■ 江蘇 錢(qián)海年

編者按： 隨著企業(yè)網(wǎng)絡(luò)架構(gòu)復(fù)雜度的提升，這給網(wǎng)絡(luò)安全防護(hù)帶來(lái)很大難題，企業(yè)如何針對(duì)具體網(wǎng)絡(luò)應(yīng)用場(chǎng)景下進(jìn)行有效防護(hù)，本文進(jìn)行了一系列探討，其中包括在傳統(tǒng)園區(qū)網(wǎng)絡(luò)、數(shù)據(jù)中心、云計(jì)算、工控網(wǎng)絡(luò)等網(wǎng)絡(luò)架構(gòu)下，整體提升單位網(wǎng)絡(luò)安全能力。

隨著單位網(wǎng)絡(luò)架構(gòu)的不斷演變，出現(xiàn)了傳統(tǒng)園區(qū)網(wǎng)絡(luò)、數(shù)據(jù)中心、云計(jì)算、工控網(wǎng)絡(luò)等網(wǎng)絡(luò)架構(gòu)并存的局面，架構(gòu)類(lèi)別的復(fù)雜性也給網(wǎng)絡(luò)安全防護(hù)帶來(lái)難題。

傳統(tǒng)園區(qū)網(wǎng)

在傳統(tǒng)園區(qū)網(wǎng)架構(gòu)下，每個(gè)終端接入的位置都是固定的，企業(yè)對(duì)網(wǎng)絡(luò)外部的防御只需使用如防火墻、IDS、IPS等傳統(tǒng)的邊界安全設(shè)備即可構(gòu)建出企業(yè)的馬其諾防線(xiàn)。移動(dòng)設(shè)備連接的多樣性和方便性很容易將企業(yè)整體網(wǎng)絡(luò)的邊界進(jìn)行連接廣度上的擴(kuò)展和連接深度上的延伸，網(wǎng)絡(luò)安全威脅源在傳統(tǒng)的互聯(lián)網(wǎng)出口區(qū)域，內(nèi)部有線(xiàn)PC的基礎(chǔ)上，增加了WiFi接入點(diǎn)、移動(dòng)終端、遠(yuǎn)程接入等多個(gè)點(diǎn)，原來(lái)網(wǎng)絡(luò)的安全邊界被打破。

網(wǎng)絡(luò)安全的無(wú)邊界使得傳統(tǒng)基于物理位置的單點(diǎn)防御、邊界防護(hù)思想越來(lái)越難以奏效。同時(shí)，近年來(lái)由于用戶(hù)對(duì)關(guān)鍵業(yè)務(wù)的安全防護(hù)措施不斷完善，黑客攻擊目標(biāo)趨向于從傳統(tǒng)直接攻擊服務(wù)器轉(zhuǎn)向攻擊安全較薄弱的內(nèi)網(wǎng)客戶(hù)端，以客戶(hù)端為跳板再向服務(wù)器滲透。接入端安全逐漸成為內(nèi)部網(wǎng)絡(luò)安全的關(guān)鍵點(diǎn)。

傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)

在傳統(tǒng)的數(shù)據(jù)中心中，安全防護(hù)通常是通過(guò)在安全域入口部署專(zhuān)用的安全設(shè)備來(lái)實(shí)現(xiàn)。在云計(jì)算模式下，傳統(tǒng)一勞永逸的防護(hù)方案就不那么奏效了。

一方面，各租戶(hù)的業(yè)務(wù)和流量存在很大的差異，如果單純的在入口進(jìn)行安全防護(hù)，既難做到租戶(hù)之間的區(qū)分，同時(shí)也會(huì)在一定程度上加大安全設(shè)備的負(fù)載，增大網(wǎng)絡(luò)故障的風(fēng)險(xiǎn)。另一方面，云環(huán)境使得網(wǎng)絡(luò)邊界變得不像物理數(shù)據(jù)中心那么清晰，很難進(jìn)行固定安全域的劃分，同時(shí)東西向流量又占據(jù)了很大比重，因此機(jī)房?jī)?nèi)部的流量攻擊是傳統(tǒng)入口部署方式防護(hù)不了的。

傳統(tǒng)工控網(wǎng)絡(luò)

工業(yè)控制系統(tǒng)（ICS）在傳統(tǒng)上憑借封閉的專(zhuān)有協(xié)議，以及與外部其他網(wǎng)絡(luò)環(huán)境相獨(dú)立，系統(tǒng)在最初的設(shè)計(jì)時(shí)，并沒(méi)有把自身的安全性作為主要的考慮目標(biāo)，與之配套的安全控制機(jī)制普遍設(shè)計(jì)不足，其安全保障并未得到應(yīng)有的足夠重視。

伴隨著工業(yè)化與信息化的融合，信息技術(shù)已經(jīng)成為工業(yè)系統(tǒng)的重要支撐力量，隨著工業(yè)互聯(lián)網(wǎng)應(yīng)用的推進(jìn)，企業(yè)智能制造的實(shí)現(xiàn)要求將工業(yè)生產(chǎn)數(shù)據(jù)以及工業(yè)設(shè)備自身運(yùn)行數(shù)據(jù)上傳至云平臺(tái)進(jìn)行大數(shù)據(jù)分析，以進(jìn)一步指導(dǎo)企業(yè)生產(chǎn)智造。工控網(wǎng)絡(luò)越來(lái)越來(lái)的與外部網(wǎng)絡(luò)建立了數(shù)據(jù)通道，而隨之而來(lái)的，安全威脅和安全風(fēng)險(xiǎn)顯著提高。

通過(guò)外聯(lián)安全、內(nèi)連安全、數(shù)據(jù)中心安全、工控網(wǎng)絡(luò)接入和互聯(lián)安全以及全網(wǎng)安全協(xié)防，構(gòu)建點(diǎn)面結(jié)合、內(nèi)外結(jié)合、重點(diǎn)與全網(wǎng)結(jié)合、預(yù)防與處理結(jié)合的網(wǎng)絡(luò)安全體系，實(shí)現(xiàn)在無(wú)邊界網(wǎng)絡(luò)環(huán)境下的全網(wǎng)整體安全，如圖1所示。

1.內(nèi)連安全，攘外必先安內(nèi)，消除城堡內(nèi)部漏洞

2.外聯(lián)安全，協(xié)同作戰(zhàn)，消除各類(lèi)安全問(wèn)題來(lái)源

3.數(shù)據(jù)中心安全，利用云安全（針對(duì)云數(shù)據(jù)中心）和下一代防火墻（針對(duì)傳統(tǒng)數(shù)據(jù)中心）防護(hù)體系，實(shí)現(xiàn)動(dòng)態(tài)、集成的防護(hù)，保證核心資源安全

4.工控網(wǎng)絡(luò)安全，根據(jù)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》在網(wǎng)絡(luò)層面的指導(dǎo)，利用工控防火墻、工控入侵檢測(cè)和防御及漏掃系統(tǒng)、工控安全審計(jì)系統(tǒng)進(jìn)行安全區(qū)域劃分和隔離以及數(shù)據(jù)分析和處理。

圖1 無(wú)邊界網(wǎng)絡(luò)環(huán)境下的全網(wǎng)整體安全

內(nèi)連安全

為有效應(yīng)對(duì)無(wú)邊界網(wǎng)絡(luò)和移動(dòng)終端帶來(lái)的安全問(wèn)題，同時(shí)解決傳統(tǒng)PC存在的各類(lèi)問(wèn)題（病毒、漏洞、無(wú)權(quán)限管控），實(shí)現(xiàn)接入端的安全，設(shè)計(jì)利用網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)和企業(yè)網(wǎng)絡(luò)版防毒系統(tǒng)以實(shí)現(xiàn)統(tǒng)一的、一體化的管理方法。具體的規(guī)劃設(shè)計(jì)在以下幾個(gè)方面進(jìn)行重點(diǎn)考慮：

1.實(shí)現(xiàn)的功能

（1）應(yīng)對(duì)訪(fǎng)問(wèn)的終端設(shè)備進(jìn)行管理。由于目前終端設(shè)備的種類(lèi)紛繁復(fù)雜，必須能夠清晰的識(shí)別出訪(fǎng)問(wèn)資源的是什么設(shè)備，它的安全狀況如何。同時(shí)還需要對(duì)設(shè)備進(jìn)行標(biāo)識(shí)，防止設(shè)備的偽造。

（2）對(duì)訪(fǎng)問(wèn)人員進(jìn)行身份識(shí)別。人是信息資源訪(fǎng)問(wèn)的主體，必須要能夠確定訪(fǎng)問(wèn)資源的是何人，避免非法用戶(hù)擅自訪(fǎng)問(wèn)信息資源。

（3）對(duì)訪(fǎng)問(wèn)者進(jìn)行授權(quán)管理。通過(guò)授權(quán)可以控制對(duì)資源的訪(fǎng)問(wèn)。良好的授權(quán)管理能最大限度的保護(hù)企業(yè)網(wǎng)絡(luò)信息資源，避免非授權(quán)訪(fǎng)問(wèn)和敏感信息泄露。

（4）對(duì)訪(fǎng)問(wèn)行為進(jìn)行監(jiān)控。細(xì)致的訪(fǎng)問(wèn)監(jiān)控可以及時(shí)發(fā)現(xiàn)異常情況，在出現(xiàn)安全事件后還可以進(jìn)行事后追溯。

（5）移動(dòng)終端和傳統(tǒng)PC終端安全管理手段集成，實(shí)現(xiàn)移動(dòng)終端和傳統(tǒng)終端的一體化管理。如圖2所示。

2.規(guī)劃設(shè)計(jì)

（1）全網(wǎng)的透視和終端的發(fā)現(xiàn)

在傳統(tǒng)的網(wǎng)絡(luò)中，網(wǎng)絡(luò)結(jié)構(gòu)都是由網(wǎng)絡(luò)管理員進(jìn)行規(guī)劃的，當(dāng)出現(xiàn)變動(dòng)時(shí)，管理員一定是第一個(gè)知道的。

然而隨無(wú)邊界網(wǎng)絡(luò)的出現(xiàn)，如筆者單位內(nèi)部網(wǎng)絡(luò)中存在大量無(wú)線(xiàn)路由器、WiFi、雙網(wǎng)卡，將網(wǎng)絡(luò)隨意的就擴(kuò)展到了圍墻之外，內(nèi)部網(wǎng)絡(luò)被打出了無(wú)數(shù)個(gè)缺口。

利用網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，可實(shí)現(xiàn)第一時(shí)間直觀(guān)、快速、準(zhǔn)確的獲知當(dāng)前網(wǎng)絡(luò)延展的情況，以及每個(gè)網(wǎng)絡(luò)邊緣連接的終端，而不論這個(gè)終端是PC還是移動(dòng)終端。一旦發(fā)現(xiàn)有非授權(quán)的網(wǎng)絡(luò)延展和終端就可以快速定位并進(jìn)行隔離處理。

（2）根據(jù)終端設(shè)備的類(lèi)型自動(dòng)區(qū)分并進(jìn)行設(shè)備標(biāo)定

隨著“everything over IP”、“IP over everything”的進(jìn)一步應(yīng)用加深，單位內(nèi)部網(wǎng)絡(luò)中形成了多種終端的混合應(yīng)用。對(duì)于千變?nèi)f化的IP終端，如果不能自動(dòng)區(qū)分類(lèi)型，不能進(jìn)行有效的設(shè)備標(biāo)定，那么就無(wú)法阻止非法的各種終端的接入，安全也就無(wú)從談起了。

圖2 實(shí)現(xiàn)統(tǒng)一的、一體化的管理方法

由于MAC地址極易被偽造，因此在進(jìn)行設(shè)備識(shí)別和標(biāo)定時(shí)，不能單純采取MAC地址的記錄和比對(duì)。利用網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，對(duì)各種IP設(shè)備進(jìn)行外部“非介入”的掃描，獲取到該設(shè)備的指紋特征信息，并與準(zhǔn)入系統(tǒng)強(qiáng)大的設(shè)備指紋特性庫(kù)進(jìn)行比對(duì)，實(shí)現(xiàn)自動(dòng)發(fā)現(xiàn)該設(shè)備的類(lèi)型，進(jìn)行歸類(lèi)記錄。

（3）各類(lèi)終端的安全接入，將安全隱患杜絕在網(wǎng)絡(luò)之外

利用網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，對(duì)所有接入終端在病毒控制、補(bǔ)丁更新、權(quán)限控制、軟件控制、安全設(shè)置等方面進(jìn)行入網(wǎng)前的規(guī)范管理，實(shí)現(xiàn)不安全不入網(wǎng)，入網(wǎng)即安全。

（4）集成化的管理方案

不論是傳統(tǒng)終端設(shè)備，還是移動(dòng)終端，需要提供的管理方式方法都不一樣，所針對(duì)的側(cè)重點(diǎn)也不同。但是由于都是連接到同一個(gè)網(wǎng)絡(luò)中，彼此又存在千絲萬(wàn)縷的聯(lián)系。利用網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，提供一個(gè)整體、集成的方案進(jìn)行管理。遵循“透視網(wǎng)絡(luò)”-“發(fā)現(xiàn)設(shè)備”-“授權(quán)標(biāo)定”-“分而治之”-“統(tǒng)一統(tǒng)計(jì)查詢(xún)”的過(guò)程。

外聯(lián)安全

設(shè)立園區(qū)網(wǎng)外聯(lián)區(qū)域，在外聯(lián)區(qū)部署安全系統(tǒng)，主要包括下一代防火墻系統(tǒng)、上網(wǎng)行為管理系統(tǒng)、病毒過(guò)濾系統(tǒng)和入侵防御及DDoS防護(hù)系統(tǒng)、IP地址轉(zhuǎn)換系統(tǒng)，通過(guò)縱深防御，為單位內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間設(shè)置一道有效的安全屏障，以充分保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)不受外部侵襲，同時(shí)規(guī)范內(nèi)部網(wǎng)絡(luò)用戶(hù)上網(wǎng)行為，符合國(guó)家法律法規(guī)要求。

1.下一代防火墻

專(zhuān)注于威脅防御，將多種功能完全集于一身，采用統(tǒng)一管理，可在攻擊前、攻擊中和攻擊后提供有效的高級(jí)威脅防護(hù)。主要功能包括應(yīng)用可視性與可控性、IPS、面向網(wǎng)絡(luò)的高級(jí)惡意軟件防護(hù)以及URL過(guò)濾功能。同時(shí)具備傳統(tǒng)防火墻的功能，包括VPN功能和訪(fǎng)問(wèn)控制，通過(guò)安全區(qū)域劃分，將網(wǎng)絡(luò)劃分為多個(gè)安全區(qū)域，包括內(nèi)部區(qū)域、互聯(lián)網(wǎng)區(qū)域、DMZ區(qū)域等，通過(guò)設(shè)置各個(gè)區(qū)域的安全級(jí)別以及各區(qū)域間的訪(fǎng)問(wèn)控制策略，實(shí)現(xiàn)各區(qū)域之間的安全訪(fǎng)問(wèn)。

2.上網(wǎng)行為管理

主要用作應(yīng)用控制、帶寬限制、帶寬保證和上網(wǎng)行為審計(jì)。利用動(dòng)態(tài)流控功能動(dòng)態(tài)調(diào)節(jié)流控策略，智能分配空閑時(shí)帶寬資源。

該系統(tǒng)對(duì)所有流經(jīng)該設(shè)備的下行和上行流量進(jìn)行管控，對(duì)各個(gè)內(nèi)部子網(wǎng)進(jìn)行帶寬和優(yōu)先級(jí)的設(shè)置，可保證最低帶寬、限制最高帶寬、設(shè)置單個(gè)IP地址最大帶寬值并丟棄BT等，保證內(nèi)部員工正常訪(fǎng)問(wèn)互聯(lián)網(wǎng)。

通過(guò)應(yīng)用、內(nèi)容的識(shí)別和控制，可精確實(shí)現(xiàn)對(duì)外網(wǎng)訪(fǎng)問(wèn)的控制；通過(guò)審計(jì)功能，可詳細(xì)記錄內(nèi)部員工的外網(wǎng)訪(fǎng)問(wèn)行為并保存，以符合國(guó)家相關(guān)法律法規(guī)的要求。

3.病毒過(guò)濾系統(tǒng)和入侵防御及DDoS防護(hù)系統(tǒng)

對(duì)進(jìn)入和離開(kāi)內(nèi)部網(wǎng)絡(luò)的流量進(jìn)行檢測(cè)和清洗，阻斷潛在的各類(lèi)病毒和惡意攻擊。

集成沙箱功能，可以有效抵御分布式拒絕服務(wù)攻擊(DDoS)、未知的蠕蟲(chóng)、流氓流量和其他零日攻擊，有效應(yīng)對(duì)日益增加的APT攻擊，發(fā)現(xiàn)0day漏洞攻擊和未知惡意軟件，實(shí)現(xiàn)對(duì)已知攻擊和未知攻擊檢測(cè)并防御的融合。

利用流式病毒掃描技術(shù)，實(shí)時(shí)跟蹤熱點(diǎn)病毒，實(shí)現(xiàn)小時(shí)級(jí)別的熱點(diǎn)病毒更新服務(wù)。區(qū)別于傳統(tǒng)的基于文件型的防病毒技術(shù)，流式掃描技術(shù)對(duì)網(wǎng)關(guān)的性能幾乎無(wú)任何損耗。

通過(guò)基于實(shí)時(shí)的信譽(yù)機(jī)制，結(jié)合企業(yè)級(jí)和全球信譽(yù)庫(kù)，可有效檢測(cè)惡意URL、僵尸網(wǎng)絡(luò)，保護(hù)用戶(hù)在訪(fǎng)問(wèn)被植入木馬等惡意代碼的網(wǎng)站地址時(shí)不受侵害，第一時(shí)間有效攔截Web威脅，并能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中可能出現(xiàn)的僵尸網(wǎng)絡(luò)主機(jī)和C&C連接。

4.IP地址轉(zhuǎn)換系統(tǒng)

該設(shè)備用作Internet接口的NAT（地址轉(zhuǎn)換），使單位內(nèi)部網(wǎng)用戶(hù)使用私有IP地址訪(fǎng)問(wèn)外部網(wǎng)絡(luò)。對(duì)外界網(wǎng)絡(luò)用戶(hù)來(lái)說(shuō)，訪(fǎng)問(wèn)全部是來(lái)自于負(fù)載均衡設(shè)備轉(zhuǎn)換后的地址，并不知道是來(lái)自?xún)?nèi)部網(wǎng)的某個(gè)地址，能夠有效的隱藏內(nèi)部網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)等信息。

數(shù)據(jù)中心安全

1.傳統(tǒng)數(shù)據(jù)中心架構(gòu)環(huán)境

在數(shù)據(jù)中心核心交換機(jī)與園區(qū)網(wǎng)核心交換機(jī)之間部署下一代防火墻系統(tǒng)，在提供傳統(tǒng)防火墻、身份認(rèn)證、Anti-DDoS等基礎(chǔ)防御功能外，同時(shí)支持IPS、反垃圾郵件、Web安全、應(yīng)用控制等專(zhuān)業(yè)安全功能，利用多方位的安全特性對(duì)數(shù)據(jù)中心提供全方位的安全防護(hù)。

2.云數(shù)據(jù)中心環(huán)境

從傳統(tǒng)數(shù)據(jù)中心的安全防護(hù)來(lái)看，通常安全設(shè)備所提供的防護(hù)能力，包括掃描類(lèi)（比如系統(tǒng)漏掃、Web漏掃、配置核查等）的安全服務(wù)和網(wǎng)關(guān)類(lèi)（比如防火墻、入侵防御、入侵檢測(cè)等）的安全服務(wù)。

基于云計(jì)算的虛擬化安全防護(hù)，業(yè)務(wù)對(duì)于安全防護(hù)的需求，在本質(zhì)上并沒(méi)有發(fā)生變化，安全防護(hù)的手段也沒(méi)有發(fā)生實(shí)質(zhì)性的變化。其不同之處在于虛擬化環(huán)境下，業(yè)務(wù)的流量更復(fù)雜，防護(hù)的方式更加的多元化、復(fù)雜化。

業(yè)務(wù)部署云化之后，其流量主要包括三個(gè)方面：公網(wǎng)訪(fǎng)問(wèn)云平臺(tái)內(nèi)部業(yè)務(wù)的流量（南北向流量）；同一個(gè)租戶(hù)不同子網(wǎng)之間的訪(fǎng)問(wèn)流量；租戶(hù)同一個(gè)子網(wǎng)不同虛擬主機(jī)之間的訪(fǎng)問(wèn)流量（東西向流量）。

針對(duì)上述3種流量的安全防護(hù)，設(shè)計(jì)采用獨(dú)立于云平臺(tái)的安全資源池技術(shù)（可稱(chēng)之為彈性的安全云）來(lái)實(shí)現(xiàn)，通過(guò)部署安全云（所有安全資源池化，可以是傳統(tǒng)的硬件安全設(shè)備，也可以是虛擬化的安全設(shè)備）并利用SDN技術(shù)，可以動(dòng)態(tài)的將待防護(hù)流量牽引到安全云，安全云對(duì)其進(jìn)行清洗完畢后，會(huì)將流量再送回至SDN網(wǎng)絡(luò)，保證業(yè)務(wù)的正常運(yùn)行。

安全云分布式的部署在用戶(hù)云平臺(tái)所在的每一個(gè)數(shù)據(jù)中心內(nèi)部，實(shí)現(xiàn)安全防護(hù)的就近選擇。這種彈性的安全云主要功能包括：

圖3 工控網(wǎng)絡(luò)安全防護(hù)邏輯關(guān)系

流量處理靈活。既可以實(shí)現(xiàn)南北向流量的安全防護(hù)，又可以實(shí)現(xiàn)東西向流量的防護(hù)。

與云平臺(tái)解耦。安全設(shè)備的形態(tài)既可以是傳統(tǒng)的硬件盒子，也可以是虛擬化的安全設(shè)備實(shí)例。設(shè)備部署不依賴(lài)于云平臺(tái)，并且可以集成眾多廠(chǎng)商設(shè)備，共同組成這朵安全云。

彈性擴(kuò)充和收縮。由于安全云內(nèi)部擁有眾多的虛擬化安全設(shè)備實(shí)例，因此，可以根據(jù)用戶(hù)防護(hù)任務(wù)的壓力大小，動(dòng)態(tài)的實(shí)現(xiàn)安全云朵的擴(kuò)張與收縮。既滿(mǎn)足的防護(hù)需求，同時(shí)又可以做到綠色環(huán)保。

負(fù)載均衡與高可用。彈性的安全云根據(jù)各安全設(shè)備負(fù)載大小，動(dòng)態(tài)的對(duì)安全防護(hù)任務(wù)分布進(jìn)行負(fù)載均衡，保證每一項(xiàng)防護(hù)任務(wù)的防護(hù)性能和防護(hù)效果。同時(shí)還可以據(jù)此實(shí)現(xiàn)防護(hù)服務(wù)的高可用。

安全服務(wù)編排。由于用戶(hù)流量的安全防護(hù)均在安全云內(nèi)進(jìn)行，因此可以針對(duì)不同的流量特性，對(duì)其進(jìn)行自動(dòng)化的服務(wù)編排，實(shí)現(xiàn)多種安全防護(hù)的智能組合，使得防護(hù)更加精準(zhǔn)與安全。

工控網(wǎng)絡(luò)安全

《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》中所提出要求包含安全軟件選擇與管理、配置和補(bǔ)丁管理、邊界安全防護(hù)、物理和環(huán)境安全防護(hù)、身份認(rèn)證、遠(yuǎn)程訪(fǎng)問(wèn)安全、安全監(jiān)測(cè)和應(yīng)急預(yù)案演練、資產(chǎn)安全、數(shù)據(jù)安全、供應(yīng)鏈管理、落實(shí)責(zé)任共十一小節(jié)，共三十一條內(nèi)容，邏輯關(guān)系如圖3所示。

解讀《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》，總結(jié)在網(wǎng)絡(luò)連接和數(shù)據(jù)監(jiān)測(cè)層面的指導(dǎo)措施主要包括了以下幾點(diǎn)：

（1）涉及企業(yè)信息網(wǎng)絡(luò)(生產(chǎn)管理層、信息管理層)和企業(yè)生產(chǎn)網(wǎng)絡(luò) (過(guò)程監(jiān)督層、過(guò)程控制層)的數(shù)據(jù)交互明確了防護(hù)措施。除了指出禁止沒(méi)有防護(hù)的工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接，還提供了具體的邊界安全防護(hù)手段，例如規(guī)定將工業(yè)控制系統(tǒng)的開(kāi)發(fā)、測(cè)試和生產(chǎn)環(huán)境進(jìn)行分離，通過(guò)工業(yè)控制網(wǎng)絡(luò)邊界防護(hù)設(shè)備對(duì)工業(yè)控制網(wǎng)絡(luò)與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間的邊界進(jìn)行安全防護(hù)，通過(guò)工業(yè)防火墻、網(wǎng)閘等防護(hù)設(shè)備對(duì)工業(yè)控制網(wǎng)絡(luò)安全區(qū)域之間進(jìn)行邏輯隔離安全防護(hù)。

（2）涉及企業(yè)信息網(wǎng)絡(luò)向企業(yè)生產(chǎn)網(wǎng)絡(luò)的遠(yuǎn)程訪(fǎng)問(wèn)安全，防護(hù)指南參考了電力等相對(duì)發(fā)展成熟行業(yè)中已經(jīng)采用并得到檢驗(yàn)的技術(shù)手段，如嚴(yán)格禁止工業(yè)控制系統(tǒng)面向互聯(lián)網(wǎng)開(kāi)通HTTP、FTP、Telnet等高風(fēng)險(xiǎn)通用網(wǎng)絡(luò)服務(wù)；確需遠(yuǎn)程訪(fǎng)問(wèn)的，采用數(shù)據(jù)單向訪(fǎng)問(wèn)控制等策略進(jìn)行安全加固，對(duì)訪(fǎng)問(wèn)時(shí)限進(jìn)行控制，并采用加標(biāo)鎖定策略。

（3）規(guī)定了需要在工業(yè)控制網(wǎng)絡(luò)部署網(wǎng)絡(luò)安全監(jiān)測(cè)設(shè)備，報(bào)告并處理網(wǎng)絡(luò)攻擊或異常行為；在重要工業(yè)控制設(shè)備前端部署具備工業(yè)協(xié)議深度包檢測(cè)功能的防護(hù)設(shè)備，限制違法操作；定期對(duì)工業(yè)控制系統(tǒng)的應(yīng)急響應(yīng)預(yù)案進(jìn)行演練。另外，防護(hù)指南還特別指出需要保留工業(yè)控制系統(tǒng)的相關(guān)訪(fǎng)問(wèn)日志，并對(duì)操作過(guò)程進(jìn)行安全審計(jì)。

通過(guò)對(duì)指南的解讀和總結(jié)，結(jié)合企業(yè)實(shí)際情況，可通過(guò)下述方案對(duì)工控網(wǎng)絡(luò)進(jìn)行安全防護(hù)：

在企業(yè)工業(yè)控制網(wǎng)絡(luò)區(qū)域中部署工業(yè)防火墻，通過(guò)工業(yè)防火墻對(duì)安全區(qū)域之間進(jìn)行邏輯隔離安全防護(hù)，包括對(duì)重要工業(yè)控制設(shè)備的安全防護(hù)。工業(yè)防火墻應(yīng)能提供針對(duì)工業(yè)協(xié)議的數(shù)據(jù)級(jí)深度過(guò)濾，實(shí)現(xiàn)對(duì)Modbus、OPC等主流工業(yè)協(xié)議和規(guī)約的細(xì)粒度檢查和過(guò)濾，阻斷來(lái)自網(wǎng)絡(luò)的病毒傳播、黑客攻擊等行為，限制違法操作，避免其對(duì)控制網(wǎng)絡(luò)的影響和對(duì)生產(chǎn)流程的破壞。

在企業(yè)工業(yè)控制網(wǎng)絡(luò)區(qū)域與企業(yè)網(wǎng)或互聯(lián)網(wǎng)區(qū)域之間部署工業(yè)防火墻或網(wǎng)閘設(shè)備，解決控制網(wǎng)絡(luò)如何安全接入信息網(wǎng)絡(luò)的問(wèn)題，解決控制網(wǎng)絡(luò)內(nèi)部不同安全區(qū)域之間安全防護(hù)的問(wèn)題。

對(duì)于確需遠(yuǎn)程維護(hù)的工作站，可通過(guò)工業(yè)防火墻自帶的VPN等安全接入方式進(jìn)行連接。

在確需使用USB、光驅(qū)、無(wú)線(xiàn)等接口的情況下，通過(guò)工控終端管控系統(tǒng)對(duì)外設(shè)進(jìn)行嚴(yán)格的訪(fǎng)問(wèn)控制，工控終端管控系統(tǒng)還可兼具防病毒及應(yīng)用程序白名單功能，只允許經(jīng)過(guò)工業(yè)企業(yè)自身授權(quán)和安全評(píng)估的軟件運(yùn)行。

在工業(yè)控制網(wǎng)絡(luò)區(qū)域部署網(wǎng)絡(luò)安全監(jiān)測(cè)設(shè)備，例如工控入侵檢測(cè)系統(tǒng)、工控安全審計(jì)系統(tǒng)，從而及時(shí)發(fā)現(xiàn)、報(bào)告并處理網(wǎng)絡(luò)攻擊或異常行為。安全監(jiān)測(cè)設(shè)備應(yīng)能識(shí)別多種工控協(xié)議，適應(yīng)攻防的最新發(fā)展，準(zhǔn)確監(jiān)測(cè)網(wǎng)絡(luò)異常流量，自動(dòng)應(yīng)對(duì)各層面安全隱患，通過(guò)對(duì)相關(guān)工控協(xié)議進(jìn)行解析，發(fā)現(xiàn)潛在異常行為，并在第一時(shí)間進(jìn)行告警。