久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

★敖翔中國煙草總公司遼寧省公司

關鍵詞：網絡安全監(jiān)測；網絡安全防護；網絡安全管理；網絡安全服務

1　項目概況

1.1　項目背景

近些年來，網絡安全環(huán)境逐漸惡化，基于工業(yè)網絡的獨特性和脆弱性，針對工控系統(tǒng)的網絡攻擊已經愈演愈烈，安全威脅已經蔓延至工業(yè)信息系統(tǒng)。我單位下屬13個地市公司各建設了一個物流分揀系統(tǒng)，均是由工控設備和工控協(xié)議構成的工業(yè)控制網絡系統(tǒng)，在兩化融合趨勢下，下屬地市公司的工控網絡與辦公網絡互聯(lián)互通是必然之勢。兩化融合在極大地提升生產效率和管理便利性的同時，也帶來了一系列的安全隱患。隨著行業(yè)網絡安全建設的不斷深入，行業(yè)頭部先后發(fā)布了一系列網絡安全建設指導規(guī)范，我單位基于業(yè)務現狀出發(fā)，積極響應國家及行業(yè)頭部號召，“腳踏實地、大膽創(chuàng)新”，緊密貼合業(yè)務實際需求開展工業(yè)系統(tǒng)網絡安全監(jiān)測防護體系建設，形成了獨有的“1+N”安全監(jiān)測及服務支撐模式，有效保障了我單位工業(yè)信息系統(tǒng)的穩(wěn)定運行。

1.2　項目簡介

中國煙草總公司遼寧省公司基于業(yè)務現狀出發(fā)，經充分調研論證以“1+2+2+13”為建設思路建成省公司+13個地市公司的工業(yè)安全監(jiān)測防護體系。

1個目標：物流分揀系統(tǒng)網絡安全穩(wěn)定運行；

2個思路：安全運行技術監(jiān)測、安全管理服務支撐；

2個體系：工業(yè)安全監(jiān)測技術體系、工業(yè)安全服務支撐體系；

13個地市：覆蓋13個地市公司的工業(yè)安全監(jiān)測防護體系。

依托“1+2+2+13”建設思路，我單位通過技術與服務相結合，在13個地市公司物流分揀系統(tǒng)內部署安全設備，將安全監(jiān)測數據實時上報至省公司工業(yè)態(tài)勢感知平臺，并通過安全服務支撐體系，依托省公司技術團隊為主體實現對下屬13個地市公司的安全服務支撐及安全周期檢查。我單位以安全監(jiān)測體系為基礎，以安全服務體系為支撐，以安全監(jiān)管和安全檢查為驅動力，推動了“1+N”工業(yè)安全監(jiān)測防護體系的運行，保障了全省物流分揀系統(tǒng)網絡運行安全。

1.3　項目目標

中國煙草總公司遼寧省公司“1+N”工業(yè)安全監(jiān)測防護體系建設自規(guī)劃之初就充分調研安全現狀及安全運維問題，現主要歸結為以下三點：

（1）網絡攻擊風險：物流分揀系統(tǒng)高度自動化、智能化，同時需要同辦公網絡聯(lián)接來接收生產信息，因為物流分揀系統(tǒng)自身的脆弱性與防護能力欠缺等問題，其時刻承受著來自辦公網絡以及其他未知的網絡安全攻擊的可能性。

（2）運維安全風險：物流分揀系統(tǒng)運行環(huán)境復雜，運維技術要求較高，13個地市公司距離較遠，在安全運維、安全監(jiān)測、應急響應處理等方面帶來了技術難度與建設成本的多方面挑戰(zhàn)。

（3）不足監(jiān)管風險：省公司安全監(jiān)管能力無法下沉至物流分揀系統(tǒng)，只能依靠下屬地市公司自行運維自行管理，安全運維及安全基線難以統(tǒng)一，無法在頂層視角基于13個地市公司做統(tǒng)一安全監(jiān)測與規(guī)劃，進而導致地市公司網絡安全隱患頻發(fā)。

基于上述隱患，為提升物流分揀系統(tǒng)網絡安全防御能力、加強安全風險監(jiān)測與識別能力、提升安全運維水平及地市公司應急響應能力，我單位特開展“1+N”工業(yè)安全監(jiān)測防護體系建設，力求實現工業(yè)安全全局監(jiān)管、防護水平穩(wěn)步提升、安全監(jiān)測降低風險、應急機制規(guī)避事故、培訓體系夯實“底線”。

2　項目實施

2.1　系統(tǒng)架構（如圖1所示）

圖1 系統(tǒng)架構圖

2.2　技術方案

2.2.1　安全建設思路

基于中國煙草總公司遼寧省公司現狀及安全需求，我單位針對13個地市公司物流分揀系統(tǒng)的安全建設從兩個思路出發(fā)做統(tǒng)一規(guī)劃：

（1）安全運行技術監(jiān)測：基于工業(yè)控制系統(tǒng)的特殊性和復雜性，安全建設主要以安全監(jiān)測和應急響應為主。為確保物流分揀系統(tǒng)穩(wěn)定運行，我單位構建了安全運行技術監(jiān)測體系，形成了“1+13”模式，一盤棋、一張圖展現13個地市公司物流分揀系統(tǒng)的運行狀況，一旦發(fā)生安全問題，省公司安全運行中心可以及時應急預警與響應。

（2）安全管理服務檢查：13個地市公司距離較遠，運維及安全建設省公司統(tǒng)一規(guī)劃后真正落地成效不一，因此在安全監(jiān)測體系之外我單位創(chuàng)新構建了安全管理及服務檢查體系，并制定了針對工業(yè)控制系統(tǒng)的安全應急響應標準、安全運行基線、資產變更上報制度，同時依托安全監(jiān)測體系的技術能力及安全運營中心的技術團隊，對13地市公司進行安全周期檢查、網絡變更風險稽查、網絡安全培訓。我單位在安全監(jiān)測技術體系之外以安全管理體系與安全服務體系為驅動力，促使13地市公司物流分揀系統(tǒng)網絡安全防護水平穩(wěn)步提升。

2.2.2　安全建設方案

（1）安全監(jiān)測體系

本項目在13個地市公司物流分揀系統(tǒng)同辦公網絡交界處部署工業(yè)安全網關，在物流分揀系統(tǒng)內部旁路部署工業(yè)入侵監(jiān)測系統(tǒng)，實現公司物流分揀系統(tǒng)同辦公網絡的嚴格訪問控制及物流分揀系統(tǒng)的網絡安全監(jiān)測。在省公司安全運營中心部署工業(yè)態(tài)勢感知系統(tǒng)，13地市公司安全設備日志通過專網將日志及告警信息上報至工業(yè)態(tài)勢感知系統(tǒng)，實現13地市物流分揀系統(tǒng)整體安全監(jiān)控。

在省公司運營中心部署工控漏洞掃描系統(tǒng)，周期性地對13個地市公司物流分揀系統(tǒng)進行漏洞掃描，發(fā)現安全威脅，省公司運營中心第一時間做應急通告及安全處置。13個地市的工業(yè)安全網關通過省公司運營中心堡壘機可進行運維操作，如發(fā)生安全事件地市公司無法第一時間應急響應，省公司運營中心監(jiān)測人員第一時間將物流分揀系統(tǒng)同辦公網絡進行隔離，確保安全威脅在可控區(qū)域被有效控制。

依托1+13的安全監(jiān)測體系，本項目構建應急監(jiān)測和應急響應與處置于一體的安全防護模式，以監(jiān)測數據對13地市安全狀況做整體考核，推動各地市公司網絡安全工作的有序推進和整體提升，最終實現安全態(tài)勢清晰掌控、安全應急快速響應、安全運維考核驅動。

（2）安全服務支撐體系

基于安全管理與服務檢查的安全建設思路，我單位在省公司安全運營中心部署工業(yè)漏洞掃描設備及安全建設工具箱，做安全檢查支撐；制定安全應急響應標準、安全運行基線、資產變更上報制度，依托安全監(jiān)測體系的技術能力及安全運營中心的技術團隊，對13地市公司進行安全周期檢查、網絡變更風險稽查、網絡安全培訓。具體方案如下：

安全檢查

·每周漏洞掃描：運營中心通過專網對物流分揀系統(tǒng)進行漏洞掃描，識別安全隱患，建立漏洞問題閉環(huán)機制，識別漏洞下發(fā)地市公司，規(guī)定時間內修復，技術人員核驗漏洞修復結果。

·安全周期檢查：針對地市公司物流分揀系統(tǒng)，運營中心組建技術團隊采用安全檢查工具箱每月對地市公司進行抽查，針對安全管理制度、安全運維執(zhí)行情況、物流分揀系統(tǒng)安全隱患等進行檢查，以技術+管理兩個維度進行安全檢查。

·資產變更上報：任何同物流分揀系統(tǒng)相關網絡變動產生資產變更情況強制要求上報審核，確保資產變更無風險方可做變更操作，同時針對變更結果同安全監(jiān)測體系監(jiān)測到的資產信息做比對，確保資產變更風險可控。

·網絡變更核查：因工業(yè)控制系統(tǒng)特殊性，不宜改變其原有結構及引入未知風險，任何同物流分揀系統(tǒng)相關網絡變動產生資產變更情況強制要求進行變更稽查，變更資產進行風險評估，各地市公司在風險評估后無問題后新資產方可變更上線。

安全服務

·安全運行基線：參考等級保護相關要求并結合業(yè)務特性針對物流分揀系統(tǒng)建立安全運行基線，從安全計算環(huán)境、安全通信網絡、安全區(qū)域邊界等不同維度建立安全運行基線，要求地市公司自查整改，同時作為安全周期檢查重要指標。

·安全應急響應：建立雙向應急響應機制，運營中心監(jiān)測發(fā)現問題第一時間通告地市公司并提供遠程應急能力，視情況現場支持。同時地市技術人員發(fā)現安全隱患可直接匯報至運營中心。以運營中心技術人員為核心成員、以地市公司技術人員為小組成員組建安全應急響應支撐小組，實現應急能力高效流轉、應急水平穩(wěn)步提升、安全風險同知同查。

·網絡安全培訓：以應急響應小組為核心，針對所有技術人員及物流分揀系統(tǒng)相關人員開展不同類型的安全培訓，從應急響應、安全運維、安全基線要求、安全意識等不同維度做知識傳遞與考核。車間工人定期進行安全意識考核，考核通過方可上崗。

2.2.3　項目應用效果

通過安全“1+N”工業(yè)安全監(jiān)測防護體系的建設，本項目實現了從安全全局監(jiān)管、安全統(tǒng)一監(jiān)測、安全運維驅動、安全應急響應等多個維度的能力塑造，填補了我單位工業(yè)安全領域的安全能力缺口；創(chuàng)新事件技術與服務結合模式，在大幅降低物流分揀系統(tǒng)威脅告警數量的同時，實現了安全風險閉環(huán)管理。同時將安全基線、安全培訓、安全檢查等安全手段應用于工業(yè)安全領域，有效提升了綜合防護水平，降低了風險隱患，規(guī)避了重大事故，夯實了“安全底線”，為中國煙草總公司遼寧省公司整體網絡安全建設工作補齊了安全短板，創(chuàng)造了穩(wěn)定運行條件，支撐了業(yè)務發(fā)展。

2.3　項目成果

2.3.1　安全監(jiān)測體系成果展示

本項目基于工業(yè)安全監(jiān)測體系的構建，實現對13個地市公司物流分揀系統(tǒng)的安全監(jiān)測。本項目從綜合態(tài)勢感知、脆弱性威脅、安全威脅分析等多個維度實現一盤棋、一張圖展現13個地市公司物流分揀系統(tǒng)的運行狀況，并清晰展示了13個地市公司物流分揀系統(tǒng)的工業(yè)安全數據（如：資產風險統(tǒng)計、威脅類型TOP5、重點安全事件、風險資產分布、主要威脅分析等）。

安全監(jiān)測體系針對工業(yè)信息系統(tǒng)主要威脅（非法外聯(lián)、僵木蠕、工控行為）開發(fā)了監(jiān)測模塊，實現針對物流分揀系統(tǒng)內部主機非法外聯(lián)的安全監(jiān)測及統(tǒng)計分析能力，并能及時發(fā)現、定向處理，確保了主機及系統(tǒng)安全；針對僵木蠕做7×24實時監(jiān)測，結合非法外聯(lián)管控實現從根本上杜絕針對工業(yè)信息系統(tǒng)常見的僵木蠕及勒索軟件攻擊；同時基于工業(yè)流量及工控行為建立了安全監(jiān)測模塊，可以從行為（不局限于攻擊）維度分析工業(yè)信息系統(tǒng)運行態(tài)勢，確保了系統(tǒng)穩(wěn)定運行。監(jiān)測成果如圖2~圖6所示。

圖2 脆弱性態(tài)勢感知大屏

圖3 威脅分析大屏

圖4 非法外聯(lián)監(jiān)測模塊

圖5 僵木蠕監(jiān)測模塊

圖6 工控行為監(jiān)測模塊

2.3.2　安全服務支撐體系成果展示

我單位采用技術+服務結合的模式，監(jiān)測為主服務為輔，依托安全服務支撐體系，以應急響應、安全培訓為支撐點，提升了地市公司技術能力，配合了安全檢測技術體系監(jiān)測成果，并以監(jiān)管為驅動，實現漏洞數量、異常行為、攻擊事件、非法外聯(lián)、僵木蠕等事件的連續(xù)降低，切實提升了地市公司安全建設成效，提升了地市公司防護水平，降低了風險隱患，規(guī)避了重大事故，夯實了“安全底線”。同時依托漏洞安全設備，實現對體系內所有漏洞信息的統(tǒng)一概覽及漏洞閉環(huán)。

3　案例亮點及創(chuàng)新性

3.1　1+N工業(yè)體系創(chuàng)新

我單位基于現狀，在多分支（13個地市公司）、覆蓋廣（地理位置廣）、技術弱（地市技術能力弱）的情況下大膽探索勇于創(chuàng)新，建成了集工業(yè)安全監(jiān)測和工業(yè)安全服務支撐為一體的“1+N”工業(yè)安全監(jiān)測防護體系，并從安全全局監(jiān)管、安全統(tǒng)一監(jiān)測、安全運維驅動、安全應急響應等多個維度為“1+N”業(yè)務模式提供了創(chuàng)新思路。

3.2　技術+服務結合

傳統(tǒng)安全多采用服務輔助安全建設的模式，在工業(yè)信息安全領域多以監(jiān)測為主，而安全監(jiān)測在安全運維過程中成效較低，難以發(fā)揮實際應用效果。我單位創(chuàng)新采用技術+服務結合的模式，監(jiān)測為主服務為輔，實現了基線建設提升防護水平、安全監(jiān)測降低風險隱患、應急機制規(guī)避重大事故、培訓體系夯實“安全底線”。服務驅動技術保障為工業(yè)信息安全建設創(chuàng)造了新模式。

3.3　監(jiān)管+考核驅動

工業(yè)信息系統(tǒng)通常都是多分支、多車間、系統(tǒng)分散，安全建設成本高成效低，并且沒辦法實現安全統(tǒng)一化，無法從高層視角去做統(tǒng)一監(jiān)管與考核，進而往往以合規(guī)建設為主要思路。我單位打破常規(guī)，改變思路，以安全監(jiān)管為切入視角，建立安全監(jiān)測體系實現全局監(jiān)管并可對不同分支進行考核評價，以考核結果推動合規(guī)建設及問題閉環(huán)，進而實現安全全局化、全局標準化、標準統(tǒng)一化，有效提升了安全建設成效。

作者簡介

敖　翔（1980-），男，內蒙古自治區(qū)人，中級工程師，學士，現就職于中國煙草總公司遼寧省公司，主要從事研究信息安全、數據安全方面的研究。

摘自《自動化博覽》2024年1月刊