1、背景介紹

新型工業(yè)化在信息技術和其他高新技術的驅動下，通過改變生產方式、組織形式和經營模式，使各行業(yè)進程朝向更高效、清潔、低碳、智能化的方向延伸。鋼管行業(yè)在新型工業(yè)化的推進下，積極采用大數(shù)據(jù)、互聯(lián)網(wǎng)、自動檢測技術和識別技術等先進技術，大力建設鋼管行業(yè)創(chuàng)新基礎設施，夯實數(shù)字底座，以數(shù)字化賦能綠色化、高質化、強鏈化發(fā)展，打造新質生產力，從而為鋼管行業(yè)數(shù)字化轉型和高質量發(fā)展注入新的活力。隨著工業(yè)控制系統(tǒng)的數(shù)字化和網(wǎng)絡化程度提高，OT、IT的逐步融合，使得鋼管行業(yè)生產過程更加自動化和智能化，但同時也使安全風險更加復雜，攻擊點增多、攻擊面擴大，增加了網(wǎng)絡攻擊的風險。大量數(shù)據(jù)交互過程中的數(shù)據(jù)泄露風險也隨之增加，不僅涉及企業(yè)商業(yè)機密，還可能影響到整個產業(yè)鏈的穩(wěn)定。

某鋼管制造企業(yè)的工業(yè)控制系統(tǒng)由多個生產工藝流程混合而成，包括煉鐵、煉鋼、軋管等生產制造環(huán)節(jié)。其生產網(wǎng)絡架構極為復雜，不僅多種通信方式并存，而且控制系統(tǒng)品牌繁多，新老系統(tǒng)交織在一起。這種復雜的系統(tǒng)架構和多元化的技術集成導致潛在的網(wǎng)絡安全漏洞層出不窮，使得系統(tǒng)容易受到黑客的攻擊和利用，生產網(wǎng)絡所面臨的網(wǎng)絡安全威脅也日趨多元化和多發(fā)性。

因此，為能夠有效應對和管理新型工業(yè)化下工業(yè)場景所面臨的安全風險，必須深化網(wǎng)絡安全與數(shù)字化建設的協(xié)同運營，實現(xiàn)兩者緊密結合，確保該鋼管制造企業(yè)生產網(wǎng)絡穩(wěn)定可靠運行，保障生產業(yè)務的連續(xù)性和安全性。

2、目標與原則

2.1項目目標

n  提升企業(yè)安全運維能力，降低安全管理難度

目前該鋼管制造企業(yè)生產環(huán)境較為分散且網(wǎng)絡規(guī)模較大，在生產網(wǎng)絡中部署的安全防護設備數(shù)量也較多，存在安全策略更新不及時、安全管理分散及管理成本高等瓶頸。因此，需要采取技術手段對安全設備進行集中管控，降低管理難度及人工成本。

通過借助集中管理平臺，統(tǒng)一監(jiān)控工業(yè)安全設備，對網(wǎng)絡配置、系統(tǒng)服務、安全策略、升級策略和配置備份等進行配置，方便快捷的實現(xiàn)對大規(guī)模安全設備管理。同時免去逐一配置策略的繁瑣操作，提升安全運維能力，降低安全管理過程中的管理難度及成本。

n  提升安全監(jiān)測預警能力，快速處置安全事件

當前生產網(wǎng)絡安全形勢日益嚴峻，安全風險呈現(xiàn)多元化特征，安全隱患發(fā)現(xiàn)難度更高，出現(xiàn)安全告警時無法第一時間感知。因此，網(wǎng)絡安全監(jiān)測手段需同步進行補充與提升。

通過借助安全態(tài)勢感知平臺，綜合異構數(shù)據(jù)采集、協(xié)議深度解析、用戶畫像、大數(shù)據(jù)分析、AI等技術，采用威脅情報及安全事件關聯(lián)分析的機制，實時感知系統(tǒng)和設備的運行狀況、風險隱患等信息，及時對潛在的網(wǎng)絡安全威脅和風險進行預警。在出現(xiàn)安全威脅時，通過協(xié)同聯(lián)動網(wǎng)絡中各類安全設備及時進行抑制，防止安全威脅的進一步蔓延，為企業(yè)安全生產提供保障。

n  消除信息孤島，提升安全風險感知能力

目前該鋼管制造企業(yè)的廠區(qū)內各設備和系統(tǒng)的安全數(shù)據(jù)缺乏統(tǒng)一匯聚和分析的手段，安全數(shù)據(jù)與分析結果沒有實現(xiàn)共享，存在“信息孤島”現(xiàn)象，從而引發(fā)無法對當前網(wǎng)絡安全現(xiàn)狀進行評估、無法及時感知網(wǎng)絡安全現(xiàn)狀等安全風險。

借助日志收集分析等手段，對跨區(qū)域、跨產品的安全信息統(tǒng)一收集與處理，實現(xiàn)對全網(wǎng)各類安全事件、預警信息的統(tǒng)一預處理、匯總、整理與分析，提升安全風險感知能力。

2.2 設計原則

（1）分層分域防護原則

根據(jù)企業(yè)工業(yè)控制系統(tǒng)業(yè)務流程合理劃分網(wǎng)絡層級和安全域，以切割網(wǎng)絡風險，即任意一點遭受攻擊或網(wǎng)絡風暴不會對其它生產過程產生影響，同時方便管理策略的執(zhí)行。

（2）以關鍵業(yè)務為核心的整體防控原則

企業(yè)工業(yè)控制系統(tǒng)的安全保護應以確保關鍵業(yè)務的安全運行為核心目標，對業(yè)務所涵蓋的一個或多個網(wǎng)絡及信息系統(tǒng)實施系統(tǒng)化的安全設計策略，以構建一個全面、整合的安全防護體系。

（3）協(xié)同防御原則

通過整合安全技術、安全管理和安全服務，構建起信息共享和協(xié)同聯(lián)動的防御體系，實現(xiàn)增強企業(yè)工業(yè)控制系統(tǒng)抵御大規(guī)模網(wǎng)絡攻擊的能力。

3、案例實施與應用情況

本方案旨在針對鋼管制造企業(yè)的煉鐵、煉鋼、軋管等生產車間開展網(wǎng)絡安全規(guī)劃與建設。

方案在嚴格遵守《信息安全技術網(wǎng)絡安全等級保護基本要求》（GB/T 22239-2019）、《工業(yè)控制系統(tǒng)網(wǎng)絡安全防護指南》等國家的政策要求基礎上，采用“行為基線”分析、“白名單防護”策略及“數(shù)據(jù)變化率”監(jiān)測等先進技術手段，并通過安全服務、安全技術與產品應用以及安全管理體系構建等手段相結合的方式，實現(xiàn)安全能力的全面整合與提升，有效提升鋼管制造企業(yè)生產網(wǎng)絡安全技術防護能力、安全管理能力以及安全運營能力。

3.1 智能工廠信息化架構

圖1  智能工廠信息化架構

該鋼管制造企業(yè)參考智能工廠框架，在企業(yè)內部實現(xiàn)了MES、ERP、SCADA等信息系統(tǒng)的應用，將車間的各類生產數(shù)據(jù)進行采集、分析與決策，實現(xiàn)了多個數(shù)字化車間的統(tǒng)一管理與協(xié)同生產。同時，由于信息網(wǎng)絡集成程度的不斷提高，與其他信息網(wǎng)絡的互聯(lián)程度也隨之加深。網(wǎng)絡中各種未授權的接入與操作、誤操作、違規(guī)操作、未授權的程序安裝、外部接口濫用以及新型攻擊（APT）對集團信息系統(tǒng)安全構成極大的威脅。

若信息系統(tǒng)不加強主動防護、監(jiān)測審計、集中監(jiān)管及預警響應等安全措施的建設，那么各類威脅將得以趁虛而入，進而可能對生產業(yè)務產生嚴重的負面影響。因此，需圍繞企業(yè)未來發(fā)展趨勢與安全建設需求，進行全方位的生成網(wǎng)絡安全防護體系設計。

3.2方案規(guī)劃

方案總體規(guī)劃架構以資產為基礎，以事件為主線，以風險為核心，采用多層次技術措施和防護手段，對網(wǎng)絡設備、安全設備、服務器等進行全方位安全監(jiān)測。同時，結合安全事件模型、業(yè)務模型、威脅情報等信息，實現(xiàn)對網(wǎng)絡威脅的及時預警和快速處置，通過一系列措施，實現(xiàn)鋼管制造企業(yè)生產網(wǎng)絡態(tài)勢實時感知、威脅持續(xù)監(jiān)測、安全協(xié)同聯(lián)動、風險主動預警及事件應急處置的目標，全面提升鋼管制造企業(yè)生產網(wǎng)絡的安全防護水平。       

圖 2  總體框架設計

態(tài)勢感知：通過實時收集全網(wǎng)網(wǎng)絡流量、系統(tǒng)日志、用戶行為等數(shù)據(jù)，并基于大數(shù)據(jù)分析及機器學習等技術，對收集的數(shù)據(jù)進行清洗、格式轉換等預處理操作，實現(xiàn)對資產、脆弱性、告警、攻擊、系統(tǒng)運行狀態(tài)實時監(jiān)測及可視化展現(xiàn)，為主動預警和事件追溯提供數(shù)據(jù)支撐。

持續(xù)監(jiān)測：通過實時數(shù)據(jù)采集與分析、威脅監(jiān)測預警、日志與事件管理以及可視化展示等功能，實現(xiàn)對網(wǎng)絡安全狀況的持續(xù)監(jiān)測。

聯(lián)動防護：通過匯總各類安全數(shù)據(jù)，運用關聯(lián)分析、用戶畫像、業(yè)務安全基線、模型分析、威脅情報等手段，形成安全聯(lián)動、動態(tài)感知的整體安全分析能力。

主動預警：通過實時采集與處理安全數(shù)據(jù)，結合安全模型、業(yè)務模型及威脅情報等信息，實現(xiàn)對潛在威脅的精準識別與快速定位。在發(fā)現(xiàn)安全事件時觸發(fā)預警機制，實現(xiàn)安全防御的主動性。

應急處置：通過實時分析網(wǎng)絡流量、安全日志等數(shù)據(jù)源，快速檢測并識別潛在的安全威脅，并在安全威脅檢測后，觸發(fā)告警機制，并將告警信息發(fā)送至相關人員，進行事件處置。

n  安全技術防護體系

基于行為基線技術路線，建立鋼管制造企業(yè)生產網(wǎng)絡中業(yè)務通信與控制過程模型，綜合數(shù)據(jù)變化率、白名單防護等技術手段，確保在通信、控制、應用等多個層面的細粒度安全管控，避免對生產過程形成安全威脅。

n  安全管理體系

從安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理等層面進行網(wǎng)絡安全各項工作所需遵循的基本原則和方針的明確，與安全技術防護體系、安全運營體系、安全服務體系形成緊密耦合的安全防護機制，保障所有生產車間的生產安全和穩(wěn)定運行。

n  安全服務體系

以安全管理手段、安全技術手段作為支持，采用風險評估、安全加固、新系統(tǒng)上線檢查等手段進行風險識別及風險處置等，與安全管理體系、安全技術防護體系及安全運營體系形成層次化的安全策略體系。

n  安全運營體系

通過異構數(shù)據(jù)采集、用戶畫像、大數(shù)據(jù)分析、AI等技術，統(tǒng)一收集和分析網(wǎng)絡流量、操作內容、運行日志、異常告警等信息，為鋼管制造企業(yè)生產網(wǎng)絡構建安全監(jiān)測、日志分析、威脅預警、安全處置等綜合安全運營能力，從全局視角實現(xiàn)企業(yè)網(wǎng)絡安全風險管控和運營分析管理。

3.3方案實施與應用

3.3.1 安全技術防護體系設計

3.3.1.1    各生產車間訪問控制設計

在煉鐵車間、煉鋼車間、軋管、管加工等各車間區(qū)域邊界與生產核心交換機處部署工業(yè)防火墻，基于工業(yè)協(xié)議深度解析技術，可以實現(xiàn)基于訪問行為的細粒度控制。                   

圖 3  工業(yè)協(xié)議解析技術

3.3.1.2 企業(yè)生產網(wǎng)絡入侵行為檢測設計

在生產核心交換機處應用工業(yè)入侵檢測系統(tǒng)的入侵檢測技術，對煉鐵車間、煉鋼車間、軋管、管加工等生產網(wǎng)絡中的數(shù)據(jù)流量進行深度檢測、實時分析，并對網(wǎng)絡中的攻擊行為進行監(jiān)測，動態(tài)地發(fā)現(xiàn)來自內部和外部網(wǎng)絡攻擊的行為，并發(fā)出報警。

圖 4  業(yè)務行為審計

3.3.1.3 企業(yè)工業(yè)主機安全管控設計

在煉鐵車間、煉鋼車間、軋管、管加工等各區(qū)域操作站、工程師站、服務器等主機終端上安裝基于“白名單”的工業(yè)主機安全防護產品，通過對終端運行進程、服務等以白名單方式進行識別，策略范圍外進程、服務禁用，實現(xiàn)對各車間主機終端的安全管控。

3.3.1.4 企業(yè)生產網(wǎng)絡操作行為安全審計設計

在煉鐵車間、煉鋼車間、軋管、管加工等各匯聚交換機處部署工業(yè)監(jiān)測審計系統(tǒng)，實現(xiàn)對工業(yè)報文內容的深度解析，閾值的設定，以及對數(shù)據(jù)變化速度范圍的設定，以此來實現(xiàn)對下屬節(jié)點數(shù)據(jù)變化以及寫操作內容的審計。

圖 5  工業(yè)流量審計

3.3.1.5 運維人員操作行為安全設計

在運維管理區(qū)部署工業(yè)運維審計系統(tǒng)，通過應用運維安全審計手段，實現(xiàn)對運維賬號統(tǒng)一管理，資源和權限進行統(tǒng)一分配，對客戶從登錄到退出的全程操作行為進行審計，加強遠程維護的安全管理，降低人為安全風險。

3.3.1.6 企業(yè)生產網(wǎng)絡日志集中管理與分析設計

在運維管理區(qū)部署工業(yè)日志收集與分析系統(tǒng)，通過應用日志審計類手段，對鋼管制造企業(yè)網(wǎng)絡設備、安全設備、主機和應用系統(tǒng)日志進行全面的標準化處理，基于關聯(lián)分析引擎能力，及時發(fā)現(xiàn)各種安全威脅、異常行為事件。

圖 6  工業(yè)日志收集與分析

3.3.1.7 企業(yè)生產網(wǎng)絡脆弱性檢測設計

在運維管理區(qū)部署工業(yè)漏洞掃描系統(tǒng)，通過應用工業(yè)漏洞掃描技術，對鋼管制造企業(yè)生產網(wǎng)絡進行脆弱性分析和評估。同時還支持對生產網(wǎng)絡中所特有的設備/系統(tǒng)，比如SCADA、PLC等進行已知漏洞的識別和檢測，及時發(fā)現(xiàn)安全漏洞。          

圖 7  工業(yè)漏掃資產掃描評估

3.3.1.8 企業(yè)生產網(wǎng)絡中安全設備、安全策略集中管控能力設計

在運維管理區(qū)部署工業(yè)集中管理系統(tǒng)，通過應用集中管理手段，實現(xiàn)對工業(yè)防火墻、工業(yè)入侵檢測系統(tǒng)、工業(yè)安全監(jiān)測審計、工業(yè)主機衛(wèi)士等安全產品的統(tǒng)一監(jiān)控、日志采集、安全分析、策略下發(fā)，為鋼管制造企業(yè)生產網(wǎng)絡安全運營提供決策支持，加強安全事件響應速度與安全運維能力，提升鋼管制造企業(yè)生產網(wǎng)絡整體信息安全水平。             

圖 8  資產集中管理

3.3.1.9 企業(yè)辦公網(wǎng)與生產網(wǎng)區(qū)域邊界隔離設計

針對中心機房與辦公網(wǎng)進行現(xiàn)場監(jiān)測數(shù)據(jù)交互過程實現(xiàn)單向隔離傳輸機制，通過在辦公網(wǎng)與生產區(qū)域邊界部署工業(yè)隔離與交換系統(tǒng)，對辦公網(wǎng)的邊界流量進行單向隔離，該隔離為應用層單向即辦公網(wǎng)對訪問控制策略允許的目標設備進行只讀操作，禁用對鋼管制造企業(yè)生產網(wǎng)絡的寫操作行為。

3.3.1.10整體部署實施

綜上所述，方案整體的部署實施圖見下圖。

圖 9   整體部署實施圖

3.3.2 安全管理體系設計

通過建立組織架構管理、安全策略管理、資產安全管理等鋼管制造企業(yè)生產網(wǎng)絡安全管理制度，明確網(wǎng)絡安全各項工作所需遵循的基本原則和方針；并組建人員成立安全管理機構，對安全管理人員定期開展網(wǎng)絡安全教育、培訓等提高鋼管制造企業(yè)生產網(wǎng)絡安全整體管理水平。

同時，在建設和運維方面也做出安全管理要求，制定安全運維管理制度、安全事件處置制度等，規(guī)范鋼管制造企業(yè)生產網(wǎng)絡安全建設和運維細則，加強在鋼管制造企業(yè)生產網(wǎng)絡建設和運維環(huán)節(jié)的把控，實現(xiàn)鋼管制造企業(yè)生產網(wǎng)絡安全管理的規(guī)范化、標準化與制度化。

33.3 安全服務體系設計

3.3.3.1 風險評估服務

通過對鋼管制造企業(yè)業(yè)務系統(tǒng)關鍵資產所存在脆弱性及其所面臨的威脅的量化分析，最終以全面、準確、量化的分析結果呈現(xiàn)其面臨的各種風險，并提供針對性的安全風險控制方法，消除安全風險，提高業(yè)務系統(tǒng)運轉效率。

3.3.3.2 新系統(tǒng)上線檢查

通過漏洞檢測、基線核查、滲透測試方式對鋼管制造企業(yè)生產網(wǎng)絡進行測試，找出新上線業(yè)務系統(tǒng)（網(wǎng)絡設備、主機、應用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)）中存在的安全配置錯誤及漏洞信息，并提供針對性的建議方案，以免新上線業(yè)務系統(tǒng)存在的安全隱患給用戶的業(yè)務和生產帶來危害。

3.3.3.3 安全加固服務

針對鋼管制造企業(yè)生產網(wǎng)絡服務器操作系統(tǒng)、數(shù)據(jù)庫及應用中間件等軟件系統(tǒng)，通過強化帳號安全、修改安全配置、優(yōu)化訪問控制策略、堵塞漏洞及“后門”，合理進行安全性加強，提高其健壯性和安全性，增加攻擊者入侵的難度。

3.3.3.4 滲透測試服務

通過模擬黑客的攻擊方法，采用工具+人工驗證的方式對系統(tǒng)和網(wǎng)絡進行非破壞性質的攻擊性測試。該檢測方式能夠綜合驗證系統(tǒng)技術防護手段和安全管理手段的有效性，可以發(fā)現(xiàn)邏輯性更強、更深層次的弱點，讓管理者能夠直觀的了解自己網(wǎng)絡和系統(tǒng)的安全狀態(tài)。

3.3.3.5 基線核查服務

通過對鋼管制造企業(yè)網(wǎng)絡設備、安全設備、主機、系統(tǒng)及應用等進行基線的合規(guī)性核查，出具基線核查報告及建議；對于非標準系統(tǒng)，根據(jù)系統(tǒng)特點進行人工核查，并協(xié)助客戶定制基線標準；通過全局的安全基線核查，掌握網(wǎng)絡整體安全現(xiàn)況；依據(jù)安全基線核查結果與客戶業(yè)務模式特點，提供有針對性的安全修補建議，防止安全隱患再次被利用而產生的安全危害。

3.3.3.6 駐場服務

通過派遣專業(yè)的安服工程師為客戶提供駐場服務，定期向客戶工作人員提交網(wǎng)絡的安全狀態(tài)報告，幫助客戶實現(xiàn)安全動態(tài)的實時監(jiān)控，突發(fā)事件的應急處置、針對當前安全問題的安全建議，幫助客戶了解掌控網(wǎng)絡安全風險，保障網(wǎng)絡的安全運行。

3.3.4 安全運營體系設計

3.3.4.1 技術架構

平臺整合了終端、應用系統(tǒng)、數(shù)據(jù)流量等各類感知數(shù)據(jù)源，采用大數(shù)據(jù)分析挖掘技術，使用智能算法和安全模型，將看似毫無聯(lián)系、混亂無序的各類安全數(shù)據(jù)轉化成直觀的可視化信息，實現(xiàn)威脅發(fā)現(xiàn)、精準預警和綜合安全防護。

其中數(shù)據(jù)采集層通過資產發(fā)現(xiàn)、脆弱性檢測、流量審計等各類探針對被監(jiān)管網(wǎng)絡的資產、脆弱性、流量、日志等工業(yè)安全數(shù)據(jù)進行檢測和收集，安全數(shù)據(jù)經過數(shù)據(jù)匯入后存儲到存儲計算引擎中，核心業(yè)務對工業(yè)安全數(shù)據(jù)進行分析后形成安全態(tài)勢和安全風險通過集中展示層展現(xiàn)給客戶，所有工業(yè)安全風險可以通過安全處置子系統(tǒng)進行多人協(xié)同處置。

圖 10  平臺技術架構

3.3.4.2 安全設計

在運維管理區(qū)部署工業(yè)互聯(lián)網(wǎng)態(tài)勢分析與安全管理系統(tǒng)，將鋼管制造企業(yè)生產網(wǎng)絡內所有安全設備采集到的流量信息、人員操作行為、異常告警信息進行統(tǒng)一收集和整理分析，進而掌握整個企業(yè)生產網(wǎng)絡中存在的安全隱患和風險，通過對行為內容進行建模分析，評估當前網(wǎng)絡的安全風險指數(shù)和潛在的受攻擊路線信息，結合對安全告警事件的種類、次數(shù)、等級的安全態(tài)勢分析，自動生成一套符合當前安全需要的安全防護策略建議?；诎踩雷o策略，衍生出當前的安全預警分析基線，對于明顯不符合當前網(wǎng)絡操作行為，做到事前有效預警和事中及時防護，減少不必要的生產損失。

同時，系統(tǒng)可實現(xiàn)安全事件追溯功能，結合機器自學習的方式以及安全漏洞庫和攻擊特征庫等，有效識別、跟蹤分析和判斷各項操作行為和動作的合規(guī)性與安全性，對于超出當前安全基線的行為提供全程的行為審計和事件還原能力，為安全管理人員提供高效的安全事件追溯功能。

3.3.4.2.1 威脅識別與預測

通過將功能安全數(shù)據(jù)、信息安全數(shù)據(jù)與生產過程中的重要監(jiān)測數(shù)據(jù)相互結合，形成面向系統(tǒng)、業(yè)務、威脅等狀態(tài)的多維度關聯(lián)性安全分析，并將安全措施與工業(yè)控制過程深度融合，實現(xiàn)安全威脅的快速預測、處置及管理。         

圖 11  威脅識別與預測

3.3.4.2.2 安全事件閉環(huán)處置

通過關聯(lián)分析系統(tǒng)日志、運行狀態(tài)、安全日志、告警信息等數(shù)據(jù)，實現(xiàn)安全事件識別，并結合業(yè)務模型、安全模型及最新的網(wǎng)絡安全威脅情報等信息，準確及時地發(fā)現(xiàn)各種潛在威脅和攻擊，進行威脅快速定位及事件取證，采取有效處置措施，最終實現(xiàn)安全處置的閉環(huán)管理。        

圖 12  安全事件閉環(huán)處置

3.3方案創(chuàng)新性

n  面向生產網(wǎng)絡漏洞利用攻擊的輕量級靶向性虛擬補丁

通過構建控制系統(tǒng)檢測引擎，并結合規(guī)則庫分級分類、漏洞規(guī)則庫新增等技術手段實現(xiàn)在網(wǎng)絡層面對于漏洞的加固，同時采用靶向性的技術手段避免了高延時、誤報的問題形成對鋼管制造企業(yè)生產網(wǎng)絡已知漏洞的安全閉環(huán)。

n  基于數(shù)據(jù)變化率檢測的控制領域信息安全行為識別方法

通過對鋼管制造企業(yè)生產網(wǎng)絡中流量的數(shù)據(jù)報文進行完整性還原,識別報文中的控制指令依據(jù)業(yè)務的通信行為與指令進行關聯(lián)分析，并建立業(yè)務的控制行為基線，通過行為基線構建深度分析體系，同時與態(tài)勢感知安全信息進行匹配分析，識別異?？刂菩袨椤?/p>

n  采用基于數(shù)據(jù)字典的行為內容識別技術

在對工業(yè)協(xié)議、工業(yè)通信原理的分析基礎之上，在其中加入通信主從站間數(shù)據(jù)字典能力，將報文監(jiān)測的信息與物理數(shù)據(jù)信息進行關聯(lián)，進而實現(xiàn)對數(shù)據(jù)處理權限的控制，解決了僅通過對通信報文監(jiān)測，無法獲取數(shù)據(jù)信息的難題。

n  雙安融合應用

方案創(chuàng)新性將信息安全與功能安全相互融合，將功能安全產生的信息作為數(shù)據(jù)支撐，利用信息安全中的技術優(yōu)化功能安全的過程通信傳輸過程，將分析處置對象從寄存器轉變?yōu)槲锢碜兞?，在構建通信傳輸信息安全能力的同時保障通信業(yè)務功能的安全可靠。同時將安全管理技術與運營分析技術進行融合，通過功能安全數(shù)據(jù)、信息安全數(shù)據(jù)與生產過程中的重要監(jiān)測數(shù)據(jù)相互結合，擴大分析所采用的數(shù)據(jù)范圍，構建工業(yè)流程模型，進行基于模型的檢測，判定安全運營狀態(tài)，保障企業(yè)安全運營。

3.4 存在的網(wǎng)絡安全問題及解決思路

ü  兩化融合致生產網(wǎng)絡安全風險劇增

通過在生產網(wǎng)絡邊界采取邊界隔離措施，明確網(wǎng)絡邊界，配置不同安全域間訪問控制策略，對非授權或越權跨越邊界行為阻斷報警，解決網(wǎng)絡安全風險蔓延的隱患。

ü  工業(yè)主機惡意程序影響業(yè)務正常進行

操作員站、服務器等主機部署“白名單”安全防護軟件，通過白名單防護、外設管理、基線加固等措施，提升工業(yè)主機安全防護能力。

ü  網(wǎng)絡攻擊行為易造成業(yè)務中斷

在生產網(wǎng)絡邊界采取入侵檢測措施，發(fā)現(xiàn)控制網(wǎng)絡入侵攻擊、異常流量等安全威脅，對外來威脅及時告警，以便立即采取技術措施，防止業(yè)務中斷。

ü  操作行為不規(guī)范易導致生產業(yè)務停滯

應用工業(yè)安全監(jiān)測審計手段，針對區(qū)域內操作站、PLC異常通信、違規(guī)操作、協(xié)議規(guī)約異常以及關鍵事件等告警、記錄。

ü  安全漏洞致網(wǎng)絡攻擊行為發(fā)生

應用脆弱性檢測技術，定期開展針對生產網(wǎng)絡非運行狀態(tài)及未上線前主機、應用及控制器脆弱性掃描，實現(xiàn)對生產網(wǎng)絡及系統(tǒng)脆弱性識別。

ü  缺乏統(tǒng)一安全運營操作平臺導致安全運維效率低下

應用集中管控技術，對工業(yè)防火墻、工業(yè)入侵等安全設備進行統(tǒng)一策略下發(fā)，提高整體安全運維效率。

ü  安全盲區(qū)易導致攻擊行為趁虛而入

搭建工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺，從全局視角實現(xiàn)企業(yè)網(wǎng)絡安全風險管控和運營分析管理，解決安全盲區(qū)問題。

4、應用價值與效益

n  減少網(wǎng)絡安全問題導致企業(yè)停工停產帶來的經濟損失

通過建立工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺，可實時監(jiān)測鋼管制造企業(yè)生產網(wǎng)絡關鍵節(jié)點的安全風險和脆弱性，對發(fā)現(xiàn)的重大威脅提前進行安全風險預警，有效提升鋼管制造企業(yè)應對網(wǎng)絡攻擊風險的能力，減少因為網(wǎng)絡安全問題導致企業(yè)停工停產帶來的經濟損失，保證生產業(yè)務的連續(xù)性、安全性。

n  提升對安全事件的處置效率

通過建立工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺，幫助客戶打破安全數(shù)據(jù)交互壁壘，統(tǒng)籌安全能力，形成以漏洞管理、基線管理、事件管理、風險管理等多方面的安全合力，通過分析處理海量安全數(shù)據(jù)，挖掘數(shù)據(jù)真正價值，使得客戶網(wǎng)絡安全事件處置效率提升98%。

n  動態(tài)進行安全防御，提升安全事件響應速度

通過聯(lián)動網(wǎng)內各類安全設備，可以對發(fā)現(xiàn)的安全問題快速定位，并制定有效的安全防御手段，利用系統(tǒng)的安全策略集中管理能力，可以動態(tài)調整設備安全策略，快速封堵安全漏洞，及時處置安全事件，最大程度的降低事件影響范圍。