Tofino(多芬諾)工業(yè)網(wǎng)絡(luò)安全解決方案

1、工業(yè)網(wǎng)絡(luò)安全解決方案一、概述數(shù)據(jù)采集與監(jiān)控（SCADA）、分布式控制系統(tǒng)(DCS）、過(guò)程控制系統(tǒng)（PCS）、可編程邏輯控制器（PLC）等工業(yè)控制系統(tǒng)廣泛運(yùn)用于工業(yè)、能源、交通、水利以及市政等領(lǐng)域，用于控制生產(chǎn)設(shè)備的運(yùn)行。一旦工業(yè)控制系統(tǒng)信息安全出現(xiàn)漏洞,將對(duì)工業(yè)生產(chǎn)運(yùn)行和國(guó)家經(jīng)濟(jì)安全造成重大隱患。隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展,工業(yè)控制系統(tǒng)產(chǎn)品越來(lái)越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接，高度信息化的同時(shí)也減弱了控制系統(tǒng)及SCADA系統(tǒng)等與外界的隔離，病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴(kuò)散，工業(yè)控制系統(tǒng)信息安全問(wèn)題日

2、益突出。2010年發(fā)生的“震網(wǎng)”病毒事件,充分反映出工業(yè)控制系統(tǒng)信息安全面臨著嚴(yán)峻的形勢(shì)。工信部協(xié)2011451號(hào)通知明確指出，我國(guó)工業(yè)控制系統(tǒng)信息安全管理工作中仍存在不少問(wèn)題，主要是對(duì)工業(yè)控制系統(tǒng)信息安全問(wèn)題重視不夠，管理制度不健全，相關(guān)標(biāo)準(zhǔn)規(guī)范缺失，技術(shù)防護(hù)措施不到位,安全防護(hù)能力和應(yīng)急處置能力不高等，威脅著工業(yè)生產(chǎn)安全和社會(huì)正常運(yùn)轉(zhuǎn)。對(duì)此,各地區(qū)、各部門、各單位務(wù)必高度重視，增強(qiáng)風(fēng)險(xiǎn)意識(shí)、責(zé)任意識(shí)和緊迫感，切實(shí)加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理。二、行業(yè)現(xiàn)狀與分析大多數(shù)企業(yè)模型化后的系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)如上圖所示，由信息層(Information zone）、操作站層(Station zone）和控制

3、器層（Controller zone)三大部分組成.目前的現(xiàn)狀是大多數(shù)控制網(wǎng)絡(luò)中在運(yùn)行的電腦，很少或沒(méi)有機(jī)會(huì)安裝全天候病毒防護(hù)或更新版本?？刂破鞯脑O(shè)計(jì)都以優(yōu)化實(shí)時(shí)的I / O功用為主，而並不提供加強(qiáng)的網(wǎng)絡(luò)連接安全防護(hù)功能。在整個(gè)網(wǎng)絡(luò)中存在多個(gè)網(wǎng)絡(luò)端口切入點(diǎn)需要防護(hù)，并且許多控制網(wǎng)絡(luò)都是“敞開(kāi)的”，不同的子系統(tǒng)之間都沒(méi)有有效的隔離，尤其是基于OPC、MODBUS等通訊的工業(yè)控制網(wǎng)絡(luò)，其中某一部分出現(xiàn)問(wèn)題被攻擊后，病毒就通過(guò)網(wǎng)絡(luò)迅速蔓延。目前國(guó)內(nèi)針對(duì)工業(yè)控制網(wǎng)絡(luò)的防護(hù)標(biāo)準(zhǔn)尚未成型,公安部會(huì)同有關(guān)部門也在制定計(jì)算機(jī)信息系統(tǒng)安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法。在國(guó)際上,美國(guó)在2007年頒布的C

4、hemical Facility Anti-Terrorism Standards (CFATS)標(biāo)準(zhǔn)（該標(biāo)準(zhǔn)由美國(guó)國(guó)土安全部頒布）以及2008年頒布的US Chemical Anti-Terrorism Act（美國(guó)化學(xué)反恐怖主義法)針對(duì)化工設(shè)備安全做了強(qiáng)制要求，目前，石油，水處理以及制造業(yè)都還沒(méi)有必須按照以上立法規(guī)定作業(yè),但是為了避免重大的風(fēng)險(xiǎn)，基本都遵守行業(yè)標(biāo)準(zhǔn)ANSI/ISA99 Standards的要求進(jìn)行規(guī)劃.ANSI/ISA-99 及North American Electric Reliability Council (NERC) CIP005，均指出過(guò)程控制系統(tǒng)或SCADA控

5、制網(wǎng)絡(luò)應(yīng)與其他系統(tǒng)隔離，包括企業(yè)IT網(wǎng)絡(luò)。ANSI/ISA-99指出過(guò)程控制系統(tǒng)或SCADA控制網(wǎng)絡(luò)的控制網(wǎng)絡(luò)安全要點(diǎn)如下：要點(diǎn)名稱要點(diǎn)描述達(dá)到目標(biāo)區(qū)域劃分具備相同功能和安全要求的設(shè)備在同一區(qū)域內(nèi)安全等級(jí)分區(qū)管道建立實(shí)現(xiàn)區(qū)域間執(zhí)行管道通信易于控制通信管控通過(guò)控制區(qū)域間管道中通信管理控制來(lái)實(shí)現(xiàn)設(shè)備保護(hù)數(shù)據(jù)通信可控業(yè)內(nèi)專家建議,控制系統(tǒng)應(yīng)放置在商業(yè)/過(guò)程控制網(wǎng)絡(luò)（PCN)防火墻之后(援引自ISA-dTR99.00。02 Integrating Electronic Security into the Manufacturing and Control Systems Environment and

6、 the CPNI Good Practice Guide on Firewall Deployment for SCADA and Process Control Networks）。此外，專家還推薦隔離區(qū)（Demilitarized Zone ,DMZ）采用共享IT / PCN資產(chǎn)（如歷史數(shù)據(jù)）的部署方式。如下圖所示正是這種架構(gòu):需要重點(diǎn)解釋的是，商業(yè)網(wǎng)絡(luò)的安全需求與控制網(wǎng)絡(luò)的安全需求在某些地方完全不同。舉個(gè)例子，商業(yè)防火墻通常允許該網(wǎng)絡(luò)內(nèi)的用戶使用HTTP瀏覽因特網(wǎng)，而控制網(wǎng)絡(luò)則恰恰相反，它的安全性要求明確禁止這一行為；再比如，OPC是工業(yè)通訊中最常用的一種標(biāo)準(zhǔn)，但由于OPC基于DCOM

7、技術(shù)，在應(yīng)用過(guò)程中端口在1024-65535間不固定使用，這就使得基于端口防護(hù)的普通商用防火墻根本無(wú)法進(jìn)行設(shè)置。因此不要試圖將控制系統(tǒng)放入IT解決方案中，選用專有的控制系統(tǒng)防火墻加上良好的控制系統(tǒng)安全策略才能為工業(yè)控制系統(tǒng)安全提供高效的網(wǎng)絡(luò)攻擊防御能力。想要滿足這一安全要求，Tofino是一種經(jīng)濟(jì)高效的方式。三、Tofino解決方案3。1 方案亮點(diǎn)Tofino能夠用來(lái)分離安全系統(tǒng)網(wǎng)絡(luò)與過(guò)程系統(tǒng)網(wǎng)絡(luò),實(shí)現(xiàn)關(guān)鍵系統(tǒng)與非關(guān)鍵系統(tǒng)的物理隔離.與普通商用防火墻相比，Tofino更適于工業(yè)控制系統(tǒng)安全防護(hù)，主要體現(xiàn)在：（1）工業(yè)型：參照ANSI/ISA-99 Standards的安全要求為設(shè)計(jì)理念，產(chǎn)品更

8、具針對(duì)性和高效性，專門用于工業(yè)控制系統(tǒng)的安全保護(hù)。 內(nèi)置50多種專有工業(yè)通信協(xié)議，與常規(guī)防火墻不同的是，Tofino防火墻不僅是在端口上的防護(hù)，更重要的是基于應(yīng)用層上數(shù)據(jù)包深度檢查,屬于新一代工業(yè)通訊協(xié)議防火墻，為工業(yè)通訊提供獨(dú)特的、工業(yè)級(jí)的專業(yè)隔離防護(hù)解決方案. 具備在線修改防火墻組態(tài)功能,可以實(shí)時(shí)對(duì)組態(tài)的防火墻策略進(jìn)行修改,而且不影響工業(yè)實(shí)時(shí)通訊。其它防火墻需要斷電、重啟等。工業(yè)型設(shè)計(jì),導(dǎo)軌式安裝，低功耗無(wú)風(fēng)扇，具備二區(qū)防爆認(rèn)證.（2）獨(dú)有專利安全連接技術(shù)： 首先防火墻自身是基于非IP的獨(dú)有專利安全連接技術(shù)進(jìn)行管理,能夠阻擋任何欺騙式攻擊。能夠隱藏防火墻后端所有設(shè)備的IP地址，讓入侵者無(wú)法

9、發(fā)現(xiàn)目標(biāo),更無(wú)從談發(fā)動(dòng)任何攻擊。 集防火墻與虛擬路由于一身，能夠像網(wǎng)絡(luò)交通警察一樣管控通訊網(wǎng)絡(luò)數(shù)據(jù)通訊的路徑、對(duì)象以及數(shù)據(jù)流的方向，可以設(shè)定數(shù)據(jù)流入、流出的單向或雙向。（3)實(shí)時(shí)網(wǎng)絡(luò)通訊透視鏡：能夠?yàn)槟壳翱刂凭W(wǎng)絡(luò)故障分析、監(jiān)控、記錄提供一個(gè)簡(jiǎn)單、有效的可靠工具，能夠確切的觀察、分析、控制網(wǎng)絡(luò)通信電纜中所使用的通訊協(xié)議、數(shù)據(jù)速度、訪問(wèn)對(duì)象等。實(shí)現(xiàn)對(duì)非法通信的實(shí)時(shí)報(bào)警、來(lái)源確認(rèn)、歷史記錄，保證控制網(wǎng)絡(luò)通訊的實(shí)時(shí)診斷。3。2 方案構(gòu)成一個(gè)完整的Tofino安全解決方案包括以下四部分：(1）Tofino安全模塊（TSA）增強(qiáng)型工業(yè)環(huán)境要求設(shè)計(jì)，即插即用，應(yīng)用于受保護(hù)的區(qū)域或控制器等關(guān)鍵設(shè)備之前。下圖為

10、Tofino安全模塊硬件的兩種選型。硬件設(shè)計(jì)遵循增強(qiáng)型工業(yè)環(huán)境要求，應(yīng)用于受保護(hù)的區(qū)域或控制器等關(guān)鍵設(shè)備之前,設(shè)計(jì)使用壽命27年，能夠提供安全系統(tǒng)的工業(yè)平臺(tái). Tofino安全模塊（TSA100 ） Tofino安全模塊（TSA220）（2）Tofino可裝載安全軟插件（LSM）專為工業(yè)通訊協(xié)議設(shè)計(jì)的安全軟插件，可以直接裝載到Tofino安全模塊中，并根據(jù)系統(tǒng)需求提供各種定制安全服務(wù)?；拒洸寮煞譃椋篢ofino Firewall LSM工業(yè)通信防火墻；工業(yè)網(wǎng)絡(luò)交通警察，提供防火墻及網(wǎng)絡(luò)交通控制功能的軟插件內(nèi)置50多個(gè)工業(yè)專用及商業(yè)IT通信協(xié)議，預(yù)先定義超過(guò)25個(gè)控制器類型（例如:西門子S7

11、-300/S7400,Honeywell PKS C200/C300/）；LSM在線協(xié)議組態(tài),可自己定制通訊協(xié)議或者通過(guò)設(shè)備學(xué)習(xí)功能實(shí)現(xiàn)通訊協(xié)議定制；通過(guò)通訊協(xié)議指令級(jí)別的管控,預(yù)先組態(tài)用于高級(jí)過(guò)濾和攻擊保護(hù)的“特殊規(guī)則”。 符合 ANSI/ISA99.00。02 的網(wǎng)絡(luò)分段要求，達(dá)到區(qū)域隔離目標(biāo)。Event Logger LSM事件日志與報(bào)警管理；Tofino事件記錄可裝載模塊對(duì)您的安全事件提供了可靠的監(jiān)控功能和記錄功能,它是一個(gè)專為工業(yè)控制網(wǎng)絡(luò)設(shè)計(jì)的日志記錄系統(tǒng)。OPC Enforcer LSM通信深度檢測(cè)及防護(hù)；專門用于標(biāo)準(zhǔn)OPC協(xié)議通訊的網(wǎng)絡(luò)安全技術(shù)，它可以檢查,追蹤并安全保護(hù)每一個(gè)O

12、PC應(yīng)用程序創(chuàng)建的連接.它動(dòng)態(tài)地為指定的OPC客戶端和服務(wù)器打開(kāi)端口，并且是只打開(kāi)每個(gè)連接所需要的唯一的TCP端口。它簡(jiǎn)單易用，在OPC客戶端和服務(wù)器無(wú)需改變?nèi)魏闻渲?無(wú)需改變?nèi)魏卧械木W(wǎng)絡(luò)結(jié)構(gòu)，這種先進(jìn)的解決方案超越了傳統(tǒng)的防火墻。優(yōu)勢(shì)在于在OPC工業(yè)協(xié)議上最先應(yīng)用“連接跟蹤技術(shù) ；Tofino的 Sanity Check 檢查功能，可攔阻任何不符合OPC標(biāo)準(zhǔn)格式的DCE/RPC 訪問(wèn);OPC通訊權(quán)限管理,OPC協(xié)議深度檢查，管控通訊安全;只在所跟蹤的TCP端口有需要時(shí)，防火墻才短暫地打開(kāi);可支持多個(gè) OPC 客戶端和服務(wù)器同時(shí)使用； 簡(jiǎn)單易用，在OPC服務(wù)器或客戶端上并不需要做任何變化和改

13、動(dòng)只是在通訊網(wǎng)線中間加入即可；可支持OPC DA， HDA 和 AE 標(biāo)準(zhǔn)；實(shí)現(xiàn)區(qū)域防護(hù)和病毒隔離，阻擋惡意攻擊，得到OPC基金會(huì)的大力推薦. Modbus TCP Enforcer LSM通信深度檢測(cè)及防護(hù);首個(gè)能夠深入?yún)f(xié)議內(nèi)部檢測(cè)工業(yè)協(xié)議的產(chǎn)品，控制工程師可定義允許的Modbus指令，寄存器和線圈名單列表.自動(dòng)阻止并報(bào)告任何流量不匹配您的規(guī)則。所有協(xié)議要被完整全面的檢查, 檢察并阻止任何不符合Modbus通訊協(xié)議的通訊內(nèi)容.Secure Asset Management LSM安全設(shè)備資產(chǎn)管理；像雷達(dá)一樣，Tofino的安全設(shè)備資產(chǎn)管理(SAM)可裝載模塊可以追蹤每一個(gè)通過(guò)Tofino安全

14、設(shè)備進(jìn)行通訊的設(shè)備。不過(guò)，為了避免引起進(jìn)程干擾，它實(shí)現(xiàn)這一功能使用的并不是傳統(tǒng)的掃描技術(shù)。VPN加密等.使用安全套接字協(xié)議（SSL）技術(shù)創(chuàng)建高度安全的“隧道”來(lái)保護(hù)控制系統(tǒng)的完整性,安全性.易于敷設(shè)，測(cè)試和管理配置，通過(guò)可視的拖放操作界面使組態(tài)簡(jiǎn)單易行。在不影響正?？刂凭W(wǎng)絡(luò)通訊的情況下可進(jìn)行VPN通道測(cè)試。支持早期的自動(dòng)化協(xié)議。與其他Tofino產(chǎn)品相互協(xié)同操作，提供更加強(qiáng)大細(xì)致的VPN接入和SCADA功能的防火墻保護(hù)。（3）Tofino中央管理平臺(tái)（CMP）窗口化的中央管理平臺(tái)系統(tǒng)及數(shù)據(jù)庫(kù)，用于Tofino安全模塊的配置、組態(tài)和管理,并能實(shí)現(xiàn)系統(tǒng)的報(bào)警和日志的實(shí)時(shí)監(jiān)控和歷史查詢。能夠?yàn)槟壳翱?/p>

15、制網(wǎng)絡(luò)故障分析、監(jiān)控、記錄提供一個(gè)簡(jiǎn)單、有效的可靠工具，能夠確切的觀察、分析、控制網(wǎng)絡(luò)通信電纜中所使用的通訊協(xié)議、數(shù)據(jù)速度、訪問(wèn)對(duì)象等。實(shí)現(xiàn)對(duì)非法通信的實(shí)時(shí)報(bào)警、來(lái)源確認(rèn)、歷史記錄,保證控制網(wǎng)絡(luò)通訊的實(shí)時(shí)診斷。具備在線組態(tài)、在線監(jiān)控、資產(chǎn)管理等多種功能。（4）Tofino安全管理平臺(tái)（SMP）SMP Server接收CMP或TSA的日志和報(bào)警記錄，并將日志和報(bào)警存儲(chǔ)在服務(wù)器數(shù)據(jù)庫(kù)中.SMP Client安裝在辦公局域網(wǎng)上的辦公電腦中，支持以圖形的方式實(shí)時(shí)顯示CMP或TSA收集的日志和報(bào)警記錄,并且支持日志和報(bào)警的查詢。3。3 方案介紹與實(shí)施產(chǎn)品的選型和方案的實(shí)施可以概括為以下三步，實(shí)際中對(duì)于不

16、同的環(huán)境和安全要求,具體的方案和實(shí)施過(guò)程略有不同.第一步:創(chuàng)建網(wǎng)絡(luò)安全分區(qū)#8482;，確定在何處放置TOFINO安全設(shè)備TSA。第二步：確定需要哪些可裝載安全功能軟插件(LSMs)，以確保每個(gè)區(qū)域安全不同的要求。第三步：選擇一個(gè)服務(wù)器或工作站安裝TOFINO中央管理平臺(tái)CMP和Tofino安全管理平臺(tái)SMP,CMP和SMP也可以分別安裝在不同的機(jī)器。針對(duì)企業(yè)流程工業(yè)的特點(diǎn)，同時(shí)結(jié)合上述控制系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)，Tofino在以下三個(gè)方面提供安全高效的全方位防護(hù)。（1)信息層與操作站層之間是過(guò)程控制網(wǎng)絡(luò)與企業(yè)信息網(wǎng)絡(luò)的借口部位，是企業(yè)目前信息部與儀控部的交叉點(diǎn)，由于來(lái)自企業(yè)信息層病毒感染與入侵的概率

17、較大，所以該部位是目前防護(hù)的重點(diǎn)，可以使用Tofino進(jìn)行保護(hù)?？紤]到該部位通常采用OPC接口進(jìn)行通信，建議選用以下LSM：所需LSM軟件功能Firewall LSM工業(yè)網(wǎng)絡(luò)交通警察，內(nèi)置50多個(gè)工業(yè)專用及商業(yè)IT通信協(xié)議，預(yù)先定義了超過(guò)25個(gè)控制器內(nèi)型，通過(guò)通訊協(xié)議指令級(jí)別的管控，預(yù)先組態(tài)用于高級(jí)過(guò)濾和攻擊保護(hù)的“特殊規(guī)則”。符合ANSI/ISA99。00。02的網(wǎng)絡(luò)分段要求。OPC Enforce LSM管控OPC服務(wù)器及授權(quán)客戶端之間的數(shù)據(jù)通信,并且應(yīng)用專有技術(shù)動(dòng)態(tài)跟蹤OPC通信所需端口,同時(shí)Tofino特有的Sanity Check檢查功能能夠阻擋熱河不符合OPC標(biāo)準(zhǔn)格式的DCE/RP

18、C訪問(wèn)。同樣也對(duì)OPC授權(quán)客戶端發(fā)往OPC服務(wù)器的OPC對(duì)象請(qǐng)求進(jìn)行檢查，以提高OPC服務(wù)的安全性.Tofino Argon Event Logger LSM對(duì)安全事件提供可靠的監(jiān)控和記錄功能，是一個(gè)專門為工業(yè)控制網(wǎng)絡(luò)設(shè)計(jì)的日志記錄系統(tǒng)。通過(guò)以上配置,解決下列問(wèn)題：阻止來(lái)自企業(yè)信息層的病毒傳播；阻擋來(lái)自企業(yè)信息層的非法入侵；管控OPC客戶端與服務(wù)器的通訊；（2）針對(duì)操作站層各個(gè)節(jié)點(diǎn)之間的相互影響，方案將OPC Server、工程師站以及高級(jí)應(yīng)用先控站三個(gè)節(jié)點(diǎn)分為一組，通過(guò)Tofino模塊進(jìn)行隔離。 建議可選的LSM如下：所需LSM軟件功能Firewall LSM工業(yè)網(wǎng)絡(luò)交通警察，內(nèi)置50多個(gè)工

19、業(yè)專用及商業(yè)IT通信協(xié)議,預(yù)先定義了超過(guò)25個(gè)控制器內(nèi)型，通過(guò)通訊協(xié)議指令級(jí)別的管控,預(yù)先組態(tài)用于高級(jí)過(guò)濾和攻擊保護(hù)的“特殊規(guī)則.符合ANSI/ISA-99。00。02的網(wǎng)絡(luò)分段要求。Tofino Argon Event Logger LSM對(duì)安全事件提供可靠的監(jiān)控和記錄功能，是一個(gè)專門為工業(yè)控制網(wǎng)絡(luò)設(shè)計(jì)的日志記錄系統(tǒng)。 通過(guò)以上配置,解決下列問(wèn)題：通過(guò)CMP對(duì)Firewall LSM進(jìn)行組態(tài),將OPC Server、工程師站和高級(jí)應(yīng)用先控站獨(dú)立分為一個(gè)區(qū)域，該區(qū)域的所有通訊都由Tofino防火墻進(jìn)行過(guò)濾,只有指定的通訊和相關(guān)的數(shù)據(jù)才被允許通過(guò)，從而防止病毒擴(kuò)散到整個(gè)操作站層面; 管控局部網(wǎng)絡(luò)

20、通訊速率，防止網(wǎng)絡(luò)風(fēng)暴的發(fā)生;(3）對(duì)于控制器層，考慮到該層面通訊通常采用制造商專用協(xié)議，且是冗余結(jié)果，可以將自身保護(hù)能力較弱的控制器進(jìn)行隔離防護(hù)，根據(jù)具體情況和不同應(yīng)用,可單個(gè)控制器分別隔離或者多個(gè)控制器分組隔離。建議配置以下LSM：所需LSM軟件功能Firewall LSM工業(yè)網(wǎng)絡(luò)交通警察，內(nèi)置50多個(gè)工業(yè)專用及商業(yè)IT通信協(xié)議，預(yù)先定義了超過(guò)25個(gè)控制器內(nèi)型，通過(guò)通訊協(xié)議指令級(jí)別的管控,預(yù)先組態(tài)用于高級(jí)過(guò)濾和攻擊保護(hù)的“特殊規(guī)則”。符合ANSI/ISA99。00.02的網(wǎng)絡(luò)分段要求。Tofino Argon Event Logger LSM對(duì)安全事件提供可靠的監(jiān)控和記錄功能，是一個(gè)專門為工業(yè)控制網(wǎng)絡(luò)設(shè)計(jì)的日志記錄系統(tǒng).通過(guò)以上配置,解決下列問(wèn)題：通過(guò)CMP對(duì)Firewall LSM進(jìn)行組態(tài),只允許制造商專有協(xié)議通過(guò)，其他任何來(lái)自操作站的非法訪問(wèn)都被阻擋在外面；對(duì)網(wǎng)絡(luò)流向進(jìn)行管控，可以指定專有的某個(gè)操作站才能訪問(wèn)某個(gè)控制器；管控局部網(wǎng)絡(luò)的通訊速率，防止控制器遭受網(wǎng)絡(luò)風(fēng)暴和其他攻擊，從而避免控制器死機(jī)；最后選擇網(wǎng)絡(luò)中合適的機(jī)器安裝CMP和SMP,將全廠所有設(shè)備硬件都集中管理