1、方案背景與目標(biāo)

貴州習(xí)酒積極推進(jìn)白酒傳統(tǒng)生產(chǎn)方式機(jī)械化升級，從制曲過程、酒醅發(fā)酵、勾兌過程、包裝和物流五個(gè)領(lǐng)域開展信息化、數(shù)字化轉(zhuǎn)型，對生產(chǎn)、包裝、運(yùn)輸、銷售過程進(jìn)行全方位監(jiān)測，大大保證白酒質(zhì)量，有效提高貴州習(xí)酒產(chǎn)品競爭力和市場信譽(yù)度。伴隨貴州習(xí)酒數(shù)字化轉(zhuǎn)型的實(shí)施，只能制造中的信息安全問題顯得越來越突出，一旦網(wǎng)絡(luò)被攻陷，一方面會(huì)破壞設(shè)備，泄露企業(yè)的技術(shù)信息，損壞企業(yè)形象，另一方面會(huì)對國家和社會(huì)造成嚴(yán)重不良影響。故針對貴州習(xí)酒工控網(wǎng)絡(luò)開展了基于實(shí)戰(zhàn)化的網(wǎng)絡(luò)安全防護(hù)體系建設(shè)。

2、方案詳細(xì)介紹

本方案構(gòu)建貴州習(xí)酒工控網(wǎng)絡(luò)“垂直分層，水平分區(qū)。邊界控制，內(nèi)部監(jiān)測”的工控安全技術(shù)防護(hù)體系，實(shí)現(xiàn)各操作站、工業(yè)控制系統(tǒng)連接處、無線網(wǎng)絡(luò)等要進(jìn)行邊界防護(hù)和準(zhǔn)入控制等。對工業(yè)控制系統(tǒng)內(nèi)部要監(jiān)測網(wǎng)絡(luò)流量數(shù)據(jù)以發(fā)現(xiàn)入侵、業(yè)務(wù)異常、訪問關(guān)系異常和流量異常等問題，構(gòu)建工控網(wǎng)絡(luò)實(shí)戰(zhàn)化主動(dòng)防御體系，提升工控網(wǎng)絡(luò)未知威脅檢測能力，實(shí)現(xiàn)從被動(dòng)防御變?yōu)橹鲃?dòng)防御，全面提高工控網(wǎng)絡(luò)威脅防御能力，全面快速消除工控網(wǎng)絡(luò)威脅，實(shí)現(xiàn)從單點(diǎn)防御到全工控網(wǎng)協(xié)防，主要建設(shè)內(nèi)容如下：

邊界隔離：在各邊界之間部署工業(yè)防火墻，通過工業(yè)協(xié)議深度解析，結(jié)合自學(xué)習(xí)白名單安全防護(hù)策略，實(shí)現(xiàn)細(xì)粒度的邊界訪問控制和安全隔離，通過最小化規(guī)則盡可能規(guī)避來自外部系統(tǒng)的非法/違規(guī)數(shù)據(jù)訪問。

高級威脅監(jiān)測：通過在核心交換機(jī)上旁路部署高級威脅檢測系統(tǒng)，對網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)分析，通過利用沙箱、多AV病毒檢測、流量基因檢測和文件基因檢測等先進(jìn)技術(shù)對惡意樣本、惡意流量、行為異常等威脅進(jìn)行重點(diǎn)識別，彌補(bǔ)生產(chǎn)網(wǎng)自身業(yè)務(wù)系統(tǒng)脆弱的不足，發(fā)現(xiàn)高危漏洞主機(jī)，發(fā)現(xiàn)潛伏的惡意文件和惡意流量通訊行為，識別惡意文件的擴(kuò)散，保護(hù)生產(chǎn)網(wǎng)安全。

主機(jī)防護(hù)：對工控網(wǎng)絡(luò)內(nèi)的主機(jī)進(jìn)行安全防護(hù)，主要是針對域內(nèi)的主機(jī)，建議部署工業(yè)主機(jī)安全衛(wèi)士，通過主機(jī)應(yīng)用程序白名單機(jī)制，阻止非工作程序在主機(jī)上的操作運(yùn)行，阻斷由于操作系統(tǒng)漏洞、應(yīng)用軟件漏洞而引起的惡意攻擊，同時(shí)通過安全U盤實(shí)現(xiàn)移動(dòng)安全數(shù)據(jù)存儲。

網(wǎng)絡(luò)實(shí)時(shí)監(jiān)測與審計(jì)：在生產(chǎn)網(wǎng)旁路部署工業(yè)安全審計(jì)，建立業(yè)務(wù)通信模型實(shí)現(xiàn)對工控指令攻擊、控制參數(shù)篡改、病毒和蠕蟲等惡意代碼攻擊行為的實(shí)時(shí)監(jiān)測和告警，同時(shí)對網(wǎng)絡(luò)中的攻擊行為、網(wǎng)絡(luò)會(huì)話、數(shù)據(jù)流量、重要操作等進(jìn)行審計(jì)，實(shí)現(xiàn)安全事件的日志回溯和取證；在服務(wù)器區(qū)旁路部署數(shù)據(jù)庫審計(jì)，對數(shù)據(jù)庫的操作行為進(jìn)行審計(jì)。

統(tǒng)一安全管理：建立安全監(jiān)管平臺，對工控網(wǎng)絡(luò)中的相關(guān)防護(hù)產(chǎn)品進(jìn)行統(tǒng)一的管理及運(yùn)維，對整網(wǎng)防護(hù)設(shè)備進(jìn)行策略配置下發(fā)、對各設(shè)備進(jìn)行集中化策略配置下發(fā)、存儲、備份、查詢、審計(jì)、告警、響應(yīng)，并出具豐富的報(bào)表和報(bào)告，實(shí)時(shí)掌握工業(yè)控制網(wǎng)絡(luò)情況，獲悉工業(yè)控制網(wǎng)絡(luò)整體的安全狀態(tài)，實(shí)現(xiàn)全生命周期的日志管理。

方案建設(shè)成效：

（1）工業(yè)網(wǎng)絡(luò)和管理網(wǎng)絡(luò)隔離

通過管理網(wǎng)和生產(chǎn)網(wǎng)隔離確保生產(chǎn)網(wǎng)不會(huì)引入來自管理網(wǎng)風(fēng)險(xiǎn)，保證生產(chǎn)網(wǎng)邊界安全；在各車間內(nèi)部工控系統(tǒng)進(jìn)行一定手段的監(jiān)測、防護(hù)，保證車間內(nèi)部安全；最后對整個(gè)工控系統(tǒng)進(jìn)行統(tǒng)一安全呈現(xiàn)，將各個(gè)防護(hù)點(diǎn)組成一個(gè)全面的防護(hù)體系，保障其整個(gè)工業(yè)控制系統(tǒng)安全穩(wěn)定運(yùn)行。

（2）車間內(nèi)部監(jiān)測防護(hù)

在操作員站、工程師站、HMI等各類操作站部署操作站安全系統(tǒng)對主機(jī)的進(jìn)程、軟件、流量、U盤的使用等進(jìn)行監(jiān)控，防范主機(jī)非法訪問網(wǎng)絡(luò)其它節(jié)點(diǎn)；

部署工控異常監(jiān)測系統(tǒng)，監(jiān)測工控網(wǎng)絡(luò)的相關(guān)業(yè)務(wù)異常和入侵行為，通過工控網(wǎng)絡(luò)中的流量關(guān)系圖形化展示梳理發(fā)現(xiàn)網(wǎng)絡(luò)中的故障，出現(xiàn)異常及時(shí)報(bào)警；

（3）實(shí)戰(zhàn)化未知威脅檢測

本方案監(jiān)測體系中除了具備常規(guī)的入侵檢測功能外，還可以從網(wǎng)絡(luò)流量中還原出文件并通過多病毒檢測引擎有效識別出病毒、木馬等已知威脅；通過基因圖譜檢測技術(shù)檢測惡意代碼變種； 還可以通過沙箱行為檢測技術(shù)發(fā)現(xiàn)未知威脅；對抽取的網(wǎng)絡(luò)流量元數(shù)據(jù)，進(jìn)行情報(bào)檢測、異常檢測、流量基因檢測；最后將所有安全威脅進(jìn)行關(guān)聯(lián)分析，實(shí)現(xiàn)對檢測及防御APT攻擊及工控網(wǎng)絡(luò)未知威脅；

（4）建立工控網(wǎng)絡(luò)安全可視化統(tǒng)一管理中心

將工控網(wǎng)中全要素?cái)?shù)據(jù)進(jìn)行收集整合，實(shí)現(xiàn)全局的網(wǎng)絡(luò)安全動(dòng)態(tài)分析和監(jiān)測，提升網(wǎng)絡(luò)安全的感知能力；對大量的安全設(shè)備統(tǒng)一管理減少運(yùn)維難度，并且排除環(huán)境中的安全設(shè)備分散問題，避免形成安全孤島；對大量日志進(jìn)行建模分析，清洗、過濾、整合，實(shí)現(xiàn)對風(fēng)險(xiǎn)趨勢的預(yù)測，將工控網(wǎng)絡(luò)的態(tài)勢狀況通過可視化圖形方式進(jìn)行展示，生成多視圖、多角度、多尺度的工控網(wǎng)絡(luò)安全綜合態(tài)勢全景圖。

3、代表性及推廣價(jià)值

通過本次工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)項(xiàng)目，積累實(shí)踐經(jīng)驗(yàn)，以網(wǎng)絡(luò)安全法律規(guī)范政策標(biāo)準(zhǔn)為基點(diǎn)，吸收國際先進(jìn)的理念、模型和技術(shù)，面向場景和實(shí)戰(zhàn)需求，系統(tǒng)化規(guī)劃和建設(shè)，采用新理念、新方法、新架構(gòu)、新策略，構(gòu)建新一代的工控網(wǎng)絡(luò)安全防護(hù)體系，并積極布局輕量級工業(yè)信任體系，為習(xí)酒持續(xù)的工控網(wǎng)絡(luò)安全防御體系演進(jìn)提供了空間。

通過本項(xiàng)目，實(shí)現(xiàn)了安全服務(wù)和安全產(chǎn)品部署同步，提供了有效的工控網(wǎng)絡(luò)安全防御體系，為數(shù)字化轉(zhuǎn)型提供網(wǎng)絡(luò)安全保障；通過本項(xiàng)目實(shí)踐，形成可橫向推廣經(jīng)驗(yàn)，也是工業(yè)環(huán)境先進(jìn)網(wǎng)絡(luò)安全防護(hù)的場景化實(shí)踐。本項(xiàng)目為習(xí)酒工控網(wǎng)絡(luò)安全和數(shù)字化轉(zhuǎn)型提供保障，同時(shí)符合工控等保、關(guān)基保護(hù)合規(guī)需求，是滿足合規(guī)和實(shí)戰(zhàn)化防御雙需求的一次積極實(shí)踐。

本項(xiàng)目方案既可作為整套解決方案，亦可根據(jù)需求滿足工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全工作要求，還可定制化網(wǎng)絡(luò)安全服務(wù)滿足相關(guān)管理需求。落地實(shí)現(xiàn)各行業(yè)工控網(wǎng)絡(luò)安全建設(shè)工作，示范效應(yīng)顯著，具有廣闊的市場前景，對于工業(yè)互聯(lián)網(wǎng)自身以及帶動(dòng)生產(chǎn)行業(yè)的健康發(fā)展具有非常積極的意義。