★ 北京神州绿盟科技有限公司

1 项目概况

1.1 项目背景

为深化落实国家局转发的通知中（国烟办综〔2016〕257号）进一步加强行业工业控制系统网络安全管理及要求，《国家烟草专卖局办公室关于卷烟工业企业信息化建设的指导意见》，以及“工业互联网+安全生产”行动计划，乌鲁木齐市烟草局以烟草物流场景为试点，展开工业安全建设工作。首先以分级分域、全面建设、动态调整、综合防范为原则打造乌鲁木齐烟草局工业安全态势感知平台，并最终建成全场景、可信任、实战化的安全保障体系。

1.2 项目目标

本项目选用物流安全场景为试点，通过本次安全建设，将依据烟草行业网络安全总体策略“分级分域、整体保护、积极预防、动态管理”，建立适合乌鲁木齐市烟草局自身的信息安全保障体系模型和框架，并建立乌鲁木齐市烟草局信息安全策略体系，明确信息安全各项工作所需遵循的基本原则和方针，为后续烟草行业工业安全态势感知建设的复制和推广提供依据。

（1）分级分域：根据信息系统运行安全需求、数据和信息内容安全需求，以及应用范围，确定信息系统的安全保护等级，划分信息系统运行环境的安全域，针对不同安全域制定相应的分项安全策略，实行等级保护。

（2）整体保护：按照相互关联、相互均衡的原则，在网络以及信息系统运行应用的各环节，全面部署防攻击、防病毒、防篡改、防瘫痪、防窃密等技术安全设施，并按照组件化、平台化、集成化技术路线进行整合，实现协同防御。

（3）积极预防：加强对重要信息技术产品的漏洞和后门程序检查，定期开展风险评估工作；坚持安全保障和运维保障一体化建设与管理，运用信息化监控手段，全面感知安全状态，提高安全事件预警化能力，增强应急处置能力。

（4）动态管理：紧密跟踪行业信息化发展变化情况与网络安全攻防技术的发展状况，适时调整、完善和创新安全管理方法，持续提升、改进和强化技术防护手段，保证行业网络安全水平与行业信息化发展水平相适应。

2 项目实施

针对工业控制网络安全现状，建议通过工业控制系统安全风险评估和安全产品部署相结合，通过专业的工控安全监测产品，使工业控制系统安全防护能力显著提升，进而逐步实现安全技术能力、安全管理能力的全面提升，实现管、控、防一体化。具体功能如下：

2.1 全流量学习

工业网络中设备众多，网络通信复杂，用户很难全面掌握网络中所必须的业务通信需求，这给安全设备的规则配置带来很大的困难。为了方便用户进行异常行为检测规则的配置，提高规则配置的准确性，减少规则配置的工作量，工控安全审计系统检测采用全流量学习。如图1所示，该功能采用被动检测的方式从网络中采集数据包，并进行数据包的解析，智能地与系统内置的协议特征、设备对象等进行匹配，生成可供参考的网络交互信息列表，帮助用户以最便捷的方式了解和掌握网络中的业务通信状态，发现网络潜在的安全风险。

图1 全流量学习

2.2 工控协议深度解析

基于对工控环境的理解，本项目针对工控环境使用的规约进行了相关的分析和研究，对协议的内容进行了完全的解码，可以深入到指令级别的分析，对从上位机控制端到下位机操控指令进行了有效的合规性定义。通过镜像方式对流量进行深入解码，分析其中的操作是否符合定义的操作要求，如发现其中有任何的违规操作，及时进行报警，由管理员来进行相关的处理。

工控协议深度解析如图2所示。

图2 工控协议深度解析

2.3 工控网络异常行为监测告警

针对不同客户在审计工控中的需求，针对工控协议的操作指令进行有效的识别，定义其中存在的高危操作，并能够及时进行报警。

异常行为告警包括：任何外接设备入场告警；模型内设备间不符合模型访问时间、频率告警；模型内设备间不符合基线原行为操作告警；模型内设备间不符合基线原行为路径操作告警等。

图3 工控网络异常行为监测告警

2.4 入侵检测智能协议识别和辅助规则生成

工业网络中设备众多，网络通信复杂，用户很难全面掌握网络安全状态。在工控安全审计中融合入侵检测规则，通过全流量的自学习功能，自动调用相匹配的协议检测规则，从而进一步发现通信流量中的攻击行为。

2.5 传统IT网络行为审计

在生产网中，由于业务需要，往往流量中包含传统IT协议，产品功能上也支持对传统IT网络环境使用的HTTP、FTP等协议的文件传输进行审计，支持对TELNET、FTP等业务操作进行命令级审计，从而确保检测全面性。审计系统采用旁路部署，通过流量镜像的方式对工控网络进行全流量数据监听，不主动发包，对工控系统“无扰动，零风险”，不做网络的任何修改；可覆盖DCS网络、PLC网络、数控机床DNC网络等不同行业应用场景的工控系统。

图4 审计系统

2.6 工业安全综合预警

工业网络安全监测预警平台从工业控制系统安全的角度，对工控系统的各类IT和OT设备数据进行采集，包括业务设备日志采集、安全设备事件收集、网络流量数据采集、安全设备配置采集等功能。平台对采集得到的结果进行统一分析与展示，发现工控网络内部的异常行为，如新增资产、时间异常、新增关系、负载变更、异常访问等行为，实现对工控现场安全事件的预警与响应。

图5 工业网络安全监测预警平台

工业网络安全监测预警平台可以对工业网络中各类上位机服务器、工控终端、网络交换设备及工控安全设备进行集中化的性能状态监控、安全事件的集中展示、安全风险的评估、工控分区分域的健康等级，以及依赖于工控知识库的安全响应与处置。

2.7 全面的日志集中管理

支持SYSLOG、SNMPTrap、FTP、SFTP、JDBC、ODBC、Netflow等多种日志采集方式。支持但不限于网络设备，如上位机、工业安全网关、工控安全审计、主机安全卫士入侵检测等，并进行日志关联和量化分析。

图6 日志审计系统

2.8 可视化的综合态势管理

工业网络安全监测预警平台可以通过网络拓扑或直观呈现的方式表现网络环境及各设备的运行状态和安全状态，从而达到对工控网络中的各类设备进行集中的状态及性能监控的目的。目前主要通过定制化工控拓扑的方式来实现工控网络综合态势的管理和呈现，呈现在首页的工控网络拓扑可根据工业现场需求进行定制化的拓扑绘制。

同时，针对不同行业工业现场网络架构的特异性，平台内置具有行业特性的工控网络安全监控拓扑，用户可根据自身行业特点选择相应行业的网络拓扑结构，并在其基础上进行组态化的拓扑绘制，使最终呈现的工控网络拓扑符合展示及监控要求。综合态势管理还包括可视化的攻击链状况展示、风险仪表盘展示、告警事件类型分布展示、资产风险分布展示、最新安全事件列表等可视化模块。

2.9 强大的分析引擎

平台中预制关联分析引擎，预制引擎构成分析平台的核心功能并且对专项分析提供基础能力，如风险分析、脆弱性分析、态势分析、资产分析、攻击链条分析等。分析引擎采用的分布式设计能够进行横向扩展，面临工业网络数据量时能够实现按需扩展，将分析引擎分散到其他更多的机器中，实现按需进行计算资源扩展。

2.10 可靠的主机防护体系

工业控制系统中的监控主机、工程师站、操作站、数据服务器等设备进行安全加固的终端安全防护产品，针对工控终端业务环境相对固定、稳定第一的特点，系统采用了白名单机制，拦截一切未知程序和脚本的执行，既可有效抵御已知和未知的恶意代码，又规避了传统杀毒软件病毒库更新不及时的问题，从根本上保障主机运行环境的安全。主机防护体系如图7所示。

图7 主机防护体系

2.11 完善的漏洞管理流程

安全管理不只是技术，更重要的是通过流程制度对安全脆弱性风险进行控制。很多公司制定了安全流程制度，但仍然有安全事故发生。人员对流程制度的执行起到关键作用，他们如何融入管理流程，并促进流程的执行是安全脆弱性管理产品需要解决的问题。

图8 漏洞管理流程

安全管理流程制度一般包括预警、检测、分析管理、修补、审计等几个环节，结合安全流程中的预警、检测、分析管理和审计环节，并通过事件告警督促安全管理人员进行风险修补。

2.12 项目部署

系统采用分层模块化架构设计，各模块在业务功能逻辑上相互独立，采用松耦合接口方式进行数据交互，使得系统部署方式灵活，能适应各种用户网络场景。

部署图如图9所示。

图9 部署图

2.13 应用效果

（1）构建了以态势感知平台为核心的工业安全防护体系

覆盖评估、防护、检测及响应的安全体系，保障烟草物流系统全周期正常运行。工业安全网关提供从网络边界到终端的全方位安全防护，同时通过部署工控漏洞扫描系统和工控安全审计系统、运维审计系统实现资产和网络异常的检测和告警。工业网络安全态势感知平台从保障客户业务安全的角度，通过对安全设备的统一管理以及对工业网络日志、流量等各类数据进行采集、统一分析和展示，实现对工业网络安全事件的预警与响应。

（2）降低了烟草物流控制系统网络安全运维难度

工业网络安全态势感知平台通过自主学习能力，对烟草控制系统网络安全态势进行实时感知，结合匹配烟草业务场景的知识库，实现从防护、检测、响应到恢复的闭环安全能力，大大降低了烟草控制系统网络安全运维难度。

（3）提升了烟草物流系统网络安全防护水平

通过烟草控制系统纵深防御体系、动态检测体系、威胁管理体系、应急响应体系、组织体系及管理体系的建设，建立烟草风险识别能力、安全防御能力、安全检测能力、安全响应能力与安全恢复能力，实现了风险可视化、防御主动化和运行自动化的安全目标，保障了企业生产业务的安全。

3 案例亮点及创新性

3.1 深刻理解和有效适配了烟草行业工业控制系统业务场景

项目开创性地探索出烟草行业控制系统的有效网络安全整体解决方案，解决了传统烟草行业工业控制系统网络安全问题，提升了烟草行业工业控制系统网络安全防护水平，而且对国内其它烟草行业安全防护起到了很好的示范作用。

3.2 运用轻量化工控漏洞扫描技术

工控漏洞扫描系统独家采用了无损扫描技术，如图10所示，通过对支持的工控资产进行梳理和信息收集，工控漏洞扫描系统可以实现远程与非接触式的安全评估，在不影响业务的前提下完成漏洞扫描。

图10 工控漏扫系统

3.3 IT系统与OT系统漏洞扫描的全覆盖

根据不同的资产特性定制不同漏洞扫描策略。工业互联网与智能制造时代下，工业生产企业网络越发庞大复杂，多个网络层级为同一套业务平台进行支撑的情况也屡见不鲜，这要求我们的安全设备要有更强的兼容性。本项目中的漏洞扫描系统既能对传统的IT层主机发现、端口扫描及服务识别，也支持各主流数据库（Oracle、MySql、Postgresql等）漏洞扫描和虚拟化组件漏洞扫描，同时还覆盖SCADA、DCS、PLC等OT层应用系统。

3.4 安全运行体系整合

本项目中所使用的安全解决方案，是以平台为“大脑”的一体化安全解决方案。

根据信息安全保障体系框架设计，整合各类安全防护系统以及管理制度、运维流程，实现管理与技术的融合，并通过安全管控平台与运维平台整合，实现了主要安全管理工作的自动化，提高了管理效率。

采用数据采集技术、安全监控技术和漏洞扫描技术，实现对信息系统、人员操作行为及安全状况的整体监控，并能够利用大数据分析技术进行关联分析，实现准确、及时告警和集中展现。

《自动化博览》2023年1月刊暨《工业控制系统信息安全专刊（第九辑）》