客戶需求：保證全自動化系統(tǒng)基礎(chǔ)設(shè)施的安全，是無人港口運(yùn)行的先決條件。近年來，針對工控系統(tǒng)的APT攻擊不斷出現(xiàn)，作為國家關(guān)鍵信息基礎(chǔ)設(shè)施的組成部分，青島自動化碼頭不免會引起國外團(tuán)體或者黑客組織的網(wǎng)絡(luò)攻擊。因此，青島港希望建立覆蓋網(wǎng)絡(luò)入口、內(nèi)網(wǎng)控制系統(tǒng)、辦公終端PC、自動化控制終端、以及云數(shù)據(jù)中心的安全管控平臺，并在發(fā)揮產(chǎn)品功能的情況下，實(shí)現(xiàn)智能聯(lián)動。

解決方案：亞信安全以監(jiān)控為中心，以偵測、分析、響應(yīng)、阻止為治理過程，依托深度威脅發(fā)現(xiàn)平臺(Deep Discovery)架構(gòu)，部署亞信安全深度威脅安全網(wǎng)關(guān) DeepEdge、深度威脅發(fā)現(xiàn)設(shè)備TDA、服務(wù)器深度安全防護(hù)系統(tǒng) Deep Security、桌面安全解決方案OfficeScan以及防毒墻控制管理中心(TMCM)，并發(fā)揮虛擬補(bǔ)丁(Virtual Patch) 技術(shù)的漏洞免疫功能，有效避免了黑客向工業(yè)自動化系統(tǒng)發(fā)動的入侵攻擊。

效果/客戶證言：信息化的未來發(fā)展，需要全新的防護(hù)機(jī)制，不只是產(chǎn)品層面，還需要提供更全面、更及時(shí)、更徹底的病毒保護(hù)服務(wù)。而亞信安全的防毒服務(wù)不但充分考慮到了設(shè)備和虛擬化平臺的特殊性，更能在新病毒出現(xiàn)前、感染、傳播、出現(xiàn)后的每一階段都有相應(yīng)的應(yīng)對策略，這讓我們十分放心。

——青島港相關(guān)領(lǐng)導(dǎo)

作為世界第七大港，青島港有別于傳統(tǒng)碼頭的熱鬧喧嘩，在這里，慣常可見的橋吊司機(jī)、中轉(zhuǎn)的集裝箱運(yùn)輸車司機(jī)都已難覓蹤影，運(yùn)送貨物的“主角”則是全自動化的雙小車橋吊、自動化導(dǎo)引小車、全自動化軌道吊……整個(gè)碼頭空無一人，只有各種設(shè)備在高效地自動化運(yùn)轉(zhuǎn)，讓人詫異的同時(shí)，更欽佩科技創(chuàng)新的偉大。

??

[[244834]]

為貫徹落實(shí)“加快建設(shè)世界一流的海洋港口”指示，青島港自動化碼頭充分發(fā)揮自身優(yōu)勢，積極開展自動化操作、網(wǎng)絡(luò)技術(shù)創(chuàng)新、IT一體化聯(lián)合攻關(guān)的探索實(shí)踐，交上了優(yōu)秀的運(yùn)營成績單。而與此同時(shí)，面對高度信息化、智能化和自動化的業(yè)務(wù)發(fā)展，網(wǎng)絡(luò)安全問題愈發(fā)重要，為全面提升自動化碼頭的網(wǎng)絡(luò)安全管理能力，青島港采用亞信安全深度威脅發(fā)現(xiàn)平臺(Deep Discovery)架構(gòu)，部署亞信安全深度威脅安全網(wǎng)關(guān) DeepEdge、深度威脅發(fā)現(xiàn)設(shè)備TDA、服務(wù)器深度安全防護(hù)系統(tǒng) Deep Security、桌面安全解決方案OfficeScan以及防毒墻控制管理中心(TMCM)，并發(fā)揮虛擬補(bǔ)丁(Virtual Patch) 技術(shù)的漏洞免疫功能，有效避免了勒索軟件病毒與黑客向工業(yè)自動化系統(tǒng)發(fā)動的入侵攻擊。

工控網(wǎng)絡(luò)面臨嚴(yán)峻安全挑戰(zhàn)，消除威脅刻不容緩

青島港自動化集裝箱碼頭，綜合采用了物聯(lián)網(wǎng)感知、通信導(dǎo)航、模糊控制、信息網(wǎng)絡(luò)、大數(shù)據(jù)和云計(jì)算等先進(jìn)技術(shù)，在全新的網(wǎng)絡(luò)安全生態(tài)下，保護(hù)工業(yè)自動化控制系統(tǒng)免受網(wǎng)絡(luò)攻擊已成為刻不容緩的要求。

對此，青島港的網(wǎng)絡(luò)安全管理人員表示：“保證全自動化系統(tǒng)基礎(chǔ)設(shè)施的安全，是無人港口運(yùn)行的先決條件，這其中包括電力供應(yīng)等物理安全，以及業(yè)務(wù)依賴的網(wǎng)絡(luò)通訊、主機(jī)等的安全穩(wěn)定運(yùn)行等相關(guān)方面。近年來，針對工控系統(tǒng)的APT攻擊不斷出現(xiàn)，作為國家關(guān)鍵信息基礎(chǔ)設(shè)施的組成部分，防范安全挑戰(zhàn)及問題是我們的工作重點(diǎn)之一，因此，我們希望建立覆蓋網(wǎng)絡(luò)入口、內(nèi)網(wǎng)控制系統(tǒng)、辦公終端PC、自動化控制終端、以及云數(shù)據(jù)中心的安全管控平臺。”

青島港提出的網(wǎng)絡(luò)安全具體需求包括：

◆ 在網(wǎng)絡(luò)入口防范電子郵件與URL等勒索軟件的入侵傳播，攔截黑客利用漏洞攻擊套件對生產(chǎn)和辦公網(wǎng)絡(luò)的應(yīng)用程序發(fā)動的攻擊;

◆ 在內(nèi)網(wǎng)中形成惡意流量的主動偵測，避免生產(chǎn)中斷和數(shù)據(jù)泄露等高危事故的發(fā)生;

◆ 在終端和控制端點(diǎn)部署兼容性極高的防毒軟件，統(tǒng)一監(jiān)管終端防毒狀態(tài)，并對一些不能第一時(shí)間部署補(bǔ)丁的系統(tǒng)采用臨時(shí)措施，抵御黑客利用漏洞發(fā)動的勒索軟件等攻擊;

◆ 對云數(shù)據(jù)中心的虛擬化主機(jī)提供定制化的安全套件，確保數(shù)據(jù)中心不會因?yàn)榧嫒菪院头啦《拒浖袙呙璁a(chǎn)生性能瓶頸，確保數(shù)據(jù)中心的高可靠性;

◆ 網(wǎng)絡(luò)安全整體規(guī)劃，集中部署、統(tǒng)一管理，相互聯(lián)動。

據(jù)青島港的網(wǎng)絡(luò)安全管理人員介紹，在全自動化碼頭啟用之前，青島港已經(jīng)成功部署了亞信安全的OfficeScan和DeepEdge產(chǎn)品。經(jīng)過長時(shí)期的線上應(yīng)用，兩套產(chǎn)品的防護(hù)效果已經(jīng)充分得到了認(rèn)可。而在網(wǎng)絡(luò)安全重新規(guī)劃的過程中，考慮整體服務(wù)能力、產(chǎn)品創(chuàng)新性，以及自主可控和安全產(chǎn)品相互聯(lián)動的高要求，青島港最后確定加大與亞信安全的戰(zhàn)略合作，并要求亞信安全針對上述要求提出整體解決方案。

安全防護(hù)覆蓋全網(wǎng)，智能聯(lián)動掃清監(jiān)管盲點(diǎn)

針對工業(yè)控制網(wǎng)絡(luò)的特殊性要求，亞信安全結(jié)合APT攻擊和勒索蠕蟲病毒的進(jìn)攻特點(diǎn)，全面發(fā)揮其在網(wǎng)絡(luò)威脅治理領(lǐng)域的技術(shù)領(lǐng)先優(yōu)勢，以監(jiān)控為中心，以偵測、分析、響應(yīng)、阻止為治理過程，以“深度威脅發(fā)現(xiàn)平臺(Deep Discovery)”為支撐，為青島港提供了能夠?qū)崿F(xiàn)“覆蓋全網(wǎng)應(yīng)用、主動威脅偵測與智能聯(lián)動響應(yīng)”的整體解決方案。

方案中包括的亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)(Deep Security)，為青島港部署的私有云提供了非常重要的安全防護(hù)協(xié)助。與傳統(tǒng)安全防護(hù)系統(tǒng)不同，Deep Security 在“無代理”模式下，虛擬機(jī)無需安裝任何客戶端或者軟件，就可以利用一個(gè)安全虛擬設(shè)備為上層所有虛擬機(jī)進(jìn)行殺毒處理，有效解決了防毒風(fēng)暴問題，并向上層提供了病毒防護(hù)、訪問控制、入侵檢測/入侵防護(hù)、虛擬補(bǔ)丁、主機(jī)完整性監(jiān)控、日志審計(jì)等功能，對數(shù)據(jù)中心形成多層防護(hù)架構(gòu)。其次，通過深度封包檢查技術(shù)(Deep PacketInspection，DPI)，管理人員還可以檢查虛擬化底層所有未遵照協(xié)議進(jìn)出的通信，既負(fù)責(zé)偵測，又能同時(shí)負(fù)責(zé)預(yù)防。

結(jié)合之前部署的亞信安全終端安全產(chǎn)品 OfficeScan 及亞信安全網(wǎng)關(guān)產(chǎn)品DeepEdge，亞信安全在方案中增加了能夠形成主動甄別威脅的TDA設(shè)備，實(shí)現(xiàn)了內(nèi)網(wǎng)攻擊檢測，以及威脅源頭定位的功能，讓用戶能快速從網(wǎng)絡(luò)威脅情報(bào)的角度定位內(nèi)網(wǎng)遭受攻擊的終端，以實(shí)施相對應(yīng)的響應(yīng)措施。同時(shí)，TDA還以聯(lián)動方式與OfficeScan 以及DeepEdge 進(jìn)行有效聯(lián)動，自動阻斷各類惡意攻擊。

在統(tǒng)一管理方面，亞信安全控制管理中心(TMCM)為青島港提供了全方位智能的安全管控，不僅將威脅防護(hù)與數(shù)據(jù)防護(hù)策略集中管理，還通過自定義數(shù)據(jù)顯示方式，更加細(xì)化終端狀況感應(yīng)，讓總部快速查看各個(gè)網(wǎng)域的安全狀態(tài)、發(fā)現(xiàn)威脅，并快速響應(yīng)。亞信安全控制管理中心(TMCM)還實(shí)現(xiàn)了亞信安全深度威脅安全網(wǎng)關(guān) DeepEdge、深度威脅發(fā)現(xiàn)設(shè)備TDA、服務(wù)器深度安全防護(hù)系統(tǒng) Deep Security以及OfficeScan的相關(guān)協(xié)同，形成了基于本地的威脅情報(bào)共享聯(lián)動處理方案。

滿足工控網(wǎng)“高可用”要求，“虛擬補(bǔ)丁”確保永不停機(jī)

之前，針對工業(yè)控制系統(tǒng)內(nèi)網(wǎng)的終端計(jì)算機(jī)和應(yīng)用，許多產(chǎn)品都沒有針對系統(tǒng)漏洞的修補(bǔ)方案。對此，青島港的網(wǎng)絡(luò)安全主管表示：“在對工控網(wǎng)絡(luò)系統(tǒng)架構(gòu)進(jìn)行設(shè)計(jì)時(shí)，最重要的原則是不能影響生產(chǎn)，高可用性是第一位的，然后是安全。在早期的自動化碼頭安全解決方案中，我們發(fā)現(xiàn)，通過在工控機(jī)上部署以黑名單為主要手段的網(wǎng)絡(luò)版殺毒軟件有不少問題。比如，在精簡的工控環(huán)境中安裝代理，可能會出現(xiàn)兼容性問題。另外，傳統(tǒng)防毒軟件安裝后可能會隔離感染了惡意代碼的文件，造成工控軟件不可用等情況，這對我們造成了很大的困擾?！?/p>

利用獨(dú)有的云安全技術(shù)與入侵檢測防火墻插件技術(shù)相結(jié)合，亞信安全在服務(wù)器深度安全防護(hù)系統(tǒng) Deep Security、桌面安全解決方案OfficeScan等多項(xiàng)安全產(chǎn)品上都提供了配套的虛擬補(bǔ)丁Virtual Patching(虛擬補(bǔ)丁)解決方案。在未對漏洞進(jìn)行永久補(bǔ)丁修復(fù)之前，其工作原理不是修改可執(zhí)行程序，而是針對網(wǎng)絡(luò)數(shù)據(jù)流的深層分析，檢測入站流量并保護(hù)應(yīng)用程序免受攻擊。虛擬補(bǔ)丁技術(shù)在無需重新啟動系統(tǒng)的前提下，在數(shù)分鐘內(nèi)將這些規(guī)則應(yīng)用到所有自動化管理終端上，避免了黑客利用修補(bǔ)漏洞“時(shí)間差”發(fā)起的持續(xù)攻擊。同時(shí)，虛擬補(bǔ)丁技術(shù)為青島港的IT運(yùn)維人員提供了簡便的補(bǔ)丁管理流程，從而極大保護(hù)了工控網(wǎng)絡(luò)終端的安全性，實(shí)現(xiàn)了“永不停機(jī)”的高可用性要求。

開啟智慧航運(yùn)新時(shí)代，態(tài)勢感知平臺等陸續(xù)“入伍”

青島港相關(guān)領(lǐng)導(dǎo)表示：“信息化的未來發(fā)展，需要全新的防護(hù)機(jī)制，不只是產(chǎn)品層面，還需要提供更全面、更及時(shí)、更徹底的病毒保護(hù)服務(wù)。而亞信安全的防毒服務(wù)不但充分考慮到了設(shè)備和虛擬化平臺的特殊性，更能在安全問題出現(xiàn)前，感染、傳播出現(xiàn)后的每一階段都有相應(yīng)的應(yīng)對策略，并利用各類安全數(shù)據(jù)進(jìn)行深入分析和感知。”

據(jù)了解，在自動化碼頭的工控設(shè)備上還部署了亞信安全TMSL(Safelock)白名單產(chǎn)品，實(shí)現(xiàn)了對工控設(shè)備的進(jìn)一步安全防護(hù)。同時(shí)，青島港決定采用亞信安全態(tài)勢感知平臺，利用機(jī)器學(xué)習(xí)、數(shù)據(jù)建模、行為識別、關(guān)聯(lián)分析等方法，通過全量收集網(wǎng)絡(luò)設(shè)備、網(wǎng)關(guān)、終端、虛擬化和認(rèn)證系統(tǒng)上的日志，對海量日志進(jìn)行合規(guī)保存，集中分析和挖掘，從而發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)，實(shí)現(xiàn)威脅可視化及威脅趨勢預(yù)測。