1.1.1  方案概述

本方案針對現(xiàn)有信息系統(tǒng)的安全管理中心、計算環(huán)境安全、區(qū)域邊界安全和通信網(wǎng)絡(luò)安全進行合規(guī)的總體框架設(shè)計。建立以計算環(huán)境安全為基礎(chǔ)，以區(qū)域邊界安全、通信網(wǎng)絡(luò)安全為保障，以安全管理中心為核心的信息安全整體保障框架體系，并通過安全監(jiān)測預(yù)警、安全主動防御、及時安全響應(yīng)、有效安全恢復(fù)的技術(shù)手段，將信息系統(tǒng)構(gòu)建成具備主動防御、多級防護、縱深防控、整體保護能力的安全、可靠信息系統(tǒng)。

1.方案背景

鋼鐵企業(yè)主要生產(chǎn)工藝流程有：焦化、煉鐵、煉焦制氣、煉鋼、鋼軋、冷軋薄、動力等；每個工業(yè)流程均是由以PLC+工業(yè)PC+工業(yè)通訊網(wǎng)絡(luò)構(gòu)成的自動化控制系統(tǒng)。PLC系統(tǒng)由PLC控制柜、通訊柜、端子柜組成?，F(xiàn)場來的電纜先接入端子柜,再由端子柜接至PLC，PLC與上位機通過工業(yè)交換機進行數(shù)據(jù)交換。不同PLC系統(tǒng)與其它PLC系統(tǒng)有關(guān)的連鎖信號通過網(wǎng)絡(luò)通訊完成數(shù)據(jù)交換。鋼鐵廠工業(yè)以太網(wǎng)一般采用環(huán)網(wǎng)結(jié)構(gòu)，為實時控制網(wǎng)，負責控制器、操作站和工程師站之間過程控制數(shù)據(jù)實時通訊，網(wǎng)絡(luò)上所有操作站、數(shù)采機和PLC都采用以太網(wǎng)接口，網(wǎng)絡(luò)中遠距離傳輸介質(zhì)為光纜，本地傳輸介質(zhì)為網(wǎng)線（如PLC與操作站之間）。生產(chǎn)監(jiān)控主機利用雙網(wǎng)卡結(jié)構(gòu)與管理網(wǎng)互聯(lián)。鋼鐵企業(yè)的工業(yè)控制系統(tǒng)具有多個生產(chǎn)工藝流程混合、控制網(wǎng)絡(luò)組網(wǎng)復(fù)雜，多種通信方式并存、生產(chǎn)控制系統(tǒng)品牌多、新老系統(tǒng)并存，多種高級應(yīng)用分而自治，使得可以被黑客利用的漏洞大量存在?？梢?，對于這樣的系統(tǒng)網(wǎng)絡(luò)，不能采用單一的防護策略，需要根據(jù)實際情況，從不同角度和層次應(yīng)用多種策略進行綜合防護。

隨著工業(yè)互聯(lián)網(wǎng)和鋼鐵行業(yè)信息化的推進以及MES、EMS、APS等系統(tǒng)的逐步推廣應(yīng)用，原本相互獨立的DCS、PLC、電儀系統(tǒng)、SCADA等控制子系統(tǒng)需要通過網(wǎng)絡(luò)與信息系統(tǒng)連接在一起。這些控制子系統(tǒng)負責完成對高爐控制系統(tǒng)、轉(zhuǎn)爐控制系統(tǒng)、燃燒控制系統(tǒng)、煉鋼智能控制系統(tǒng)、軋薄帶智能控制系統(tǒng)、高精度板厚控制系統(tǒng)的采集、存儲、輸送等控制任務(wù)，一旦受到惡性攻擊、病毒感染，就會導(dǎo)致鋼鐵生產(chǎn)受到嚴重影響，甚至造成人員傷亡等嚴重后果。在鋼鐵行業(yè)統(tǒng)一管理集中監(jiān)控的大趨勢下，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的集成度越來越高，與其他信息網(wǎng)絡(luò)的互聯(lián)程度也隨之提高。與此同時，未經(jīng)隔離的網(wǎng)絡(luò)與主機、誤操作、惡意操作、未授權(quán)的接入與操作、未授權(quán)的程序安裝、系統(tǒng)資源濫用與誤用、外部接口濫用（usb口及其他擴展接口）以及新型攻擊（APT）也對工業(yè)控制系統(tǒng)安全帶來極大的威脅。如果工業(yè)控制系統(tǒng)不加強主動防護、監(jiān)測審計、集中監(jiān)管和預(yù)警響應(yīng)等安全措施的建設(shè)，將在系統(tǒng)中留下大量的安全盲點與灰色地帶，給各類外部威脅留下可乘之機，不但無法對安全事件做到及時響應(yīng)處置，還非常容易對生產(chǎn)業(yè)務(wù)產(chǎn)生嚴重的影響。

2.方案簡介

目前鋼鐵企業(yè)工控系統(tǒng)各個系統(tǒng)之間互聯(lián)互通密切，隨著網(wǎng)絡(luò)化的逐漸深入，新的場景也帶來了新的風險，鋼鐵企業(yè)目前面臨不同的生產(chǎn)區(qū)域之間為了連接的便利性未做有效的區(qū)域劃分、工業(yè)控制通信協(xié)議在設(shè)計時通常只強調(diào)通信的實時性及可用性對安全性普遍考慮不足、工控上位機大多數(shù)處于“裸奔”狀態(tài)、軟件開發(fā)階段缺少安全設(shè)計軟件存在大量的安全漏洞、員工安全意識淡薄等等一系列安全問題。

依據(jù)《網(wǎng)絡(luò)安全法》、“等保2.0”等現(xiàn)行法規(guī)、規(guī)范和標準的要求，在安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向加密、分級綜合防護的基礎(chǔ)上，通過工控網(wǎng)絡(luò)“智能白名單”形式，對鋼鐵廠生產(chǎn)控制大區(qū)系統(tǒng)進行自主可控、安全可靠的工控安全整體防護。利用“AI基因，威脅免疫”安全防護技術(shù)構(gòu)建鋼鐵廠網(wǎng)絡(luò)信息安全綜合防護架構(gòu)；完善鋼鐵廠生產(chǎn)控制大區(qū)工控網(wǎng)絡(luò)信息安全防護體系，符合工控等保2.0第三級安全防護要求。

3.方案目標

建立自動化生產(chǎn)系統(tǒng)的安全加固與主動預(yù)警的安全防護體系，從網(wǎng)絡(luò)層、主機層、系統(tǒng)層、應(yīng)用層和管理制度等多方面進行主動式威脅管理，提高工業(yè)控制系統(tǒng)整體安全防護等級，保證鋼鐵企業(yè)工業(yè)控制系統(tǒng)的穩(wěn)定有序運行。

（1）建設(shè)工控網(wǎng)絡(luò)邊界安全防護及終端計算環(huán)境安全防護

通過技術(shù)手段對在工控網(wǎng)絡(luò)邊界部署安全產(chǎn)品，以鋼鐵生產(chǎn)工藝流程為單位，對安全生產(chǎn)網(wǎng)絡(luò)進行安全域的劃分，堅持“橫向分區(qū)、縱向分層”的原則構(gòu)建可信工控系統(tǒng)，防護網(wǎng)絡(luò)攻擊與威脅，保證工業(yè)生產(chǎn)系統(tǒng)安全，打造工控安全計算白環(huán)境；部署統(tǒng)一運維平臺進行工控網(wǎng)絡(luò)安全工作高效可靠管理，初步建立工控網(wǎng)絡(luò)安全管理體系，即利用技術(shù)手段和管理手段保證企業(yè)安全生產(chǎn)。

（2）建設(shè)完善的安全審計措施和未知威脅檢測，完善縱深防御體系

通過旁路監(jiān)聽與智能分析技術(shù)，對系統(tǒng)的控制、采集請求、網(wǎng)絡(luò)行為進行詳細的審計，對攻擊及時預(yù)警。建立事前攻擊的提前發(fā)現(xiàn)和預(yù)防，事中攻擊的主動檢測、主動防御，事后及時溯源，做到應(yīng)急響應(yīng)。同時構(gòu)建清晰的資產(chǎn)互訪拓撲；對攻擊場景進行還原，對每個攻擊階段進行回溯分析，通過豐富的可視化技術(shù)進行多維呈現(xiàn)。

（3）建設(shè)網(wǎng)絡(luò)安全監(jiān)測預(yù)警與信息通報平臺

建立針對鋼鐵行業(yè)各工藝段工業(yè)互聯(lián)網(wǎng)安全監(jiān)測預(yù)警、信息通報、應(yīng)急處置手段，提高威脅信息的共享，對監(jiān)測發(fā)現(xiàn)的安全風險隱患及時通報相關(guān)企業(yè)；實現(xiàn)工業(yè)設(shè)備資產(chǎn)感知、工業(yè)漏洞感知、工業(yè)配置感知、工業(yè)協(xié)議識別和分析、工業(yè)連接和網(wǎng)絡(luò)行為感知、工業(yè)僵木蠕檢測、工業(yè)攻擊鏈的監(jiān)測和分析等安全態(tài)感知功能，實時識別和預(yù)警工業(yè)控制網(wǎng)絡(luò)和工業(yè)互聯(lián)網(wǎng)絡(luò)的安全威脅，及時與工業(yè)安全設(shè)備聯(lián)動實現(xiàn)協(xié)同防護，并提供攻擊回溯取證和安全態(tài)勢定期報表，為制定工控安全策略提供支撐，形成安全閉環(huán)，進而實現(xiàn)工業(yè)控制網(wǎng)絡(luò)和工業(yè)互聯(lián)網(wǎng)絡(luò)安全威脅的可視、可控、可管。

1.1.2  方案實施概況

鑒于當前鋼鐵行業(yè)工控系統(tǒng)安全現(xiàn)狀，若要同層級不同區(qū)域的縱深防護，需要對工業(yè)網(wǎng)絡(luò)內(nèi)部通信的各種數(shù)據(jù)采集協(xié)議和控制協(xié)議進行深度解析，對工控網(wǎng)絡(luò)進行區(qū)域劃分與隔離，對工控主機進行安全加固，對工控網(wǎng)絡(luò)進行全網(wǎng)安全審計和威脅感知。

1.方案總體架構(gòu)和主要內(nèi)容

（1）方案總體架構(gòu)

工控系統(tǒng)安全建設(shè)遵循“一個中心，三重防護”的建設(shè)原則，在鋼鐵廠集團數(shù)據(jù)中心建設(shè)工控安全管理平臺、工控安全態(tài)勢平臺及工控系統(tǒng)數(shù)據(jù)災(zāi)備中心。

該廠均在內(nèi)部建設(shè)獨立的工控安全管理平臺和工控安全態(tài)勢感知平臺，本部生產(chǎn)基地為數(shù)據(jù)分析中心，各基地平臺將數(shù)據(jù)上傳至本部生產(chǎn)基地工控安全管理平臺和工控安全態(tài)勢感知平臺進行審計分析、數(shù)據(jù)綜合分析與展示。

數(shù)據(jù)災(zāi)備中心將各廠區(qū)重要業(yè)務(wù)系統(tǒng)的數(shù)據(jù)集中匯總收集，集中災(zāi)備，避免意外造成的數(shù)據(jù)丟失。

在集團下各分廠搭建縱深的三重防護體系，以安全服務(wù)的形式梳理通信網(wǎng)絡(luò)，理清網(wǎng)絡(luò)邊界，在網(wǎng)絡(luò)邊界構(gòu)建訪問控制體系，阻斷非正常的邊界訪問，搭建分支管理中心，對計算環(huán)境進行綜合監(jiān)管與安全審計，對終端設(shè)備進行安全運維，對終端系統(tǒng)進行白名單準入管控。

拓撲架構(gòu)如圖4-1所示：

圖4-1  拓撲架構(gòu)

在部署防護措施的時候，首先做好網(wǎng)絡(luò)隔離安全，明確網(wǎng)絡(luò)邊界，基于數(shù)字證書等措施進行身份認證和授權(quán)管理，基于零信任措施嚴格執(zhí)行細粒度的訪問控制；

其次在生產(chǎn)控制網(wǎng)部署工業(yè)監(jiān)測審計設(shè)備記錄應(yīng)用和設(shè)備情況，學(xué)習通信和數(shù)據(jù)的特點，結(jié)合主機白名單軟件建立工控網(wǎng)絡(luò)安全“白環(huán)境”。

再次采用堡壘機應(yīng)對工控網(wǎng)絡(luò)系統(tǒng)管理員特權(quán)以及非法操作等突出安全問題；

然后采取綜合審計措施，對網(wǎng)絡(luò)安全事件進行發(fā)現(xiàn)和追溯管理；

最后基于安全服務(wù)，對生產(chǎn)廠全網(wǎng)進行安全加固，逐一終端檢查本地安全服務(wù)及本地安全策略，排查弱口令，雷同口令，非法外設(shè)等，并利用備份機制和并行機制，結(jié)合應(yīng)急響應(yīng)預(yù)案建立快速響應(yīng)能力。

（2）方案主要內(nèi)容

?   安全域劃分

廠內(nèi)各機組按分廠（分線）統(tǒng)一安全監(jiān)控。按具體情況：

其一，L2網(wǎng)絡(luò)能夠連接成一個網(wǎng)絡(luò)的情況，可以在L2機房（或主電室）配置核心交換機統(tǒng)一與生產(chǎn)網(wǎng)匯聚交換機連通，分期分階段將網(wǎng)絡(luò)匯聚到廠內(nèi)L2機房（或主電室）核心交換機。各機組網(wǎng)絡(luò)用工業(yè)防火墻進行隔離，可以根據(jù)需要進行連通（或不連通）；

其二，L2系統(tǒng)無法進行統(tǒng)一接入的情況，L2通訊服務(wù)器就近接入到生產(chǎn)網(wǎng)的接入交換機，中間用工業(yè)防火墻進行隔離。

內(nèi)部安全域劃分上，首先，基于三層交換機，按IP地址為生產(chǎn)網(wǎng)劃分VLAN，并設(shè)置子網(wǎng)地址。采用VLAN提供的安全機制，可以限制特定用戶的訪問，甚至鎖定網(wǎng)絡(luò)成員的MAC地址，這樣，就限制了未經(jīng)安全許可的用戶和網(wǎng)絡(luò)成員對網(wǎng)絡(luò)的使用。如無法劃分VLAN，可以在工業(yè)防火墻啟用NAT功能；其次，配置交換機的（ACL）訪問控制策略，通過包過濾技術(shù)禁止外部非法用戶對內(nèi)部的訪問。同時建議關(guān)閉或限制使用交換機、路由器等網(wǎng)絡(luò)設(shè)備的不必要功能、端口、協(xié)議和服務(wù)。

管理網(wǎng)與工控網(wǎng)邊界：在管理網(wǎng)與工控網(wǎng)之間均采用工業(yè)網(wǎng)閘進行網(wǎng)絡(luò)隔離。能夠阻止不必要的流量進入工控網(wǎng)。僅定義必要的工控應(yīng)用服務(wù)器與管理網(wǎng)的業(yè)務(wù)服務(wù)器允許通信，其他通信都被禁止。最大限度的阻止從管理網(wǎng)絡(luò)向工控網(wǎng)絡(luò)入侵行為的傳播，同時保證必要的業(yè)務(wù)系統(tǒng)間的數(shù)據(jù)共享。滿足等保2.0“安全網(wǎng)絡(luò)通信”中：保證跨越邊界的訪問和數(shù)據(jù)流通過邊界防護設(shè)備提供的受控接口進行通信的合規(guī)要求。

各生產(chǎn)子網(wǎng)的邊界：在網(wǎng)絡(luò)之間采用工業(yè)防火墻進行隔離。阻止生產(chǎn)子網(wǎng)以外的數(shù)據(jù)包或惡意程序進入生產(chǎn)子網(wǎng)，限制子網(wǎng)內(nèi)的允許跨網(wǎng)通信的主機數(shù)量，除非必要，否則將禁止子網(wǎng)間的通信。同時防止一個子網(wǎng)感染病毒后向其他子網(wǎng)或上層安全域傳播的可能。工業(yè)防火墻具有工控網(wǎng)絡(luò)通信協(xié)議的深度內(nèi)容檢查功能，能夠及時發(fā)現(xiàn)功能碼錯誤或指令攻擊行為，提供阻斷或報警功能。

安全管理中心邊界：安全管理中心因為必須在網(wǎng)絡(luò)上與被管理設(shè)備間路由可達，防火墻應(yīng)設(shè)置端到端的、基于端口的嚴格訪問控制規(guī)則，阻止對安全管理中心的非授權(quán)訪問行為，阻止來自任意網(wǎng)絡(luò)對安全管理域的不必要流量，保障管理中心自身安全。

未知邊界管理：由于工控網(wǎng)絡(luò)的物理邊界范圍太大，給管理帶來非常大的難度，隨身WIFI設(shè)備、無線路由私接、手機熱點等都隨時可能破壞網(wǎng)絡(luò)邊界的完整性，使得用戶在網(wǎng)絡(luò)邊界上的努力和投入化為烏有。在網(wǎng)絡(luò)核心處部署邊界完整性檢查產(chǎn)品，快速網(wǎng)絡(luò)檢測、定位與阻斷控制破壞網(wǎng)絡(luò)邊界行為，保護邊界安全。

?   縱深安全防御

基于邊界訪問控制、邊界入侵防御等構(gòu)建縱深安全防御體系。入侵防御是工業(yè)控制系統(tǒng)安全防護的重要技術(shù)措施。在工業(yè)防火墻選擇工業(yè)入侵防御模塊，可以實時監(jiān)控關(guān)鍵業(yè)務(wù)系統(tǒng)的關(guān)鍵路徑信息，實現(xiàn)安全事件的可發(fā)現(xiàn)、可追蹤、可審計和阻斷。

工業(yè)入侵防御系統(tǒng)采用協(xié)議分析、模式匹配、異常檢測等技術(shù)，實現(xiàn)對網(wǎng)絡(luò)流量、數(shù)據(jù)包的動態(tài)監(jiān)視、記錄和管理、對異常事件進行告警等。滿足等保2.0“安全網(wǎng)絡(luò)通信”中：在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從外部（或內(nèi)部）發(fā)起的網(wǎng)絡(luò)攻擊行為的合規(guī)要求。

?   網(wǎng)絡(luò)安全預(yù)警

通過在網(wǎng)絡(luò)關(guān)鍵節(jié)點處對數(shù)據(jù)流量做鏡像采集，并交由中心節(jié)點的分析平臺做數(shù)據(jù)分析的方式進行安全分析與威脅預(yù)警。采用“AI基因，威脅免疫”的防護理念，運用人工智能技術(shù)實現(xiàn)對安全威脅的主動防御，能夠在攻擊產(chǎn)生破壞行為之前及時被發(fā)現(xiàn)并響應(yīng)，避免發(fā)生更大的經(jīng)濟損失與社會影響。

通過新一代高性能分布式大數(shù)據(jù)平臺，搭載大數(shù)據(jù)AI分析引擎，采用無監(jiān)督學(xué)習算法，以產(chǎn)線內(nèi)資產(chǎn)為核心構(gòu)建AI模型，全面檢測高級威脅和未知威脅。

通過聚焦于資產(chǎn)發(fā)現(xiàn)和未知威脅檢測兩大客戶痛點，通過高效處理海量數(shù)據(jù)，自動發(fā)現(xiàn)內(nèi)網(wǎng)資產(chǎn)，構(gòu)建清晰的資產(chǎn)互訪拓撲；通過全流量AI未知威脅檢測，結(jié)合全球威脅情報進行威脅溯源；通過精準攻擊場景還原，采用攻擊鏈對每個攻擊階段進行回溯分析，并留存攻擊取證報文；結(jié)合AI檢測、規(guī)則檢測進行關(guān)聯(lián)分析，自動評估風險資產(chǎn)，通過豐富的可視化技術(shù)進行多維呈現(xiàn)。

2. 網(wǎng)絡(luò)、平臺或安全互聯(lián)架構(gòu)

（1）網(wǎng)絡(luò)互聯(lián)架構(gòu)

鋼鐵行業(yè)是我國基礎(chǔ)性產(chǎn)業(yè)，是國民經(jīng)濟的支柱產(chǎn)業(yè)之一。相當長的一段時間鋼鐵企業(yè)的工業(yè)控制系統(tǒng)一直處于“信息孤島”狀態(tài)。近年來，隨著互聯(lián)網(wǎng)+、物聯(lián)網(wǎng)和智能制造技術(shù)的發(fā)展，鋼鐵行業(yè)積極推進信息化建設(shè)，顯著提升了鋼鐵行業(yè)的生產(chǎn)能力和管理水平。鋼鐵行業(yè)工控系統(tǒng)不斷優(yōu)化升級，這一發(fā)展過程中，工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全面臨著重大挑戰(zhàn)。在全球信息化飛速發(fā)展的新形勢下，如何確保鋼鐵行業(yè)工控系統(tǒng)的信息安全，一直備受重視。

鋼鐵冶煉是將鐵礦石經(jīng)過一些列工序冶煉成鋼并軋制成鋼材的過程。為了支撐這一過程，鋼廠的工業(yè)生產(chǎn)流程還包括了石灰白灰制造，發(fā)電，煤的焦化提純，空氣壓縮，制氧等一系列能源、輔料以及高價值副產(chǎn)品的生產(chǎn)，工業(yè)流程主體如圖4-2所示：

圖4-2  工業(yè)流程主體

（2）安全風險

?   生產(chǎn)控制大區(qū)內(nèi)部工控系統(tǒng)邊界缺乏有效的防護手段

各生產(chǎn)線之間的網(wǎng)絡(luò)邊界未部署針對工業(yè)環(huán)境的安全產(chǎn)品，某個域中感染病毒或者受到攻擊后，威脅有可能蔓延到整個工控網(wǎng)絡(luò)。

?   生產(chǎn)監(jiān)控工業(yè)主機及服務(wù)器中存在安全隱患

工業(yè)控制系統(tǒng)中的主機、工控機未安裝專門的工控防護軟件，工業(yè)主機使用了相對主流的windows操作系統(tǒng)，為了保證系統(tǒng)的穩(wěn)定性和兼容性往往難以進行必要的安全性補丁更新，在當前的工控網(wǎng)絡(luò)架構(gòu)下，其暴露程度也相對較高，存在被植入病毒和各類間諜軟件的風險。

根據(jù)對工控系統(tǒng)存在的安全風險，得出工控安全建設(shè)需求，要以滿足未來的等級保護2.0工業(yè)控制系統(tǒng)安全擴展要求為前提，通過建立多層次的縱深安全防護機制，防止攻擊對工控系統(tǒng)造成不良影響，具體建設(shè)需求如下：

網(wǎng)絡(luò)攻擊防護：根據(jù)該鋼鐵廠的環(huán)網(wǎng)特點，采用適當?shù)木W(wǎng)絡(luò)攻擊預(yù)警、發(fā)現(xiàn)及防護機制，防止網(wǎng)絡(luò)入侵，惡意軟件擴散等情況的出現(xiàn)。

主機安全防護：針對工業(yè)主機的特點，采用適當?shù)姆桨阜乐箰阂廛浖诠I(yè)主機上啟動運行。

?   生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)內(nèi)部缺乏完整性管控手段和運維審計措施

在日常的生產(chǎn)運營和維護中，需要第三方運維單位進行設(shè)備巡檢和檢修，為了工作的便捷性，經(jīng)常將辦公用的筆記本及便攜設(shè)備等接入到生產(chǎn)網(wǎng)絡(luò)中，由于缺少網(wǎng)絡(luò)準入技術(shù)及安全審計技術(shù)，不能對私自接入的設(shè)備進行管控，給生產(chǎn)系統(tǒng)帶來了很大的安全隱患。在疫情影響下，運維人員還有可能通過遠程桌面方式進行運維，缺乏完善的運維審計機制，對運維人員的操作過程沒有記錄。

3. 具體應(yīng)用場景和安全應(yīng)用模式

（1）鋼鐵行業(yè)云數(shù)據(jù)中心安全防護建設(shè)

隨著互聯(lián)網(wǎng)的重心逐步向移動互聯(lián)網(wǎng)轉(zhuǎn)移，各種新技術(shù)新業(yè)務(wù)上線運營，帶來海量數(shù)據(jù)的爆炸式增長，關(guān)于客戶的隱私數(shù)據(jù)也日益增加。因此，需要構(gòu)建整體全面的云計算安全體系，對內(nèi)實現(xiàn)安全管理，對外實現(xiàn)安全運營。

在虛擬機資源池環(huán)境中，物理服務(wù)器內(nèi)部存在多個虛擬機，每個虛擬機都承載不同業(yè)務(wù)系統(tǒng)；同時，同一物理服務(wù)器內(nèi)部的不同虛擬機間的流量可以通過內(nèi)部的虛擬網(wǎng)絡(luò)層直接通信，不再通過外部的物理防火墻，使得原有的物理安全邊界在虛擬化環(huán)境下發(fā)生改變，因此，原有的安全防護機制無法有效應(yīng)對虛擬化環(huán)境的場景，給云數(shù)據(jù)中心用戶業(yè)務(wù)上云帶來了極大的阻礙。該場景拓撲示意圖如圖4-3：

圖4-3  場景拓撲示意圖

根據(jù)等級保護“一個中心，三重防護”的指導(dǎo)思想，參照《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》第三級安全要求中“安全通用要求”與“云計算安全擴展要求”，通過技術(shù)手段實現(xiàn)的防護主要包含如下幾個層面：

?   安全通信網(wǎng)絡(luò)：通過部署六方云池實現(xiàn)租戶間的隔離。通過部署云池

產(chǎn)品實現(xiàn)不同云租戶虛擬網(wǎng)絡(luò)間的隔離及邊界防護與入侵防范，滿足等保中安全通信網(wǎng)絡(luò)的要求；由于云數(shù)據(jù)中心網(wǎng)絡(luò)中有一個不可控區(qū)域，即用戶托管的服務(wù)器區(qū)。此區(qū)域的服務(wù)器，最終用戶擁有完全控制權(quán)限，因此此部分很容易被當成肉雞，直接繞過邊界防火墻訪問云服務(wù)器。因此通過在托管服務(wù)器區(qū)邊界部署下一代防火墻，實現(xiàn)云計算服務(wù)器與網(wǎng)絡(luò)中其他網(wǎng)絡(luò)的邊界防護與入侵防范等。

?   安全區(qū)域邊界：通過安全設(shè)備及網(wǎng)絡(luò)設(shè)備合理劃分安全域：云數(shù)據(jù)中心

為內(nèi)部區(qū)域，其它為外部區(qū)域，通過在核心交換機上部署入侵檢測系統(tǒng)（IDS），實現(xiàn)發(fā)現(xiàn)訪問控制過程中的威脅并及時做好防護策略；通過旁路部署神探系統(tǒng)流量探針，采用監(jiān)聽與智能分析技術(shù)，對系統(tǒng)的控制、采集請求，數(shù)據(jù)庫存取、系統(tǒng)運維等關(guān)鍵行為進行審計，對攻擊及時預(yù)警；在內(nèi)部用戶網(wǎng)絡(luò)邊界部署下一代防火墻配合入侵防御模塊（IPS），實現(xiàn)內(nèi)部用戶終端到云服務(wù)器區(qū)的訪問控制，對云服務(wù)器的安全起到安全保障；在互聯(lián)網(wǎng)邊界，通過部署入侵防御系統(tǒng)（IPS）實現(xiàn)對原有外部邊界防火墻的功能互補，抵御來自互聯(lián)網(wǎng)的攻擊，通過部署蜜罐設(shè)備及時發(fā)現(xiàn)來自互聯(lián)網(wǎng)的威脅，將威脅攻擊誘捕至蜜罐，從而讓安全運維人員及早發(fā)現(xiàn)黑客的攻擊行為與手段，提前做出預(yù)判并提升安全防護等級，也為安全防護策略的建議爭取寶貴的時間，從而滿足等保中安全區(qū)域邊界的要求。

?   安全計算環(huán)境：通過部署六方云池，采用流量引流或鏡像的接口，通過

云池平臺上包含的各類安全組件來實現(xiàn)防護；通過在云主機安裝云主機防護軟件，實現(xiàn)對終端主機的防護，滿足等保中安全計算環(huán)境的相關(guān)要求。

?   安全管理中心：以神探系統(tǒng)分析平臺作為輔助安全管理中心，實現(xiàn)對網(wǎng)

絡(luò)流量的統(tǒng)一采集、分析及主要防護設(shè)備的統(tǒng)一運維，形成云數(shù)據(jù)中心的安全運營中心，統(tǒng)一維護日常的信息安全防護，對安全事件的應(yīng)急處置、攻擊行為的發(fā)現(xiàn)提供技術(shù)支撐。

（2）熱軋工業(yè)控制系統(tǒng)安全防護建設(shè)

工業(yè)控制系統(tǒng)安全防護設(shè)計應(yīng)以構(gòu)建可持續(xù)演進的、能主動發(fā)現(xiàn)隱患并支持智能決策的安全防護能力為目標。為實現(xiàn)這一目標，不能單純依賴技術(shù)手段、安全軟硬件設(shè)施的簡單堆疊，而應(yīng)當采用先進的安全技術(shù)、構(gòu)建全天候的安全運營體系、并落實因地制宜的安全管理制度。其中，安全運營是銜接技術(shù)手段和管理制度，并讓安全防護能力持續(xù)有效的核心。

在安全技術(shù)、安全運營能力及安全管理制度的落實中，必須考慮到企業(yè)工控網(wǎng)絡(luò)在時延敏感性、工業(yè)控制協(xié)議、工控網(wǎng)絡(luò)架構(gòu)、工業(yè)上下位機漏洞等方面的特點并有針對性的提出防護方法，總結(jié)得出關(guān)鍵防護原則如下：

?分層分區(qū)：依據(jù)“垂直分層，水平分區(qū)”的思想對工業(yè)控制系統(tǒng)進行細致的安全區(qū)域劃分，同時根據(jù)不同區(qū)域的安全防護需求特點分安全級別的落實安全措施。

?本體保護：工業(yè)系統(tǒng)中的各個模塊均應(yīng)實現(xiàn)自身的安全。同時，在條件不具備的條件下將各模塊本體作為安全防護的單元，應(yīng)用必要的安全技術(shù)、管理手段和應(yīng)急措施。

?智能分析：在構(gòu)筑安全架構(gòu)的基礎(chǔ)上，通過對AI技術(shù)實現(xiàn)對網(wǎng)絡(luò)行為中潛藏異常風險進行挖掘，通過智能化的策略建議提供更高的安全防護水平。

?集中管控：對部署的安全防護技術(shù)手段應(yīng)在系統(tǒng)范圍內(nèi)進行集中管控，將孤立的安全能力整合成協(xié)同工作的安全防護體系。

詳細拓撲如圖4-4所示：

圖4-4  拓撲示意圖

1.1.3  下一步實施計劃

1. 計劃1

全面提升鋼鐵廠生產(chǎn)控制大區(qū)工控網(wǎng)絡(luò)安全防護管理的合規(guī)性，符合國家主管部門、行業(yè)監(jiān)管部門的管理要求以及工控安全防護要求。

2. 計劃2

通過初步安全防護實施，整體提升工控安全防護能力，提升整個工控網(wǎng)絡(luò)實時監(jiān)測預(yù)警能力以及安全運維能力；全面改善業(yè)務(wù)人員的安全水平和安全意識，提升安全管理水平、工作效率和管理效率。

3. 計劃3

實現(xiàn)惡意代碼的監(jiān)測、分析、告警、處置和管理，能夠監(jiān)測惡意代碼網(wǎng)絡(luò)傳播和攻擊行為，并采用人工智能技術(shù)進行關(guān)聯(lián)分析和綜合分析，有效解決靜態(tài)特征碼監(jiān)測方式的弊端，提升全行業(yè)動態(tài)檢測能力。

1.1.4  方案創(chuàng)新點和實施效果

1. 方案先進性及創(chuàng)新點

（1）打造IT與OT融合的縱深防御體系

方案設(shè)計中通過部署工業(yè)審計、智能工業(yè)防火墻、全流量未知威脅檢測與回溯系統(tǒng)、工業(yè)衛(wèi)士、監(jiān)管平臺產(chǎn)品，打造IT和OT融合的縱深防御體系。采用IT和OT數(shù)據(jù)融合技術(shù)、AI技術(shù)、人工智能技術(shù)，基于工業(yè)大數(shù)據(jù)全流量持續(xù)監(jiān)測系統(tǒng)中已知威脅和未知威脅。

（2）全網(wǎng)資產(chǎn)測繪以及工業(yè)行為可視化

實現(xiàn)工控網(wǎng)絡(luò)資產(chǎn)的可視化管理，動態(tài)識別非法接入設(shè)備，直觀展示工控網(wǎng)絡(luò)安全威脅，利用豐富的可視化展現(xiàn)經(jīng)驗和技術(shù)手段。平臺建設(shè)完成后將依據(jù)工業(yè)網(wǎng)絡(luò)系統(tǒng)實際拓撲提供大量的監(jiān)視視圖?？梢暬晥D將針對不同的展示數(shù)據(jù)，不僅提供餅狀圖、柱狀圖等形式展示對比及分布數(shù)據(jù)，利用趨勢圖反映周期性的監(jiān)測數(shù)據(jù)，同時采用復(fù)雜算法和布局的可視化展示技術(shù)創(chuàng)建視網(wǎng)膜圖、多維視圖反映數(shù)據(jù)規(guī)律，增加用戶對數(shù)據(jù)的可讀性。

（3）極大減少運維工作量

產(chǎn)品采用AI模型進行威脅檢測，從核心技術(shù)上區(qū)別于傳統(tǒng)安全感知設(shè)備，通過安全日志AI聚合技術(shù)，將一類安全告警形成簡潔的安全事件呈現(xiàn)給用戶，克服了傳統(tǒng)設(shè)備告警數(shù)量巨大、誤報率高的缺點，極大地減少了運維人員的工作量。

2. 實施效果

通過一系列的安全防護建設(shè)，滿足了等級保護制度對工業(yè)控制系統(tǒng)安全防護的要求，為客戶解決生產(chǎn)控制系統(tǒng)管理難、運維難、資產(chǎn)看不清、資產(chǎn)之間訪問關(guān)系和訪問行為無法掌握等難題。

n   實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢從未知到已知

通過建立生產(chǎn)控制系統(tǒng)信息安全監(jiān)管與預(yù)警平臺，摸清家底，感知網(wǎng)絡(luò)中的資產(chǎn)信息，實現(xiàn)網(wǎng)絡(luò)資產(chǎn)可視化。通過摸清家底，了解網(wǎng)絡(luò)中存在哪些設(shè)備、對應(yīng)的責任人是誰、使用什么操作系統(tǒng)、安裝了哪些軟件和應(yīng)用，分別是什么組件、什么版本，分別存在哪些漏洞、已經(jīng)修補了哪些補丁等等，真正做到底數(shù)清、情況明確。

n   實現(xiàn)網(wǎng)絡(luò)安全防御從被動到主動

通過建立鋼鐵行業(yè)生產(chǎn)控制系統(tǒng)監(jiān)管預(yù)警平臺，利用安全大數(shù)據(jù)、態(tài)勢感知、攻擊鏈模型和算法，結(jié)合最新的全球網(wǎng)絡(luò)安全威脅情報，持續(xù)監(jiān)測，準確及時地發(fā)現(xiàn)各種潛在威脅和攻擊，并進行通報預(yù)警，提前感知攻擊者的下一步攻擊計劃，采取有效處置措施，構(gòu)建彈性防御體系，以期最大限度上避免、轉(zhuǎn)移、降低信息系統(tǒng)所面臨的風險。

n   實現(xiàn)從單一設(shè)備防護到協(xié)同聯(lián)動

通過建立生產(chǎn)控制系統(tǒng)監(jiān)管與預(yù)警平臺，作為聯(lián)動樞紐，實現(xiàn)網(wǎng)絡(luò)中所有安全設(shè)備的數(shù)據(jù)匯總分析、數(shù)據(jù)共享及策略協(xié)同，打通終端、邊界協(xié)同聯(lián)動，有機整合各種網(wǎng)絡(luò)安全技術(shù)，達到“智能檢測”、“智能上報”、“智能響應(yīng)”，建立一個以威脅情報為驅(qū)動，終端安全、邊界安全、大數(shù)據(jù)分析等多層次、縱深智能協(xié)同的安全防御體系，有效提升整體網(wǎng)絡(luò)防護能力。

n   實現(xiàn)網(wǎng)絡(luò)安全縱深防御防護體系

通過工控系統(tǒng)安全防護要求，對生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)安全進行整改加固，在堅持“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”的原則，強化邊界防護的基礎(chǔ)上，加強內(nèi)部的物理安全、網(wǎng)絡(luò)安全、操作系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全防護以及安全運維管控，構(gòu)建縱深防線，實現(xiàn)智能制造企業(yè)生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)安全的縱深防御、綜合防護。

1.1.5  單位基本信息

北京六方云信息技術(shù)有限公司是一家技術(shù)領(lǐng)先的“新安全”公司，六方云借助人工智能技術(shù)仿生人體免疫機制，針對工業(yè)客戶和政企客戶的安全需求，創(chuàng)造性地提出了“AI基因、威脅免疫”的“新時代、新安全”安全理念，采用+AI和AI+戰(zhàn)略，將人工智能技術(shù)應(yīng)用于全系列產(chǎn)品，構(gòu)建安全威脅免疫系統(tǒng)。在國家新基建戰(zhàn)略下，致力于提供關(guān)鍵信息基礎(chǔ)設(shè)施保護、工業(yè)互聯(lián)網(wǎng)安全的產(chǎn)品和解決方案，擁有保護工業(yè)客戶和政企客戶的“5+1”產(chǎn)品線：工控安全產(chǎn)品線、網(wǎng)絡(luò)安全產(chǎn)品線、云安全產(chǎn)品線、安全態(tài)勢感知產(chǎn)品線、人工智能安全產(chǎn)品線及安全服務(wù)。

六方云董事長任增強表示：工業(yè)互聯(lián)網(wǎng)安全、云安全、人工智能安全是“新安全”，是未來，而未來世界發(fā)展的主要推動力來自于技術(shù)。六方云堅持以吸引和團結(jié)有共同價值觀的人才為核心，持續(xù)不斷地耕耘攻堅，實現(xiàn)“以技術(shù)保障技術(shù)”，用最先進的技術(shù)解決國家與行業(yè)在高速發(fā)展中的安全問題，保障國家工業(yè)互聯(lián)網(wǎng)戰(zhàn)略、云安全戰(zhàn)略、以及新基建安全的實現(xiàn)，讓萬物安全互聯(lián)。