1、方案背景与目标

贵州习酒积极推进白酒传统生产方式机械化升级，从制曲过程、酒醅发酵、勾兑过程、包装和物流五个领域开展信息化、数字化转型，对生产、包装、运输、销售过程进行全方位监测，大大保证白酒质量，有效提高贵州习酒产品竞争力和市场信誉度。伴随贵州习酒数字化转型的实施，只能制造中的信息安全问题显得越来越突出，一旦网络被攻陷，一方面会破坏设备，泄露企业的技术信息，损坏企业形象，另一方面会对国家和社会造成严重不良影响。故针对贵州习酒工控网络开展了基于实战化的网络安全防护体系建设。

2、方案详细介绍

本方案构建贵州习酒工控网络“垂直分层，水平分区。边界控制，内部监测”的工控安全技术防护体系，实现各操作站、工业控制系统连接处、无线网络等要进行边界防护和准入控制等。对工业控制系统内部要监测网络流量数据以发现入侵、业务异常、访问关系异常和流量异常等问题，构建工控网络实战化主动防御体系，提升工控网络未知威胁检测能力，实现从被动防御变为主动防御，全面提高工控网络威胁防御能力，全面快速消除工控网络威胁，实现从单点防御到全工控网协防，主要建设内容如下：

边界隔离：在各边界之间部署工业防火墙，通过工业协议深度解析，结合自学习白名单安全防护策略，实现细粒度的边界访问控制和安全隔离，通过最小化规则尽可能规避来自外部系统的非法/违规数据访问。

高级威胁监测：通过在核心交换机上旁路部署高级威胁检测系统，对网络流量进行实时分析，通过利用沙箱、多AV病毒检测、流量基因检测和文件基因检测等先进技术对恶意样本、恶意流量、行为异常等威胁进行重点识别，弥补生产网自身业务系统脆弱的不足，发现高危漏洞主机，发现潜伏的恶意文件和恶意流量通讯行为，识别恶意文件的扩散，保护生产网安全。

主机防护：对工控网络内的主机进行安全防护，主要是针对域内的主机，建议部署工业主机安全卫士，通过主机应用程序白名单机制，阻止非工作程序在主机上的操作运行，阻断由于操作系统漏洞、应用软件漏洞而引起的恶意攻击，同时通过安全U盘实现移动安全数据存储。

网络实时监测与审计：在生产网旁路部署工业安全审计，建立业务通信模型实现对工控指令攻击、控制参数篡改、病毒和蠕虫等恶意代码攻击行为的实时监测和告警，同时对网络中的攻击行为、网络会话、数据流量、重要操作等进行审计，实现安全事件的日志回溯和取证；在服务器区旁路部署数据库审计，对数据库的操作行为进行审计。

统一安全管理：建立安全监管平台，对工控网络中的相关防护产品进行统一的管理及运维，对整网防护设备进行策略配置下发、对各设备进行集中化策略配置下发、存储、备份、查询、审计、告警、响应，并出具丰富的报表和报告，实时掌握工业控制网络情况，获悉工业控制网络整体的安全状态，实现全生命周期的日志管理。

方案建设成效：

（1）工业网络和管理网络隔离

通过管理网和生产网隔离确保生产网不会引入来自管理网风险，保证生产网边界安全；在各车间内部工控系统进行一定手段的监测、防护，保证车间内部安全；最后对整个工控系统进行统一安全呈现，将各个防护点组成一个全面的防护体系，保障其整个工业控制系统安全稳定运行。

（2）车间内部监测防护

在操作员站、工程师站、HMI等各类操作站部署操作站安全系统对主机的进程、软件、流量、U盘的使用等进行监控，防范主机非法访问网络其它节点；

部署工控异常监测系统，监测工控网络的相关业务异常和入侵行为，通过工控网络中的流量关系图形化展示梳理发现网络中的故障，出现异常及时报警；

（3）实战化未知威胁检测

本方案监测体系中除了具备常规的入侵检测功能外，还可以从网络流量中还原出文件并通过多病毒检测引擎有效识别出病毒、木马等已知威胁；通过基因图谱检测技术检测恶意代码变种； 还可以通过沙箱行为检测技术发现未知威胁；对抽取的网络流量元数据，进行情报检测、异常检测、流量基因检测；最后将所有安全威胁进行关联分析，实现对检测及防御APT攻击及工控网络未知威胁；

（4）建立工控网络安全可视化统一管理中心

将工控网中全要素数据进行收集整合，实现全局的网络安全动态分析和监测，提升网络安全的感知能力；对大量的安全设备统一管理减少运维难度，并且排除环境中的安全设备分散问题，避免形成安全孤岛；对大量日志进行建模分析，清洗、过滤、整合，实现对风险趋势的预测，将工控网络的态势状况通过可视化图形方式进行展示，生成多视图、多角度、多尺度的工控网络安全综合态势全景图。

3、代表性及推广价值

通过本次工业控制系统网络安全防护项目，积累实践经验，以网络安全法律规范政策标准为基点，吸收国际先进的理念、模型和技术，面向场景和实战需求，系统化规划和建设，采用新理念、新方法、新架构、新策略，构建新一代的工控网络安全防护体系，并积极布局轻量级工业信任体系，为习酒持续的工控网络安全防御体系演进提供了空间。

通过本项目，实现了安全服务和安全产品部署同步，提供了有效的工控网络安全防御体系，为数字化转型提供网络安全保障；通过本项目实践，形成可横向推广经验，也是工业环境先进网络安全防护的场景化实践。本项目为习酒工控网络安全和数字化转型提供保障，同时符合工控等保、关基保护合规需求，是满足合规和实战化防御双需求的一次积极实践。

本项目方案既可作为整套解决方案，亦可根据需求满足工业互联网网络安全工作要求，还可定制化网络安全服务满足相关管理需求。落地实现各行业工控网络安全建设工作，示范效应显著，具有广阔的市场前景，对于工业互联网自身以及带动生产行业的健康发展具有非常积极的意义。