第五章工業互聯網安全《工業互聯網基礎》/工業互聯網系列課程5.3工業互聯網安全案例>>《工業互聯網基礎》目錄解決方案02工業互聯網安全案例01部署方式03《工業互聯網基礎》/工業互聯網系列課程效果價值04結合本章情景描述中集團安全現狀，及工業控制系統自身特點，建設包含安全防護檢測體系、安全態勢分析體系以及安全服務響應體系在內的動態閉環防護體系。安全防護檢測體系在防護檢測工業控制系統的同時向其他兩大體系提供安全數據信息；安全態勢分析體系結合安全防護檢測數據及安全服務事件信息反饋，同步向安全防護檢測體系實時動態下發安全策略與向安全服務響應體系歸納上報安全事件分析結果；安全服務響應體系根據安全態勢分析結果有效對安全防護檢測賦能支撐，如下圖5.1所示。工業互聯網安全案例圖5.1某集團網絡安全防護體系設計圖安全防護檢測體系基于行為基線為中心建設基礎安全防護能力，包括訪問控制管控、工業行為分析、主機白名單技術、工業信息安全集中管理等。安全防護檢測體系包含網絡中所有安全防護設備，防護范圍覆蓋整個工控網絡。安全防護體系作為安全數據來源，將各個節點的安全數據、異常數據等上報至安全態勢分析體系，用作安全環境、安全基線的分析，并執行分析的結果。同時，將生產網絡、應用系統運行狀態傳遞至安全服務響應體系進行統一的運維監控。工業互聯網安全案例圖5.1某集團網絡安全防護體系設計圖安全態勢分析體系作為工業企業控制系統安全防護體系的安全中樞，承擔安全數據的分析存儲、業務應用及集中展示功能。安全態勢分析主要作用于安全數據的統計與分析，通過多樣探針及大數據存儲分析等技術手段對網絡的安全事件、未知威脅等信息以時間、資產等維度進行統計。在統計數據的基礎上，構建威脅安全業務模型，分析工業控制系統中所存在的脆弱性、威脅源導致安全事件發生的可能性，以及由此產生的后果和影響。構建安全事件自動處置能力，動態管控安全檢測防控策略。工業互聯網安全案例圖5.1某集團網絡安全防護體系設計圖目錄解決方案02工業互聯網安全案例01部署方式03《工業互聯網基礎》/工業互聯網系列課程效果價值04安全區域的設計劃分首先要充分結合該集團網絡結構現狀以及業務特點，第一步依照通訊網絡基礎情況劃分出企業外部網絡以及企業內部網絡兩部分，企業外部網絡利用互聯網、移動網、專線等網絡基礎設施承載外部產業云平臺相關業務，企業內部網絡利用園區網絡以及生產控制域局域網承載企業內部生產相關業務；第二步按照企業內業務特點劃分出企業內部IT信息管理區域以及OT生產控制區域，IT信息管理區域包含企業私有云平臺、企業辦公網絡、企業研發網絡；OT生產控制區域包含企業數字化車間管理平臺、車間調度站以及各個不同工藝的現場控制區域，如圖5.2所示。解決方案圖5.2某集團網絡安全防護體系建設圖解決方案圖5.2某集團網絡安全防護體系建設圖（1）工控防火墻旁路部署于劃分各個安全區域邊界。通過基于工業協議的識別對訪問行為進行訪問控制；通過對訪問內容識別與設定的基于寄存器的安全策略比對，確認對報文的通過或阻斷，當發生異常報文（超過設定閾值）后進行報警處理。（2）工控網閘旁路部署于企業生產控制網及信息管理網邊界，依照等保2.0要求對生產網中基于工業協議的報文進行過濾，對邊界流量進行技術隔離。同時，對于非帶外視頻流量（在網絡主要數據流量之外傳輸的視頻數據）也進行過濾，過濾規則與應用流量一致，僅允許管理網絡進行調用和讀取操作。解決方案圖5.2某集團網絡安全防護體系建設圖（3）IPSecVPN網關旁路部署于企業級網絡核心交換機，依照等保2.0要求對企業私有云平臺與企業車間調度及企業現場控制通訊生產控制相關數據進行加密。同時其他非生產數據不進行加密，僅允許管理網進行條用等讀取操作。（4）漏洞掃描管理端部署在安全運維綜合管理區域，定期進行系統漏洞掃描，一經發現有漏洞、安全配置不當或系統設計等安全問題，可以提醒用戶及時采取安全措施進行修復。（5）堡壘機安全運維區域部署堡壘機，保障網絡和數據不受來自外部和內部用戶的入侵和破壞。對于安全運維審計和訪問控制，起到關鍵性作用。解決方案圖5.2某集團網絡安全防護體系建設圖（6）工控主機衛士管理端部署在安全運維綜合管理區域、客戶端部署于生產控制網絡上位機、服務器、采集終端等PC。通過對終端運行的進程和服務進行白名單識別，可以確保只有經過授權的程序能夠在系統中運行。這種方法能夠有效防止未授權的應用或惡意軟件的執行。對于不在策略范圍內的進程和服務，將會被禁用，從而提高終端的安全性，減少潛在的安全風險。服務端對移動存儲介質進行授權，非授權介質從驅動層面禁用。（7）服務器主機HIDS服務器區域旁路部署HIDS代理服務器，主機操作系統層安裝Agent探針，對所有服務器資產進行集中管控，支持入侵檢測、支持風險發現、基線檢查等；具有漏洞庫和補丁庫，可檢查主機資產的安全漏洞。解決方案圖5.2某集團網絡安全防護體系建設圖（8）安全集中管理平臺管理端部署在安全運維綜合管理區域。收集所管理網絡的資產、流量、日志、設備運行狀態等相關的安全數據，對企業防火墻、網閘、態勢感知、主機衛士、HIDS等安全防護技術產品進行統一策略管理；同時將相關安全數據及設備運行日志進行匯總上報態勢感知平臺。（9）工控態勢感知系統管理端主要負責態勢感知的分析、存儲和展示。該系統通過安全大數據的建模分析，幫助用戶識別當前面臨的網絡威脅，并對防護策略進行評估。系統通過全流量監控，能夠實時檢測到潛在的攻擊，并還原被攻擊的場景。它詳細描述了攻擊流量的組成、清洗總量及攻擊時間，從而為用戶提供對業務影響的有效評估。這種方式能夠提高對工控環境的安全防護能力，確保系統的穩定性和安全性。解決方案圖5.2某集團網絡安全防護體系建設圖目錄解決方案02工業互聯網安全案例01部署方式03《工業互聯網基礎》/工業互聯網系列課程效果價值04（1）工控防火墻部署旁路部署于企業生產控制網區域邊界，如圖5.3所示。部署方式圖5.3集團網絡安全工控防火墻部署示意圖（2）工控網閘部署旁路部署于企業生產控制網及信息管理網邊界，如圖5.4所示。圖5.4集團網絡安全工控網閘部署示意圖（3）IPSecVPN部署旁路部署于企業級網絡核心交換機，如圖5.5所示。部署方式圖5.5集團網絡安全工控網閘部署示意圖（4）漏洞掃描系統部署部署于安全運維綜合管理區域，如圖5.6所示。圖5.6集團網絡安全漏掃系統部署示意圖（5）運維堡壘機部署安全運維綜合管理區域部署堡壘機，如圖5.7所示。部署方式圖5.7集團網絡安全運維堡壘機部署示意圖（6）工控主機衛士部署管理端部署于安全運維綜合管理區域。客戶端部署于生產控制網絡上位機、服務器、采集終端等PC，如圖5.8所示。圖5.8集團網絡安全工控主機衛士部署示意圖（7）服務器主機防護HIDS部署安全運維綜合管理區域部署HIDS代理服務器，主機操作系統層安裝Agent探針，對所有服務器資產進行集中管控，如圖5.9所示。部署方式圖5.9集團網絡安全服務器主機防護部署示意圖（8）安全集中管理平臺部署管理端部署在安全運維綜合管理區域，如圖5.10所示。圖5.10集團網絡安全集中管理平臺部署示意圖（9）工控態勢感知平臺部署管理端部署在安全運維綜合管理區域，客戶端旁路部署在生產控制網絡匯聚交換機，如圖5.11所示。部署方式圖5.11集團網絡安全工業態勢感知平臺部署示意圖目錄解決方案02工業互聯網安全案例01部署方式03《工業互聯網基礎》/工業互聯網系列課程效果價值04