近年来，工业控制管理系统信息安全事件不断发生，信息安全形势也慢慢变得严峻，对于建材行业来说，工控自动化程度高、连续性强，工控安全事件将对生产业务造成更为严重的影响。某水泥集团公司是中国水泥工业的领军者，近20年来，该水泥集团公司主要经济指标年均复合增长率连续20年保持25%，从一家地方性水泥工厂，发展成为在全国拥有多个生产基地和子公司的全球化建材集团，在国内外均有很大的影响力。

  该水泥集团公司紧跟“智改数转”的大趋势，搭载工业互联网的优势，采用“传统工业+数字化创新”战略，全力推动公司从传统信息化向数字化、智能化转型，打造企业自主业务流程梳理、自主软件研发能力。首先，通过与华为携手建立企业混合云应用平台，在全国同行业中率先从工业智能化向数字化转型；其次，依托水泥工业的规模优势，借助现代信息技术工具，建设水泥生产智能工厂，并进一步使水泥生产中控操作系统与各项业务全面实现数字化系统集成。

  然而，在快速“智改数转”的同时，生产业务对外呈现开放趋势，对内呈现互联趋势，企业内部随之产生大量安全风险隐患。因此，公司目前迫切地需要解决的问题主要有两个：1、如何对各生产基地建设网络安全防御体系，保障生产业务稳定运行；2、怎么样提高水泥集团公司对整个集团内部工控安全态势感知能力，提高安全事件响应处置效率。

  通过前期技术交流和现场调研，发现该水泥集团公司及下属生产基地安全建设比较薄弱，存在比较大的安全风险，结合已有现状分析主要有以下几个方面需求：

  各生产基地生产网中网络设备、安全设备、终端服务器等资产繁多且缺乏有效管理，需要对资产运作状况、漏洞分布情况做全面梳理，发现资产的脆弱性，以便进行针对性的安全加固。

  该水泥集团公司与下属生产基地之间，生产控制管理系统与监控操作站之间缺少必要的边界防护手段，无法对经过的流量进行访问控制及细粒度管控，需要加强边界防护检测机制，防止单个区域被攻击后横向扩散到其他区域。

  各生产基地生产网中缺少安全审计机制，无法对网络中的恶意攻击、误操作、违反相关规定的行为、非法设备接入等恶意软件的传播进行监测和审计，需对内网流量进行审计并详实记录日志信息，为安全事故调查取证提供技术支撑。

  各生产基地目前主机安全防护能力薄弱，需对其重要主机系统增加程序运行管控机制、补丁检测和防护机制、移动介质安全管控机制，从多维度加固主机系统，保障业务安全。

  该水泥集团公司规划设计阶段未对网络安全进行统筹规划，后期靠网络安全事件驱动的安全体系存在一定滞后性，需在网络安全事件发生前及时进行监测预警，提高对当前及未来以APT攻击为代表的威胁响应处置效率。

  基于上述安全现状及需求，该水泥集团公司采用工业互联网安全态势分析与运营一体化的解决方案进行建设，主要从生产基地支撑环境和态势分析与运营平台两个方面做建设。部署架构如下图所示：

  首先，在各生产基地生产网边界、通信网络和计算环境层面部署相应的安全设备探针，收集网络安全态势感知系统所需各类原始数据，通过统一安全管理平台做数据预处理后为上层态势分析与运营平台的应用提供支撑。生产基地的纵深防御体系建设，是整个防护方案的基础。其次，态势分析与运营平台通过生产基地与集团公司的专线将生产基地各类数据汇总并进行关联分析，借用集团公司的可视化显示系统集中展示，进而为公司信息部的安全人员处理事件提供支撑，为领导决策提供依据。

  在某水泥集团公司与某A、某B等生产基地间的边界部署工业防火墙，通过配置ACL限制仅接口机、统一管理平台等系统可访问集团，并对出口流量进行威胁检测，解决集团与生产基地间可能存在的入侵攻击、恶意代码等问题。

  在某A、某B等生产基地的中控室与生产控制管理系统之间部署工业防火墙，对下发到预均化、原料磨、窑尾等工艺PLC的工艺指令进行深度检验测试，通过固化水泥制造业务的白名单进行安全防护，及时检验测试发现流量中可能隐藏的网络攻击行为，提高水泥生产业务边界的网络安全防护能力，防止恶意攻击的横向传播。

  在某A、某B等生产基地生产控制管理系统汇聚交换机旁部署工控安全监测与审计系统，通过镜像的方式对工程师站、操作员站与原料磨、窑尾等工艺段PLC之间的工控协议进行深度解析，对工控指令数据来进行采集并详细记录用户重要操作日志，从而及时有效地发现水泥生产业务的安全风险并为安全事件的溯源分析提供技术支撑。

  在某A生产基地工程师站、操作员站、接口机等10个重要主机系统，在某B生产基地工程师站、操作员站、数据库服务器等15个重要主机系统和在其他生产基地重要主机系统上分别部署相应数量的工控主机卫士。通过开启程序白名单、安全基线、漏洞防护、外设管理等4个模块，实现对重要主机系统的全面加固，并采集和记录主机的行为日志。

  在某A、某B等生产基地的中控室部署统一安全管理平台，将生产基地的工业防火墙、工控安全监测与审计系统及工控主机卫士5款设备统一纳管，收集日志和告警信息，实现策略统一管理、日志统一收集，并将日志预处理后汇聚上传至态势分析与运营平台。

  在某水泥集团公司总部办公管理网部署一套态势分析与运营平台，通过专线将某A生产基地、某B生产基地等多个基地的日志和告警信息汇总收集并进行可视化的展示，平台将智能引擎深度分析的告警事件及时发送到公司和生产基地的安全运维人员。

  本方案是以态势分析与运营平台为核心构建的纵深防护体系，在创新技术上具有不少特点。首先，态势分析与运营平台基于流计算模型，对各种消息报文的数据流在范化后进行统一关联分析处理。CEP（Complex Event Processing，复杂事件处理）技术，是一种基于动态环境中事件流的分析技术，通过分析事件间的关系，利用过滤、关联、聚合等技术，持续地从事件流中查询出符合标准要求的事件序列，最终经过多维度分析生成相对准确的安全告警。

  其次，在态势分析与运营平台中，引入机器学习技术，通过对正常工作场景下的网络流量和主机行为进行学习，建立正常的数学模型，可拿来检测判断异常行为，识别潜在的可疑行为或攻击事件，涉及多种场景和模型，综合了离线训练、在线学习、强化学习等多种机器学习方法。

  同时，态势分析与运营平台采用了无损资产扫描和无损漏洞识别相结合的主动探测技术，扫描发现资产的基础信息、开放端口，同时发现资产的配置和漏洞信息。主要是依靠指纹库同现场资产快速指纹匹配，发现并识别网络资产。不同资产、不同协议、不同操作系统都有不同的指纹，需将多种探测指纹互相验证，最后确定资产的最终属性。该技术综合多种协议指纹、Banner、证书等信息，综合分析资产的信息，并采用版本比对等方式识别系统的漏洞信息。

  该水泥集团公司本次方案建设涉及各厂区的生产网终端安全防护、工业网络流量检测、生产网边界安全防护及统一安全管理平台的安全建设，解决了困扰客户的终端病毒、外设管控、主机加固的难题，同时通过对生产网边界及内部流量的识别与管控，及时有效地发现了内网流量的安全威胁并防止了恶意攻击的横向传播。

  同时，本方案通过在集团总部部署安全态势分析与运营平台，实现对各厂区日志、告警及威胁数据的统一管理、统一分析及统一展示，从而帮助管理人员即时掌握全网安全威胁态势，帮助安全运维人员快速定位安全事件，进而提高响应处置效率。

  北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者，是中国国有资本风险投资基金旗下企业。凭借卓越的技术创造新兴事物的能力成为全世界六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。

  威努特依托率先独创的工业网络“白环境”核心技术理念，以自主研发的全系列工控安全产品为基础，为电力、轨道交通、石油石化、市政、烟草、人机一体化智能系统、军工等国家重要行业用户更好的提供全生命周期纵深防御解决方案和专业化的安全服务，迄今已为国内及“一带一路”沿线多家行业客户实现了业务安全合规运行。

  作为中国工控安全国家队，威努特积极推动产业集群建设构建生态圈发展，牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作，始终以保护我国关键信息基础设施互联网空间安全为己任，致力成为建设网络强国的中坚力量!