★周圍北京惠而特科技有限公司

關(guān)鍵詞：白名單自學習；實戰(zhàn)化；輕量級信任

1　項目概況

1.1　項目背景

在“兩化”融合的行業(yè)發(fā)展需求下，現(xiàn)代工業(yè)控制系統(tǒng)的技術(shù)進步主要表現(xiàn)在兩大方面：一是信息化與工業(yè)化的深度融合；二是為了提高生產(chǎn)高效運行和生產(chǎn)管理效率，國內(nèi)眾多行業(yè)大力推進工業(yè)控制系統(tǒng)自身的集成化、集中化管理。系統(tǒng)的互聯(lián)互通性逐步加強，工控網(wǎng)絡與辦公網(wǎng)、互聯(lián)網(wǎng)也存在千絲萬縷的聯(lián)系。

德國的工業(yè)4.0標準、美國的“工業(yè)互聯(lián)網(wǎng)”以及“先進制造業(yè)國家戰(zhàn)略計劃”、日本的“科技工業(yè)聯(lián)盟”、英國的“工業(yè)2050戰(zhàn)略”、中國的“互聯(lián)網(wǎng)+”和“中國制造2025”等相繼出臺，它們對工業(yè)控制系統(tǒng)的通用性與開放性提出了更高的要求。未來工業(yè)控制系統(tǒng)將會有一個長足發(fā)展，工業(yè)趨向于自動化、智能化，系統(tǒng)之間的互聯(lián)互通也更加緊密，面臨的安全威脅也會越來越多。

習酒作為自動化程度較高的醬香白酒生產(chǎn)企業(yè)，在享受自動化、數(shù)字化帶來的產(chǎn)能提升、人力釋放的收益的同時，也會面臨因生產(chǎn)工業(yè)設備聯(lián)網(wǎng)而帶來的網(wǎng)絡安全風險。

1.2　項目簡介

參照《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》、《工業(yè)控制系統(tǒng)信息安全防護指南》等國家標準要求，在現(xiàn)有安全保護措施的基礎(chǔ)上，我們?nèi)媸崂矸治霭踩Ｗo需求，并結(jié)合風險評估和調(diào)研過程中發(fā)現(xiàn)的問題隱患，按照“一個中心（安全管理中心）、三重防護（安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境）”的要求，開展網(wǎng)絡安全建設和整改加固，全面落實安全保護技術(shù)措施，并依據(jù)《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全分類分級管理指南》做好企業(yè)自身分級分類自評及備案準備。

加強網(wǎng)絡安全管理，建立完善人員、教育培訓、系統(tǒng)安全建設和運維等管理制度，加強機房、設備和介質(zhì)安全管理，強化重要數(shù)據(jù)和個人信息保護，制定操作規(guī)范和工作流程，加強日常監(jiān)督和考核，確保各項管理措施有效落實。

1.3　項目目標

白酒行業(yè)的工業(yè)化進程，分別在制曲機械化、發(fā)酵工藝機械化、蒸餾工業(yè)機械化、調(diào)酒計算機集成制造技術(shù)和灌裝、包裝、成品庫智能管理五個領(lǐng)域展開，將推進我國白酒傳統(tǒng)生產(chǎn)方式的機械化升級，進而推動整個行業(yè)向信息化、智能化轉(zhuǎn)型。

習酒工業(yè)生產(chǎn)線包括了半自動生產(chǎn)線和全自動化生產(chǎn)線，工藝內(nèi)容包括準備酒瓶、清洗、吹干、灌裝、瓶蓋、打標、漏液檢測、液位測試、水平傳輸、噴碼、分瓶、分盒、AI識別、裝盒、垂直傳輸、機械手搬運、裝箱、打捆、機械手臂分揀、AGV小車搬運、立體倉庫等自動化控制內(nèi)容。

但習酒工控系統(tǒng)在防護措施中和在缺少防護措施時系統(tǒng)所具有的弱點，而工控系統(tǒng)內(nèi)部的脆弱性問題是導致系統(tǒng)易受攻擊的主要因素。脆弱性問題的根源可概括為以下幾個方面：通信協(xié)議漏洞、操作系統(tǒng)漏洞、應用軟件漏洞、工控設備后門和漏洞、網(wǎng)絡結(jié)構(gòu)漏洞、安全策略和管理流程漏洞、外部風險來源、商業(yè)外部滲透。

本項目工控安全建設將依據(jù)網(wǎng)絡安全等級保護相關(guān)標準和指導規(guī)范，對習酒工業(yè)控制網(wǎng)絡按照“整體保護、綜合防控”的原則進行安全建設方案的設計，按照等級保護三級的要求進行安全建設的規(guī)劃，并對安全建設進行統(tǒng)一規(guī)劃和設備選型，實現(xiàn)方案合理、組網(wǎng)簡單、擴容靈活、標準統(tǒng)一、經(jīng)濟適用的建設目標。

本項目將在保證系統(tǒng)可用性的前提下，對習酒工業(yè)控制系統(tǒng)進行防護，實現(xiàn)“垂直分層、水平分區(qū)、邊界控制、內(nèi)部監(jiān)測”。

“垂直分層、水平分區(qū)”即對工業(yè)控制系統(tǒng)垂直方向劃分為三層：現(xiàn)場設備層、現(xiàn)場控制層、監(jiān)督控制層；水平分區(qū)指各工業(yè)控制系統(tǒng)之間應該從網(wǎng)絡上隔離開，處于不同的安全區(qū)。

“邊界控制，內(nèi)部監(jiān)測”即對系統(tǒng)邊界即各操作站、工業(yè)控制系統(tǒng)連接處、無線網(wǎng)絡等要進行邊界防護和準入控制，對工業(yè)控制系統(tǒng)內(nèi)部要監(jiān)測網(wǎng)絡流量數(shù)據(jù)以發(fā)現(xiàn)入侵、業(yè)務異常、訪問關(guān)系異常和流量異常等問題。

系統(tǒng)面臨的主要安全威脅來自黑客攻擊、惡意代碼（病毒蠕蟲）、越權(quán)訪問（非授權(quán)接入、移動介質(zhì)、弱口令、操作系統(tǒng)漏洞、誤操作和業(yè)務異常等），因此，其安全防護在以下方面予以重點完善和強化：（1）入侵檢測及防御；（2）惡意代碼防護；（3）內(nèi)部網(wǎng)絡異常行為的檢測；（4）邊界訪問控制和系統(tǒng)訪問控制策略；（5）工業(yè)控制系統(tǒng)開發(fā)與維護的安全；（6）身份認證和行為審計；（7）賬號唯一性和口令安全，尤其是管理員賬號和口令的管理；（8）操作站操作系統(tǒng)安全；（9）移動存儲介質(zhì)的標記、權(quán)限控制和審計。

2　項目實施

2.1　系統(tǒng)架構(gòu)

本項目系統(tǒng)架構(gòu)圖如圖1所示。

圖1 系統(tǒng)架構(gòu)圖

2.2　技術(shù)方案

邊界隔離：在各邊界之間部署工業(yè)防火墻，通過工業(yè)協(xié)議深度解析，結(jié)合自學習白名單安全防護策略，實現(xiàn)細粒度的邊界訪問控制和安全隔離，通過最小化規(guī)則盡可能規(guī)避來自外部系統(tǒng)的非法/違規(guī)數(shù)據(jù)訪問。

高級威脅監(jiān)測：通過在核心交換機上旁路部署高級威脅檢測系統(tǒng)，對網(wǎng)絡流量進行實時分析，利用沙箱、多AV病毒檢測、流量基因檢測和文件基因檢測等先進技術(shù)對惡意樣本、惡意流量、行為異常等威脅進行重點識別，彌補生產(chǎn)網(wǎng)自身業(yè)務系統(tǒng)脆弱的不足，發(fā)現(xiàn)高危漏洞主機，發(fā)現(xiàn)潛伏的惡意文件和惡意流量通訊行為，識別惡意文件的擴散，保護生產(chǎn)網(wǎng)安全。

主機防護：對工控網(wǎng)絡內(nèi)的主機進行安全防護，主要是針對域內(nèi)的主機，建議部署工業(yè)主機安全衛(wèi)士，通過主機應用程序白名單機制，阻止非工作程序在主機上的操作運行，阻斷由于操作系統(tǒng)漏洞、應用軟件漏洞而引起的惡意攻擊，同時通過安全U盤實現(xiàn)移動安全數(shù)據(jù)存儲。

網(wǎng)絡實時監(jiān)測與審計：在生產(chǎn)網(wǎng)旁路部署工業(yè)安全審計（利用既有的工業(yè)審計學系統(tǒng)），建立業(yè)務通信模型實現(xiàn)對工控指令攻擊、控制參數(shù)篡改、病毒和蠕蟲等惡意代碼攻擊行為的實時監(jiān)測和告警，同時對網(wǎng)絡中的攻擊行為、網(wǎng)絡會話、數(shù)據(jù)流量、重要操作等進行審計，實現(xiàn)安全事件的日志回溯和取證；在服務器區(qū)旁路部署數(shù)據(jù)庫審計，對數(shù)據(jù)庫的操作行為進行審計。

統(tǒng)一安全管理：建立安全監(jiān)管平臺，對工控網(wǎng)絡中的相關(guān)防護產(chǎn)品進行統(tǒng)一的管理及運維，對整網(wǎng)防護設備進行策略配置下發(fā)、對各設備進行集中化策略配置下發(fā)、存儲、備份、查詢、審計、告警、響應，并出具豐富的報表和報告，實時掌握工業(yè)控制網(wǎng)絡情況，獲悉工業(yè)控制網(wǎng)絡整體的安全狀態(tài)，實現(xiàn)全生命周期的日志管理。

2.3　應用場景分析

本項目依據(jù)網(wǎng)絡安全等級保護三級標準，按照“統(tǒng)一規(guī)劃、重點明確、合理建設”的基本原則，在安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境和安全管理中心等方面進行安全規(guī)劃與建設，確保“網(wǎng)絡建設合規(guī)、安全防護到位”。

最終使習酒工控網(wǎng)絡安全達到安全等級保護第三級要求。經(jīng)過建設后，使其整個網(wǎng)絡形成一套完善的安全防護體系，使其整體網(wǎng)絡安全防護能力得到提升。

對于習酒工業(yè)控制系統(tǒng)，經(jīng)過統(tǒng)一安全規(guī)劃建設，其網(wǎng)絡在統(tǒng)一的安全保護策略下具有了抵御大規(guī)模和較強惡意攻擊的能力、抵抗較為嚴重的自然災害的能力，以及防范計算機病毒和惡意代碼危害的能力；具有了檢測、發(fā)現(xiàn)、報警及記錄入侵行為的能力；具有了對安全事件進行響應處置，并能夠追蹤安全責任的能力；遭到損害后，具有了能夠較快恢復正常運行狀態(tài)的能力；對于服務保障性要求高的網(wǎng)絡，能夠快速恢復正常運行狀態(tài)；具有了對網(wǎng)絡資源、用戶、安全機制等進行集中控管的能力。

綜上所述：遵循等級保護的相關(guān)標準和規(guī)范要求，結(jié)合信息系統(tǒng)安全建設的實際狀態(tài)，針對信息系統(tǒng)中存在的安全隱患進行系統(tǒng)建設，可以加強信息系統(tǒng)的信息安全保護能力，使其達到相應等級的等級保護安全要求。

2.4　實際應用效果

（1）網(wǎng)絡隔離與邊界防護

在控制網(wǎng)絡和非控制網(wǎng)絡邊界處通常需要部署工控專用防火墻,該防火墻可以實施訪問控制、惡意代碼防護和入侵防護,從而避免來自本層其他區(qū)域、其他層網(wǎng)絡的惡意代碼攻擊及入侵行為,切斷網(wǎng)絡間的攻擊路徑。由于工控防火墻具備感知和理解工控應用層協(xié)議及操作行為的能力,因此除基于IP地址、端口、MAC地址等主機特征進行訪問控制外,還可根據(jù)具體需求設置更細致的防護策略。

基于工控網(wǎng)絡的相對封閉性,工控防火墻常通過開啟基于通信協(xié)議的“白名單”功能,對來自其他層的不符合規(guī)范的協(xié)議攻擊、惡意操作和誤操作行為進行攔截。這種基于“白名單”的防護思路相比傳統(tǒng)防火墻或入侵防護系統(tǒng)的“黑名單”技術(shù),不僅能防護各類未知特征的攻擊和異常操作,還能保證正常的通信行為和訪問行為不被攔截。

（2）主機和終端安全管理

通過部署基于“白環(huán)境”的主機安全軟件,避免各類已知和未知的木馬、蠕蟲等惡意軟件進入主機傳播到整個工控網(wǎng)絡。

由于自動化系統(tǒng)的主機應用環(huán)境相對固定,通過主機安全軟件建立起各類正常工作環(huán)境時的操作系統(tǒng)和應用的可執(zhí)行文件白名單,建立起主機運行的白環(huán)境,啟用白名單功能,確保只有在白名單列表中的程序或軟件才能運行。

主機和終端的身份鑒別至關(guān)重要,通過采用單因子鑒別(如操作員口令)、雙因子鑒別(如工程師、值班長、網(wǎng)絡設備管理員等)等手段加強管理。在登錄工控系統(tǒng)進行組態(tài)下裝和重要參數(shù)修改時,必須進行身份鑒別。

（3）攻擊事件的監(jiān)控與審計

任何的安全措施,“看見和發(fā)現(xiàn)”攻擊是第一步。通過在不同的安全區(qū)域邊界部署工控安全監(jiān)測終端,配合集中監(jiān)測和審計管理,可實時發(fā)現(xiàn)網(wǎng)絡中的各類攻擊方式、違規(guī)操作和誤操作行為,可在攻擊事件發(fā)生后根據(jù)存儲的記錄和操作者的權(quán)限,進行查詢、統(tǒng)計、管理、維護等,追溯攻擊行為的起源,做到事前監(jiān)控、事中記錄、事后審計。

（4）高級威脅檢測與告警

基于特征檢測和行為檢測的傳統(tǒng)威脅檢測手段已經(jīng)越來越難以應對新型的安全攻擊手法，難以識別安全攻擊事件。且近年來隨著人工智能技術(shù)的發(fā)展，攻擊方在掃描、利用、破壞等攻擊工具中對人工智能技術(shù)的應用，進一步加劇了對目標系統(tǒng)的破壞，縮短了攻擊進程，隱藏了攻擊特征。通過高級威脅檢測系統(tǒng)將人工智能、大數(shù)據(jù)技術(shù)與安全技術(shù)相結(jié)合，實時分析網(wǎng)絡流量，監(jiān)控可疑威脅行為，可對APT攻擊鏈進行檢測、識別分析和告警。

（5）數(shù)據(jù)庫安全審計

數(shù)據(jù)是信息系統(tǒng)的核心，如何保證防范針對數(shù)據(jù)庫的惡意操作、誤操作、惡意攻擊等是解決數(shù)據(jù)庫安全的重中之重。數(shù)據(jù)庫審計系統(tǒng)可以有效解決對數(shù)據(jù)庫操作的安全監(jiān)控難題，可以實現(xiàn)對數(shù)據(jù)庫所有操作的實時監(jiān)測、完整記錄、還原審計，可以及時發(fā)現(xiàn)對數(shù)據(jù)庫的非法操作，快速應對異常事件，解除對數(shù)據(jù)庫的安全威脅，可以滿足對數(shù)據(jù)庫的運行監(jiān)測和操作審計的合規(guī)性要求，滿足等級保護2.0標準要求。

（6）運維操作管控與審計

在運維過程中，通常為了運維便利性，存在賬號共享、授權(quán)不清等運維行為，事后也缺乏運維操作審計。通過運維安全網(wǎng)關(guān)，邏輯上將人和目標設備分離，建立“人→主賬號→授權(quán)→從賬號→目標設備”的管理模式。在此模式下，通過基于唯一身份標識的集中賬號與訪問控制策略，與各服務器、網(wǎng)絡設備等無縫連接，實現(xiàn)集中精細化運維操作管控與審計。

3  案例亮點及創(chuàng)新性

滿足安全合規(guī)要求：本次項目立足于等保2.0和工信部451號文《安全防護指南》及監(jiān)管要求，結(jié)合企業(yè)的生產(chǎn)業(yè)務特點，在防護框架的指導下開展了企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡安全防護建設，防護建設項滿足等保對應防護技術(shù)項的要求，企業(yè)在完成其他需要自建項后，可以啟動申報等保保護測評。

優(yōu)化資源配置：本方案站在習酒業(yè)務的角度設計，在滿足合規(guī)要求的同時最大限度利用了企業(yè)本身現(xiàn)有資源，同時有效地結(jié)合同行業(yè)單位的運營模式，在有限資源條件下最大限度地提升安全防護水平。

提高安全防護性：本次項目成果為企業(yè)相關(guān)信息網(wǎng)絡、工業(yè)控制系統(tǒng)網(wǎng)絡的安全穩(wěn)定運行提供了基礎(chǔ)保障，實現(xiàn)了病毒、木馬等惡意程序的防護，可防范內(nèi)外部人員攻擊、軟件后門利用等多種威脅，顯著加強了企業(yè)自身工控系統(tǒng)在當前愈加惡劣的網(wǎng)絡環(huán)境下的防范和預警感知能力，有效保障了企業(yè)穩(wěn)定發(fā)展。

作者簡介

周　圍（1995-），男，湖南湘潭人，工程師，本科，現(xiàn)就職于北京惠而特科技有限公司，主要從事信息安全、工控安全方面的研究。

摘自《自動化博覽》2024年1月刊