★余梦达，申屠思倩中控技术股份有限公司

关键词：工业信息安全；三级运营防护；数据安全

1　项目概况

1.1项目背景

作为国内首个4000万吨/年炼油一次性统筹规划的炼化一体化项目，目前世界上投资最大的单体产业项目，浙江石油化工有限公司（以下简称：浙石化）规模庞大且复杂，其配备多家厂家的控制系统，工业数据已经成为其未来智能工厂的重要支柱。为了保障生产稳定运行，浙石化在2022年至2023年开展了工业网络安全等级保护建设工作，以解决网络安全合规以及重要工业数据安全问题。浙石化以“固、防、管体系”为指导思想，遵照数据安全法、网络安全法以及工业企业数据安全防护要求等相关标准，在工控系统安全需求的基础上，构建了一套运营、预警、防护、检测、响应自适应闭环的数据安全防护体系。该体系可以全面感知工控系统遇到或可能遇到的数据安全风险，提升了系统的整体安全防御能力。

1.2项目简介

在工业信息安全三级运营防护体系建设过程中，本项目结合浙石化行业的特点和上级指导政策的要求，提出了可以适配石化行业的解决方案，提供信息资产管理、威胁情报联动、工业安全实训验证、应急处置、工单处理接口、工业安全剧本建设等能力，解决了工业安全防护难题，为智能工厂工业安全打下了坚实基础。

在整个三级运营体系建设过程中，我们通过多方调研和取证分析，证明了本项目在多维度工业资产、信息统一管理和分析等方面具有创新性的建设。且各个层级的安全防护与数据交互比较容易落地，切合石化行业场景，具有相对不错的可推广性。

1.3项目目标

工业信息安全三级运营体系从内到外构成自主可控的多层次“内建安全（固）、纵深防御（防）、安全运维（管）”技术体系。在底层构建内建安全产品体系，确保控制系统本身具有网络安全“健壮性”；在数据安全方面，采用数据安全检测、防护、备份恢复等手段，同时规划数据安全运维体系，确保数据安全的长期、持续有效；在中间层建设包括安全通信网络、安全区域边界、安全计算环境以及安全管理中心的纵深防御体系，并遵循“零信任”原则；在最上层，捕获所有产品的数据，包括资产、日志、事件等，进行集中资产画像、事前情报联动等分析，实现本地威胁分析与第三方威胁情报相结合的应急处理机制，实现安全运维与安全运营的目标。

2　项目实施

本方案以工控系统的主机、网络、数据等为对象，根据信息安全相关服务标准，实施安全检查及运维服务，并提供高端的全面安全体系建设和细节的技术解决措施，为企业提供全面或部分信息安全解决方案，以实现企业的信息安全。

工业信息安全三级运营体系整体架构如图1所示。

图1 工业信息安全三级运营体系整体架构图

2.1安管中心

安管中心针对不同的装置及厂区，以终端安全、边界安全、入侵检测、日志审计等为核心，建设纵向和横向的安全防护体系。

（1）为现场工控上位机与服务器配置主机安全卫士专业版，实现对工业主机的全面安全防护；根据白名单列表对可执行文件的执行进行监控，对白名单内的可执行文件允许执行，对白名单外的可执行文件阻止执行，保障工控主机安全。

（2）参照中控技术最新发布的《2020 Q3Windows补丁安装指南》更新通过兼容性测试的操作系统补丁。

（3）由中控工程师实施安全基线配置服务，关闭上位机不必要的服务，如RDP、SMB等高危服务；关闭上位机不必要的端口，如3389、445等高危端口；禁用网络交换设备不使用的端口。

（4）在边界部署工业防火墙，深度解析、智能隔离，使控制网与外网实现隔离；加固网络结构，实现控制网架构内部分区有效阻止异常数据扩散。

（5）部署工控安管平台、入侵检测系统、日志审计系统，同步监测防御计算机病毒攻击及异常流量，实现网络诊断功能，实时监控网络状态、及时告警和日志记录，保护系统安全。

（6）配置数据备份恢复系统，智能备份，提高工控信息安全保障及容灾恢复能力。

功能简介：主机安全卫士：采用“白名单+黑名单”防护机制提供多层次安全保护。根据白名单列表对可执行文件的执行进行监控，对白名单外的可执行文件阻止执行，有效阻止病毒、木马及0-day漏洞的感染和被利用，保障工控主机安全。同时具备强大黑名单功能，可对系统文件进行深度扫描，识别并查杀恶意代码。主机安全卫士软件满足符合性、连续性、可靠性的设计原则，不影响控制系统的正常运行，内存占用和CPU使用率低，具备强大的自身安全性和易管理性。病毒库由中控服务人员定期更新（或定期寄送光盘，由现场人员自行升级）。

工业防火墙：是面向工业控制系统网络的逻辑隔离类安全防护产品，支持OPC工业协议深度防护，支持指令级白名单的访问控制。通过对工业控制协议的深度解析，运用“白名单”技术建立工控网络安全通信模型，可以阻断一切非法访问，仅允许可信的流量在网络上传输，为工控网络与外部网络互联、工控网络内部区域之间的连接提供了安全保障。

工控安全管理平台：主要用于统一管理全厂工控安全设备，包括审计日志、分析事件行为、统一配置设备参数等。由硬件设备及内置平台软件组成。硬件设备含独立主板，可安装操作系统和平台软件；平台软件基于Linux系统运行，可通过WEB客户端访问，用于查阅数据或配置参数等。

入侵检测：旁路部署于可网管交换机上，通过流量镜像，可以对可能针对DPU、DCS等控制装置发动的攻击行为进行有效检测和预防，可以对工业控制系统可能面临的攻击行为进行有效检测，可以针对工业协议进行深度解析，可以针对工业网络协议的内容和数据进行细致的合规性检查，并通过事前告警、事中防护、事后取证三个角度分析事件。

日志审计：核心交换机处配置日志审计系统，通过内置的日志采集功能可对大量分散设备的异构日志进行集中采集，也可以实时采集不同厂商的安全设备、网络设备、主机、操作系统以及各种应用系统产生的日志信息，然后经过统一的日志管理过程，如日志范式化处理等，将采集来的海量的异构的日志信息进行集中化的解析和存储，结合资产管理模块、事件告警模块的相关规则以及配置，形成事件告警信息。

数据备份恢复系统：在控制系统网络中部署专用的数据备份服务器，可以对现场重要数据服务器以及工业主机采用自动化的数据备份与恢复服务，确保关键数据可以得到安全效率的备份，即使在故障发生时，也能保证快速地恢复，使得生产业务保持连续性。

安全基线配置：开展服务和端口禁用等工业控制网络安全配置、远程控制管理、默认账户管理等工业主机安全配置、口令策略合规性等工业控制设备安全配置，建立相应的配置清单，方便用户责任人定期进行管理、维护和配置核查审计。安全基线配置须确保与控制系统软件完美兼容，否则将影响工控系统运行。

协助建立工控安全管理制度：包括人员安全管理、工业控制系统设备及网络设备配置清单、访问权限、访问日志等方面的审计工作；人员的日常运行、考核培训、录用、离职转岗等管理要求；工业控制系统信息资产的管理（购买、更新、退役等）、数据资产的安全管理、风险评估，数据分级分类管理等；关键物理区域、关键系统、重要设备的访问控制管理以及工控主机、服务器的防病毒安全防护。

3　预警中心

预警中心以漏洞扫描、攻击检测与入侵检测、安全事件日志分析等技术为支撑构建厂级的管理中心，实现全厂资产、日志、事件、流量等数据的捕捉与分析，实现全厂风险识别与安全管理。

态势感知功能：从资产、漏洞、威胁、行为和攻击五个维度分析用户安全状态，资产态势、漏洞态势、威胁态势、行为态势、攻击态势和安全响应五维一体，全方位分析和展示用户安全态势，为安全管理和运营维护提供平台支撑。

资产管理功能：支持从部门、业务、地理位置等视图维度进行资产维护；平台内置了主机、网络设备、安全设备、数据库、应用服务器等100多种资产类型，覆盖了市面上大部分主流设备类型。

漏洞管理功能：支持调度漏扫工具、手工增加及文件导入漏洞、漏洞自动关联资产；支持漏洞检索、漏洞跟踪和漏洞处置，涵盖漏洞管理全生命周期；支持漏洞态势和细粒度监视，包括新增漏洞、高危漏洞、漏洞资产告警、漏洞分布和漏洞趋势。

4　运营中心

运营中心部署在集团层级，通过资产管理、日志及事件捕获、威胁情报分析、工单管理与应急处理等模块实现对安管中心、预警中心所有安全设备、控制系统设备的资产、状态、日志、配置等数据的集中管控与分析，并通过大屏等形式进行全数据的集中展示。

用户分析功能：通过分析对事件的威胁类别、程度、频度和偏离度，将所有事件表示的活动和行为关联到资产和用户，采用多因子风险评分智能算法自动发现异常用户和行为，无需预定义分析规则。

事件关联分析功能：事件模块支持多事件关联查询，对于历史事件可以根据创建的关联条件和时间段对多个事件进行自动关联分析，例如用户可以根据需求将来自不同事件源的事件和日志进行关联查询和检索，帮助安全分析人员发现潜在的高级威胁，查询检索的关联事件可以进行字段详细对比和进一步下钻追溯。

安全编排功能：安全编排自动化及响应简单地说就是通过可编辑的自动化操作实现事件关联、威胁告警、相关验证、联动响应等安全运营全流程。通过安全编排，在一个工作流程中关联协同各类安全产品和管理系统，结合威胁情报，可以发现真正的威胁事件，并自动执行处置任务快速进行安全响应。安全编排可以根据预定义的安全场景创建相关规则剧本，规则剧本启用后实时运行，按照定义的安全编排剧本自动关联分析相关事件、情报、资产、用户等数据，触发告警并执行相应的处置动作。

数据模型与数据视图功能：针对行业业务应用的不同，平台提供了可定制的数据模型，根据业务需求可对事件、告警、资产等重要数据自定义数据模型，包括自定义数据字段、字典表、日志解析模式等，能够自动适配仪表板、大屏展示、事件探查、告警和报表等。根据业务需求可对事件、告警、资产定义多维数据视图，数据视图能被仪表板、大屏展示和报表引用。

supSSOC工业信息安全运维服务：依托中控在全国上百家5S店长期服务保障，中控工控网络安全技术团队长期支持，提供supSSOC工业信息安全运维服务。通过专业服务，对搜集到的服务器日志、网络设备日志、安全设备日志进行分析，主动发现服务器及设备运行中可能存在的异常，并借助已有的网络、安全管理平台对攻击类型、攻击来源、流量趋势等进行分析，了解系统面临的主要威胁，并针对该威胁提出建设性的建议。该服务实现了动态预警并能及时处理工业信息安全风险，为生产稳定运行保驾护航。

安管中心+预警中心+运营中心通过部署及设备多级管控实现了集团层级工业信息安全资产的集中管控、统一管理，构建了IT+OT相结合的解决方案案例，在实现了控制系统内部安全建设及横向域间安全的同时，也实现了IT+OT的纵向安全防护，保证了整个网络的安全。

5　案例亮点及创新性

项目建成后，安管中心+预警中心+运营中心的三级运营体系有效提高了浙石化工业现场的安全防护能力，方案相对比较容易落地，切合石化行业业务场景，具有相对不错的可推广性。

（1）构建了纵深防御的网络安全架构体系

本项目贯彻以人为本的管理理念，引进国际先进的安全管理技术体系、管理标准，补充和完善所需的设备和系统，以ISO27001、等保要求为建设基准，构筑了立体化、纵深、可追溯的网络安全预警防控系统，形成了安全、合规、全面、稳定、高效的网络安全纵深防御体系，充分发挥和全面提升了存量系统的作用，夯实了网络安全的基本防线。

（2）建立了全面完整的网络安全防控体系

本项目引进国际领先的DFI、DPI技术体系，建立了网络安全态势感知和攻击溯源系统，形成了纵深、立体化、可追溯的网络安全预警防控体系，全面提升了存量系统、增量系统安全设备的整体能力，有效解决了每天数百万计的入侵检测日志看不了、不会看的问题，全面提高了网络安全风险评估、风险排查，以及网络安全事件，特别是蠕虫病毒、APT等未知类型的网络攻击的溯源能力，全面解决了全时段、全流量、全端口的网络流量日志长期保存的问题。

（3）建立了适度保密的信息安全防控体系

本项目建立了可以灵活地根据特定时间、敏感数据、特殊群体、重点终端进行管理的信息安全态势感知和安全事件追踪溯源系统，形成了“进不来、出不去、改不了、赖不掉、查得到”的信息安全体系。该体系可以根据重点人员、特殊终端、敏感时期、应用系统等提供按需分配的信息安全追踪溯源手段和技术，解决了传统的信息安全保护技术受制于网络和组织架构、受制于终端和人员数量、受制于应用系统的变化等一系列问题，有效防控了信息化建设和发展过程中大量使用B/S架构体系带来的新的安全风险。

（4）建立了全面完整的运行维护防控体系

本项目构建了以关键资产为运维中心的全面、完整和可视化的预警防控系统，可以全面、完整、及时地掌控网络和安全设备，以及账号、业务应用等安全运行态势，一揽子解决了已经建立的存量系统，以及在建、拟建的增量系统的智能运维问题，有效防范了管理人员、运维人员利用账号口令管理漏洞造成的安全风险，形成了IT基础设施账号安全管理、设备稳定运行、系统安全运维全面完整的运维防控体系。

综上，本项目通过装置级、厂级、集团级的多层级安全防护架构，完成了全面的纵深防御的网络安全架构体系、信息安全防控体系、运行维护防控体系的建设，实现了整个集团工业信息安全设备的安全防护建设，完成了纵深安全防御的目标，切实保障了方案贴合企业业务场景，使方案具有强大的监测能力和落地性。

作者简介

余梦达（1990-），男，浙江宁波人，高级工程师，学士，现就职于中控技术股份有限公司，主要从事工业信息安全方面的研究。

申屠思倩（1995-），女，浙江金华人，中级工程师，学士，现就职于中控技术股份有限公司，主要从事工业信息安全方面的研究。

摘自《自动化博览》2024年1月刊