★首钢京唐钢铁联合有限责任公司

1　方案目标和概述

随着国家“智能制造”、“互联网+”、“工业互联网”战略的持续推进，冶金行业迎来了新一轮发展机遇，融合数字化、网络化、智能化的先进生产系统，使原本相对独立的DCS、PLC、仪器仪表等控制系统通过网络连为一体，实现对工业生产、能源管理、业务调度的扁平一体化管理。

但由于大量信息系统和新兴技术的应用，也使工业行业面临着普遍历史性和新兴技术带来的双重安全风险威胁。工业行业普遍存在历史性、系统性存量网络安全问题与5G、云计算、大数据、物联网等新兴技术应用带来的新风险新问题的叠加，形成更为复杂严峻的网络安全挑战和现实威胁。

本方案针对工业控制网络面临的安全问题，采用了工业自适应综合防护技术形成纵深防御体系，以加强和提升工业控制网络的安全防护能力。具体目前如下：（1）通过执行单元组件，对工业控制系统中访问控制、协议指令、勒索病毒、未知病毒、进程安全、流量异常等威胁进行安全防护与行为监测。

（2）通过工业自适应综合防护技术，对工业控制系统全网资产资源、安全资源、数据资源进行整合，有效联动，结合威胁情报各安全资源进行智能持续分析决策，预判系统薄弱点与被攻击方向，实现全局性质的安全监测预警和动态防护。

（3）通过基于工业安全自适应综合防护技术平台的建设，针对目前网络中存在的已知威胁进行检测分析，对未知威胁进行监测和智能分析，通过全天全方位监测与分析工业控制系统的网络与主机安全，实现防护、监测、响应为一体的三层闭环防护体系，建设工业网络的“大脑”，为工业网络安全保驾护航。

2　方案介绍

本方案通过网络执行单元、流量执行单元、主机执行单元对整个工业自动化控制网络中的行为与流量进行防护、监控、采集、传输。结合自适应平台对采集到的数据进行整合、分析。形成警告快速处理、快速配置和工业网络安全全局可视化的管理界面，最终构建一个可感知、易运营的分布式多元安全组件的自适应平台。实现预判攻击、事件防御、实时监测、快速响应的自适应安全技术方案。

图1 方案架构图

2.1　执行单元

2.1.1　网络执行单元网络执行单元支持工业协议的深度解析功能。可广泛应用于工控网络边界防护、区域防护、重要监控系统、控制设备防护等场景，有效解决工业企业工控系统组网安全、信息孤岛、控制指令不可信、网络数据不安全、网络数据采集以及合规性等问题，为工业安全智能综合防护平台提供高性能的网络防护。支持ModbusTCP、OPC、IEC60870-5-104、SiemensS7、EIP等多种工业协议。

具备工控协议指令级“4S”深度防护专利技术，支持多种访问控制规则、协议深度分析、VPN、流量控制、安全审计等安全防护功能，且具备Dos、ARP攻击防护和自身访问控制功能，可有效保障自身和工控网络的双重安全。

针对首钢京唐现如今网络情况，本方案利用网络执行单元如下技术对首钢京唐网络进行了全面的网络安全防护：

（1）“4S”深度防护技术针对首钢京唐一二级工业网络协议的类型及分布特点，通过广泛的协议收集和逆向分析，形成了基于白名单的工业指令级“4S”深度防护技术。

此技术从工业协议的“规约符合度即完整性”、“功能码”、“地址范围”和“工艺参数范围”等维度，逐步深入对工业协议应用层全字段进行解析和过滤，可有效阻断病毒、木马等恶意软件攻击与传播，无需借助病毒库、漏洞库、入侵库，无误杀误报，真正适用于一线工业生产网络。

图2 4S深度防护技术原理图

（2）工业协议自定义技术

由于历史原因和控制系统厂商限制，一二级工业网络内存在大量私有协议和非公开协议，综合项目进度和成本等因素无法实现对所有协议的全部内置。本项目首创工业协议自定义技术方法，针对私有协议和系统没有内置的工业协议可进行快速自定义添加，从而保障系统的广泛适应性。

工业协议自定义技术分为工业协议特征识别和工业协议指令级深度防护两类场景。

（3）OPCNAT转换技术

OPC协议基于微软的OLE、COM和DCOM等技术，在通讯过程中通过传统NAT仅替换IP数据包的IP地址及端口，不能实现业务通讯，因为OPC协议的连接信息在OPC协议应用数据中，必须将应用数据中的相关信息也进行类似的NAT转换，才能实现OPC应用的正常工作。

本项目在工业协议深度解析的基础上，可对OPC协议的通讯和连接过程进行持续监视，通过对OPC客户端与服务器远程调用过程的持续解析，实现OPC端口的动态开放，保证OPC通讯端口打开数量的最小化，解决传统防火墙无法对OPC协议进行有效防护的问题。

与此同时，系统深度分析OPC协议的应用层数据，根据配置将OPC协议应用中的连接信息进行替换，实现：拆包-替换-封包的功能，达到OPC应用NAT的功能，可以有效的隐藏真正的服务器信息，有效解决当前一二级网络OPC数据采集与同网段地址冲突等组网问题。

2.1.2　主机执行单元

主机执行单元自动适配所有版本的windows、Linux系统物理机、虚拟机。运行稳定、消耗低。从而实现对主机异常的采集、分析、存储并由平台进行告警、防护、学习等响应实施动作，执行其下发的任务，主动发现主机问题，实现工业部分主机系统过于老旧无法防护与数采问题。

针对首钢京唐现如今网络情况，本方案利用主机执行单元如下技术对首钢京唐网络进行了全面的网络安全防护：

（1）智能化补丁与软件更新技术

白名单生成：通过一键固化，自动扫描功能，建立白名单

白名单导入导出：提供白名单的导入导出功能

白名单的手动更新：支持告警程序的一键加白；支持基于目录的程序扫描追加；

手动软件更新：支持本地手动安装软件，并追加更新的程序到白名单库中；

软件智能更新：支持基于软件更新平台的自动化软件更新和基于信任软件库的软件更新场景下的更新程序自动追踪，并添加到白名单中，不影响更新后软件的使用；

补丁智能更新：支持操作系统的补丁更新，系统后台智能跟踪更新过程，并将更新文件追加到白名单库中。

白名单技术是一种相对于黑名单的安全技术，借助可信机制将“白”程序、“白”网络、“白”外设等通过算法生成白名单库，只有在“白”库内的应用或流量才可运行或通过。随着首钢京唐生产业务的持续发展，一二级主机存在系统和工业控制软件更新等场景，本项目通过智能化补丁与软件更新技术，可对系统更新和软件更新安装过程进行智能化追踪与捕捉，从而实现白名单库的动态、自动化更新管理。

（2）轻量化资源需求与广泛的系统支持技术

设备管理：设置硬件USBKey设备的用户名称，安全事件追踪到指定责任人。

口令重置：在硬件USBKey设备因口令错误锁定后，进行口令重置等操作后恢复使用。

用户绑定：将硬件USBKey设备与操作系统内的用户关联，一个设备仅能关联一个用户，且只有关联的用户才允许登录。

登录增强：操作系统用户在登录系统、解锁系统、切换用户等操作时，必须验证USBKey设备口令通过后，才能进行密码验证，实现登录等功能。

（3）已知与未知威胁主动防御技术

①阻止已知病毒及其变种

系统针对工控网络中的主机（操作员站、工程师站、服务器各类终端），提供贴合一二级生产主机特殊需求的安全防护，不影响原有业务的运行；为保障关键业务的运行，可建立稳定的运行环境，同时有效遏止至今已经爆发的工控病毒（如“震网”、Havex、“勒索”等）及其变种的运行。

②防范未知的威胁，不需要额外的成本

主机执行单元通过建立稳定的计算环境，能对未知的病毒“免疫”。无论是黑客通过社会工程学的方式，还是利用零日漏洞的高级可持续性威胁攻击，都无法侵入可信的计算环境。主机执行单元不需要做任何更新就能抵御不明的攻击行为，没有软件更新和维护成本。

传统防病毒方案以“病毒库”为核心，需保障及时的库更新才能有效发挥杀毒作用，更新周期需保持为小时、天级，但由于“病毒库”技术是一项滞后于病毒发现的技术（即在发现某类病毒并分析完成后，才可对其进行防护与查杀），导致无法对未知或在野病毒进行有效防护，本项目采用“白名单+可信机制”进行主机防护。

2.1.3　流量执行单元

流量执行单元，是一款专门针对于工业控制网络的数据安全产品。以工控协议指令级“4S”深度检测技术为技术核心，支持多种工控协议（ModbusTCP、OPC、IEC60870-5-104、SiemensS7、EIP等）的深度报文解析，通过建立工控网络安全通信矩阵，实时发现恶意指令、破坏行为、违规使用等安全事件，能够持续收集并通过固定端口向Sever端上传的所有日志。从而实现平台对工控网络数据的采集、分析、存储并由平台进行告警、防护、学习等响应实施动作。

流量执行单元的功能如下：

（1）流量异常检测

（2）实时流量审计

（3）实时网络连接审计

（4）实时主机数量审计

（5）基于业务的安全审计

（6）协议内容审计及工业协议深度解析

（7）日志审计

（8）通信管理

2.2  工业自适应平台

作为核心平台的信息处理中枢，支持横向扩展分布式部署，能够持续分析检测从各个执行单元上接收到的信息和行为并进行保存，可从各个维度的信息中发现漏洞、弱密码、工业网络薄弱点等安全风险和Webshell写入行为、异常登录行为、异常网络连接行为、异常命令调用行为、工业协议篡改、入侵攻击等异常行为，从而实现对入侵行为实时预警与防护。

图3 工业自适应平台

在工业网络生产管理层或过程监控层部署工业自适应平台，对全网各节点安全检测执行单元的数据进行收集，采用分布式计算和搜索引擎技术对所有数据进行处理，能够支撑大并发量计算及查询的业务需求，并通过可视化的形式为用户呈现网络业务资产及针对网络关键业务资产的攻击与潜在威胁。

根据工业安全态势感知平台功能特点，本方案将安全分析引擎与平台方案划分为多元数据采集、信息理解分析、态势可视化呈现三个过程单元。

2.2.1　多元数据采集

工业网络安全数据通过部署在各厂区的网络执行单元、流量执行单元、主机执行单元进行采集、初步分析和上传，平台以资产为核心进行数据收集、存储、分类，以备进一步安全分析与应用。

通过对工业网相关数据进行采集，形成统一的数据池，为后续的安全分析和态势感知提供基础支撑，由于数据采集方式的不同，以及相关设备的部署位置区别，将数据采集分为如下几个方面：日志数据采集、流量信息采集、其他系统数据采集。安全数据通过各类分布式执行单元采集完成后，采用加密的方式传输至自适应平台系统。

2.2.2　信息理解分析

理解分析过程包含数据标准化处理、数据存储、数据安全分析三部分。

（1）数据标准化处理在海量的原始数据中存在着大量的不完整（有缺失值）、不一致、有异常的数据，严重影响到数据挖掘建模的执行效率，甚至可能导致挖掘结果的偏差，所以进行数据清洗显得尤为重要，数据清洗完成后接着进行或者同时进行数据归一化、集成、变换等一系列的处理，该过程就是数据标准化处理。

数据标准化处理将传输至平台的安全数据按统一标准进行数据清洗、数据归约、归一化和富化后进行存储和分析。

（3）数据安全存储

工业自适应平台采用大数据架构，而数据存储是大数据的核心，针对结构化数据及非结构化数据实现数据集中存储、管理与维护，能够支持数据缓存、数据存储、数据索引、数据分析等。数据存储支持分布式存储系统，为采集到的企业网各类数据提供各种存储接口实现对数据的快速写入、读取等。分布式存储要实现结构化数据、半结构化数据的存储，同时要保证数据存储的可靠性，保证数据高效可靠存储。

工业自适应平台可对多源异构的海量数据进行存储，支持对原始数据文件的分布式存储，支持文本、键值对、对象等多种数据特征的存储，最终满足业务系统复杂数据源类型的存储需求。平台支持对结构化数据、半结构化数据和非结构化数据的存储，支持可伸缩的分布式数据存储架构，满足数据量持续增长需求，支持集群的计算资源管理。

（3）数据安全分析

数据安全分析是工业自适应平台的核心部分，数据安全分析通过关联分析、场景分析、数据统计分析、机器学习等分析引擎发现安全事件。发现的安全事件将通过安全事件检测、安全事件响应机制反馈到业务层中相关应用进行人机交互。

①关联分析引擎

关联分析是数据挖掘中一项基础又重要的技术，是一种在大型数据集合中发现变量之间复杂关系的方法。关联规则其实是两个项集之间的蕴涵表达式。如果我们有两个不相交的项集X和Y，就可以有规则X→Y。项集和项集之间组合可以产生很多规则，但不是每个规则都是有用的，关联分析可在一些限定条件来帮助我们找到强度高的规则。

工业自适应平台关联分析引擎能够在大数据量级下，对数据进行实时关联分析。支持接入各种类型和维度的数据，并支持对输出结果进行回注分析。关联分析引擎提供如下计算单元：日志过滤、日志连接、聚类统计、阈值比较和序列分析，可通过组合计算单元来实现自定义威胁事件发现规则。提供丰富的语义，包含统计、基线、关联和序列等，以覆盖各类安全场景的威胁建模和发现。

②场景分析引擎场景是指在特定的主题下，通过引擎的一系列图、表等可视化手段，依据攻防等经验构造的数据展示形式。旨在提供多维视角来查看相关数据，为发现、判断网络安全问题提供帮助。解决了规则判定时，无法确定具体阈值的问题，可根据自己网络特点和经验进行判断。

场景化分析采用插件式架构，分为输入插件、场景分析插件、输出插件三种插件。

输入插件：为场景化分析提供数据源，根据英赛克大数据平台中数据存储模块的设计，数据将存储于数据平台中，各个场景化可通过配置一个输入插件获取数据源，各输入插件相互独立。

场景分析插件：各场景化分析核心逻辑，它们根据输入插件而获取的数据源进行分析，并根据输出插件，输出结果并保存，中间结果（如缓存内容）由场景分析提供接口。

输出插件：用于保存场景分析插件分析而得到的最终结果。

③机器学习引擎

机器学习可以概括为“使用正确的特征来构建正确的模型，以完成既定的任务”。特征（feature）是一种对问题域中相关对象的描述，一旦获得对问题域中对象的某种恰当的特征表示，我们便不必再去关注这些对象本身。任务（task）是对我们所期望解决的、与问题域对象有关问题的一种抽象表示（例如两类或多类分类问题）。许多任务都可以抽象为一个从数据点到输出的映射，我们将这种映射称为模型（model），而这种映射或模型本身又是应用于训练数据的某个机器学习算法的输出。

④数据统计引擎

日常的安全分析中经常会使用各种统计手段，传统系统中经常使用简单的SQL语句来完成相关数据库日志的处理。但是在海量数据情况下，利用SQL已经不再可能，而大数据平台所提供的批处理手段虽然能够实现数据统计，但往往需要等待很长时间，无法满足实时安全分析与响应的需要。

工业安全态势感知平台基于搜索基础之上开发了实时的统计分析功能，该功能可以针对日志的某一字段进行数据归并，并在以此数据为主键的前提下对其他字段进行包括计数、排序、累加等相关操作。保证了在相对较小数据量的情况下可以快速反馈相关结果，为仪表板、调查分析等上层安全应用功能的使用提供了强有力的帮助。

同时为了应对大时间范围数据的统计需要，工业安全态势感知平台也支持批量定时的统计任务，相关功能被报表应用使用的最为广泛。

系统支持对资产、漏洞、告警自定义各种维度的可视化统计分析，这些维度包括资产组、资产操作系统类型、资产责任人、资产厂家、IP地址、漏洞编号、告警类型、告警状态等，可以进行两个维度的对比使用，统计出所关注的各种维度的数量等信息。可以生成各种所需维度的视图并进行展示，展示方式包括统计视图，视图种类包括柱状图、折线图、条形图、面积图、饼图、词云图、玫瑰图、表格等。同时自定义的可视化视图可以被仪表板及报表系统调用。针对告警用户可以指定告警加白策略，指定哪些条件下的告警内容不进行告警展示。

2.2.3　自适应安全评估

（1）威胁评估

结合聚类分析、关联分析和序列模式分析等大数据分析方法对发现的恶意代码、流量信息等威胁项进行跟踪分析。利用相关图等相关性的方法检测并扩建威胁列表,对网络异常流量、网络异常行为、已知攻击手段、组合攻击手段、未知漏洞攻击和未知代码攻击、APT攻击等多种类型的地铁网络安全威胁数据进行统计建模与评估。只有通过安全威胁评估，才能完成从数据到信息、从信息到网络安全威胁情报的完整转化过程,才能做到对攻击行为、网络系统异常等状况的及时发现与检测预测,实现全貌还原攻击过程、攻击者意图目的,客观评估攻击投入和防护效能,为威胁溯源提供必要的线索支撑。

（2）自适应评估

以工业网络安全事件监测为驱动,以安全威胁线索为牵引,对安全相关信息进行汇聚融合,将多个安全事件联系在一起进行综合评估与决策支撑,实现对整体网络安全状况的判定。

对安全事件尤其是对工业网络空间安全相关信息进行汇聚融合后所形成针对人、物、地、事和关系的多维安全事件知识图谱,是安全自适应分析的关键。工控安全自适应与决策支撑技术从“人”的角度评估攻击者的身份、团伙关系、行为和动机意图；从“物”的角度评估其工具手段、网络要素、虚拟资产和保护目标；从“地”的角度评估其地域、关键部位、活动场所和途径轨迹；从“事”的角度评估攻击事件的相似关系、同源关系。

（3）自适应防护通过结合工业协议分析、威胁评估、自适应评估等所有安全分析与评估结果，对工控网络进行综合评估，并对其网络薄弱点、事件发生、疑似威胁点采取对应的防护措施，下发任务给执行单元，并作出相对应的告警通知。

3　代表性及推广价值

该项目实施前，工控系统网络安全防护采用传动模式，即工程师站、操作员站、HMI服务器、数据服务器、工艺服务器、模型服务器等安装赛门铁克、诺顿等主流通用型杀毒软件，按授权时间费用不等，软件授权到期后更新授权、更新病毒库需再次发生费用。项目实施后，主要经济效益包括两部分：

目前公司工控系统主机配置共1478台/套，基本处于无防护状态，若按集团系统优化部要求配备赛门铁克杀毒软件（系统中赛门铁克端点安全12.1版、50用户、3年升级服务价格为21800元），年均节约费用为：1478×21800/50/3=21.48万元

项目实施后完成了公司工控系统主机防护和关键网络隔离，能够保障公司各产线生产运行稳定，有效抵御病毒攻击造成的生产停机。从统计数据分析，平均事故处理时间为15.1小时，结合近两年炼钢铸机中毒、冷轧表检仪服务器中毒、中厚板4300剪切线中毒、钢轧蓝屏4起问题，按照每年抵御2次网络病毒攻击，有效减少停机30.2小时，以炼钢厂工序为标准，按停机损失进行效益评估，炼钢部年损失合计为1067.92万元。

综上，项目总年效益预计为1089.4万元。

此方案结合自适应技术，形成的一套涵括工业互联网云、管、边、端各层面安全需求的整体解决方案。该解决方案可广泛应用与冶金、水处理、电力、煤炭、石油石化、港口、轨道交通、烟草、汽车等多个行业企业，切实为客户解决工业互联网安全威胁。

摘自《自动化博览》2023年4月刊