★周围北京惠而特科技有限公司

关键词：白名单自学习；实战化；轻量级信任

1　项目概况

1.1　项目背景

在“两化”融合的行业发展需求下，现代工业控制系统的技术进步主要表现在两大方面：一是信息化与工业化的深度融合；二是为了提高生产高效运行和生产管理效率，国内众多行业大力推进工业控制系统自身的集成化、集中化管理。系统的互联互通性逐步加强，工控网络与办公网、互联网也存在千丝万缕的联系。

德国的工业4.0标准、美国的“工业互联网”以及“先进制造业国家战略计划”、日本的“科技工业联盟”、英国的“工业2050战略”、中国的“互联网+”和“中国制造2025”等相继出台，它们对工业控制系统的通用性与开放性提出了更高的要求。未来工业控制系统将会有一个长足发展，工业趋向于自动化、智能化，系统之间的互联互通也更加紧密，面临的安全威胁也会越来越多。

习酒作为自动化程度较高的酱香白酒生产企业，在享受自动化、数字化带来的产能提升、人力释放的收益的同时，也会面临因生产工业设备联网而带来的网络安全风险。

1.2　项目简介

参照《信息安全技术网络安全等级保护基本要求》、《工业控制系统信息安全防护指南》等国家标准要求，在现有安全保护措施的基础上，我们全面梳理分析安全保护需求，并结合风险评估和调研过程中发现的问题隐患，按照“一个中心（安全管理中心）、三重防护（安全通信网络、安全区域边界、安全计算环境）”的要求，开展网络安全建设和整改加固，全面落实安全保护技术措施，并依据《工业互联网企业网络安全分类分级管理指南》做好企业自身分级分类自评及备案准备。

加强网络安全管理，建立完善人员、教育培训、系统安全建设和运维等管理制度，加强机房、设备和介质安全管理，强化重要数据和个人信息保护，制定操作规范和工作流程，加强日常监督和考核，确保各项管理措施有效落实。

1.3　项目目标

白酒行业的工业化进程，分别在制曲机械化、发酵工艺机械化、蒸馏工业机械化、调酒计算机集成制造技术和灌装、包装、成品库智能管理五个领域展开，将推进我国白酒传统生产方式的机械化升级，进而推动整个行业向信息化、智能化转型。

习酒工业生产线包括了半自动生产线和全自动化生产线，工艺内容包括准备酒瓶、清洗、吹干、灌装、瓶盖、打标、漏液检测、液位测试、水平传输、喷码、分瓶、分盒、AI识别、装盒、垂直传输、机械手搬运、装箱、打捆、机械手臂分拣、AGV小车搬运、立体仓库等自动化控制内容。

但习酒工控系统在防护措施中和在缺少防护措施时系统所具有的弱点，而工控系统内部的脆弱性问题是导致系统易受攻击的主要因素。脆弱性问题的根源可概括为以下几个方面：通信协议漏洞、操作系统漏洞、应用软件漏洞、工控设备后门和漏洞、网络结构漏洞、安全策略和管理流程漏洞、外部风险来源、商业外部渗透。

本项目工控安全建设将依据网络安全等级保护相关标准和指导规范，对习酒工业控制网络按照“整体保护、综合防控”的原则进行安全建设方案的设计，按照等级保护三级的要求进行安全建设的规划，并对安全建设进行统一规划和设备选型，实现方案合理、组网简单、扩容灵活、标准统一、经济适用的建设目标。

本项目将在保证系统可用性的前提下，对习酒工业控制系统进行防护，实现“垂直分层、水平分区、边界控制、内部监测”。

“垂直分层、水平分区”即对工业控制系统垂直方向划分为三层：现场设备层、现场控制层、监督控制层；水平分区指各工业控制系统之间应该从网络上隔离开，处于不同的安全区。

“边界控制，内部监测”即对系统边界即各操作站、工业控制系统连接处、无线网络等要进行边界防护和准入控制，对工业控制系统内部要监测网络流量数据以发现入侵、业务异常、访问关系异常和流量异常等问题。

系统面临的主要安全威胁来自黑客攻击、恶意代码（病毒蠕虫）、越权访问（非授权接入、移动介质、弱口令、操作系统漏洞、误操作和业务异常等），因此，其安全防护在以下方面予以重点完善和强化：（1）入侵检测及防御；（2）恶意代码防护；（3）内部网络异常行为的检测；（4）边界访问控制和系统访问控制策略；（5）工业控制系统开发与维护的安全；（6）身份认证和行为审计；（7）账号唯一性和口令安全，尤其是管理员账号和口令的管理；（8）操作站操作系统安全；（9）移动存储介质的标记、权限控制和审计。

2　项目实施

2.1　系统架构

本项目系统架构图如图1所示。

图1 系统架构图

2.2　技术方案

边界隔离：在各边界之间部署工业防火墙，通过工业协议深度解析，结合自学习白名单安全防护策略，实现细粒度的边界访问控制和安全隔离，通过最小化规则尽可能规避来自外部系统的非法/违规数据访问。

高级威胁监测：通过在核心交换机上旁路部署高级威胁检测系统，对网络流量进行实时分析，利用沙箱、多AV病毒检测、流量基因检测和文件基因检测等先进技术对恶意样本、恶意流量、行为异常等威胁进行重点识别，弥补生产网自身业务系统脆弱的不足，发现高危漏洞主机，发现潜伏的恶意文件和恶意流量通讯行为，识别恶意文件的扩散，保护生产网安全。

主机防护：对工控网络内的主机进行安全防护，主要是针对域内的主机，建议部署工业主机安全卫士，通过主机应用程序白名单机制，阻止非工作程序在主机上的操作运行，阻断由于操作系统漏洞、应用软件漏洞而引起的恶意攻击，同时通过安全U盘实现移动安全数据存储。

网络实时监测与审计：在生产网旁路部署工业安全审计（利用既有的工业审计学系统），建立业务通信模型实现对工控指令攻击、控制参数篡改、病毒和蠕虫等恶意代码攻击行为的实时监测和告警，同时对网络中的攻击行为、网络会话、数据流量、重要操作等进行审计，实现安全事件的日志回溯和取证；在服务器区旁路部署数据库审计，对数据库的操作行为进行审计。

统一安全管理：建立安全监管平台，对工控网络中的相关防护产品进行统一的管理及运维，对整网防护设备进行策略配置下发、对各设备进行集中化策略配置下发、存储、备份、查询、审计、告警、响应，并出具丰富的报表和报告，实时掌握工业控制网络情况，获悉工业控制网络整体的安全状态，实现全生命周期的日志管理。

2.3　应用场景分析

本项目依据网络安全等级保护三级标准，按照“统一规划、重点明确、合理建设”的基本原则，在安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等方面进行安全规划与建设，确保“网络建设合规、安全防护到位”。

最终使习酒工控网络安全达到安全等级保护第三级要求。经过建设后，使其整个网络形成一套完善的安全防护体系，使其整体网络安全防护能力得到提升。

对于习酒工业控制系统，经过统一安全规划建设，其网络在统一的安全保护策略下具有了抵御大规模和较强恶意攻击的能力、抵抗较为严重的自然灾害的能力，以及防范计算机病毒和恶意代码危害的能力；具有了检测、发现、报警及记录入侵行为的能力；具有了对安全事件进行响应处置，并能够追踪安全责任的能力；遭到损害后，具有了能够较快恢复正常运行状态的能力；对于服务保障性要求高的网络，能够快速恢复正常运行状态；具有了对网络资源、用户、安全机制等进行集中控管的能力。

综上所述：遵循等级保护的相关标准和规范要求，结合信息系统安全建设的实际状态，针对信息系统中存在的安全隐患进行系统建设，可以加强信息系统的信息安全保护能力，使其达到相应等级的等级保护安全要求。

2.4　实际应用效果

（1）网络隔离与边界防护

在控制网络和非控制网络边界处通常需要部署工控专用防火墙,该防火墙可以实施访问控制、恶意代码防护和入侵防护,从而避免来自本层其他区域、其他层网络的恶意代码攻击及入侵行为,切断网络间的攻击路径。由于工控防火墙具备感知和理解工控应用层协议及操作行为的能力,因此除基于IP地址、端口、MAC地址等主机特征进行访问控制外,还可根据具体需求设置更细致的防护策略。

基于工控网络的相对封闭性,工控防火墙常通过开启基于通信协议的“白名单”功能,对来自其他层的不符合规范的协议攻击、恶意操作和误操作行为进行拦截。这种基于“白名单”的防护思路相比传统防火墙或入侵防护系统的“黑名单”技术,不仅能防护各类未知特征的攻击和异常操作,还能保证正常的通信行为和访问行为不被拦截。

（2）主机和终端安全管理

通过部署基于“白环境”的主机安全软件,避免各类已知和未知的木马、蠕虫等恶意软件进入主机传播到整个工控网络。

由于自动化系统的主机应用环境相对固定,通过主机安全软件建立起各类正常工作环境时的操作系统和应用的可执行文件白名单,建立起主机运行的白环境,启用白名单功能,确保只有在白名单列表中的程序或软件才能运行。

主机和终端的身份鉴别至关重要,通过采用单因子鉴别(如操作员口令)、双因子鉴别(如工程师、值班长、网络设备管理员等)等手段加强管理。在登录工控系统进行组态下装和重要参数修改时,必须进行身份鉴别。

（3）攻击事件的监控与审计

任何的安全措施,“看见和发现”攻击是第一步。通过在不同的安全区域边界部署工控安全监测终端,配合集中监测和审计管理,可实时发现网络中的各类攻击方式、违规操作和误操作行为,可在攻击事件发生后根据存储的记录和操作者的权限,进行查询、统计、管理、维护等,追溯攻击行为的起源,做到事前监控、事中记录、事后审计。

（4）高级威胁检测与告警

基于特征检测和行为检测的传统威胁检测手段已经越来越难以应对新型的安全攻击手法，难以识别安全攻击事件。且近年来随着人工智能技术的发展，攻击方在扫描、利用、破坏等攻击工具中对人工智能技术的应用，进一步加剧了对目标系统的破坏，缩短了攻击进程，隐藏了攻击特征。通过高级威胁检测系统将人工智能、大数据技术与安全技术相结合，实时分析网络流量，监控可疑威胁行为，可对APT攻击链进行检测、识别分析和告警。

（5）数据库安全审计

数据是信息系统的核心，如何保证防范针对数据库的恶意操作、误操作、恶意攻击等是解决数据库安全的重中之重。数据库审计系统可以有效解决对数据库操作的安全监控难题，可以实现对数据库所有操作的实时监测、完整记录、还原审计，可以及时发现对数据库的非法操作，快速应对异常事件，解除对数据库的安全威胁，可以满足对数据库的运行监测和操作审计的合规性要求，满足等级保护2.0标准要求。

（6）运维操作管控与审计

在运维过程中，通常为了运维便利性，存在账号共享、授权不清等运维行为，事后也缺乏运维操作审计。通过运维安全网关，逻辑上将人和目标设备分离，建立“人→主账号→授权→从账号→目标设备”的管理模式。在此模式下，通过基于唯一身份标识的集中账号与访问控制策略，与各服务器、网络设备等无缝连接，实现集中精细化运维操作管控与审计。

3  案例亮点及创新性

满足安全合规要求：本次项目立足于等保2.0和工信部451号文《安全防护指南》及监管要求，结合企业的生产业务特点，在防护框架的指导下开展了企业工业控制系统网络安全防护建设，防护建设项满足等保对应防护技术项的要求，企业在完成其他需要自建项后，可以启动申报等保保护测评。

优化资源配置：本方案站在习酒业务的角度设计，在满足合规要求的同时最大限度利用了企业本身现有资源，同时有效地结合同行业单位的运营模式，在有限资源条件下最大限度地提升安全防护水平。

提高安全防护性：本次项目成果为企业相关信息网络、工业控制系统网络的安全稳定运行提供了基础保障，实现了病毒、木马等恶意程序的防护，可防范内外部人员攻击、软件后门利用等多种威胁，显著加强了企业自身工控系统在当前愈加恶劣的网络环境下的防范和预警感知能力，有效保障了企业稳定发展。

作者简介

周　围（1995-），男，湖南湘潭人，工程师，本科，现就职于北京惠而特科技有限公司，主要从事信息安全、工控安全方面的研究。

摘自《自动化博览》2024年1月刊