引言：

石油銷售公司下轄油庫(kù)均采取煉廠直輸進(jìn)庫(kù)，管道、鐵路、公路出庫(kù)的“一進(jìn)三出”方式，是中國(guó)石油在多省份成品油資源的重要集散地，承擔(dān)著保障油庫(kù)所在地區(qū)的后路暢通和成品油市場(chǎng)穩(wěn)定供應(yīng)的重任，配送范圍覆蓋半個(gè)中國(guó)。經(jīng)過“十五”以來近十五年信息化建設(shè)，實(shí)現(xiàn)了從“集中”到“集成”的飛躍，促進(jìn)了“兩化”的深度融合。目前，銷售信息化已完成大規(guī)模全局性信息系統(tǒng)建設(shè)和系統(tǒng)集成，逐漸完成系統(tǒng)提升與集成應(yīng)用工作，正在邁向商業(yè)智能、決策支持方向發(fā)展，提高信息利用與共享能力，通過信息化建設(shè)促進(jìn)油庫(kù)主營(yíng)業(yè)務(wù)轉(zhuǎn)型升級(jí)。原來相對(duì)分散、獨(dú)立的裝置通過內(nèi)部網(wǎng)絡(luò)連接到一起，數(shù)據(jù)耦合程度增加，使得來自于外部和內(nèi)部的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)增加，油庫(kù)生產(chǎn)系統(tǒng)的網(wǎng)絡(luò)安全建設(shè)迫在眉睫。

本方案結(jié)合相關(guān)國(guó)家標(biāo)準(zhǔn)、行業(yè)要求，采用“白環(huán)境” 的縱深防御安全防護(hù)技術(shù)體系架構(gòu)，積極開展網(wǎng)絡(luò)安全升級(jí)改造建設(shè)，提升自身網(wǎng)絡(luò)安全防護(hù)能力。

一、 項(xiàng)目概況

石油銷售公司借鑒相關(guān)安全管理規(guī)定，參照等級(jí)保護(hù)以及指導(dǎo)方案要求，結(jié)合部署在總部數(shù)據(jù)中心系統(tǒng)和部署在庫(kù)站系統(tǒng)的實(shí)際，制定了基于“行為白名單”的“縱深安全防御”技術(shù)方案，滿足等保2.0“一個(gè)中心、三重防護(hù)”以及中石油信息處規(guī)劃總院的《銷售工控系統(tǒng)安全防護(hù)指導(dǎo)方案》要求，進(jìn)而構(gòu)筑油庫(kù)生產(chǎn)系統(tǒng)“安全可信環(huán)境”，達(dá)到“只有可信任的設(shè)備，才能接入控制網(wǎng)絡(luò)”、“只有可信任的消息，才能在網(wǎng)絡(luò)上傳輸”、“只有可信任的軟件，才允許被執(zhí)行”的防護(hù)效果。并且在此項(xiàng)目中創(chuàng)新應(yīng)用基于“行為白名單”建立的面向工控PLC設(shè)備的行為模型固化技術(shù)，結(jié)合油庫(kù)生產(chǎn)系統(tǒng)業(yè)務(wù)流程，利用智能技術(shù)，以時(shí)間周期維度作為判斷，發(fā)現(xiàn)工控指令隱藏的多重復(fù)雜周期模式，建立工控指令復(fù)雜周期場(chǎng)景指紋模型。通過該模型對(duì)工控指令和生產(chǎn)工藝行為進(jìn)行更加精細(xì)化的解析和管控，解決“傳統(tǒng)白名單”只能靜態(tài)對(duì)工業(yè)控制協(xié)議指令識(shí)別的劣勢(shì)，避免因指令時(shí)間錯(cuò)誤引起異常，有效識(shí)別誤操作、網(wǎng)絡(luò)攻擊、惡意操作等，保證工控業(yè)務(wù)穩(wěn)定運(yùn)行。

項(xiàng)目建設(shè)完成后全面提升了油庫(kù)生產(chǎn)系統(tǒng)的整體安全性，確保設(shè)備、系統(tǒng)、網(wǎng)絡(luò)的高效運(yùn)行，減少運(yùn)維人員的工作量，提高了安全生產(chǎn)管理水平、工作效率以及管理效率。并且此項(xiàng)目在國(guó)內(nèi)石油銷售板塊具有“標(biāo)桿”意義，能夠在國(guó)內(nèi)其它銷售公司進(jìn)行廣泛推廣。

1. 項(xiàng)目背景

油庫(kù)是國(guó)家重要的能源基礎(chǔ)設(shè)施，應(yīng)做為安全防護(hù)的重點(diǎn)對(duì)象。由于燃油的易燃、易爆特性，在其儲(chǔ)存及運(yùn)輸?shù)倪^程中面臨著諸多風(fēng)險(xiǎn)，一旦管理不當(dāng)，將有可能引發(fā)重大安全事故，其中因油庫(kù)生產(chǎn)控制系統(tǒng)異常所導(dǎo)致的安全事故已屢見不鮮。攻擊者基于對(duì)目標(biāo)系統(tǒng)所使用的工控協(xié)議及工業(yè)流程的深入了解，通過更改控制命令，導(dǎo)致安全事件的發(fā)生，甚至影響到廣大人民群眾的生命財(cái)產(chǎn)安全。比如，惡意下發(fā)非法工控指令，控制油庫(kù)壓力升高、停止發(fā)油業(yè)務(wù)等。

油庫(kù)生產(chǎn)系統(tǒng)在銷售系統(tǒng)的應(yīng)用流程中屬于關(guān)鍵業(yè)務(wù)模塊，通過油庫(kù)中庫(kù)級(jí)系統(tǒng)與工控系統(tǒng)集成，共同協(xié)作完成進(jìn)銷存自動(dòng)管理。在油庫(kù)生產(chǎn)場(chǎng)景中，石油銷售公司生產(chǎn)系統(tǒng)的主要威脅來自于上位機(jī)和下位機(jī)的通信，因?yàn)樯衔粰C(jī)就是普通的計(jì)算機(jī)，由人操作，很容易感染病毒、木馬入侵或人為惡意破壞，形成惡劣影響。在勒索病毒爆發(fā)時(shí)，石油銷售公司部分油庫(kù)庫(kù)級(jí)系統(tǒng)出現(xiàn)不同程度病毒感染，導(dǎo)致生產(chǎn)系統(tǒng)無(wú)法正常運(yùn)行。因此需要依據(jù)網(wǎng)絡(luò)安全法、等保2.0以及中石油公司下發(fā)的指導(dǎo)方案要求積極開展網(wǎng)絡(luò)安全升級(jí)改造建設(shè)，提升自身網(wǎng)絡(luò)安全防護(hù)能力。

2. 項(xiàng)目簡(jiǎn)介

石油銷售公司油庫(kù)庫(kù)級(jí)生產(chǎn)系統(tǒng)與工控系統(tǒng)集成，完成油庫(kù)進(jìn)銷存的自動(dòng)管理。油庫(kù)一般以專線方式接入到廣域網(wǎng)，目前大部分油庫(kù)與廣域網(wǎng)邊界無(wú)安全防護(hù)措施，信息網(wǎng)與工控網(wǎng)之間未作有效隔離，工控主機(jī)無(wú)有效安全防護(hù)措施，工控軟件及操作系統(tǒng)存在漏洞，設(shè)備聯(lián)網(wǎng)機(jī)制缺乏安全保障，業(yè)務(wù)及用戶行為無(wú)有效審計(jì)手段，組網(wǎng)混亂。因此需開展油庫(kù)生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全改造推廣項(xiàng)目，削弱或根除安全風(fēng)險(xiǎn)，提高油庫(kù)生產(chǎn)系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)能力。

3. 項(xiàng)目目標(biāo)

油庫(kù)是協(xié)調(diào)原油生產(chǎn)、原油加工、成品油供應(yīng)及運(yùn)輸?shù)募~帶，是國(guó)家石油儲(chǔ)備和供應(yīng)的基地，它對(duì)于保障國(guó)防和促進(jìn)國(guó)民經(jīng)濟(jì)高速發(fā)展具有相當(dāng)重要的意義。本次油庫(kù)網(wǎng)絡(luò)安全改造推廣項(xiàng)目旨在全面提升石油銷售公司油庫(kù)生產(chǎn)系統(tǒng)的整體安全防護(hù)水平，保障設(shè)備、系統(tǒng)、網(wǎng)絡(luò)的可靠性及穩(wěn)定性，提高安全生產(chǎn)管理水平和工作效率，滿足我國(guó)等級(jí)保護(hù)相應(yīng)等級(jí)的防護(hù)要求及國(guó)家相關(guān)政策法規(guī)、標(biāo)準(zhǔn)要求，從而實(shí)現(xiàn)以下項(xiàng)目目標(biāo)：

首先，按照生產(chǎn)系統(tǒng)重要程度，按照不同流程規(guī)劃不同安全區(qū)域，通過技術(shù)手段實(shí)現(xiàn)安全區(qū)域邊界的“白環(huán)境”，實(shí)現(xiàn)訪問控制白名單固化、工業(yè)協(xié)議白名單固化、業(yè)務(wù)白名單固化；其次，針對(duì)油庫(kù)生產(chǎn)系統(tǒng)的安全計(jì)算環(huán)境載體實(shí)現(xiàn)應(yīng)用鎖定、系統(tǒng)鎖定、外設(shè)鎖定、網(wǎng)絡(luò)鎖定，建立工控主機(jī)的安全管理中心、安全狀態(tài)監(jiān)測(cè)中心；再次，通過監(jiān)測(cè)生產(chǎn)系統(tǒng)內(nèi)關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)的業(yè)務(wù)流量，實(shí)現(xiàn)工控網(wǎng)絡(luò)異常流量監(jiān)測(cè)、異常事件監(jiān)測(cè)。

在油庫(kù)過程監(jiān)控層建設(shè)工業(yè)安全運(yùn)營(yíng)中心，實(shí)現(xiàn)工業(yè)資產(chǎn)的主動(dòng)發(fā)現(xiàn)、漏洞無(wú)損掃描、網(wǎng)絡(luò)攻擊檢測(cè)、安全運(yùn)維、日志記錄。通過統(tǒng)一安全管理平臺(tái)實(shí)現(xiàn)工控網(wǎng)絡(luò)安全產(chǎn)品的統(tǒng)一策略下發(fā)，提高運(yùn)維效率，降低維護(hù)成本，構(gòu)建“一個(gè)中心、三重防護(hù)”的安全體系架構(gòu)。

二、項(xiàng)目實(shí)施概況

本項(xiàng)目采用“行為白名單”核心技術(shù)，結(jié)合石油銷售公司油庫(kù)生產(chǎn)系統(tǒng)業(yè)務(wù)流程，建立精準(zhǔn)的安全防護(hù)模型，實(shí)現(xiàn)了辦公網(wǎng)與生產(chǎn)網(wǎng)物理隔離、主機(jī)加固及防護(hù)等，最終通過項(xiàng)目驗(yàn)收，達(dá)到預(yù)期防護(hù)效果。

1. 項(xiàng)目總體架構(gòu)和主要內(nèi)容

項(xiàng)目以GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》、工信部信軟〔2016〕338號(hào)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》等國(guó)家標(biāo)準(zhǔn)為依據(jù)，采用“行為白名單”的縱深防御安全防護(hù)技術(shù)體系，從“一個(gè)中心、三重防護(hù)”的角度出發(fā)對(duì)油庫(kù)生產(chǎn)系統(tǒng)進(jìn)行統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)，進(jìn)而構(gòu)筑油庫(kù)生產(chǎn)控制系統(tǒng)安全“可信環(huán)境”，確保：

（1）只有可信任的設(shè)備，才能接入系統(tǒng)網(wǎng)絡(luò)；

（2）只有可信任的消息，才能在系統(tǒng)網(wǎng)絡(luò)上傳輸；

（3）只有可信任的軟件，才允許被執(zhí)行。

項(xiàng)目總體架構(gòu)設(shè)計(jì)圖如下所示：

圖2-1項(xiàng)目總體架構(gòu)設(shè)計(jì)

項(xiàng)目主要建設(shè)內(nèi)容涉及以下方面：

ü 構(gòu)建區(qū)域邊界“白環(huán)境”，在油庫(kù)現(xiàn)場(chǎng)設(shè)備層和現(xiàn)場(chǎng)監(jiān)控層之間部署工業(yè)防火墻，建立訪問控制白名單和工業(yè)協(xié)議白名單，實(shí)現(xiàn)“值域級(jí)”的細(xì)粒度訪問控制；在過程監(jiān)控層和生產(chǎn)管理層部署安全隔離與信息交換系統(tǒng)，實(shí)現(xiàn)油庫(kù)生產(chǎn)網(wǎng)環(huán)境中不同安全級(jí)別網(wǎng)絡(luò)之間數(shù)據(jù)安全交換的隔離，防止內(nèi)部機(jī)密信息的泄露，實(shí)現(xiàn)網(wǎng)間安全隔離和信息交換；

ü 構(gòu)建通信網(wǎng)絡(luò)“白環(huán)境”，在油庫(kù)生產(chǎn)系統(tǒng)關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處部署工控安全監(jiān)測(cè)與審計(jì)系統(tǒng)，建立全流量行為模型，實(shí)現(xiàn)工業(yè)網(wǎng)絡(luò)異常流量監(jiān)測(cè)、工業(yè)網(wǎng)絡(luò)關(guān)鍵事件監(jiān)測(cè)、工控協(xié)議規(guī)約檢測(cè)、工控網(wǎng)絡(luò)通信記錄回溯等；

ü 構(gòu)建主機(jī)業(yè)務(wù)“白環(huán)境”，在油庫(kù)裝車監(jiān)控主機(jī)、罐區(qū)監(jiān)控主機(jī)、消防監(jiān)控主機(jī)、安全監(jiān)控主機(jī)以及數(shù)據(jù)管理平臺(tái)服務(wù)器部署工控主機(jī)衛(wèi)士，利用非法外聯(lián)、網(wǎng)絡(luò)白名單、雙因子認(rèn)證、訪問控制、安全基線、程序白名單和外設(shè)管理等功能，有效阻止工控惡意程序或代碼在工控主機(jī)上的感染、執(zhí)行和擴(kuò)散；

ü 構(gòu)建安全管理中心，實(shí)時(shí)對(duì)采集到的不同類型日志信息進(jìn)行標(biāo)準(zhǔn)化處理和實(shí)時(shí)關(guān)聯(lián)分析，幫助用戶滿足安全審計(jì)的合規(guī)要求；制定嚴(yán)格的資源訪問策略，并采用強(qiáng)身份認(rèn)證手段，全面保障系統(tǒng)資源安全；安全設(shè)備集中管理，對(duì)安全策略集中管控、安全事件集中分析，為油庫(kù)生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全狀態(tài)監(jiān)控、故障快速定位等提供技術(shù)支撐。

2. 具體應(yīng)用場(chǎng)景和安全應(yīng)用模式

具體應(yīng)用場(chǎng)景：采用“行為白名單”技術(shù)形成“三重固化、三種防護(hù)模式”下的縱深防御安全防護(hù)技術(shù)體系架構(gòu)，適用于油庫(kù)控制系統(tǒng)和油庫(kù)綜合自動(dòng)化系統(tǒng)的安全防護(hù)，保障泵站監(jiān)控系統(tǒng)，罐區(qū)（庫(kù)區(qū)）監(jiān)控系統(tǒng)，裝車系統(tǒng)、油品檢驗(yàn)系統(tǒng)的高效、穩(wěn)定運(yùn)行。亦可為石油石化、電力、軌道交通、煙草、市政、智能制造、冶金及軍工等國(guó)家重點(diǎn)工控行業(yè)構(gòu)筑工控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)體系，保障工控系統(tǒng)平穩(wěn)、高效運(yùn)行。

安全應(yīng)用模式： 現(xiàn)場(chǎng)控制層核心控制設(shè)備的正常運(yùn)行對(duì)整個(gè)生產(chǎn)控制系統(tǒng)起到關(guān)鍵性的作用，因此在核心控制設(shè)備前端部署工業(yè)防火墻，采用白名單機(jī)制確保只有可信的消息才允許傳輸；在過程監(jiān)控層，對(duì)工程師站、操作站、服務(wù)器等工控主機(jī)上部署工控主機(jī)衛(wèi)士，采用程序白名單確保有可信的程序才允許運(yùn)行；在生產(chǎn)管理層邊界部署工業(yè)防火墻，利用防火墻的訪問控制功能，提高生產(chǎn)控制系統(tǒng)的邊界防護(hù)能力；在生產(chǎn)管理層建立安全管理中心，通過統(tǒng)一安全管理平臺(tái)實(shí)現(xiàn)對(duì)所有安全設(shè)備的集中管控、安全事件的集中分析以及全網(wǎng)安全態(tài)勢(shì)的可視化展示，從而實(shí)現(xiàn)一體化的安全防護(hù)體系。

3. 安全及可靠性

項(xiàng)目從區(qū)域邊界安全、通信網(wǎng)絡(luò)安全、計(jì)算環(huán)境安全以及安全管理中心（簡(jiǎn)稱一個(gè)中心、三重防護(hù)），4個(gè)方面為油庫(kù)生產(chǎn)系統(tǒng)提供安全防護(hù)，從而保障業(yè)務(wù)系統(tǒng)的高可靠性。

計(jì)算環(huán)境安全：基于“白名單”防護(hù)方式的工控主機(jī)衛(wèi)士，具備非法外聯(lián)檢測(cè)功能，可檢測(cè)非法網(wǎng)絡(luò)連接，日志記錄和告警；具備網(wǎng)絡(luò)白名單功能，只允許工業(yè)主機(jī)與特定服務(wù)器進(jìn)行通信；具備雙因子認(rèn)證功能，提供USB-key的組合認(rèn)證，提升工業(yè)主機(jī)登錄安全；具備訪問控制功能，提供強(qiáng)制訪問控制模型，保護(hù)注冊(cè)表、系統(tǒng)文件、關(guān)鍵進(jìn)程；具備安全基線功能，提供安全基線檢查和加固功能，提升操作系統(tǒng)安全等級(jí)；具備程序白名單功能，可自動(dòng)掃描、跟蹤軟件安裝及升級(jí)生成可執(zhí)行程序白名單；具備外設(shè)管理功能，只允許經(jīng)過認(rèn)證的特定USB設(shè)備才在工業(yè)主機(jī)上運(yùn)行。通過以上主機(jī)衛(wèi)士7大核心安全功能，構(gòu)成了安全計(jì)算環(huán)節(jié)的基石，進(jìn)而保障工控業(yè)務(wù)系統(tǒng)的高效、穩(wěn)定運(yùn)行。

通信網(wǎng)絡(luò)安全：采用“白環(huán)境”為核心技術(shù)的工業(yè)防火墻，可有效解決傳統(tǒng)“黑名單”技術(shù)在解決工控網(wǎng)絡(luò)安全問題時(shí)存在的兼容性、易用性、日常工作量大等問題，同時(shí)可對(duì)工控網(wǎng)絡(luò)中的工業(yè)協(xié)議進(jìn)行深度識(shí)別及有效管控，從而提升整個(gè)工控系統(tǒng)網(wǎng)絡(luò)環(huán)境的安全性，保障業(yè)務(wù)運(yùn)行的可靠性。

區(qū)域邊界安全：結(jié)合業(yè)務(wù)系統(tǒng)的類型及其重要性，開展業(yè)務(wù)系統(tǒng)區(qū)域劃分，不同業(yè)務(wù)系統(tǒng)區(qū)域邊界采用工業(yè)防火墻進(jìn)行有效的管控。防火墻具備傳統(tǒng)下一代防火墻IPS、AV等功能的同時(shí)，亦可對(duì)工控協(xié)議進(jìn)行深度識(shí)別以及有效管控，從而保障了區(qū)域邊界的安全性，提升業(yè)務(wù)系統(tǒng)的穩(wěn)定性。

安全管理中心：部署統(tǒng)一安全管理平臺(tái)，滿足等保標(biāo)準(zhǔn)中“一個(gè)中心”的防護(hù)建設(shè)要求，同時(shí)解決了安全日志和時(shí)間管理分散、難以掌控全局風(fēng)險(xiǎn)等問題。實(shí)現(xiàn)了對(duì)工業(yè)網(wǎng)絡(luò)中的安全產(chǎn)品及安全事件進(jìn)行統(tǒng)一管理的軟硬件一體化，通過對(duì)控制網(wǎng)絡(luò)中的邊界隔離、網(wǎng)絡(luò)監(jiān)測(cè)、主機(jī)防護(hù)等安全產(chǎn)品進(jìn)行集中管理，實(shí)現(xiàn)對(duì)全網(wǎng)中各安全設(shè)備、系統(tǒng)及主機(jī)的統(tǒng)一配置、全面監(jiān)控、實(shí)時(shí)告警、流量分析等，降低運(yùn)維成本、提高事件響應(yīng)效率。

4. 其他亮點(diǎn)

（1）針對(duì)工控領(lǐng)域的隱蔽攻擊發(fā)現(xiàn)問題，本項(xiàng)目采用了基于多視角報(bào)警融合的隱蔽攻擊發(fā)現(xiàn)技術(shù)。

研究網(wǎng)絡(luò)流和物理流信息提取算法，從工控網(wǎng)絡(luò)中，一方面提取資產(chǎn)信息、漏洞信息、拓?fù)湫畔⒌刃畔⒘魈卣?，上述特征均是采用主被?dòng)結(jié)合的方式探測(cè)到的；另一方面提取控制流程、能量信息、業(yè)務(wù)信息等物理流特征，上述特征是從控制程序和現(xiàn)場(chǎng)傳感器獲取的。

基于協(xié)作式學(xué)習(xí)模型和標(biāo)準(zhǔn)正則化模型，研究多視角學(xué)習(xí)算法，從信息流和物理流特征中挖掘其中隱含的依存關(guān)系。工控環(huán)境由各個(gè)不同的組件（HMI、PLC、SCADA等）協(xié)作完成某個(gè)具體業(yè)務(wù)流程，且組件內(nèi)也存在多個(gè)服務(wù)共同完成某個(gè)具體任務(wù)。因此，在物理流和信息流中必然隱含著某種符合自然規(guī)律的依存關(guān)系，挖掘其中隱含的依存關(guān)系，從異常檢測(cè)報(bào)警數(shù)據(jù)中發(fā)現(xiàn)隱蔽式攻擊。

基于異常檢測(cè)報(bào)警數(shù)據(jù)，采用數(shù)據(jù)挖掘算法提取攻擊時(shí)間、攻擊序列、攻擊屬性等特征，并依據(jù)上述特征構(gòu)建工控網(wǎng)絡(luò)攻擊樹，從攻擊樹中建立物理流與信息流映射關(guān)系。若從異常檢測(cè)報(bào)警數(shù)據(jù)中實(shí)時(shí)提取的物理流與信息流間的映射關(guān)系，與歷史的物理流與信息流內(nèi)在依存關(guān)系存在沖突，且前者的特征符合威脅情報(bào)的某類特征，則表示發(fā)現(xiàn)了隱蔽攻擊。

（2）項(xiàng)目中使用的安全防護(hù)類產(chǎn)品均設(shè)計(jì)有多種防護(hù)模式，結(jié)合業(yè)務(wù)實(shí)際需求可調(diào)整至不同的應(yīng)用模式。

ü 學(xué)習(xí)模式：安全防護(hù)類設(shè)備初次接入工控系統(tǒng)網(wǎng)絡(luò)時(shí)，默認(rèn)安全應(yīng)用模式為學(xué)習(xí)模式，處于該模式下可通過智能學(xué)習(xí)建立3類白名單（訪問控制白名單、工業(yè)協(xié)議白名單以及業(yè)務(wù)白名單），實(shí)現(xiàn)訪問控制白名單固化、工業(yè)協(xié)議白名單固化、業(yè)務(wù)白名單固化（簡(jiǎn)稱三重固化）。學(xué)習(xí)模式下的安全防護(hù)設(shè)備只具備學(xué)習(xí)功能，無(wú)告警及防護(hù)功能；

ü 告警模式：告警模式下可針對(duì)違法白名單異常操作行為實(shí)時(shí)告警，同時(shí)安全運(yùn)維人員可針對(duì)異常告警行為進(jìn)行識(shí)別、結(jié)合實(shí)際業(yè)務(wù)情況對(duì)白名單防護(hù)規(guī)則進(jìn)行優(yōu)化調(diào)整；

ü 防護(hù)模式：經(jīng)過學(xué)習(xí)模式、告警模式后，進(jìn)入防護(hù)模式。處于防護(hù)模式下的安全防護(hù)設(shè)備可對(duì)違反白名單異常操作進(jìn)行實(shí)時(shí)阻斷并產(chǎn)生告警，從而保障業(yè)務(wù)的高效、穩(wěn)定運(yùn)行。

三、下一步實(shí)施計(jì)劃

優(yōu)化提升：不斷優(yōu)化提升項(xiàng)目中所采用的新技術(shù)、新方法，結(jié)合工控領(lǐng)域各行業(yè)不同工控系統(tǒng)業(yè)務(wù)流程，建立工控系統(tǒng)精準(zhǔn)防護(hù)模型，對(duì)工控指令和生產(chǎn)工藝行為進(jìn)行更加精細(xì)化的解析和管控，解決當(dāng)下工控系統(tǒng)安全防護(hù)技術(shù)的困境。建立油庫(kù)生產(chǎn)系統(tǒng)工控網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)，整合各油庫(kù)內(nèi)部設(shè)備資產(chǎn)、網(wǎng)絡(luò)流量、安全漏洞、安全配置、安全日志、設(shè)備運(yùn)行狀態(tài)、業(yè)務(wù)故障日志等信息，通過智能關(guān)聯(lián)分析獲取油庫(kù)生產(chǎn)系統(tǒng)的安全風(fēng)險(xiǎn)和態(tài)勢(shì)，指導(dǎo)安全告警的事件處置工作。

復(fù)制推廣：在我國(guó)工業(yè)向數(shù)字化、網(wǎng)絡(luò)化和智能化轉(zhuǎn)型升級(jí)的大環(huán)境下，在我國(guó)高舉“核心技術(shù)是國(guó)之重器”的旗幟下，推薦其他石油銷售公司借鑒本案例的經(jīng)驗(yàn)，加強(qiáng)油庫(kù)生產(chǎn)系統(tǒng)的安全防護(hù)能力。

四、項(xiàng)目創(chuàng)新點(diǎn)和實(shí)施效果

1. 項(xiàng)目創(chuàng)新點(diǎn)

項(xiàng)目通過建立可信任網(wǎng)絡(luò)“白環(huán)境”和“白名單”防護(hù)理念，以自主可控的核心技術(shù)投入，以完全符合工業(yè)企業(yè)的產(chǎn)品設(shè)計(jì)，為工業(yè)企業(yè)構(gòu)筑“安全白環(huán)境”整體防護(hù)體系，保護(hù)工業(yè)企業(yè)設(shè)施的穩(wěn)定運(yùn)行。

ü 基于“硬件級(jí)”的安全設(shè)備配置文件保護(hù)強(qiáng)化防護(hù)能力

面對(duì)復(fù)雜的網(wǎng)絡(luò)安全威脅與多樣的攻擊方式，在對(duì)油庫(kù)生產(chǎn)業(yè)務(wù)系統(tǒng)構(gòu)建邊界安全的同時(shí)，也要考慮安全設(shè)備配置文件級(jí)的安全防護(hù)，避免由于突破邊界防線，或內(nèi)部攻擊導(dǎo)致的配置文件修改，對(duì)工業(yè)控制系統(tǒng)實(shí)施破壞，造成不可預(yù)計(jì)的危險(xiǎn)、損失等。本項(xiàng)目選用威努特自主研發(fā)的工業(yè)防火墻系列產(chǎn)品自帶硬件級(jí)安全策略寫保護(hù)功能，一旦設(shè)備完成策略配置投產(chǎn)運(yùn)行，在開啟本地硬件配置寫保護(hù)功能后，將會(huì)阻斷一切非法配置修改請(qǐng)求。極端情況下，即使統(tǒng)一安全管理平被“攻破”，通過集中管理平臺(tái)也無(wú)法修改工業(yè)防火墻的現(xiàn)行配置策略。

ü 基于“硬件級(jí)”的單向流量接收消除潛在安全隱患

工業(yè)控制系統(tǒng)的安全建設(shè)要考慮到接入的設(shè)備對(duì)當(dāng)前系統(tǒng)零影響，保證油庫(kù)生產(chǎn)業(yè)務(wù)系統(tǒng)平穩(wěn)運(yùn)行，本項(xiàng)目選用威努特自主研發(fā)工控安全監(jiān)測(cè)與審計(jì)系列產(chǎn)品，具備獨(dú)創(chuàng)的基于硬件級(jí)的僅單向接收鏡像工控網(wǎng)絡(luò)通信流量，設(shè)備采用純物理單向設(shè)計(jì)，從網(wǎng)卡芯片級(jí)對(duì)數(shù)據(jù)發(fā)送進(jìn)行閹割處理，所以設(shè)備僅接收流量不會(huì)發(fā)送任何通信信息，真正做到對(duì)油庫(kù)生產(chǎn)控制系統(tǒng)無(wú)影響。極端情況，管理平臺(tái)被攻陷也不會(huì)通過設(shè)備影響控制網(wǎng)。

ü 基于“行為白名單”建立的面向工控PLC設(shè)備的行為模型固化技術(shù)

為快速適用油庫(kù)生產(chǎn)業(yè)務(wù)系統(tǒng)的安全防護(hù)需求，解決傳統(tǒng)白名單使用中面臨的問題，本項(xiàng)目采用了基于“行為白名單”的“三重固化”技術(shù)。針對(duì)工控設(shè)備的屬性及行為進(jìn)行描述，通過分析和抽象工控設(shè)備自身屬性、行為及與其它設(shè)備的交互特征，構(gòu)建工控設(shè)備行為模型描述框架，實(shí)現(xiàn)行為白名單的識(shí)別與固化；通過分析和抽象工控協(xié)議的狀態(tài)機(jī)及交互特征，構(gòu)建工控協(xié)議行為特征解碼引擎，實(shí)現(xiàn)協(xié)議白名單的識(shí)別與固化；結(jié)合油庫(kù)生產(chǎn)系統(tǒng)實(shí)際業(yè)務(wù)訪問需求，創(chuàng)建并實(shí)現(xiàn)訪問控制白名單的固化。

ü 基于時(shí)間維度判定的智能復(fù)雜周期模型檢測(cè)技術(shù)

在傳統(tǒng)白名單技術(shù)的基礎(chǔ)上，結(jié)合油庫(kù)生產(chǎn)系統(tǒng)業(yè)務(wù)流程，利用智能技術(shù)，以時(shí)間周期維度作為判斷，發(fā)現(xiàn)工控指令隱藏的多重復(fù)雜周期模式，建立工控指令復(fù)雜周期場(chǎng)景指紋模型。通過該模型對(duì)工控指令和生產(chǎn)工藝行為進(jìn)行更加精細(xì)化的解析和管控，解決傳統(tǒng)白名單只能靜態(tài)對(duì)工業(yè)控制協(xié)議指令識(shí)別劣勢(shì)，避免因指令時(shí)間錯(cuò)誤引起的異常，有效識(shí)別誤操作、網(wǎng)絡(luò)故障、惡意操作等引起的工控指令異常，保證工控業(yè)務(wù)的安全正常運(yùn)行。

2. 實(shí)施效果

（1）經(jīng)濟(jì)效益

1）安全建設(shè)周期縮短，業(yè)務(wù)運(yùn)行穩(wěn)定保障：

相比傳統(tǒng)IT安全項(xiàng)目建設(shè)周期，本次基于工業(yè)白環(huán)境理念的縱深防御安全防護(hù)建設(shè)項(xiàng)目由于采用“白名單”的相關(guān)技術(shù)原理，其不過度依賴于黑名單類型的規(guī)則庫(kù)、病毒庫(kù)等，其上線周期相比傳統(tǒng)安全建設(shè)項(xiàng)目縮短，業(yè)務(wù)系統(tǒng)安全風(fēng)險(xiǎn)同比建設(shè)初期降低，間接避免整體生產(chǎn)經(jīng)濟(jì)損失。

2）安全能力自動(dòng)化，人力運(yùn)維效率提升大：

通過采用自動(dòng)化的統(tǒng)一運(yùn)維管理平臺(tái)以及配套產(chǎn)品自身的安全可視化管理界面，為人為管理相關(guān)安全設(shè)備提供便捷。相比與以往人工手動(dòng)運(yùn)維和故障排查的方式，運(yùn)維效率提升，進(jìn)而人員結(jié)構(gòu)優(yōu)化帶來的經(jīng)濟(jì)效益表現(xiàn)為人力成本節(jié)約，企業(yè)整體運(yùn)轉(zhuǎn)效率得到提升。

3）被動(dòng)+主動(dòng)的立體安全模式，避免大額勒索事件經(jīng)濟(jì)損失：

2017年勒索病毒Wannacry爆發(fā)至今，全球仍然每年會(huì)有不少制造企業(yè)遭受其勒索大額贖金，就已知的大額贖金事件當(dāng)中，最高的可達(dá)千萬(wàn)美元級(jí)別。本次建設(shè)項(xiàng)目所提供的白環(huán)境技術(shù)理念以及配套專業(yè)設(shè)備，在針對(duì)工業(yè)安全場(chǎng)景勒索事件的防護(hù)上具備健壯的防護(hù)能力，可幫助企業(yè)避免百萬(wàn)美元級(jí)別的損失，每年幫助企業(yè)挽回間接的經(jīng)濟(jì)損失。

（2）社會(huì)效益

1）樹立工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全建設(shè)的風(fēng)向標(biāo)：

本次基于工業(yè)白環(huán)境理念的縱深防御安全防護(hù)建設(shè)項(xiàng)目所采用的的白環(huán)境技術(shù)理念，是貼合工業(yè)場(chǎng)景高可靠、低時(shí)延等相關(guān)特點(diǎn)設(shè)計(jì)和研發(fā)的技術(shù)體系，開創(chuàng)了有別于傳統(tǒng)黑名單機(jī)制網(wǎng)絡(luò)防護(hù)手段的工業(yè)安全防護(hù)體系，同時(shí)也彰顯了該石油銷售公司社會(huì)主角的擔(dān)當(dāng)。

2）促進(jìn)工業(yè)互聯(lián)網(wǎng)領(lǐng)域安全建設(shè)氛圍的形成：

石油銷售油庫(kù)工業(yè)安全相關(guān)建設(shè)的落地，將首先在其所屬石油石化行業(yè)針對(duì)工業(yè)互聯(lián)網(wǎng)企業(yè)安全分類分級(jí)建設(shè)起到示范作用，為其相關(guān)行業(yè)的其他工業(yè)互聯(lián)網(wǎng)企業(yè)提供安全建設(shè)的寶貴經(jīng)驗(yàn)，也將在整個(gè)工業(yè)互聯(lián)網(wǎng)領(lǐng)域形成企業(yè)網(wǎng)絡(luò)安全建設(shè)的良好氛圍，以促進(jìn)更多工業(yè)互聯(lián)網(wǎng)企業(yè)（含232家聯(lián)網(wǎng)工業(yè)企業(yè)、平臺(tái)企業(yè)、標(biāo)識(shí)解析企業(yè)試點(diǎn)單位）貫徹落實(shí)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等相關(guān)法律法規(guī)和政策要求。