1.1 项目背景

随着互联网+、物联网和智能制造技术的发展，钢铁行业积极推进信息化建设，显著提升了钢铁行业的生产能力和管理水平。钢铁行业工控系统不断优化升级，这一发展过程中，工业控制系统的网络安全面临着重大挑战。在全球信息化飞速发展的新形势下，如何确保钢铁行业工控系统的信息安全，一直备受重视。

1.2 项目简介

某钢铁集团成立于2009年2月19日，主要任务是省钢铁产业结构调整重点项目钢铁精品基地的前期准备、项目建设及后续的生产运营。集团年产铁810万吨、钢850万吨、钢材790万吨，主要工艺有原料场、烧结、球团、高炉、转炉、精炼、连铸、热连轧机组、炉卷轧机、宽厚板轧机、酸轧、热镀锌、电镀锌等。配套设施包括1个30万吨级铁矿石码头接卸泊位，4个1万吨级和3个4万吨级件杂货泊位，2台25MW高炉余压发电机组，2350MW超临界火电发电机组等。项目投产后，主要产品为高附加值的热轧薄板、冷轧薄板、镀层钢板、宽厚板等，覆盖海洋工程、高端制造业、新兴产业、建筑用钢等领域。

随着《中华人民共和国网络安全法》和《国家网络空间安全战略》《网络安全等级保护基本要求2.0》等法规和政策的相继出台，网络安全被提升到了战略高度，国内各大企业都开始不断倡导、建设和完善其网络安全建设，以应对网络空间安全的严峻挑战。两化融合和物联网的发展使得TCP/IP协议和OPC协议等通用协议越来越广泛地应用在工业控制网络中，随之而来的通信协议漏洞问题也日益突出。工控系统网络面临的威胁也更大。

工业控制系统面临复杂的外部和内部威胁，主要集中在以下几个方面：

（1）外部攻击的发展：工业控制系统采用大量的IT技术，互联性逐步加强，神秘的面纱逐步被揭开，工业控制网络安全日益进入黑客的研究范围，工业控制网络安全已成为一个重要的研究方向。

（2）内部威胁的加剧：工业控制系统普遍缺乏网络控制机制，高权限账号往往掌握着数据库和业务系统的命脉，任何一个操作都可能导致数据的修改和泄露。缺乏事后追查的有效工具，也让责任划分和威胁追踪变得更加困难。

（3）应用软件的威胁：设备供应商提供的应用授权版本不可能十全十美，各种各样的后门、漏洞等问题都有可能出现。出于成本的考虑，工业控制系统的组态软件一般与其工控系统是同一家公司的产品，在测试节点问题容易隐藏，且组态软件的不成熟也会为系统带来威胁。

（4）多种病毒的泛滥：病毒可通过移动存储设备、外来运维的电脑、无线系统等进入系统，当病毒侵入网络后，自动收集有用信息，如关键业务指令、网络中传输的明文口令等，或是探测网内计算机的漏洞，向网内计算机传播。由于病毒在网络中大规模地传播与复制，极大消耗网络资源，严重时有可能造成网络拥塞、网络风暴甚至网络瘫痪，这是影响工业控 制系统网络安全的主要因素之一。

1.3 项目目标

建立自动化生产系统的安全加固与主动预警的安全防护体系，从网络层、主机层、系统层、应用层和管理制度等多方面进行主动式威胁管理，提高工业控制系统整体安全防护等级，保证钢铁企业工业控制系统的稳定有序运行。

（1）建设工控网络边界安全防护及终端计算环境安全防护

通过技术手段对在工控网络边界部署安全产品，以钢铁生产工艺流程为单位，对安全生产网络进行安全域的划分，坚持“横向分区、纵向分层”的原则构建可信工控系统，防护网络攻击与威胁，保证工业生产系统安全，打造工控安全计算白环境。部署统一运维平台进行工控网络安全工作高效可靠管理，初步建立工控网络安全管理体系，即同时利用技术手段和管理手段保证企业安全生产。

（2）建设完善的安全审计措施和未知威胁检测，完善纵深防御体系

通过旁路监听与智能分析技术，对系统的控制、采集请求、网络行为进行详细审计，对攻击及时预警。建立事前攻击的发现和预防，事中攻击的主动检测、主动防御，事后及时溯源，做到应急响应。同时构建清晰的资产互访拓扑，对攻击场景进行还原，对每个攻击阶段进行回溯分析，通过丰富的可视化技术进行多维呈现。

（3）建设网络安全监测预警与信息通报的态势感知平台

建立针对钢铁行业各工艺段工业互联网的安全监测预警、信息通报、应急处置手段，提高威胁信息的共享，对监测发现的安全风险隐患及时通报；实现工业设备资产感知、工业漏洞感知、工业配置感知、工业协议识别和分析、工业连接和网络行为感知、工业僵木蠕检测、工业攻击链的监测和分析等安全态势感知功能，实时识别和预警工业控制网络和工业互联网络的安全威胁，及时与工业安全设备联动实现协同防护，并提供攻击回溯取证和安全态势定期报告，为制定工控安全策略提供支撑，形成安全闭环，进而实现工业控制网络和工业互联网络安全威胁的可视、可控、可管。

2 项目实施

鉴于当前钢铁行业工控系统安全现状，若要实现同层级不同区域的纵深防护，需要对工业网络内部通信的各种数据采集协议和控制协议进行深度解析，对工控网络进行区域划分与隔离，对工控主机进行安全加固，对工控网络进行全网安全审计和威胁感知。

建设钢铁行业工控安全防护方案的总体思路如图1所示。

图1 钢铁行业工控安全防护方案建设总体思路

以“一个中心，三重防护”的理念为指导思想，即：一个安全管理中心的管理下，建设“安全计算环境、安全区域边界、安全通信网络”的三层防护安全保障技术体系，构建多层次的安全纵深防御机制。

利用AI基因、威胁免疫的新技术理念，为工业互联网平台提供可靠的安全架构，在发生基于已知缺陷或漏洞的攻击时，具有极强的防护能力。此外，也必须重视未知威胁风险，在这一方面，通过网络安全态势感知，变被动防御为主动感知内部出现的风险和问题；六方云工业防护设备内核均基于AI人工智能架构，可以实现自主学习、威胁预警、基线比对，从而实现已知威胁和未知威胁的统一化、集约化安全防护。“打防管控”一体化网络安全威胁免疫体系架构如图2所示。

图2 “打防管控”一体化网络安全威胁免疫体系架构

具体建设方案如下：

2.1 安全区域划分与隔离防护

（1）安全域划分：进行安全域划分，不同安全域配置不同的控制策略，确保核心服务安全。

（2）工业防火墙：在不同工艺厂区生产网的核心交换机前端部署工业防火墙，以保护作业区内部核心生产网络的安全，抵御来自传输网络的安全威胁。通过工业防火墙对不同的网络域进行隔离，防护各域的网络边界，阻止来自业务办公网络的攻击、病毒、木马等入侵其它网络域。抑制在某一个网络域中的病毒木马向其它网络传播扩散，缩小安全威胁的影响范围。

通过安全区域划分和隔离防护能够解决以下问题：

（1）通过白名单策略和协议分析实现工控网络之间、工控网络与管理信息网络之间的边界访问控制。

（2）为工控网络安全接入管理信息网络提供逻辑安全隔离手段，实现通讯的单向传输。

（3）快速识别网络上的非法操作、外部攻击和异常事件，实时告警和阻断非法数据包。

（4）基于深度数据包解析的黑白名单防护，在遵循工业控制系统可用性与完整性的基础上，能够检测出数据包的有效内容特征、负载和可用匹配信息，进而生成白名单。如：操作码、操作类型、数据类型、功能码数值、具体内容等，能更精准地判断出非法操作、异常事件、外部攻击。同时结合已知的工控软件漏洞、控制器漏洞、操作系统漏洞、Exploit Kit特征、ShellCode特征、蠕虫木马的通讯特征、僵尸网络的C&C通讯特征等黑名单防护签名库，实现更全面的安全防护。

2.2 工控主机安全防护

在服务器与操作员站、工程师站上部署工业卫士，采用轻量级的软件“白名单”机制，仅允许运行受信任的PE文件，完善相应的加固策略，提升安全级别，有效阻止病毒、木马等恶意软件的执行，实现工控主机从启动、加载、运行等过程全生命周期的安全保障。同时对USB端口等接口进行全面管控，使得U盘等未授权设备无法接入终端计算机，有效防范通过USB接口发起的高级攻击。通过一键部署内置白名单提高卫士安装部署的效率，并可通过集中管理平台进行策略下发。

通过主机安全防护能够解决以下问题：

（1）对操作员站运行的进程和应用程序设置白名单，只有白名单中的进程和应用程序才允许运行；阻止非法程序的运行。

（2）对多种可执行文件类型如Windows操作系统exe、bat、vbs、cmd、reg等12种可执行文件进行实时监管，并阻止非白名单内的进程运行，对Linux系统的ELF、Perl、Python、Shell等脚本文件进行防护，增强防护范围。

（3）对移动存储介质进行全面管控，跟踪、记录移动存储介质的行为，实现对移动存储的安全信任管理。

（4）黑客可利用工控主机的受信任软件和系统工具绕过病毒检查及白名单防护，通过进程保护技术、内存空间保护技术，检查无文件注入、远程进程注入、远程修改内存等攻击注入方式，防范Dll注入攻击行为，能够有效防范“心脏滴血”“永恒之蓝”等病毒。

（5）安全事件及用户行为审计，如文件操作、进程活动、系统日志、系统账户变更、信息泄密、资源滥用等。

2.3 流量监测与审计设备

通过在汇聚交换机和环网主交换机旁路部署流量监测与审计设备，对网络通信流量进行有效监视和威胁检测，对向内网进行生产数据非法收集、恶意攻击、数据篡改、违规操作进行告警和审计，为网络安全管理人员提供线索依据和事件还原功能；实时监测工控网络安全状态，解析网络中异常数据并实时告警，帮助用户掌握工业控制网络运行状况；对网络中存在的活动提供行为、内容、协议、流量审计，生成完整记录，为事件溯源追踪提供帮助；对未知设备接入工业控制系统网络实时告警，迅速发现工业控制网络系统中存在的非法接入。

通过流量监测与审计设备能够解决以下问题：

（1）深入的工业网络识别：对钢铁行业工控系统中使用的工控协议进行深度解析（如：ModbusTCP、GE-SRTP、OPC DA、DNP3、S7、IEC104、MMS、PROFINET、BACnet、GOOSE、SV、Ethernet/IP、OPC UA_TCP等）。

（2）攻击监测：内置工业攻击特征和网络攻击特征库，对特征攻击、洪水攻击、端口扫描、错包攻击等攻击方式识别告警。

（3）恶意代码防护：内置恶意代码引擎，通过异常检查发现网络内主机可能感染的恶意代码以及感染恶意代码的严重程度。

（4）攻击事件识别与取证：利用未知攻击识别方法（使用AI技术，自动化建立网络行为安全基线，对未知威胁行为识别及告警），记录网络攻击事件ID、事件名称，保留事件攻击的数据包。

2.4 安全运营管理中心

2.4.1 统一运维监管平台

在生产控制系统数据中心部署统一运维监管平台对工控系统内的安全防护设备进行统一安全管理，即统一配置、管理、安全策略修改下发、监控通信流量与安全事件，对工控网络内的安全威胁从整体视角进行安全事件分析、安全攻击溯源、安全事件根因挖掘等。

通过统一运维监管平台能够解决以下问题：

（1）对所有安全设备实行集中管理；

（2）工业网络可视化管理，包括工控设备、网络设备、安全复审；

（3）工业网络通信流量全面监测，网络流量视图、统计视图；

（4）安全维护界面简化，提升安全产品运营管理成本。

2.4.2 全流量威胁检测与回溯系统

全流量威胁检测与回溯系统采用分析平台和数据、文件、流量采集探针的形式，基于新一代高性能分布式大数据平台，搭载自主知识产权的大数据AI分析引擎，采用无监督学习算法，以内网资产为核心构建AI模型，全面检测高级威胁和未知威胁；高效处理海量数据，自动发现内网资产，构建清晰的资产互访拓扑；全流量AI未知威胁检测结合威胁情报进行威胁溯源，精准还原攻击场景，采用攻击链对每个攻击阶段进行回溯分析，并留存攻击取证报文；结合AI检测、规则检测进行关联分析，自动评估风险资产，通过丰富的可视化技术进行多维呈现。

2.4.3 态势感知系统

安全运营管理中心是安全综合防护系统面向安全管理人员进行整体趋势查看、安全事件追溯的综合办事中心，应以安全态势感知为基础，对日常安全防护中需要的用户身份、密钥分发、策略调试、远程运维及资产与漏洞状态等进行统一的运维管控；通过态势感知的智能分析与建议能力，将安全管理从运维提升到运营层面，不断提高安全防护水平。在功能实现上，将态势感知和运维管理功能融合成一个Web管理后台，分别提供分析和运维管理功能，以采集的数据为基础，结合威胁情报，运用聚类分析、逻辑森林、神经网络等AI算法实现对威胁的预警。以IT和OT资产为基础、以业务信息系统为核心、以客户体验为指引，从监控、审计、风险、运维四个维度建立一套可度量的统一业务支撑平台，使得用户能够对业务信息系统进行性能的监控与配置，事件的分析审计预警，风险与态势的度量与评估，安全运维流程的标准化、例行化、常态化，最终实现业务信息系统的持续安全运营。

3 案例亮点

（1）自主AI算法引擎创新

安全防护设备采用了自主研发的AI算法引擎，将OT与IT的防护引擎、知识库、防护功能进行了一体化设计，从而满足钢铁行业工控系统对时延和抖动的要求，提高了高级威胁和未知威胁的检测准确率。

（2）未知威胁检测与自主响应

借助人工智能、大数据挖掘等技术，建立工业设备在数字空间的行为基线模型，对钢铁企业工控系统中的设备资产的行为进行实时在线的机器学习，发现异常和威胁行为，有效降低高级持续性威胁、数据泄漏、病毒感染、操作失误及其他风险。

（3）系统自我强化能力创新

基于人工智能技术的威胁检测与免疫系统贴合工业互联网实际需求，无需持续升级特征库及威胁情报，无需连接互联网。

（4）无格式日志智能分析

利用人工智能聚类算法和大数据分析，可以对海量日志进行自动分类和特征提取，系统自动识别日志可变字段和固定字段，实时对日志进行分类聚合，为快速定位和处理威胁提供依据。