工控网络安全统一管控一体化建设研究及应用

某区域公司（以下简称“区域公司”）组织本单位及专业测评机构共同完成对公司及分支单位的工控网络安全专项风险评估和督导检查工作，对受检单位网络安全情况进行摸底，发现大多数受检单位工控生产网络缺少入侵防范、恶意代码防范、安全审计、身份鉴别和安全管理等方面的设备设施和管理机制，网络安全问题不容乐观。区域公司通过专用工控生产网络与各分支单位连接，任何一个分支单位网络安全出现问题，都会对区域公司整体网络安全造成威胁，只有当各分支单位网络安全达到同一安全基线后，才能有效减少区域内的网络安全威胁，提升网络安全合规性，降低网络安全维护成本。

为落实等保2.0标准体系“一个中心、三重防护”的理念，区域公司组织开展工控网络安全统一管控一体化建设。项目建设范围包含下属8家分支单位，通过部署相关安防产品，以提升区域公司及分支单位的的网络安全监视、审计、分析、预警和管控、处理能力，满足国家和行业的安全防护要求。本研究以纵深防御理念为核心，构建了从网络边界防护、流量行为监测、主机终端防护、统一安全管理到安全运维为一体的纵深防御技术体系，针对攻击链条的各个阶段，采取有效的防护措施，能够抵御黑客、病毒、恶意代码对网络与应用系统的破坏和攻击，确保关键业务数据的可用性、机密性、完整性，保障整个公司的业务系统安全、稳定运行。

在区域公司工控生产业务网络部署统一安全管控平台，划分出特定的安全管理区域，建立安全的信息传输路径，对生产业务网络中的所有安全设备、安全组件进行统一管控。通过安全管理中心，对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测；通过统一管控平台，对各安全设备进行策略下发；通过安全管理中心，对分散在各个设备上的审计数据进行收集汇总和集中分析；通过对感知要素的获取、理解、预测，以及对即时发生的安全事件的分析，实现安全决策、应急处置，以及阻断外部侵入、隔离外力干扰、遏制内部介入、管控安全风险的目标。结合区域公司和下属分支单位实际安全需求和等级保护2.0的新要求，实现安全事前预警、事中防范和事后取证等安全能力。

在区域公司和各分支单位工控生产业务网络组建安全管理专网，专网由日志审计、数据库审计、工控威胁检测、入侵检测、运维管理审计、统一安全管控平台等网络安防设备组成，使用工控防火墙进行逻辑隔离，以“最小化原则”配置边界进出策略，实现安防设备对生产控制大区设备镜像流量和日志数据的采集。同时，在工控生产业务网络主机、服务器、工作站、工控终端部署主机安全防护客户端，实现主机安全防护的统一管控。

1.入侵检测系统通过采集旁路镜像流量的方式部署，不会对工控系统网络造成任何影响，主要监控已知攻击行为并发送告警，将网络边界端口、重要服务器通信流量同步传入后进行实时检测，用于监控网络中可能存在的各种已知攻击行为，并进行审计告警。

2.日志审计系统主要采集生产业务网络安全区Ⅰ和安全区Ⅱ的交换机日志，实时不间断地将来自不同厂商的安全设备、网络设备、主机、操作系统、数据库系统、用户业务系统的日志及警报等信息汇集到审计中心，对日志进行统一收集与分析。所有设备的日志存储时间不少于6个月，以实现全网综合安全审计。

3.工控威胁监测系统主要采集安全区Ⅰ和安全区Ⅱ的镜像流量数据，内置应用级沙箱等专利技术，对网络流量进行深度协议解析和文件还原，深度检测APT攻击和新型高级威胁。 

4.工控防火墙用于隔离生产控制大区A、B网业务数据和镜像流量，用于生产控制大区与安全管理网的隔离防护。

5.运维审计系统提供认证管理、授权管理、账户管理、操作审计功能，具备全方位运维安全风险控制的安全管理与审计能力。该系统支持对网络设备、数据库、安全设备、主机系统等资源的运维与审计，以实现集中化运维管控、运维过程实时监管、运维访问合规性控制、运维过程图形化审计等功能。

6.数据库审计系统通过采集旁路镜像流量的方式部署，对不同环境下数据库操作行为进行细粒度审计和合规性管理，通过对访问数据库的行为进行解析、分析、记录、汇报，帮助用户进行事前风险评估，事中行为实时监控、违规操作行为及时响应告警，以及事后合规报告、事故追踪溯源，同时加强内、外部数据库操作行为监管，加强对数据安全的运营维护。

7.主机安全防护系统具备入口拦截、运行拦截、扩散拦截、基于智能匹配的白名单技术以及USB移动存储管控等功能，以实现白名单管控、病毒拦截、入侵和攻击检测、外设管控、授权管理、漏洞检测等目标，对工业主机进行全面安全防护。

8.统一安全管控平台主要管理工控生产网络安全区Ⅰ和安全区Ⅱ相关安全设备，为企业安全管理者提供资产、威胁、脆弱性等相关管理，并满足ISO 27000信息安全管理体系和等级保护基本要求，具备对威胁的事前预警、事中发现和事后回溯的能力，对威胁进行整体生命周期管理。各分支单位的安全管理平台接收到本单位的数据后，通过安全区Ⅱ加密装置传送至区域公司统一安全管控平台。

如图1所示。统一安全管控平台对所有工控网络安全设备进行集中管控，实现全网安全系统的状态监控，安全风险的集中收集、存储、关联分析与可视化，以及安全风险集中处置等集中安全管理功能。统一安全管控平台不仅能够监控安全设备的运行状态，还可以对安全设备进行安全策略配置与调整，实现网络安全防护体系的总体防护效能，主要可以实现以下功能。

图1 网络安全统一管控逻辑示意图

（1）对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。

（2）实现安全设备策略和特征库的单点下发或多点集中下发。

（3）通过安全管理中心，对分散在各个设备上的审计数据进行收集汇总和集中分析。

（4）对感知要素的获取、理解、预测和即时发生的安全事件，实现安全决策、应急处置。

（5）实现监测外部侵入、隔离外力干扰、遏制内部介入、管控安全风险的目标。

（6）结合区域公司和下属分支单位实际安全需求和等级保护2.0的新要求，实现安全事前预警、事中防范和事后取证等安全能力。

各分支单位统一安全管控平台采集相关安全设备数据，并将数据发送给区域公司统一安全管控平台，构建了区域公司与分支单位两级管控模式。

该技术研究为区域公司提供全生命周期的网络安全体系建设。在实施过程中，通过开展交流培训、风险评估、制定针对性解决方案，在网络、主机、应用、数据等层面设计综合防护平台；从边界、网络、设备等维度构建纵深协同防御技术架构；建设从安全培训、风险评估，到安全防护、持续安全运维的全生命周期防御思路，实现全生命周期的网络安全防护，从根源上提升公司网络安全防护水平。

1. 创新点

（1）资产监控。确立以资产安全为核心的安全生产原则，保障资产按时、按规定正常运行，及时检测出针对资产的异常行为，从而保护生产全过程的安全。

（2）空间域监测。在空间域方面，借鉴了纵深防御的思想，形成一套纵深监测架构，包括边界监测、区域监测、节点监测、核心监测和整体监测五个方面。

（3） 时间域监测。在时间域方面，设计了基于预警、防护、检测、响应、恢复的安全过程，通过持续实施该五个过程，积极响应工控网络风险变化，促进工控网络整体安全的螺旋式上升。

2.关键技术

（1）基于业务应用场景的工控生产网络安全。工控生产业务网络工艺复杂、系统种类繁多，工艺及生产装置、核心控制系统、通信协议、网络结构等不尽相同，需要多维度考量针对工业控制系统的影响因素。本技术研究充分考虑了研究对象及控制网络的特殊性，依托定制化的工控安全管理平台，综合运用全套本地化信息安全产品，并针对区域公司业务生产流程、网络架构、形势特点进行定制化设计开发，为企业量身打造。安全产品系统兼容性、数据安全性和呈现效果比较突出。

（2）基于工控协议的访问控制。目前，工控网络面临的安全威胁不仅仅是常规的IT攻击手段或病毒感染，针对工控通信协议和控制设备自身安全缺陷和漏洞的定向攻击给工控系统带来的危害最为严重。因此，网络边界、区域边界安全防护的细粒度成为工控网络安全建设成败的根本因素。以往的端口级访问控制策略无法做到对工业协议恶意代码攻击的保护，这就需要工控安全防护产品能够实现对工控协议数据包进行深度的识别与解析。

（3）主机安全与应用安全。主机系统与承载的应用数据系统的安全是整个区域公司工控业务生产的重要环节。从整个架构上看，系统的主机主要包括运行核心业务系统的服务器和供业务人员使用的操作终端。出于生产连续性和稳定性考虑，这些主机的系统或软件通常不会被及时升级或打补丁；这些主机即使部署了各类杀毒软件，但是其大部分位于专有网络，无法做到及时更新病毒库，而且传统基于黑名单机制的杀毒软件也会拖慢主机系统的运行速度而影响工控主机的运行安全。通过技术研究，基于白名单技术的工控主机防护系统可以成功解决工控主机的安全问题，有效地适应工控业务生产网络安全防护的需求。

（4）定制化主机防护系统集中管理方案。综合考虑区域公司、分支单位安全态势整体形势，可以应用高可靠、针对性强、定制化的工控安全产品，配合安全管理和安全服务方案，以实现针对工控主机的整体防护和集中管理。

（5）工控安全集中监测管理。本技术研究旨在为工控生产业务网络提供整套的信息安全防护解决方案，及时、有效地避免突发病毒感染和恶意入侵，避免非计划的生产信息丢失、信息堵塞、节点死机、系统崩溃甚至生产装置停滞导致的生产事故等诸多隐患问题，确保生产业务安全、稳定、高效地运行。工控安全集中管理平台的建设，将实现各业务板块工控系统网络安全集中管理、集中监测、集中展示、集中支援等总体目标，遵循“统一架构、统一管控”的信息化建设原则。

（6）满足工控业务网络安全与功能安全的融合需求。本技术研究以保障工控业务生产可用性为目标，将网络安全产品以对业务最小影响方式融入既有业务系统网络。主机安全防护系统软件通过白名单技术，彻底解决工控主机不能安装杀毒软件的问题或者病毒库升级后影响程序运行的问题，保障了软件的兼容性和对业务系统的无影响性。采用被动引流的方式，依靠高效引擎进行监测审计，以旁路的方式，全面监测工控网络中存在的安全风险并进行审计告警，与防护系统配套使用，辅助防护系统安全策略调优，实现对风险的管控。

工控网络安全统一管控一体化建设使得区域内各单位网络安全达到同一安全基线，可有效减少区域内各单位的网络安全威胁，降低网络安全维护成本，同时遵守国家相关法律法规，满足上级相关机构文件要求，提升企业合规管控和风险防控能力，有效保护企业内部系统数据安全，保障企业生产业务系统及网络的安全稳定运行，避免因网络安全事件导致的企业形象受损，同时避免因企业内部系统网络安全不合规而被考核问责。

来源：《网络安全和信息化》杂志

作者：贵州乌江水电开发有限责任公司水电站远程集控中心 谢志奇