★ 新华三信息安全技术有限公司

1 项目概况

1.1 项目背景

针对该轮胎企业各厂工控安全现状进行风险评估，结合评估结果进行整体方案设计。方案设计后首先对该轮胎各厂发现的高危风险进行消除，借助当前系统内现有安全措施或设备自带安全机制，通过漏洞修补、安全加固实现系统安全能力加固，并进行安全基础设施建设。围绕各类安全基础设施，逐步建立运行维护制度及应急响应体系，与此同时建立工业企业人员安全教育体系。方案建设完成后，确保工业企业各厂的安全技术、管理体系和人员水平得到提升。

1.2 项目简介

基于该轮胎工业有限公司及股份有限公司其他下属企业的工业网络安全防护需求，依靠工业信息安全保障建设框架，建设网络安全纵深防御体系框架，设计工业企业网络安全综合防护平台基础机构，建设安全态势感知与主动防御平台，建设工业企业安全运营与管理平台，提升轮胎制造业安全态势感知与主动防御能力，提升工业企业安全与运营管理能力，构建多层次、一体化工业网络安全防御能力，为工业企业的数字化转型升级提供保障。

1.3 项目目标

通过工业信息安全保障工作中所涉及的安全人员、安全技术、安全管理三个维度内容，从策略制定、评估分析、方案设计、工程实施、运行管理、应急响应和安全教育七个方面，针对企业工控安全建设制定全生命周期的方案。

2 项目实施

方案设计中按照企业工控安全方针策略，结合公司及各下属企业当前安全现状，以企业当前安全需求为出发点，为达成目标而合理规划企业工控安全建设内容、建设重点、建设顺序，形成合理的工控安全保障方案。

工程实施是将前期设计的保障方案中各项安全措施进行具体实现的过程，工程实施质量直接影响前期设计方案的实现效果。工程实施过程应由企业项目管理人员进行管理，本项目将委托第三方机构评价实施效果。

建设内容包括：纵深防护体系、综合防护平台和仿真验证体系。

构建基于主机安全、设备安全、网络安全、数据安全、内生安全的多层次纵深防御体系，形成工业企业安全防护服务能力。针对该企业工业发展现状，围绕“本质安全”“架构安全”和“行为安全”三个维度，将企业信息系统划分为4个不同层级的安全域。网络层级和安全域根据自身特点和重要性程度制定相应的安全防护策略，并结合安全管理和安全运维，构建全面防护且持续改进的纵深防御体系。

鉴于轮胎制造业企业在工业领域的至关重要性，在智能制造的重塑与改进下，要实施严格的访问控制策略、操作行为监管及审计机制，以确保在不同安全属性的系统和不同安全级别的安全域间进行安全的信息交换。

本项目通过部署工业安全网关、工业入侵检测平台、工业流量审计平台、主机加固软件、工业数据安全管理系统、企业互联互通平台通讯数据分析平台、企业互联互通平台通讯数据展示平台、隐私数据分发保障系统、高交互威胁狩猎与溯源系统及工业企业防火墙系统，完成纵深防御体系的建设。

综合防护平台的核心目标是提高企业的整体安全水平，提升运维效率，体现安全效果和价值。通过建设包括人员、工具、流程三大体系的安全运营中心，打造感知、分析、决策、响应4个维度的自动安全处置闭环能力。因此，整体思路和理念是：综合防护平台通过态势感知平台、主动防御平台和安全运营管理平台，提高“威胁感知、分析定位、智能决策、响应处置”的快速安全闭环能力，帮助工控企业实现安全效果，提升安全运维和安全管理效率，展现安全成果，最终实现“自动响应闭环、持续安全运营”的目标。

本项目具有实现工业现场威胁感知及主动防御能力，具备针对工业控制系统防恶意软件传播、防恶意控制指令、防边界渗透等安全防护能力。

通过在工业企业网络出口、工业网络内部部署工业互联网安全蜜罐，仿真正常运行的工业互联网设备或系统，可诱捕恶意网络攻击，及时发现在网络中传播的恶意代码病毒，溯源黑客组织，捕获恶意样本，提升工业现场威胁感知及主动防御能力。

面向工业企业工控设备的被动威胁监测及态势感知系统分为服务支撑、工控设备及业务仿真、威胁监测三部分。服务支撑部分提供流量重定向、数据采集、访问控制和数据分析功能；工控设备及业务仿真部分提供设备指纹、业务功能、通信协议和操作指令仿真功能；威胁监测部分提供攻击来源监测、恶意文件监测、攻击工具监测和攻击步骤监测功能。

2.1 入侵检测

威胁感知传感器具备入侵检测功能，可实时监控所有“影子系统”以及虚拟网络流量，自动检测可疑行为，分析来自网络外部的入侵信号和来自网络内部的非法活动，在攻击者攻击关键业务系统前发出警告，对攻击做出实时响应，并提供补救措施，最大程度地保障系统安全。

2.2 工控安全管理平台

在工业信息网络环境中做整体的安全防护，势必要掌握全网的运行状况与安全状况，要处理大量设备产生的安全数据和监控信息，要通过集中高效的告警机制快速发现、定位问题，并快速地处置安全故障和威胁，要解决工业企业信息安全集中监控与统一管理问题。

系统为三层的管理架构，最下一层为被保护的工业控制及管理环境设备对象，包括从生产管理层、MES层到控制层的各类设备，比如操作员站、工程师站、RTU、PLC、DCS等。

系统通过采集层对所有被保护对象进行集中的信息采集，包括收集网络中所部署的各类安全设备的事件及告警信息。该层提供丰富的数据接口，所采集的信息包括：资产、拓扑、性能、事件、漏洞、流量及工控指令等。同时，信息采集装置可以在复杂网络中分布式部署，并且对网络性能影响极小甚至无影响。采集到的所有信息都会进行预处理，将其转换为统一的内部格式，并提交给上层的核心功能处理层的相应组件进行处理和分析。采集层之上是数据处理与展示层，该层提供了系统的核心处理功能，主要包括了设备监控、安全信息管理、工控威胁管理和统一接口四大功能组块。设备监控功能组块主要提供了被监控对象的识别梳理和基础信息支撑，主要包括设备管理、工控拓扑构建、设备及链路性能状态监控，以及识别监测各工控设备的能力；安全信息管理组块提供了工控网中安全事件信息与漏洞信息的综合管理功能，主要包括安全事件的集中管理和查询、漏洞信息的集中管理、防护产品的安全信息管理及安全知识库功能；工控威胁管理组块综合了设备链路的监控以及各类安全信息，形成了面向威胁的展现和分析功能，主要提供了风险管理、工控业务健康度分析、关联分析以及KPI威胁分析等功能；统一接口组块综合了对外的各种接口，主要提供了对企业集中监控输出的告警接口、第三方防护产品信息采集接口及国家层面监控系统的探针管理与信息交换接口。

工控安全事件与报警管理系统由管理中心和采集器两部分组成。管理中心主要是数据处理与展示层功能，同时内置了事件采集、性能采集等采集器功能；采集器包括事件（日志）采集器、性能采集器及流量采集器。

2.3 资产发现

资产发现用于发现未在管理系统中的企业资产。通过系统用户手动、一键确认和自动确认，将识别到的资产加入企业新管控的资产。

2.4 资产监控

2.4.1 健康度模型

健康度模型用来评价资产的健康状态，健康度分为健康、过载和失联，如图1所示。健康状态不言而喻，表示资产运行状态良好；过载状态表示资产负载过高，系统持续运行有潜在威胁；失联代表资产处于不可达状态，已经无法获得资产的任何信息。

健康状态的评估标准因不同类型的资产而不一样，传统IT与OT对于资产健康状态的标准也不一样。相对而言，传统IT的资产健康状态主要聚焦于CPU、内存、磁盘空间和网络等维度。一般的评估健康度的方法要么片面地依赖某一指标或几个指标，要么与现实认识有差别。

图1 资产健康度评估流程图

本项目中的健康度模型综合各种维度的评估项，并经过现实验证，具有一定现实参考意义，评估的资产健康度基本靠近实际认知。

2.4.2 在线状态模型

系统的在线状态监控有几种通用实现模型：

（1）定期扫描或者探测；

（2）通过所接收的日志分析更新设备状态。

以上两种模型放置在工业环境中都有一定缺陷：定期扫描或者探测会消耗占用一段时间的网络带宽。

对于工业终端而言其较脆弱的协议栈以及处理能力，即使是简单的ICMP或者SYN探测都有可能导致其故障引发事故。

而通过日志分析更新设备状态，这就是一种M*N级别的低效分析，导致性能整体下降。而直接通过探针携带资产状态的方案，在一个资产被多个探针所管理时会出现状态不一致的错乱，进而导致一些异常分析。

本项目提出的是一种高低在线状态保护期的模型。通过探针携带设备心跳，设备分为在线、离线、脱管三种资产状态，分别代表设备在线、设备离线、设备已属无探针管理状态。从前到后，状态变迁优先级递减，而从后至前优先级递增，保证了在一定窗口保护期，有任何一个探针在管理这些资产时就能评估出更接近事实的状态。

2.5 互联监控

系统可对资产互联及区域互联情况进行监控。

（1）资产互联

资产互联展示的是所监控资产间的网络互联关系，并且可根据统计信息决策为黑名单（禁止）访问或白名单（允许）访问，如图2所示。

图2 资产互联

（2）区域互联

区域互联展示的是所监控逻辑区域间的网络互联关系，并且可根据统计信息决策为黑名单（禁止）访问或白名单（允许）访问，如图3所示。

图3 区域互联

2.6 资产画像

工控安全事件与报警管理系统可对资产进行画像。资产画像力图对所管控资产就资产的基础属性、运行信息、日志信息和异常信息建立全面的知识库，一目可了解资产的历史和当前信息状态。

（1）合规监控

依据工信部颁布的《工业控制系统信息安全防护指南》，以合规能力监控为目标系统逐项予以安全评估，并最终给予评分。参考防护指南评估引擎，数据来源于静态防护指南日志以及动态评估的防护指南相关日志予以评估后的数据，如图4所示。

图4 合规监控

（2）告警监控

工控安全事件与报警管理系统可对告警进行监控，通过告警行为发现系统的异常。系统为避免重复告警导致待处理告警数目过多，对告警数据做了聚合，同时兼顾了时间要素，保证最新触发的告警排序靠前。告警需进行确认后才会消失，如图5所示。

图5 告警监控

（3）大屏监控

大屏监控以大屏监控全网为视角，动态体现全网、厂区、资产信息以及防护信息日志和告警日志，如图6所示。

图6 大屏监控

2.7 工业探针管理

工控安全事件与报警管理系统可对主机探针、PLC探针、网络探针、远程探针以及多源探针进行管理。

（1）主机探针管理

主机探针管理提供了主机探针的主动注册（自动发现探针）、软件上传及下载。

（2）PLC探针管理

发现探针），关联或注册所采集资产。PLC探针主要提供了PLC探针的主动注册（自动

（3）网络探针管理

网络探针主要提供了网络探针的主动注册（自动发现探针）、资产间网络互联黑白名单管理、区域间网络互联黑白名单管理。

（4）远程探针管理

远程探针主要提供了远程探针的主动注册（自动发现探针），关联资产。

（5）多源探针管理

多源探针主要提供了多源探针的主动注册（自动发现探针），以关联资产。

2.8 工业日志聚合

（1）多源日志收集

工控安全事件与报警管理系统通过主机、PLC、网络、远程以及多源探针进行工控系统内各类设备日志收集并进行归一化处理，供后续分析、处理、记录。

（2）日志审计

工控安全事件与报警管理系统可对工控系统内各类设备日志进行审计。通过日志查询系统可以查询到资产名、资产IP、资产类型、事件时间、分类、等级、摘要等日志信息。

（3）日志管理

日志管理主要提供对存储的审计日志导出、导入，设定磁盘空间阈值清理日志，定期自动备份日志。

（4）日志异常分析

工控安全事件与报警管理系统可对日志异常进行分析，包括潜在危害、异常行为等。

3 案例亮点及创新性

安全基础设施建设完成后，进入运行维护阶段。工控安全运维工作可通过建设安全运营管理平台提高运维团队运行维护能力。

安全运营管理平台包括以下功能：工控设备管理、安全事件管理、日志管理、脆弱性管理等。

《自动化博览》2023年1月刊暨《工业控制系统信息安全专刊（第九辑）》