★敖翔中国烟草总公司辽宁省公司

关键词：网络安全监测；网络安全防护；网络安全管理；网络安全服务

1　项目概况

1.1　项目背景

近些年来，网络安全环境逐渐恶化，基于工业网络的独特性和脆弱性，针对工控系统的网络攻击已经愈演愈烈，安全威胁已经蔓延至工业信息系统。我单位下属13个地市公司各建设了一个物流分拣系统，均是由工控设备和工控协议构成的工业控制网络系统，在两化融合趋势下，下属地市公司的工控网络与办公网络互联互通是必然之势。两化融合在极大地提升生产效率和管理便利性的同时，也带来了一系列的安全隐患。随着行业网络安全建设的不断深入，行业头部先后发布了一系列网络安全建设指导规范，我单位基于业务现状出发，积极响应国家及行业头部号召，“脚踏实地、大胆创新”，紧密贴合业务实际需求开展工业系统网络安全监测防护体系建设，形成了独有的“1+N”安全监测及服务支撑模式，有效保障了我单位工业信息系统的稳定运行。

1.2　项目简介

中国烟草总公司辽宁省公司基于业务现状出发，经充分调研论证以“1+2+2+13”为建设思路建成省公司+13个地市公司的工业安全监测防护体系。

1个目标：物流分拣系统网络安全稳定运行；

2个思路：安全运行技术监测、安全管理服务支撑；

2个体系：工业安全监测技术体系、工业安全服务支撑体系；

13个地市：覆盖13个地市公司的工业安全监测防护体系。

依托“1+2+2+13”建设思路，我单位通过技术与服务相结合，在13个地市公司物流分拣系统内部署安全设备，将安全监测数据实时上报至省公司工业态势感知平台，并通过安全服务支撑体系，依托省公司技术团队为主体实现对下属13个地市公司的安全服务支撑及安全周期检查。我单位以安全监测体系为基础，以安全服务体系为支撑，以安全监管和安全检查为驱动力，推动了“1+N”工业安全监测防护体系的运行，保障了全省物流分拣系统网络运行安全。

1.3　项目目标

中国烟草总公司辽宁省公司“1+N”工业安全监测防护体系建设自规划之初就充分调研安全现状及安全运维问题，现主要归结为以下三点：

（1）网络攻击风险：物流分拣系统高度自动化、智能化，同时需要同办公网络联接来接收生产信息，因为物流分拣系统自身的脆弱性与防护能力欠缺等问题，其时刻承受着来自办公网络以及其他未知的网络安全攻击的可能性。

（2）运维安全风险：物流分拣系统运行环境复杂，运维技术要求较高，13个地市公司距离较远，在安全运维、安全监测、应急响应处理等方面带来了技术难度与建设成本的多方面挑战。

（3）不足监管风险：省公司安全监管能力无法下沉至物流分拣系统，只能依靠下属地市公司自行运维自行管理，安全运维及安全基线难以统一，无法在顶层视角基于13个地市公司做统一安全监测与规划，进而导致地市公司网络安全隐患频发。

基于上述隐患，为提升物流分拣系统网络安全防御能力、加强安全风险监测与识别能力、提升安全运维水平及地市公司应急响应能力，我单位特开展“1+N”工业安全监测防护体系建设，力求实现工业安全全局监管、防护水平稳步提升、安全监测降低风险、应急机制规避事故、培训体系夯实“底线”。

2　项目实施

2.1　系统架构（如图1所示）

图1 系统架构图

2.2　技术方案

2.2.1　安全建设思路

基于中国烟草总公司辽宁省公司现状及安全需求，我单位针对13个地市公司物流分拣系统的安全建设从两个思路出发做统一规划：

（1）安全运行技术监测：基于工业控制系统的特殊性和复杂性，安全建设主要以安全监测和应急响应为主。为确保物流分拣系统稳定运行，我单位构建了安全运行技术监测体系，形成了“1+13”模式，一盘棋、一张图展现13个地市公司物流分拣系统的运行状况，一旦发生安全问题，省公司安全运行中心可以及时应急预警与响应。

（2）安全管理服务检查：13个地市公司距离较远，运维及安全建设省公司统一规划后真正落地成效不一，因此在安全监测体系之外我单位创新构建了安全管理及服务检查体系，并制定了针对工业控制系统的安全应急响应标准、安全运行基线、资产变更上报制度，同时依托安全监测体系的技术能力及安全运营中心的技术团队，对13地市公司进行安全周期检查、网络变更风险稽查、网络安全培训。我单位在安全监测技术体系之外以安全管理体系与安全服务体系为驱动力，促使13地市公司物流分拣系统网络安全防护水平稳步提升。

2.2.2　安全建设方案

（1）安全监测体系

本项目在13个地市公司物流分拣系统同办公网络交界处部署工业安全网关，在物流分拣系统内部旁路部署工业入侵监测系统，实现公司物流分拣系统同办公网络的严格访问控制及物流分拣系统的网络安全监测。在省公司安全运营中心部署工业态势感知系统，13地市公司安全设备日志通过专网将日志及告警信息上报至工业态势感知系统，实现13地市物流分拣系统整体安全监控。

在省公司运营中心部署工控漏洞扫描系统，周期性地对13个地市公司物流分拣系统进行漏洞扫描，发现安全威胁，省公司运营中心第一时间做应急通告及安全处置。13个地市的工业安全网关通过省公司运营中心堡垒机可进行运维操作，如发生安全事件地市公司无法第一时间应急响应，省公司运营中心监测人员第一时间将物流分拣系统同办公网络进行隔离，确保安全威胁在可控区域被有效控制。

依托1+13的安全监测体系，本项目构建应急监测和应急响应与处置于一体的安全防护模式，以监测数据对13地市安全状况做整体考核，推动各地市公司网络安全工作的有序推进和整体提升，最终实现安全态势清晰掌控、安全应急快速响应、安全运维考核驱动。

（2）安全服务支撑体系

基于安全管理与服务检查的安全建设思路，我单位在省公司安全运营中心部署工业漏洞扫描设备及安全建设工具箱，做安全检查支撑；制定安全应急响应标准、安全运行基线、资产变更上报制度，依托安全监测体系的技术能力及安全运营中心的技术团队，对13地市公司进行安全周期检查、网络变更风险稽查、网络安全培训。具体方案如下：

安全检查

·每周漏洞扫描：运营中心通过专网对物流分拣系统进行漏洞扫描，识别安全隐患，建立漏洞问题闭环机制，识别漏洞下发地市公司，规定时间内修复，技术人员核验漏洞修复结果。

·安全周期检查：针对地市公司物流分拣系统，运营中心组建技术团队采用安全检查工具箱每月对地市公司进行抽查，针对安全管理制度、安全运维执行情况、物流分拣系统安全隐患等进行检查，以技术+管理两个维度进行安全检查。

·资产变更上报：任何同物流分拣系统相关网络变动产生资产变更情况强制要求上报审核，确保资产变更无风险方可做变更操作，同时针对变更结果同安全监测体系监测到的资产信息做比对，确保资产变更风险可控。

·网络变更核查：因工业控制系统特殊性，不宜改变其原有结构及引入未知风险，任何同物流分拣系统相关网络变动产生资产变更情况强制要求进行变更稽查，变更资产进行风险评估，各地市公司在风险评估后无问题后新资产方可变更上线。

安全服务

·安全运行基线：参考等级保护相关要求并结合业务特性针对物流分拣系统建立安全运行基线，从安全计算环境、安全通信网络、安全区域边界等不同维度建立安全运行基线，要求地市公司自查整改，同时作为安全周期检查重要指标。

·安全应急响应：建立双向应急响应机制，运营中心监测发现问题第一时间通告地市公司并提供远程应急能力，视情况现场支持。同时地市技术人员发现安全隐患可直接汇报至运营中心。以运营中心技术人员为核心成员、以地市公司技术人员为小组成员组建安全应急响应支撑小组，实现应急能力高效流转、应急水平稳步提升、安全风险同知同查。

·网络安全培训：以应急响应小组为核心，针对所有技术人员及物流分拣系统相关人员开展不同类型的安全培训，从应急响应、安全运维、安全基线要求、安全意识等不同维度做知识传递与考核。车间工人定期进行安全意识考核，考核通过方可上岗。

2.2.3　项目应用效果

通过安全“1+N”工业安全监测防护体系的建设，本项目实现了从安全全局监管、安全统一监测、安全运维驱动、安全应急响应等多个维度的能力塑造，填补了我单位工业安全领域的安全能力缺口；创新事件技术与服务结合模式，在大幅降低物流分拣系统威胁告警数量的同时，实现了安全风险闭环管理。同时将安全基线、安全培训、安全检查等安全手段应用于工业安全领域，有效提升了综合防护水平，降低了风险隐患，规避了重大事故，夯实了“安全底线”，为中国烟草总公司辽宁省公司整体网络安全建设工作补齐了安全短板，创造了稳定运行条件，支撑了业务发展。

2.3　项目成果

2.3.1　安全监测体系成果展示

本项目基于工业安全监测体系的构建，实现对13个地市公司物流分拣系统的安全监测。本项目从综合态势感知、脆弱性威胁、安全威胁分析等多个维度实现一盘棋、一张图展现13个地市公司物流分拣系统的运行状况，并清晰展示了13个地市公司物流分拣系统的工业安全数据（如：资产风险统计、威胁类型TOP5、重点安全事件、风险资产分布、主要威胁分析等）。

安全监测体系针对工业信息系统主要威胁（非法外联、僵木蠕、工控行为）开发了监测模块，实现针对物流分拣系统内部主机非法外联的安全监测及统计分析能力，并能及时发现、定向处理，确保了主机及系统安全；针对僵木蠕做7×24实时监测，结合非法外联管控实现从根本上杜绝针对工业信息系统常见的僵木蠕及勒索软件攻击；同时基于工业流量及工控行为建立了安全监测模块，可以从行为（不局限于攻击）维度分析工业信息系统运行态势，确保了系统稳定运行。监测成果如图2~图6所示。

图2 脆弱性态势感知大屏

图3 威胁分析大屏

图4 非法外联监测模块

图5 僵木蠕监测模块

图6 工控行为监测模块

2.3.2　安全服务支撑体系成果展示

我单位采用技术+服务结合的模式，监测为主服务为辅，依托安全服务支撑体系，以应急响应、安全培训为支撑点，提升了地市公司技术能力，配合了安全检测技术体系监测成果，并以监管为驱动，实现漏洞数量、异常行为、攻击事件、非法外联、僵木蠕等事件的连续降低，切实提升了地市公司安全建设成效，提升了地市公司防护水平，降低了风险隐患，规避了重大事故，夯实了“安全底线”。同时依托漏洞安全设备，实现对体系内所有漏洞信息的统一概览及漏洞闭环。

3　案例亮点及创新性

3.1　1+N工业体系创新

我单位基于现状，在多分支（13个地市公司）、覆盖广（地理位置广）、技术弱（地市技术能力弱）的情况下大胆探索勇于创新，建成了集工业安全监测和工业安全服务支撑为一体的“1+N”工业安全监测防护体系，并从安全全局监管、安全统一监测、安全运维驱动、安全应急响应等多个维度为“1+N”业务模式提供了创新思路。

3.2　技术+服务结合

传统安全多采用服务辅助安全建设的模式，在工业信息安全领域多以监测为主，而安全监测在安全运维过程中成效较低，难以发挥实际应用效果。我单位创新采用技术+服务结合的模式，监测为主服务为辅，实现了基线建设提升防护水平、安全监测降低风险隐患、应急机制规避重大事故、培训体系夯实“安全底线”。服务驱动技术保障为工业信息安全建设创造了新模式。

3.3　监管+考核驱动

工业信息系统通常都是多分支、多车间、系统分散，安全建设成本高成效低，并且没办法实现安全统一化，无法从高层视角去做统一监管与考核，进而往往以合规建设为主要思路。我单位打破常规，改变思路，以安全监管为切入视角，建立安全监测体系实现全局监管并可对不同分支进行考核评价，以考核结果推动合规建设及问题闭环，进而实现安全全局化、全局标准化、标准统一化，有效提升了安全建设成效。

作者简介

敖　翔（1980-），男，内蒙古自治区人，中级工程师，学士，现就职于中国烟草总公司辽宁省公司，主要从事研究信息安全、数据安全方面的研究。

摘自《自动化博览》2024年1月刊