1、背景介绍

新型工业化在信息技术和其他高新技术的驱动下，通过改变生产方式、组织形式和经营模式，使各行业进程朝向更高效、清洁、低碳、智能化的方向延伸。钢管行业在新型工业化的推进下，积极采用大数据、互联网、自动检测技术和识别技术等先进技术，大力建设钢管行业创新基础设施，夯实数字底座，以数字化赋能绿色化、高质化、强链化发展，打造新质生产力，从而为钢管行业数字化转型和高质量发展注入新的活力。随着工业控制系统的数字化和网络化程度提高，OT、IT的逐步融合，使得钢管行业生产过程更加自动化和智能化，但同时也使安全风险更加复杂，攻击点增多、攻击面扩大，增加了网络攻击的风险。大量数据交互过程中的数据泄露风险也随之增加，不仅涉及企业商业机密，还可能影响到整个产业链的稳定。

某钢管制造企业的工业控制系统由多个生产工艺流程混合而成，包括炼铁、炼钢、轧管等生产制造环节。其生产网络架构极为复杂，不仅多种通信方式并存，而且控制系统品牌繁多，新老系统交织在一起。这种复杂的系统架构和多元化的技术集成导致潜在的网络安全漏洞层出不穷，使得系统容易受到黑客的攻击和利用，生产网络所面临的网络安全威胁也日趋多元化和多发性。

因此，为能够有效应对和管理新型工业化下工业场景所面临的安全风险，必须深化网络安全与数字化建设的协同运营，实现两者紧密结合，确保该钢管制造企业生产网络稳定可靠运行，保障生产业务的连续性和安全性。

2、目标与原则

2.1项目目标

n  提升企业安全运维能力，降低安全管理难度

目前该钢管制造企业生产环境较为分散且网络规模较大，在生产网络中部署的安全防护设备数量也较多，存在安全策略更新不及时、安全管理分散及管理成本高等瓶颈。因此，需要采取技术手段对安全设备进行集中管控，降低管理难度及人工成本。

通过借助集中管理平台，统一监控工业安全设备，对网络配置、系统服务、安全策略、升级策略和配置备份等进行配置，方便快捷的实现对大规模安全设备管理。同时免去逐一配置策略的繁琐操作，提升安全运维能力，降低安全管理过程中的管理难度及成本。

n  提升安全监测预警能力，快速处置安全事件

当前生产网络安全形势日益严峻，安全风险呈现多元化特征，安全隐患发现难度更高，出现安全告警时无法第一时间感知。因此，网络安全监测手段需同步进行补充与提升。

通过借助安全态势感知平台，综合异构数据采集、协议深度解析、用户画像、大数据分析、AI等技术，采用威胁情报及安全事件关联分析的机制，实时感知系统和设备的运行状况、风险隐患等信息，及时对潜在的网络安全威胁和风险进行预警。在出现安全威胁时，通过协同联动网络中各类安全设备及时进行抑制，防止安全威胁的进一步蔓延，为企业安全生产提供保障。

n  消除信息孤岛，提升安全风险感知能力

目前该钢管制造企业的厂区内各设备和系统的安全数据缺乏统一汇聚和分析的手段，安全数据与分析结果没有实现共享，存在“信息孤岛”现象，从而引发无法对当前网络安全现状进行评估、无法及时感知网络安全现状等安全风险。

借助日志收集分析等手段，对跨区域、跨产品的安全信息统一收集与处理，实现对全网各类安全事件、预警信息的统一预处理、汇总、整理与分析，提升安全风险感知能力。

2.2 设计原则

（1）分层分域防护原则

根据企业工业控制系统业务流程合理划分网络层级和安全域，以切割网络风险，即任意一点遭受攻击或网络风暴不会对其它生产过程产生影响，同时方便管理策略的执行。

（2）以关键业务为核心的整体防控原则

企业工业控制系统的安全保护应以确保关键业务的安全运行为核心目标，对业务所涵盖的一个或多个网络及信息系统实施系统化的安全设计策略，以构建一个全面、整合的安全防护体系。

（3）协同防御原则

通过整合安全技术、安全管理和安全服务，构建起信息共享和协同联动的防御体系，实现增强企业工业控制系统抵御大规模网络攻击的能力。

3、案例实施与应用情况

本方案旨在针对钢管制造企业的炼铁、炼钢、轧管等生产车间开展网络安全规划与建设。

方案在严格遵守《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）、《工业控制系统网络安全防护指南》等国家的政策要求基础上，采用“行为基线”分析、“白名单防护”策略及“数据变化率”监测等先进技术手段，并通过安全服务、安全技术与产品应用以及安全管理体系构建等手段相结合的方式，实现安全能力的全面整合与提升，有效提升钢管制造企业生产网络安全技术防护能力、安全管理能力以及安全运营能力。

3.1 智能工厂信息化架构

图1  智能工厂信息化架构

该钢管制造企业参考智能工厂框架，在企业内部实现了MES、ERP、SCADA等信息系统的应用，将车间的各类生产数据进行采集、分析与决策，实现了多个数字化车间的统一管理与协同生产。同时，由于信息网络集成程度的不断提高，与其他信息网络的互联程度也随之加深。网络中各种未授权的接入与操作、误操作、违规操作、未授权的程序安装、外部接口滥用以及新型攻击（APT）对集团信息系统安全构成极大的威胁。

若信息系统不加强主动防护、监测审计、集中监管及预警响应等安全措施的建设，那么各类威胁将得以趁虚而入，进而可能对生产业务产生严重的负面影响。因此，需围绕企业未来发展趋势与安全建设需求，进行全方位的生成网络安全防护体系设计。

3.2方案规划

方案总体规划架构以资产为基础，以事件为主线，以风险为核心，采用多层次技术措施和防护手段，对网络设备、安全设备、服务器等进行全方位安全监测。同时，结合安全事件模型、业务模型、威胁情报等信息，实现对网络威胁的及时预警和快速处置，通过一系列措施，实现钢管制造企业生产网络态势实时感知、威胁持续监测、安全协同联动、风险主动预警及事件应急处置的目标，全面提升钢管制造企业生产网络的安全防护水平。       

图 2  总体框架设计

态势感知：通过实时收集全网网络流量、系统日志、用户行为等数据，并基于大数据分析及机器学习等技术，对收集的数据进行清洗、格式转换等预处理操作，实现对资产、脆弱性、告警、攻击、系统运行状态实时监测及可视化展现，为主动预警和事件追溯提供数据支撑。

持续监测：通过实时数据采集与分析、威胁监测预警、日志与事件管理以及可视化展示等功能，实现对网络安全状况的持续监测。

联动防护：通过汇总各类安全数据，运用关联分析、用户画像、业务安全基线、模型分析、威胁情报等手段，形成安全联动、动态感知的整体安全分析能力。

主动预警：通过实时采集与处理安全数据，结合安全模型、业务模型及威胁情报等信息，实现对潜在威胁的精准识别与快速定位。在发现安全事件时触发预警机制，实现安全防御的主动性。

应急处置：通过实时分析网络流量、安全日志等数据源，快速检测并识别潜在的安全威胁，并在安全威胁检测后，触发告警机制，并将告警信息发送至相关人员，进行事件处置。

n  安全技术防护体系

基于行为基线技术路线，建立钢管制造企业生产网络中业务通信与控制过程模型，综合数据变化率、白名单防护等技术手段，确保在通信、控制、应用等多个层面的细粒度安全管控，避免对生产过程形成安全威胁。

n  安全管理体系

从安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等层面进行网络安全各项工作所需遵循的基本原则和方针的明确，与安全技术防护体系、安全运营体系、安全服务体系形成紧密耦合的安全防护机制，保障所有生产车间的生产安全和稳定运行。

n  安全服务体系

以安全管理手段、安全技术手段作为支持，采用风险评估、安全加固、新系统上线检查等手段进行风险识别及风险处置等，与安全管理体系、安全技术防护体系及安全运营体系形成层次化的安全策略体系。

n  安全运营体系

通过异构数据采集、用户画像、大数据分析、AI等技术，统一收集和分析网络流量、操作内容、运行日志、异常告警等信息，为钢管制造企业生产网络构建安全监测、日志分析、威胁预警、安全处置等综合安全运营能力，从全局视角实现企业网络安全风险管控和运营分析管理。

3.3方案实施与应用

3.3.1 安全技术防护体系设计

3.3.1.1    各生产车间访问控制设计

在炼铁车间、炼钢车间、轧管、管加工等各车间区域边界与生产核心交换机处部署工业防火墙，基于工业协议深度解析技术，可以实现基于访问行为的细粒度控制。                   

图 3  工业协议解析技术

3.3.1.2 企业生产网络入侵行为检测设计

在生产核心交换机处应用工业入侵检测系统的入侵检测技术，对炼铁车间、炼钢车间、轧管、管加工等生产网络中的数据流量进行深度检测、实时分析，并对网络中的攻击行为进行监测，动态地发现来自内部和外部网络攻击的行为，并发出报警。

图 4  业务行为审计

3.3.1.3 企业工业主机安全管控设计

在炼铁车间、炼钢车间、轧管、管加工等各区域操作站、工程师站、服务器等主机终端上安装基于“白名单”的工业主机安全防护产品，通过对终端运行进程、服务等以白名单方式进行识别，策略范围外进程、服务禁用，实现对各车间主机终端的安全管控。

3.3.1.4 企业生产网络操作行为安全审计设计

在炼铁车间、炼钢车间、轧管、管加工等各汇聚交换机处部署工业监测审计系统，实现对工业报文内容的深度解析，阈值的设定，以及对数据变化速度范围的设定，以此来实现对下属节点数据变化以及写操作内容的审计。

图 5  工业流量审计

3.3.1.5 运维人员操作行为安全设计

在运维管理区部署工业运维审计系统，通过应用运维安全审计手段，实现对运维账号统一管理，资源和权限进行统一分配，对客户从登录到退出的全程操作行为进行审计，加强远程维护的安全管理，降低人为安全风险。

3.3.1.6 企业生产网络日志集中管理与分析设计

在运维管理区部署工业日志收集与分析系统，通过应用日志审计类手段，对钢管制造企业网络设备、安全设备、主机和应用系统日志进行全面的标准化处理，基于关联分析引擎能力，及时发现各种安全威胁、异常行为事件。

图 6  工业日志收集与分析

3.3.1.7 企业生产网络脆弱性检测设计

在运维管理区部署工业漏洞扫描系统，通过应用工业漏洞扫描技术，对钢管制造企业生产网络进行脆弱性分析和评估。同时还支持对生产网络中所特有的设备/系统，比如SCADA、PLC等进行已知漏洞的识别和检测，及时发现安全漏洞。          

图 7  工业漏扫资产扫描评估

3.3.1.8 企业生产网络中安全设备、安全策略集中管控能力设计

在运维管理区部署工业集中管理系统，通过应用集中管理手段，实现对工业防火墙、工业入侵检测系统、工业安全监测审计、工业主机卫士等安全产品的统一监控、日志采集、安全分析、策略下发，为钢管制造企业生产网络安全运营提供决策支持，加强安全事件响应速度与安全运维能力，提升钢管制造企业生产网络整体信息安全水平。             

图 8  资产集中管理

3.3.1.9 企业办公网与生产网区域边界隔离设计

针对中心机房与办公网进行现场监测数据交互过程实现单向隔离传输机制，通过在办公网与生产区域边界部署工业隔离与交换系统，对办公网的边界流量进行单向隔离，该隔离为应用层单向即办公网对访问控制策略允许的目标设备进行只读操作，禁用对钢管制造企业生产网络的写操作行为。

3.3.1.10整体部署实施

综上所述，方案整体的部署实施图见下图。

图 9   整体部署实施图

3.3.2 安全管理体系设计

通过建立组织架构管理、安全策略管理、资产安全管理等钢管制造企业生产网络安全管理制度，明确网络安全各项工作所需遵循的基本原则和方针；并组建人员成立安全管理机构，对安全管理人员定期开展网络安全教育、培训等提高钢管制造企业生产网络安全整体管理水平。

同时，在建设和运维方面也做出安全管理要求，制定安全运维管理制度、安全事件处置制度等，规范钢管制造企业生产网络安全建设和运维细则，加强在钢管制造企业生产网络建设和运维环节的把控，实现钢管制造企业生产网络安全管理的规范化、标准化与制度化。

33.3 安全服务体系设计

3.3.3.1 风险评估服务

通过对钢管制造企业业务系统关键资产所存在脆弱性及其所面临的威胁的量化分析，最终以全面、准确、量化的分析结果呈现其面临的各种风险，并提供针对性的安全风险控制方法，消除安全风险，提高业务系统运转效率。

3.3.3.2 新系统上线检查

通过漏洞检测、基线核查、渗透测试方式对钢管制造企业生产网络进行测试，找出新上线业务系统（网络设备、主机、应用系统、数据库系统）中存在的安全配置错误及漏洞信息，并提供针对性的建议方案，以免新上线业务系统存在的安全隐患给用户的业务和生产带来危害。

3.3.3.3 安全加固服务

针对钢管制造企业生产网络服务器操作系统、数据库及应用中间件等软件系统，通过强化帐号安全、修改安全配置、优化访问控制策略、堵塞漏洞及“后门”，合理进行安全性加强，提高其健壮性和安全性，增加攻击者入侵的难度。

3.3.3.4 渗透测试服务

通过模拟黑客的攻击方法，采用工具+人工验证的方式对系统和网络进行非破坏性质的攻击性测试。该检测方式能够综合验证系统技术防护手段和安全管理手段的有效性，可以发现逻辑性更强、更深层次的弱点，让管理者能够直观的了解自己网络和系统的安全状态。

3.3.3.5 基线核查服务

通过对钢管制造企业网络设备、安全设备、主机、系统及应用等进行基线的合规性核查，出具基线核查报告及建议；对于非标准系统，根据系统特点进行人工核查，并协助客户定制基线标准；通过全局的安全基线核查，掌握网络整体安全现况；依据安全基线核查结果与客户业务模式特点，提供有针对性的安全修补建议，防止安全隐患再次被利用而产生的安全危害。

3.3.3.6 驻场服务

通过派遣专业的安服工程师为客户提供驻场服务，定期向客户工作人员提交网络的安全状态报告，帮助客户实现安全动态的实时监控，突发事件的应急处置、针对当前安全问题的安全建议，帮助客户了解掌控网络安全风险，保障网络的安全运行。

3.3.4 安全运营体系设计

3.3.4.1 技术架构

平台整合了终端、应用系统、数据流量等各类感知数据源，采用大数据分析挖掘技术，使用智能算法和安全模型，将看似毫无联系、混乱无序的各类安全数据转化成直观的可视化信息，实现威胁发现、精准预警和综合安全防护。

其中数据采集层通过资产发现、脆弱性检测、流量审计等各类探针对被监管网络的资产、脆弱性、流量、日志等工业安全数据进行检测和收集，安全数据经过数据汇入后存储到存储计算引擎中，核心业务对工业安全数据进行分析后形成安全态势和安全风险通过集中展示层展现给客户，所有工业安全风险可以通过安全处置子系统进行多人协同处置。

图 10  平台技术架构

3.3.4.2 安全设计

在运维管理区部署工业互联网态势分析与安全管理系统，将钢管制造企业生产网络内所有安全设备采集到的流量信息、人员操作行为、异常告警信息进行统一收集和整理分析，进而掌握整个企业生产网络中存在的安全隐患和风险，通过对行为内容进行建模分析，评估当前网络的安全风险指数和潜在的受攻击路线信息，结合对安全告警事件的种类、次数、等级的安全态势分析，自动生成一套符合当前安全需要的安全防护策略建议。基于安全防护策略，衍生出当前的安全预警分析基线，对于明显不符合当前网络操作行为，做到事前有效预警和事中及时防护，减少不必要的生产损失。

同时，系统可实现安全事件追溯功能，结合机器自学习的方式以及安全漏洞库和攻击特征库等，有效识别、跟踪分析和判断各项操作行为和动作的合规性与安全性，对于超出当前安全基线的行为提供全程的行为审计和事件还原能力，为安全管理人员提供高效的安全事件追溯功能。

3.3.4.2.1 威胁识别与预测

通过将功能安全数据、信息安全数据与生产过程中的重要监测数据相互结合，形成面向系统、业务、威胁等状态的多维度关联性安全分析，并将安全措施与工业控制过程深度融合，实现安全威胁的快速预测、处置及管理。         

图 11  威胁识别与预测

3.3.4.2.2 安全事件闭环处置

通过关联分析系统日志、运行状态、安全日志、告警信息等数据，实现安全事件识别，并结合业务模型、安全模型及最新的网络安全威胁情报等信息，准确及时地发现各种潜在威胁和攻击，进行威胁快速定位及事件取证，采取有效处置措施，最终实现安全处置的闭环管理。        

图 12  安全事件闭环处置

3.3方案创新性

n  面向生产网络漏洞利用攻击的轻量级靶向性虚拟补丁

通过构建控制系统检测引擎，并结合规则库分级分类、漏洞规则库新增等技术手段实现在网络层面对于漏洞的加固，同时采用靶向性的技术手段避免了高延时、误报的问题形成对钢管制造企业生产网络已知漏洞的安全闭环。

n  基于数据变化率检测的控制领域信息安全行为识别方法

通过对钢管制造企业生产网络中流量的数据报文进行完整性还原,识别报文中的控制指令依据业务的通信行为与指令进行关联分析，并建立业务的控制行为基线，通过行为基线构建深度分析体系，同时与态势感知安全信息进行匹配分析，识别异常控制行为。

n  采用基于数据字典的行为内容识别技术

在对工业协议、工业通信原理的分析基础之上，在其中加入通信主从站间数据字典能力，将报文监测的信息与物理数据信息进行关联，进而实现对数据处理权限的控制，解决了仅通过对通信报文监测，无法获取数据信息的难题。

n  双安融合应用

方案创新性将信息安全与功能安全相互融合，将功能安全产生的信息作为数据支撑，利用信息安全中的技术优化功能安全的过程通信传输过程，将分析处置对象从寄存器转变为物理变量，在构建通信传输信息安全能力的同时保障通信业务功能的安全可靠。同时将安全管理技术与运营分析技术进行融合，通过功能安全数据、信息安全数据与生产过程中的重要监测数据相互结合，扩大分析所采用的数据范围，构建工业流程模型，进行基于模型的检测，判定安全运营状态，保障企业安全运营。

3.4 存在的网络安全问题及解决思路

ü  两化融合致生产网络安全风险剧增

通过在生产网络边界采取边界隔离措施，明确网络边界，配置不同安全域间访问控制策略，对非授权或越权跨越边界行为阻断报警，解决网络安全风险蔓延的隐患。

ü  工业主机恶意程序影响业务正常进行

操作员站、服务器等主机部署“白名单”安全防护软件，通过白名单防护、外设管理、基线加固等措施，提升工业主机安全防护能力。

ü  网络攻击行为易造成业务中断

在生产网络边界采取入侵检测措施，发现控制网络入侵攻击、异常流量等安全威胁，对外来威胁及时告警，以便立即采取技术措施，防止业务中断。

ü  操作行为不规范易导致生产业务停滞

应用工业安全监测审计手段，针对区域内操作站、PLC异常通信、违规操作、协议规约异常以及关键事件等告警、记录。

ü  安全漏洞致网络攻击行为发生

应用脆弱性检测技术，定期开展针对生产网络非运行状态及未上线前主机、应用及控制器脆弱性扫描，实现对生产网络及系统脆弱性识别。

ü  缺乏统一安全运营操作平台导致安全运维效率低下

应用集中管控技术，对工业防火墙、工业入侵等安全设备进行统一策略下发，提高整体安全运维效率。

ü  安全盲区易导致攻击行为趁虚而入

搭建工业互联网安全态势感知平台，从全局视角实现企业网络安全风险管控和运营分析管理，解决安全盲区问题。

4、应用价值与效益

n  减少网络安全问题导致企业停工停产带来的经济损失

通过建立工业互联网安全态势感知平台，可实时监测钢管制造企业生产网络关键节点的安全风险和脆弱性，对发现的重大威胁提前进行安全风险预警，有效提升钢管制造企业应对网络攻击风险的能力，减少因为网络安全问题导致企业停工停产带来的经济损失，保证生产业务的连续性、安全性。

n  提升对安全事件的处置效率

通过建立工业互联网安全态势感知平台，帮助客户打破安全数据交互壁垒，统筹安全能力，形成以漏洞管理、基线管理、事件管理、风险管理等多方面的安全合力，通过分析处理海量安全数据，挖掘数据真正价值，使得客户网络安全事件处置效率提升98%。

n  动态进行安全防御，提升安全事件响应速度

通过联动网内各类安全设备，可以对发现的安全问题快速定位，并制定有效的安全防御手段，利用系统的安全策略集中管理能力，可以动态调整设备安全策略，快速封堵安全漏洞，及时处置安全事件，最大程度的降低事件影响范围。