基于國(guó)產(chǎn)商用密碼和策略協(xié)同的工業(yè)網(wǎng)絡(luò)縱深安全防護(hù)技術(shù)

近年來(lái)，在網(wǎng)絡(luò)空間政治對(duì)抗加劇的背景下，工業(yè)控制網(wǎng)絡(luò)面臨的安全威脅正在急劇增加，工業(yè)安全漏洞數(shù)量逐年遞增，工控信息安全事件層出不窮，安全威脅加速滲透，攻擊手段復(fù)雜多樣。伊朗“震網(wǎng)”事件、土耳其巴庫(kù)石油管道爆炸、烏克蘭電網(wǎng)停電、委內(nèi)瑞拉停電事故等安全事故更是說(shuō)明能源工控環(huán)境被攻擊所造成的危害巨大，給國(guó)內(nèi)能源行業(yè)敲響了警鐘，關(guān)系國(guó)計(jì)民生的能源領(lǐng)域的工業(yè)控制網(wǎng)絡(luò)已成為黑客團(tuán)體攻擊的重點(diǎn)目標(biāo)，建立安全、穩(wěn)定運(yùn)行的工業(yè)控制環(huán)境迫在眉睫。我國(guó)高度重視工業(yè)信息安全并實(shí)施各種舉措，《網(wǎng)絡(luò)安全法》自2017年6月1日起開(kāi)始實(shí)施，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全提出了明確要求。在工信部信軟〔2016〕338號(hào)文《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》中，從11個(gè)方面對(duì)工業(yè)控制系統(tǒng)信息安全在管理和技術(shù)方面提出了具體要求。2019年5月，國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布GB/T22239—2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，專門(mén)針對(duì)工業(yè)控制系統(tǒng)在通信網(wǎng)絡(luò)、區(qū)域邊界、計(jì)算環(huán)境等方面提出了要求，為工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)提供了重要參考標(biāo)準(zhǔn)?！吨腥A人民共和國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》明確提出，要加強(qiáng)網(wǎng)絡(luò)安全保護(hù)，建立健全關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系，提升安全防護(hù)和維護(hù)政治安全能力，推動(dòng)構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體。近年來(lái)，隨著信息化與工業(yè)化的深度融合與發(fā)展，工業(yè)控制網(wǎng)絡(luò)由傳統(tǒng)的工業(yè)總線網(wǎng)絡(luò)發(fā)展到工業(yè)以太網(wǎng)及工業(yè)物聯(lián)網(wǎng)，工業(yè)控制網(wǎng)絡(luò)已成為由操作技術(shù)（OperationTechnology，OT）、信息技術(shù)（InformationTechnology，IT）、工業(yè)物聯(lián)網(wǎng)（IndustrialInternetofThings，IIoT）形成的高度混雜融合的網(wǎng)絡(luò)，其面臨的網(wǎng)絡(luò)威脅與風(fēng)險(xiǎn)愈發(fā)復(fù)雜，安全形勢(shì)日益嚴(yán)峻。工業(yè)控制網(wǎng)絡(luò)現(xiàn)場(chǎng)場(chǎng)景差異大且復(fù)雜、功能安全與網(wǎng)絡(luò)安全交織疊加，導(dǎo)致系統(tǒng)整體防護(hù)遇到新的挑戰(zhàn)。傳統(tǒng)分區(qū)分域管理防護(hù)方式難以實(shí)現(xiàn)點(diǎn)面融合的一體化安全防護(hù)，因而亟須針對(duì)典型行業(yè)工業(yè)網(wǎng)絡(luò)特征研究出適應(yīng)不同場(chǎng)景、不同層次、不同設(shè)備的縱深防護(hù)和多策略協(xié)同的安全體系。1工業(yè)網(wǎng)絡(luò)概述1.1工業(yè)網(wǎng)絡(luò)結(jié)構(gòu)概述在網(wǎng)絡(luò)信息技術(shù)不斷發(fā)展的背景下，工業(yè)網(wǎng)絡(luò)逐步形成5層體系架構(gòu)，自下而上分別是現(xiàn)場(chǎng)設(shè)備層、現(xiàn)場(chǎng)控制層、過(guò)程監(jiān)控層、生產(chǎn)管理層、企業(yè)管理層。在5層網(wǎng)絡(luò)體系結(jié)構(gòu)中，現(xiàn)場(chǎng)控制層采用Ethernet/IP、Profinet、Modbus/TCP、OPC等專用工業(yè)協(xié)議支持工控設(shè)備間的通信，并建立起與上位系統(tǒng)的通信，這些協(xié)議或?yàn)闃?biāo)準(zhǔn)TCP/IP協(xié)議，或?yàn)榛贗P協(xié)議的專用工業(yè)以太網(wǎng)協(xié)議，監(jiān)控管理層及以上通信也采用TCP/IP協(xié)議。近年來(lái)，隨著云計(jì)算、大數(shù)據(jù)等新技術(shù)的不斷發(fā)展，工業(yè)網(wǎng)絡(luò)逐步由孤島運(yùn)行模式發(fā)展為與互聯(lián)網(wǎng)、云網(wǎng)絡(luò)互聯(lián)互通的工業(yè)互聯(lián)網(wǎng)、工業(yè)物聯(lián)網(wǎng)運(yùn)行模式，使得工業(yè)網(wǎng)絡(luò)系統(tǒng)不再孤立。同時(shí)，在工業(yè)網(wǎng)絡(luò)中也出現(xiàn)了傳統(tǒng)IT網(wǎng)絡(luò)中的各種網(wǎng)絡(luò)安全問(wèn)題，傳統(tǒng)的以物理隔離手段而構(gòu)建的工業(yè)網(wǎng)絡(luò)安全保障體系將無(wú)法起到應(yīng)有的作用。1.2工業(yè)網(wǎng)絡(luò)特點(diǎn)概述工業(yè)控制網(wǎng)絡(luò)系統(tǒng)有自身的結(jié)構(gòu)特點(diǎn)。首先，在企業(yè)工業(yè)控制網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)中，現(xiàn)場(chǎng)設(shè)備層控制設(shè)備主要包括可編程邏輯控制器（ProgrammableLogicController，PLC）、集散控制系統(tǒng)（DistributedControlSystem，DCS）、遠(yuǎn)程終端設(shè)備（RemoteTerminalUnit，RTU）等控制器，除了各服務(wù)器，現(xiàn)場(chǎng)監(jiān)控層和數(shù)據(jù)采集層還需人機(jī)交互，如工程師站、操作員站和管理終端等。這些終端設(shè)備在網(wǎng)絡(luò)安全模型中就是安全邊界，終端設(shè)備、服務(wù)器可直接連接現(xiàn)場(chǎng)控制設(shè)備交換數(shù)據(jù)。同時(shí)，這些終端設(shè)備的各種接口比如USB，使得移動(dòng)存儲(chǔ)設(shè)備可以便利接入，但也方便了各種惡意代碼的傳播。其次，工業(yè)網(wǎng)絡(luò)尤其是現(xiàn)場(chǎng)控制層及過(guò)程監(jiān)控層網(wǎng)絡(luò)主要執(zhí)行的是工業(yè)生產(chǎn)任務(wù)，其網(wǎng)絡(luò)協(xié)議更多關(guān)注的是業(yè)務(wù)的實(shí)時(shí)性與可靠性，在協(xié)議設(shè)計(jì)上通常缺乏安全防御機(jī)制，以及必要的基于密碼的安全防護(hù)措施。此外，鑒于工業(yè)通信協(xié)議的私有性特點(diǎn)，完全照搬傳統(tǒng)信息網(wǎng)絡(luò)安全策略到工業(yè)控制系統(tǒng)，將無(wú)法起到良好的防護(hù)效果。2工業(yè)網(wǎng)絡(luò)縱深安全防護(hù)的需求研究工業(yè)領(lǐng)域不同行業(yè)和不同業(yè)務(wù)流程存在場(chǎng)景多樣性、環(huán)境復(fù)雜性和協(xié)議私有性等特點(diǎn)。工業(yè)網(wǎng)絡(luò)具有網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、主機(jī)、控制設(shè)備、執(zhí)行單元等不同類型、不同層次的安全防護(hù)手段，為相關(guān)系統(tǒng)和設(shè)備提供邊界防護(hù)、監(jiān)測(cè)審計(jì)、安全評(píng)估等多種防護(hù)技術(shù)和措施，但同時(shí)也存在協(xié)同聯(lián)動(dòng)和自動(dòng)化響應(yīng)能力不足的問(wèn)題。針對(duì)上述問(wèn)題，工業(yè)網(wǎng)絡(luò)運(yùn)營(yíng)者將需要探尋適應(yīng)工業(yè)領(lǐng)域網(wǎng)絡(luò)安全多場(chǎng)景、多層次需求的體系化安全防護(hù)解決方案，從而實(shí)現(xiàn)多種安全防護(hù)技術(shù)和措施的策略協(xié)同和聯(lián)合防護(hù)，構(gòu)建切合于工業(yè)領(lǐng)域業(yè)務(wù)特點(diǎn)的網(wǎng)絡(luò)安全防護(hù)體系。此外，工業(yè)控制網(wǎng)絡(luò)中還面臨著缺乏高效安全的密碼防護(hù)技術(shù)、內(nèi)生持久免疫能力薄弱、有針對(duì)性的安全檢測(cè)分析手段缺失、跨域安全保障體系不完善等技術(shù)難題。這些難題分布在工業(yè)網(wǎng)絡(luò)的不同層級(jí)與不同設(shè)備中，要解決此類問(wèn)題，需充分研究與工業(yè)網(wǎng)絡(luò)具體業(yè)務(wù)相融合的密碼防護(hù)、內(nèi)生免疫、智能安全檢測(cè)需求，基于縱深防御理念，重點(diǎn)突破針對(duì)多樣性和復(fù)雜化工業(yè)網(wǎng)絡(luò)資產(chǎn)的自動(dòng)化識(shí)別和測(cè)繪技術(shù)，針對(duì)私有化工業(yè)網(wǎng)絡(luò)協(xié)議的指令級(jí)智能化學(xué)習(xí)和策略控制技術(shù)，突破基于工業(yè)網(wǎng)絡(luò)數(shù)據(jù)和安全數(shù)據(jù)全流量采集的智能化分析和威脅檢測(cè)技術(shù)，突破工業(yè)領(lǐng)域邊界防護(hù)、監(jiān)測(cè)審計(jì)、漏洞分析、終端防護(hù)等多種安全措施之間策略協(xié)同和響應(yīng)支撐的技術(shù)，設(shè)計(jì)實(shí)現(xiàn)針對(duì)工業(yè)網(wǎng)絡(luò)多場(chǎng)景、多層次安全防護(hù)措施的智能化安全決策支撐和自動(dòng)化策略協(xié)同體系。3工業(yè)網(wǎng)絡(luò)縱深安全防護(hù)的技術(shù)框架設(shè)計(jì)針對(duì)工業(yè)領(lǐng)域不同行業(yè)和不同生產(chǎn)流程下，存在的場(chǎng)景多樣性、環(huán)境復(fù)雜性和協(xié)議私有性等問(wèn)題，面向工業(yè)領(lǐng)域的網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、主機(jī)，以商用密碼為基礎(chǔ)，圍繞工業(yè)網(wǎng)絡(luò)安全防護(hù)需求和法律法規(guī)政策要求，充分調(diào)研各領(lǐng)域工業(yè)網(wǎng)絡(luò)現(xiàn)狀及面臨的安全威脅，分析工業(yè)網(wǎng)絡(luò)的安全防護(hù)需求。在此基礎(chǔ)上，以GB/T22239—2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》、工信部信軟〔2016〕338號(hào)文《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》等政策標(biāo)準(zhǔn)為指導(dǎo)，根據(jù)工業(yè)網(wǎng)絡(luò)的自身特點(diǎn)、重要程度等，確定工業(yè)網(wǎng)絡(luò)安全等級(jí)的劃分；對(duì)各類典型的工業(yè)網(wǎng)絡(luò)開(kāi)展安全防護(hù)系統(tǒng)設(shè)計(jì)，形成工業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)分析報(bào)告、安全防護(hù)方案、安全防護(hù)技術(shù)規(guī)范等。在工業(yè)網(wǎng)絡(luò)場(chǎng)景和實(shí)際業(yè)務(wù)相結(jié)合的基礎(chǔ)上，將主機(jī)身份鑒別、網(wǎng)絡(luò)設(shè)備安全接入、用戶認(rèn)證、傳輸加密、密鑰管理和數(shù)字認(rèn)證等技術(shù)作為支撐，研制商密工業(yè)防火墻、終端安全防護(hù)系統(tǒng)、工業(yè)網(wǎng)絡(luò)安全智能監(jiān)測(cè)系統(tǒng)、工控漏洞掃描系統(tǒng)、虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）安全網(wǎng)關(guān)等網(wǎng)絡(luò)安全防護(hù)產(chǎn)品，配合密鑰管理、密碼服務(wù)等實(shí)現(xiàn)區(qū)域隔離、邊界防護(hù)、實(shí)時(shí)監(jiān)控和漏洞檢測(cè)，最終形成滿足工業(yè)網(wǎng)絡(luò)實(shí)際需求的基于商用密碼和策略協(xié)同的工業(yè)網(wǎng)絡(luò)縱深安全防護(hù)系統(tǒng)。工業(yè)網(wǎng)絡(luò)縱深安全防護(hù)技術(shù)框架如圖1所示。圖1工業(yè)網(wǎng)絡(luò)縱深安全防護(hù)技術(shù)框架3.1基于國(guó)產(chǎn)商用密碼的工業(yè)控制網(wǎng)絡(luò)縱深安全防護(hù)技術(shù)基于國(guó)產(chǎn)商用密碼的工業(yè)控制網(wǎng)絡(luò)縱深安全防護(hù)技術(shù)框架如圖2所示。該技術(shù)針對(duì)工業(yè)控制網(wǎng)絡(luò)中私有協(xié)議多、密碼應(yīng)用難度大的問(wèn)題，深入分析工業(yè)控制網(wǎng)絡(luò)各層級(jí)通信網(wǎng)絡(luò)安全、區(qū)域邊界安全、計(jì)算環(huán)境安全及管理安全等多維度的密碼應(yīng)用需求，采用國(guó)產(chǎn)商用密碼解決接入認(rèn)證、權(quán)限控制、數(shù)據(jù)加密等關(guān)鍵技術(shù)問(wèn)題，形成了基于國(guó)產(chǎn)商用密碼的工業(yè)VPN、邊緣網(wǎng)關(guān)、工業(yè)隔離網(wǎng)閘、工業(yè)主機(jī)安全防護(hù)系統(tǒng)、（車(chē)間級(jí)、現(xiàn)場(chǎng)級(jí)）工業(yè)防火墻、工業(yè)裝備安全網(wǎng)關(guān)等一系列裝備，有效解決了生產(chǎn)現(xiàn)場(chǎng)終端弱口令登錄、多區(qū)域之間的訪問(wèn)未受控制、生產(chǎn)現(xiàn)場(chǎng)終端和網(wǎng)絡(luò)協(xié)議私有化等問(wèn)題，打造了具備訪問(wèn)控制、行為分析、可靠認(rèn)證、安全傳輸?shù)娜轿豢v深防護(hù)保障體系，極大提升了工業(yè)控制網(wǎng)絡(luò)系統(tǒng)安全防護(hù)能力。圖2基于國(guó)產(chǎn)商用密碼的工業(yè)控制網(wǎng)絡(luò)縱深安全防護(hù)技術(shù)框架基于商密的工業(yè)控制網(wǎng)絡(luò)縱深安全防護(hù)技術(shù)框架采用商密技術(shù)，實(shí)現(xiàn)對(duì)工控系統(tǒng)各層級(jí)不同業(yè)務(wù)場(chǎng)景的安全防護(hù)，主要商密應(yīng)用如下文所述。3.1.1基于商用密碼的接入認(rèn)證和權(quán)限控制基于商用密碼的接入認(rèn)證技術(shù)采用商用密碼算法對(duì)接入的關(guān)鍵設(shè)備（工程師站、操作員站、PLC等）進(jìn)行身份認(rèn)證，防止設(shè)備非法接入與訪問(wèn)。當(dāng)設(shè)備接入時(shí)，須通過(guò)安全防護(hù)設(shè)備（如防火墻、安全網(wǎng)關(guān)等）采用“USBkey+用戶/口令”的雙因子認(rèn)證方式對(duì)其進(jìn)行身份認(rèn)證。USBkey采用SM2證書(shū)及相關(guān)商用密碼算法實(shí)現(xiàn)身份確認(rèn)，使得用戶身份認(rèn)證更加安全。其中，SM2密碼算法主要用于證書(shū)頒發(fā)，SM2WithSM3密碼算法主要用于網(wǎng)絡(luò)設(shè)備接入認(rèn)證?；谏逃妹艽a的權(quán)限控制在認(rèn)證服務(wù)器側(cè)實(shí)現(xiàn)，認(rèn)證控制服務(wù)器維護(hù)所有用戶的認(rèn)證和授權(quán)信息，負(fù)責(zé)對(duì)一個(gè)或多個(gè)接入請(qǐng)求提供認(rèn)證授權(quán)服務(wù)。認(rèn)證控制服務(wù)器基于標(biāo)準(zhǔn)RADIUS擴(kuò)展實(shí)現(xiàn)對(duì)商密算法（SM2/SM3/SM4）的支持，服務(wù)器端商密運(yùn)算則通過(guò)置于設(shè)備內(nèi)部的嵌入式商用密碼卡實(shí)現(xiàn)。設(shè)備或用戶在通過(guò)接入認(rèn)證之后，由認(rèn)證控制服務(wù)器結(jié)合內(nèi)置的用戶授權(quán)策略提供對(duì)應(yīng)權(quán)限，從而實(shí)現(xiàn)對(duì)其權(quán)限控制。3.1.2基于商用密碼的通信數(shù)據(jù)加密基于商用密碼算法的通信數(shù)據(jù)加密技術(shù)采用商用密碼算法實(shí)現(xiàn)對(duì)關(guān)鍵數(shù)據(jù)鏈路（分公司與總部、不同作業(yè)流程之間、現(xiàn)場(chǎng)工作單元與辦公網(wǎng)絡(luò)等）的通信數(shù)據(jù)機(jī)密性及完整性保護(hù)。該技術(shù)通過(guò)基于商用密碼算法的IPSecVPN為用戶構(gòu)建了一個(gè)安全加密通道，在該通道中傳輸?shù)臄?shù)據(jù)都經(jīng)過(guò)加密保護(hù)，可保證數(shù)據(jù)的機(jī)密性與安全性。在具體應(yīng)用上，首先在VPN等安全防護(hù)設(shè)備內(nèi)部嵌入硬件商用密碼卡組件，實(shí)現(xiàn)對(duì)SM2、SM3、SM4商密算法的加載。同時(shí)，在安全防護(hù)設(shè)備系統(tǒng)中擴(kuò)展IPSec對(duì)于商密算法套件的支持，采用SM2、SM3等商密算法實(shí)現(xiàn)簽名認(rèn)證與密鑰協(xié)商，采用SM4算法實(shí)現(xiàn)數(shù)據(jù)加密。以商密IPSec技術(shù)為載體，通過(guò)SM2商密證書(shū)技術(shù)和SM2/SM3算法實(shí)現(xiàn)安全通信隧道創(chuàng)建與密鑰協(xié)商，最終通過(guò)SM4算法實(shí)現(xiàn)基于商密技術(shù)的工業(yè)控制網(wǎng)絡(luò)通信數(shù)據(jù)加密傳輸，并通過(guò)SM3算法對(duì)數(shù)據(jù)完整性進(jìn)行保護(hù)。3.2基于策略協(xié)同的工業(yè)控制網(wǎng)絡(luò)多層級(jí)一體化管控技術(shù)工業(yè)控制網(wǎng)絡(luò)的控制設(shè)備與場(chǎng)景復(fù)雜，不同場(chǎng)景下安全策略制定煩瑣且缺乏具有時(shí)效性的統(tǒng)一管控手段。針對(duì)上述問(wèn)題，設(shè)計(jì)了一種基于傳統(tǒng)安全防護(hù)策略與策略協(xié)同聯(lián)動(dòng)的統(tǒng)一管控方法。工業(yè)控制網(wǎng)絡(luò)多層級(jí)管控模型如圖3所示，該模型通過(guò)實(shí)時(shí)感知安全信息，發(fā)現(xiàn)安全威脅，預(yù)判安全態(tài)勢(shì)，根據(jù)不斷變化的威脅環(huán)境進(jìn)行自適應(yīng)調(diào)整，生成策略基線；同時(shí)，針對(duì)業(yè)務(wù)相近、網(wǎng)絡(luò)環(huán)境趨同的數(shù)據(jù)信息，通過(guò)相互協(xié)同收斂，進(jìn)一步改進(jìn)策略基線，從而形成智能輔助推薦的動(dòng)態(tài)安全策略。通過(guò)統(tǒng)一的策略描述模型，使各管控執(zhí)行單元都能“理解”，并下發(fā)到工業(yè)控制網(wǎng)絡(luò)各功能安全模塊，如輸入輸出管理、信令可信執(zhí)行與管控、數(shù)據(jù)安全保護(hù)、傳輸通道加密及一體化內(nèi)生安全控制器等策略執(zhí)行環(huán)節(jié)，從而形成針對(duì)本體安全所有要素的策略協(xié)同聯(lián)動(dòng)及安全管控能力，實(shí)現(xiàn)對(duì)業(yè)務(wù)流程、數(shù)據(jù)和資源的可視化和控制，并提高運(yùn)行系統(tǒng)的可靠性、穩(wěn)定性和效率，強(qiáng)化安全防御能力，降低運(yùn)營(yíng)成本。圖3工業(yè)控制網(wǎng)絡(luò)多層級(jí)管控模型基于策略協(xié)同的工業(yè)控制網(wǎng)絡(luò)多層級(jí)一體化管控技術(shù)主要由基于基線自學(xué)習(xí)模型的白名單策略協(xié)同技術(shù)和基于策略協(xié)同的工業(yè)網(wǎng)絡(luò)多層次縱深防護(hù)技術(shù)組成。其中，基于基線自學(xué)習(xí)模型的白名單策略協(xié)同技術(shù)設(shè)計(jì)實(shí)現(xiàn)了一種網(wǎng)絡(luò)安全基線生成方法；基于策略協(xié)同的工業(yè)網(wǎng)絡(luò)多層次縱深防護(hù)技術(shù)則利用策略協(xié)同技術(shù)，對(duì)實(shí)施中的防護(hù)策略加以收斂改進(jìn)，形成多層縱深、融合管控、協(xié)同防護(hù)的工控網(wǎng)絡(luò)縱深防御架構(gòu)。3.2.1基于基線自學(xué)習(xí)模型的白名單策略協(xié)同技術(shù)傳統(tǒng)安全防護(hù)設(shè)備的防護(hù)策略，通常需要業(yè)務(wù)專家、網(wǎng)絡(luò)安全專家和網(wǎng)絡(luò)運(yùn)維人員協(xié)同參與安全策略的逐條編制。針對(duì)該問(wèn)題，基于基線自學(xué)習(xí)模型的白名單策略協(xié)同技術(shù)設(shè)計(jì)實(shí)現(xiàn)了一種基于全流量的網(wǎng)絡(luò)安全基線生成方法，如圖4所示。在網(wǎng)絡(luò)正常情況下，對(duì)流量通信情況、工藝業(yè)務(wù)情況進(jìn)行自動(dòng)學(xué)習(xí)，生成白名單策略基線模型，并將生成的白名單策略名單分發(fā)給網(wǎng)絡(luò)中的安全防護(hù)設(shè)備進(jìn)行運(yùn)用。針對(duì)工業(yè)企業(yè)內(nèi)業(yè)務(wù)相近、網(wǎng)絡(luò)環(huán)境相似的工業(yè)網(wǎng)絡(luò)，涉及工藝業(yè)務(wù)服務(wù)等的策略基線可相互協(xié)同收斂，進(jìn)一步改進(jìn)策略。采用該技術(shù)后，會(huì)針對(duì)工業(yè)網(wǎng)絡(luò)形成一個(gè)以其為基準(zhǔn)進(jìn)行檢測(cè)和度量的風(fēng)險(xiǎn)管控手段，實(shí)現(xiàn)了從監(jiān)管層面向防護(hù)層面的協(xié)同遞進(jìn)，可確保常規(guī)網(wǎng)絡(luò)安全控制，有效保護(hù)了工業(yè)控制系統(tǒng)的正常作業(yè)。通過(guò)在各工業(yè)網(wǎng)絡(luò)層次縱深應(yīng)用該技術(shù)，使得安全防護(hù)更具針對(duì)性。圖4基于基線自學(xué)習(xí)模型的白名單策略協(xié)同3.2.2基于策略協(xié)同的工業(yè)網(wǎng)絡(luò)多層次縱深防護(hù)技術(shù)針對(duì)工業(yè)網(wǎng)絡(luò)邊界關(guān)聯(lián)數(shù)據(jù)泄露、底層風(fēng)險(xiǎn)滲透等安全問(wèn)題，本文基于策略協(xié)同的工業(yè)網(wǎng)絡(luò)多層次縱深防護(hù)技術(shù)從設(shè)備接入安全、協(xié)議安全、數(shù)據(jù)處理安全等多個(gè)核心方面入手，在現(xiàn)場(chǎng)控制層、過(guò)程監(jiān)控層、生產(chǎn)管理層、企業(yè)管理層各層邊界及關(guān)鍵設(shè)施上實(shí)施針對(duì)性的防護(hù)措施，并以策略協(xié)同技術(shù)加以收斂改進(jìn)，形成契合等級(jí)保護(hù)的多層縱深、協(xié)同防護(hù)的體系架構(gòu)，如圖5所示。利用該體系架構(gòu)，現(xiàn)已實(shí)現(xiàn)對(duì)55種工控協(xié)議的深度控制、IPv4/IPv6雙?？刂?、安全隔離和信息交換、裝備接口接入管控等核心技術(shù)。同時(shí)，結(jié)合傳統(tǒng)信息安全及基于商密的工控網(wǎng)絡(luò)縱深安全防護(hù)技術(shù)，進(jìn)一步打造協(xié)同防護(hù)架構(gòu)，形成具備訪問(wèn)控制、行為分析、可靠認(rèn)證、安全傳輸?shù)娜轿话踩雷o(hù)保障體系，進(jìn)而形成可復(fù)制推廣的工業(yè)網(wǎng)絡(luò)安全防護(hù)解決方案。圖5工業(yè)網(wǎng)絡(luò)多層縱深、協(xié)同防護(hù)體系架構(gòu)4工業(yè)網(wǎng)絡(luò)縱深安全防護(hù)技術(shù)的實(shí)現(xiàn)和應(yīng)用面向工業(yè)網(wǎng)絡(luò)各領(lǐng)域的商密版工業(yè)防火墻產(chǎn)品，根據(jù)特定領(lǐng)域的具體要求，在商用密碼技術(shù)應(yīng)用、工業(yè)協(xié)議深度解析與控制、自主可控等技術(shù)功能方面進(jìn)行適配研究與開(kāi)發(fā)。面向工業(yè)網(wǎng)絡(luò)各領(lǐng)域的基于商用密碼技術(shù)終端安全防護(hù)系統(tǒng)，在身份鑒別系統(tǒng)和主機(jī)監(jiān)控與審計(jì)系統(tǒng)產(chǎn)品的基礎(chǔ)上，對(duì)商用密碼技術(shù)在身份鑒別、進(jìn)程白名單、外設(shè)控制、違規(guī)外聯(lián)等安全功能方面進(jìn)行了適配研究與開(kāi)發(fā)。面向工業(yè)網(wǎng)絡(luò)各領(lǐng)域的VPN安全網(wǎng)關(guān)產(chǎn)品，重點(diǎn)在商用密碼技術(shù)應(yīng)用、工控網(wǎng)絡(luò)低時(shí)延、系統(tǒng)自愈可靠性等方面進(jìn)行了適配研究與開(kāi)發(fā)。面向工業(yè)網(wǎng)絡(luò)各領(lǐng)域的工控漏洞掃描系統(tǒng)，在工控協(xié)議、設(shè)備指紋、工控漏洞、自主可控等技術(shù)功能方面進(jìn)行了適配研究與開(kāi)發(fā)。面向工業(yè)網(wǎng)絡(luò)各領(lǐng)域的網(wǎng)絡(luò)安全智能監(jiān)測(cè)系統(tǒng)產(chǎn)品，采用了基于基線自學(xué)習(xí)模型的白名單策略協(xié)同技術(shù)，在工控網(wǎng)絡(luò)資產(chǎn)識(shí)別、威脅分析、網(wǎng)絡(luò)可視化、自主可控等技術(shù)功能方面進(jìn)行了適配研究與開(kāi)發(fā)。結(jié)合工業(yè)網(wǎng)絡(luò)眾多安全設(shè)備的集中管理和策略協(xié)同防護(hù)的需求，研究并開(kāi)發(fā)了工業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)分析和管理系統(tǒng)，重點(diǎn)研究了實(shí)現(xiàn)