅進行監(jiān)測和智能分析，通過全天全方位監(jiān)測與分析工業(yè)控制系統(tǒng)的網(wǎng)絡與主機安全，實現(xiàn)防護、監(jiān)測、響應為一體的三層閉環(huán)防護體系，建設工業(yè)網(wǎng)絡的“大腦”，為工業(yè)網(wǎng)絡安全保駕護航。

2　方案介紹

本方案通過網(wǎng)絡執(zhí)行單元、流量執(zhí)行單元、主機執(zhí)行單元對整個工業(yè)自動化控制網(wǎng)絡中的行為與流量進行防護、監(jiān)控、采集、傳輸。結合自適應平臺對采集到的數(shù)據(jù)進行整合、分析。形成警告快速處理、快速配置和工業(yè)網(wǎng)絡安全全局可視化的管理界面，最終構建一個可感知、易運營的分布式多元安全組件的自適應平臺。實現(xiàn)預判攻擊、事件防御、實時監(jiān)測、快速響應的自適應安全技術方案。

圖1 方案架構圖

2.1　執(zhí)行單元

2.1.1　網(wǎng)絡執(zhí)行單元網(wǎng)絡執(zhí)行單元支持工業(yè)協(xié)議的深度解析功能。可廣泛應用于工控網(wǎng)絡邊界防護、區(qū)域防護、重要監(jiān)控系統(tǒng)、控制設備防護等場景，有效解決工業(yè)企業(yè)工控系統(tǒng)組網(wǎng)安全、信息孤島、控制指令不可信、網(wǎng)絡數(shù)據(jù)不安全、網(wǎng)絡數(shù)據(jù)采集以及合規(guī)性等問題，為工業(yè)安全智能綜合防護平臺提供高性能的網(wǎng)絡防護。支持ModbusTCP、OPC、IEC60870-5-104、SiemensS7、EIP等多種工業(yè)協(xié)議。

具備工控協(xié)議指令級“4S”深度防護專利技術，支持多種訪問控制規(guī)則、協(xié)議深度分析、VPN、流量控制、安全審計等安全防護功能，且具備Dos、ARP攻擊防護和自身訪問控制功能，可有效保障自身和工控網(wǎng)絡的雙重安全。

針對首鋼京唐現(xiàn)如今網(wǎng)絡情況，本方案利用網(wǎng)絡執(zhí)行單元如下技術對首鋼京唐網(wǎng)絡進行了全面的網(wǎng)絡安全防護：

（1）“4S”深度防護技術針對首鋼京唐一二級工業(yè)網(wǎng)絡協(xié)議的類型及分布特點，通過廣泛的協(xié)議收集和逆向分析，形成了基于白名單的工業(yè)指令級“4S”深度防護技術。

此技術從工業(yè)協(xié)議的“規(guī)約符合度即完整性”、“功能碼”、“地址范圍”和“工藝參數(shù)范圍”等維度，逐步深入對工業(yè)協(xié)議應用層全字段進行解析和過濾，可有效阻斷病毒、木馬等惡意軟件攻擊與傳播，無需借助病毒庫、漏洞庫、入侵庫，無誤殺誤報，真正適用于一線工業(yè)生產網(wǎng)絡。

圖2 4S深度防護技術原理圖

（2）工業(yè)協(xié)議自定義技術

由于歷史原因和控制系統(tǒng)廠商限制，一二級工業(yè)網(wǎng)絡內存在大量私有協(xié)議和非公開協(xié)議，綜合項目進度和成本等因素無法實現(xiàn)對所有協(xié)議的全部內置。本項目首創(chuàng)工業(yè)協(xié)議自定義技術方法，針對私有協(xié)議和系統(tǒng)沒有內置的工業(yè)協(xié)議可進行快速自定義添加，從而保障系統(tǒng)的廣泛適應性。

工業(yè)協(xié)議自定義技術分為工業(yè)協(xié)議特征識別和工業(yè)協(xié)議指令級深度防護兩類場景。

（3）OPCNAT轉換技術

OPC協(xié)議基于微軟的OLE、COM和DCOM等技術，在通訊過程中通過傳統(tǒng)NAT僅替換IP數(shù)據(jù)包的IP地址及端口，不能實現(xiàn)業(yè)務通訊，因為OPC協(xié)議的連接信息在OPC協(xié)議應用數(shù)據(jù)中，必須將應用數(shù)據(jù)中的相關信息也進行類似的NAT轉換，才能實現(xiàn)OPC應用的正常工作。

本項目在工業(yè)協(xié)議深度解析的基礎上，可對OPC協(xié)議的通訊和連接過程進行持續(xù)監(jiān)視，通過對OPC客戶端與服務器遠程調用過程的持續(xù)解析，實現(xiàn)OPC端口的動態(tài)開放，保證OPC通訊端口打開數(shù)量的最小化，解決傳統(tǒng)防火墻無法對OPC協(xié)議進行有效防護的問題。

與此同時，系統(tǒng)深度分析OPC協(xié)議的應用層數(shù)據(jù)，根據(jù)配置將OPC協(xié)議應用中的連接信息進行替換，實現(xiàn)：拆包-替換-封包的功能，達到OPC應用NAT的功能，可以有效的隱藏真正的服務器信息，有效解決當前一二級網(wǎng)絡OPC數(shù)據(jù)采集與同網(wǎng)段地址沖突等組網(wǎng)問題。

2.1.2　主機執(zhí)行單元

主機執(zhí)行單元自動適配所有版本的windows、Linux系統(tǒng)物理機、虛擬機。運行穩(wěn)定、消耗低。從而實現(xiàn)對主機異常的采集、分析、存儲并由平臺進行告警、防護、學習等響應實施動作，執(zhí)行其下發(fā)的任務，主動發(fā)現(xiàn)主機問題，實現(xiàn)工業(yè)部分主機系統(tǒng)過于老舊無法防護與數(shù)采問題。

針對首鋼京唐現(xiàn)如今網(wǎng)絡情況，本方案利用主機執(zhí)行單元如下技術對首鋼京唐網(wǎng)絡進行了全面的網(wǎng)絡安全防護：

（1）智能化補丁與軟件更新技術

白名單生成：通過一鍵固化，自動掃描功能，建立白名單

白名單導入導出：提供白名單的導入導出功能

白名單的手動更新：支持告警程序的一鍵加白；支持基于目錄的程序掃描追加；

手動軟件更新：支持本地手動安裝軟件，并追加更新的程序到白名單庫中；

軟件智能更新：支持基于軟件更新平臺的自動化軟件更新和基于信任軟件庫的軟件更新場景下的更新程序自動追蹤，并添加到白名單中，不影響更新后軟件的使用；

補丁智能更新：支持操作系統(tǒng)的補丁更新，系統(tǒng)后臺智能跟蹤更新過程，并將更新文件追加到白名單庫中。

白名單技術是一種相對于黑名單的安全技術，借助可信機制將“白”程序、“白”網(wǎng)絡、“白”外設等通過算法生成白名單庫，只有在“白”庫內的應用或流量才可運行或通過。隨著首鋼京唐生產業(yè)務的持續(xù)發(fā)展，一二級主機存在系統(tǒng)和工業(yè)控制軟件更新等場景，本項目通過智能化補丁與軟件更新技術，可對系統(tǒng)更新和軟件更新安裝過程進行智能化追蹤與捕捉，從而實現(xiàn)白名單庫的動態(tài)、自動化更新管理。

（2）輕量化資源需求與廣泛的系統(tǒng)支持技術

設備管理：設置硬件USBKey設備的用戶名稱，安全事件追蹤到指定責任人。

口令重置：在硬件USBKey設備因口令錯誤鎖定后，進行口令重置等操作后恢復使用。

用戶綁定：將硬件USBKey設備與操作系統(tǒng)內的用戶關聯(lián)，一個設備僅能關聯(lián)一個用戶，且只有關聯(lián)的用戶才允許登錄。

登錄增強：操作系統(tǒng)用戶在登錄系統(tǒng)、解鎖系統(tǒng)、切換用戶等操作時，必須驗證USBKey設備口令通過后，才能進行密碼驗證，實現(xiàn)登錄等功能。

（3）已知與未知威脅主動防御技術

①阻止已知病毒及其變種

系統(tǒng)針對工控網(wǎng)絡中的主機（操作員站、工程師站、服務器各類終端），提供貼合一二級生產主機特殊需求的安全防護，不影響原有業(yè)務的運行；為保障關鍵業(yè)務的運行，可建立穩(wěn)定的運行環(huán)境，同時有效遏止至今已經爆發(fā)的工控病毒（如“震網(wǎng)”、Havex、“勒索”等）及其變種的運行。

②防范未知的威脅，不需要額外的成本

主機執(zhí)行單元通過建立穩(wěn)定的計算環(huán)境，能對未知的病毒“免疫”。無論是黑客通過社會工程學的方式，還是利用零日漏洞的高級可持續(xù)性威脅攻擊，都無法侵入可信的計算環(huán)境。主機執(zhí)行單元不需要做任何更新就能抵御不明的攻擊行為，沒有軟件更新和維護成本。

傳統(tǒng)防病毒方案以“病毒庫”為核心，需保障及時的庫更新才能有效發(fā)揮殺毒作用，更新周期需保持為小時、天級，但由于“病毒庫”技術是一項滯后于病毒發(fā)現(xiàn)的技術（即在發(fā)現(xiàn)某類病毒并分析完成后，才可對其進行防護與查殺），導致無法對未知或在野病毒進行有效防護，本項目采用“白名單+可信機制”進行主機防護。

2.1.3　流量執(zhí)行單元

流量執(zhí)行單元，是一款專門針對于工業(yè)控制網(wǎng)絡的數(shù)據(jù)安全產品。以工控協(xié)議指令級“4S”深度檢測技術為技術核心，支持多種工控協(xié)議（ModbusTCP、OPC、IEC60870-5-104、SiemensS7、EIP等）的深度報文解析，通過建立工控網(wǎng)絡安全通信矩陣，實時發(fā)現(xiàn)惡意指令、破壞行為、違規(guī)使用等安全事件，能夠持續(xù)收集并通過固定端口向Sever端上傳的所有日志。從而實現(xiàn)平臺對工控網(wǎng)絡數(shù)據(jù)的采集、分析、存儲并由平臺進行告警、防護、學習等響應實施動作。

流量執(zhí)行單元的功能如下：

（1）流量異常檢測

（2）實時流量審計

（3）實時網(wǎng)絡連接審計

（4）實時主機數(shù)量審計

（5）基于業(yè)務的安全審計

（6）協(xié)議內容審計及工業(yè)協(xié)議深度解析

（7）日志審計

（8）通信管理

2.2  工業(yè)自適應平臺

作為核心平臺的信息處理中樞，支持橫向擴展分布式部署，能夠持續(xù)分析檢測從各個執(zhí)行單元上接收到的信息和行為并進行保存，可從各個維度的信息中發(fā)現(xiàn)漏洞、弱密碼、工業(yè)網(wǎng)絡薄弱點等安全風險和Webshell寫入行為、異常登錄行為、異常網(wǎng)絡連接行為、異常命令調用行為、工業(yè)協(xié)議篡改、入侵攻擊等異常行為，從而實現(xiàn)對入侵行為實時預警與防護。

圖3 工業(yè)自適應平臺

在工業(yè)網(wǎng)絡生產管理層或過程監(jiān)控層部署工業(yè)自適應平臺，對全網(wǎng)各節(jié)點安全檢測執(zhí)行單元的數(shù)據(jù)進行收集，采用分布式計算和搜索引擎技術對所有數(shù)據(jù)進行處理，能夠支撐大并發(fā)量計算及查詢的業(yè)務需求，并通過可視化的形式為用戶呈現(xiàn)網(wǎng)絡業(yè)務資產及針對網(wǎng)絡關鍵業(yè)務資產的攻擊與潛在威脅。

根據(jù)工業(yè)安全態(tài)勢感知平臺功能特點，本方案將安全分析引擎與平臺方案劃分為多元數(shù)據(jù)采集、信息理解分析、態(tài)勢可視化呈現(xiàn)三個過程單元。

2.2.1　多元數(shù)據(jù)采集

工業(yè)網(wǎng)絡安全數(shù)據(jù)通過部署在各廠區(qū)的網(wǎng)絡執(zhí)行單元、流量執(zhí)行單元、主機執(zhí)行單元進行采集、初步分析和上傳，平臺以資產為核心進行數(shù)據(jù)收集、存儲、分類，以備進一步安全分析與應用。

通過對工業(yè)網(wǎng)相關數(shù)據(jù)進行采集，形成統(tǒng)一的數(shù)據(jù)池，為后續(xù)的安全分析和態(tài)勢感知提供基礎支撐，由于數(shù)據(jù)采集方式的不同，以及相關設備的部署位置區(qū)別，將數(shù)據(jù)采集分為如下幾個方面：日志數(shù)據(jù)采集、流量信息采集、其他系統(tǒng)數(shù)據(jù)采集。安全數(shù)據(jù)通過各類分布式執(zhí)行單元采集完成后，采用加密的方式傳輸至自適應平臺系統(tǒng)。

2.2.2　信息理解分析

理解分析過程包含數(shù)據(jù)標準化處理、數(shù)據(jù)存儲、數(shù)據(jù)安全分析三部分。

（1）數(shù)據(jù)標準化處理在海量的原始數(shù)據(jù)中存在著大量的不完整（有缺失值）、不一致、有異常的數(shù)據(jù)，嚴重影響到數(shù)據(jù)挖掘建模的執(zhí)行效率，甚至可能導致挖掘結果的偏差，所以進行數(shù)據(jù)清洗顯得尤為重要，數(shù)據(jù)清洗完成后接著進行或者同時進行數(shù)據(jù)歸一化、集成、變換等一系列的處理，該過程就是數(shù)據(jù)標準化處理。

數(shù)據(jù)標準化處理將傳輸至平臺的安全數(shù)據(jù)按統(tǒng)一標準進行數(shù)據(jù)清洗、數(shù)據(jù)歸約、歸一化和富化后進行存儲和分析。

（3）數(shù)據(jù)安全存儲

工業(yè)自適應平臺采用大數(shù)據(jù)架構，而數(shù)據(jù)存儲是大數(shù)據(jù)的核心，針對結構化數(shù)據(jù)及非結構化數(shù)據(jù)實現(xiàn)數(shù)據(jù)集中存儲、管理與維護，能夠支持數(shù)據(jù)緩存、數(shù)據(jù)存儲、數(shù)據(jù)索引、數(shù)據(jù)分析等。數(shù)據(jù)存儲支持分布式存儲系統(tǒng)，為采集到的企業(yè)網(wǎng)各類數(shù)據(jù)提供各種存儲接口實現(xiàn)對數(shù)據(jù)的快速寫入、讀取等。分布式存儲要實現(xiàn)結構化數(shù)據(jù)、半結構化數(shù)據(jù)的存儲，同時要保證數(shù)據(jù)存儲的可靠性，保證數(shù)據(jù)高效可靠存儲。

工業(yè)自適應平臺可對多源異構的海量數(shù)據(jù)進行存儲，支持對原始數(shù)據(jù)文件的分布式存儲，支持文本、鍵值對、對象等多種數(shù)據(jù)特征的存儲，最終滿足業(yè)務系統(tǒng)復雜數(shù)據(jù)源類型的存儲需求。平臺支持對結構化數(shù)據(jù)、半結構化數(shù)據(jù)和非結構化數(shù)據(jù)的存儲，支持可伸縮的分布式數(shù)據(jù)存儲架構，滿足數(shù)據(jù)量持續(xù)增長需求，支持集群的計算資源管理。

（3）數(shù)據(jù)安全分析

數(shù)據(jù)安全分析是工業(yè)自適應平臺的核心部分，數(shù)據(jù)安全分析通過關聯(lián)分析、場景分析、數(shù)據(jù)統(tǒng)計分析、機器學習等分析引擎發(fā)現(xiàn)安全事件。發(fā)現(xiàn)的安全事件將通過安全事件檢測、安全事件響應機制反饋到業(yè)務層中相關應用進行人機交互。

①關聯(lián)分析引擎

關聯(lián)分析是數(shù)據(jù)挖掘中一項基礎又重要的技術，是一種在大型數(shù)據(jù)集合中發(fā)現(xiàn)變量之間復雜關系的方法。關聯(lián)規(guī)則其實是兩個項集之間的蘊涵表達式。如果我們有兩個不相交的項集X和Y，就可以有規(guī)則X→Y。項集和項集之間組合可以產生很多規(guī)則，但不是每個規(guī)則都是有用的，關聯(lián)分析可在一些限定條件來幫助我們找到強度高的規(guī)則。

工業(yè)自適應平臺關聯(lián)分析引擎能夠在大數(shù)據(jù)量級下，對數(shù)據(jù)進行實時關聯(lián)分析。支持接入各種類型和維度的數(shù)據(jù)，并支持對輸出結果進行回注分析。關聯(lián)分析引擎提供如下計算單元：日志過濾、日志連接、聚類統(tǒng)計、閾值比較和序列分析，可通過組合計算單元來實現(xiàn)自定義威脅事件發(fā)現(xiàn)規(guī)則。提供豐富的語義，包含統(tǒng)計、基線、關聯(lián)和序列等，以覆蓋各類安全場景的威脅建模和發(fā)現(xiàn)。

②場景分析引擎場景是指在特定的主題下，通過引擎的一系列圖、表等可視化手段，依據(jù)攻防等經驗構造的數(shù)據(jù)展示形式。旨在提供多維視角來查看相關數(shù)據(jù)，為發(fā)現(xiàn)、判斷網(wǎng)絡安全問題提供幫助。解決了規(guī)則判定時，無法確定具體閾值的問題，可根據(jù)自己網(wǎng)絡特點和經驗進行判斷。

場景化分析采用插件式架構，分為輸入插件、場景分析插件、輸出插件三種插件。

輸入插件：為場景化分析提供數(shù)據(jù)源，根據(jù)英賽克大數(shù)據(jù)平臺中數(shù)據(jù)存儲模塊的設計，數(shù)據(jù)將存儲于數(shù)據(jù)平臺中，各個場景化可通過配置一個輸入插件獲取數(shù)據(jù)源，各輸入插件相互獨立。

場景分析插件：各場景化分析核心邏輯，它們根據(jù)輸入插件而獲取的數(shù)據(jù)源進行分析，并根據(jù)輸出插件，輸出結果并保存，中間結果（如緩存內容）由場景分析提供接口。

輸出插件：用于保存場景分析插件分析而得到的最終結果。

③機器學習引擎

機器學習可以概括為“使用正確的特征來構建正確的模型，以完成既定的任務”。特征（feature）是一種對問題域中相關對象的描述，一旦獲得對問題域中對象的某種恰當?shù)奶卣鞅硎荆覀儽悴槐卦偃リP注這些對象本身。任務（task）是對我們所期望解決的、與問題域對象有關問題的一種抽象表示（例如兩類或多類分類問題）。許多任務都可以抽象為一個從數(shù)據(jù)點到輸出的映射，我們將這種映射稱為模型（model），而這種映射或模型本身又是應用于訓練數(shù)據(jù)的某個機器學習算法的輸出。

④數(shù)據(jù)統(tǒng)計引擎

日常的安全分析中經常會使用各種統(tǒng)計手段，傳統(tǒng)系統(tǒng)中經常使用簡單的SQL語句來完成相關數(shù)據(jù)庫日志的處理。但是在海量數(shù)據(jù)情況下，利用SQL已經不再可能，而大數(shù)據(jù)平臺所提供的批處理手段雖然能夠實現(xiàn)數(shù)據(jù)統(tǒng)計，但往往需要等待很長時間，無法滿足實時安全分析與響應的需要。

工業(yè)安全態(tài)勢感知平臺基于搜索基礎之上開發(fā)了實時的統(tǒng)計分析功能，該功能可以針對日志的某一字段進行數(shù)據(jù)歸并，并在以此數(shù)據(jù)為主鍵的前提下對其他字段進行包括計數(shù)、排序、累加等相關操作。保證了在相對較小數(shù)據(jù)量的情況下可以快速反饋相關結果，為儀表板、調查分析等上層安全應用功能的使用提供了強有力的幫助。

同時為了應對大時間范圍數(shù)據(jù)的統(tǒng)計需要，工業(yè)安全態(tài)勢感知平臺也支持批量定時的統(tǒng)計任務，相關功能被報表應用使用的最為廣泛。

系統(tǒng)支持對資產、漏洞、告警自定義各種維度的可視化統(tǒng)計分析，這些維度包括資產組、資產操作系統(tǒng)類型、資產責任人、資產廠家、IP地址、漏洞編號、告警類型、告警狀態(tài)等，可以進行兩個維度的對比使用，統(tǒng)計出所關注的各種維度的數(shù)量等信息?？梢陨筛鞣N所需維度的視圖并進行展示，展示方式包括統(tǒng)計視圖，視圖種類包括柱狀圖、折線圖、條形圖、面積圖、餅圖、詞云圖、玫瑰圖、表格等。同時自定義的可視化視圖可以被儀表板及報表系統(tǒng)調用。針對告警用戶可以指定告警加白策略，指定哪些條件下的告警內容不進行告警展示。

2.2.3　自適應安全評估

（1）威脅評估

結合聚類分析、關聯(lián)分析和序列模式分析等大數(shù)據(jù)分析方法對發(fā)現(xiàn)的惡意代碼、流量信息等威脅項進行跟蹤分析。利用相關圖等相關性的方法檢測并擴建威脅列表,對網(wǎng)絡異常流量、網(wǎng)絡異常行為、已知攻擊手段、組合攻擊手段、未知漏洞攻擊和未知代碼攻擊、APT攻擊等多種類型的地鐵網(wǎng)絡安全威脅數(shù)據(jù)進行統(tǒng)計建模與評估。只有通過安全威脅評估，才能完成從數(shù)據(jù)到信息、從信息到網(wǎng)絡安全威脅情報的完整轉化過程,才能做到對攻擊行為、網(wǎng)絡系統(tǒng)異常等狀況的及時發(fā)現(xiàn)與檢測預測,實現(xiàn)全貌還原攻擊過程、攻擊者意圖目的,客觀評估攻擊投入和防護效能,為威脅溯源提供必要的線索支撐。

（2）自適應評估

以工業(yè)網(wǎng)絡安全事件監(jiān)測為驅動,以安全威脅線索為牽引,對安全相關信息進行匯聚融合,將多個安全事件聯(lián)系在一起進行綜合評估與決策支撐,實現(xiàn)對整體網(wǎng)絡安全狀況的判定。

對安全事件尤其是對工業(yè)網(wǎng)絡空間安全相關信息進行匯聚融合后所形成針對人、物、地、事和關系的多維安全事件知識圖譜,是安全自適應分析的關鍵。工控安全自適應與決策支撐技術從“人”的角度評估攻擊者的身份、團伙關系、行為和動機意圖；從“物”的角度評估其工具手段、網(wǎng)絡要素、虛擬資產和保護目標；從“地”的角度評估其地域、關鍵部位、活動場所和途徑軌跡；從“事”的角度評估攻擊事件的相似關系、同源關系。

（3）自適應防護通過結合工業(yè)協(xié)議分析、威脅評估、自適應評估等所有安全分析與評估結果，對工控網(wǎng)絡進行綜合評估，并對其網(wǎng)絡薄弱點、事件發(fā)生、疑似威脅點采取對應的防護措施，下發(fā)任務給執(zhí)行單元，并作出相對應的告警通知。

3　代表性及推廣價值

該項目實施前，工控系統(tǒng)網(wǎng)絡安全防護采用傳動模式，即工程師站、操作員站、HMI服務器、數(shù)據(jù)服務器、工藝服務器、模型服務器等安裝賽門鐵克、諾頓等主流通用型殺毒軟件，按授權時間費用不等，軟件授權到期后更新授權、更新病毒庫需再次發(fā)生費用。項目實施后，主要經濟效益包括兩部分：

目前公司工控系統(tǒng)主機配置共1478臺/套，基本處于無防護狀態(tài)，若按集團系統(tǒng)優(yōu)化部要求配備賽門鐵克殺毒軟件（系統(tǒng)中賽門鐵克端點安全12.1版、50用戶、3年升級服務價格為21800元），年均節(jié)約費用為：1478×21800/50/3=21.48萬元

項目實施后完成了公司工控系統(tǒng)主機防護和關鍵網(wǎng)絡隔離，能夠保障公司各產線生產運行穩(wěn)定，有效抵御病毒攻擊造成的生產停機。從統(tǒng)計數(shù)據(jù)分析，平均事故處理時間為15.1小時，結合近兩年煉鋼鑄機中毒、冷軋表檢儀服務器中毒、中厚板4300剪切線中毒、鋼軋藍屏4起問題，按照每年抵御2次網(wǎng)絡病毒攻擊，有效減少停機30.2小時，以煉鋼廠工序為標準，按停機損失進行效益評估，煉鋼部年損失合計為1067.92萬元。

綜上，項目總年效益預計為1089.4萬元。

此方案結合自適應技術，形成的一套涵括工業(yè)互聯(lián)網(wǎng)云、管、邊、端各層面安全需求的整體解決方案。該解決方案可廣泛應用與冶金、水處理、電力、煤炭、石油石化、港口、軌道交通、煙草、汽車等多個行業(yè)企業(yè)，切實為客戶解決工業(yè)互聯(lián)網(wǎng)安全威脅。

摘自《自動化博覽》2023年4月刊