官网热线:400-100-0298
案例背景
某锅炉集团是一家专业从事锅炉及节能环保设备制造的企业,在国内拥有多个生产基地,企业响应国家能源环保和“两化融合”政策,近年来建设完成了智慧云平台,数字工厂、DCS系统等信息化及工业控制系统。
企业深知安全性是网络信息系统能否正常运行所必须面对的问题,特别是对于锅炉集团这样的重工业企业来说,工业互联网安全不仅关系到生产效率,更是保障员工生命安全和企业资产的关键。本项目案例依据等保2.0中“一个中心,三重防护”要求,构建锅炉企业工业互联网安全保障体系,从而实现企业“安全风险底数清楚、安全防护体系全面、安全事件响应处置及时有效”的安全保障目标。
案例需求
(1)现有平台侧重于传统网络的态势感知,工业互联网安全现状形势严峻,安全防护能力亟待提升。
锅炉集团已建成信息网络安全态势感知平台,与传统信息网络安全相比,工业互联网具有以下几个方面的特点:一是工业互联网受到攻击后造成的后果更加严重;二是工业互联网中使用的工控协议安全性不高,更容易遭到攻击;三是工业互联网设备潜在漏洞多,存在巨大安全隐患。因此,与传统网络安全相比,工业互联网的安全问题需要更加得到重视。
(2)协助锅炉集团全面贯彻落实等保2.0建设
锅炉集团企业资源层已满足等级保护基本要求的安全通用要求,但是对于等保2.0中提出的工业控制系统扩展要求满足度还有欠缺。本项目案例将针对锅炉集团通信网络、计算环境、安全管理等多个维度,构建体系化的解决方案,满足等保 2.0 工业控制系统扩展要求,保证企业工控系统运行安全合规。
解决方案
本项目利用工控协议深度解析、工控系统脆弱性检测、主机“白名单”等工控安全专用技术,从锅炉集团工业控制系统的区域边界、通信网络、计算环境等角度设计安全防护体系,有效解决锅炉集团工业控制系统中实际存在的安全威胁,提高工业控制系统等级保护符合性要求,将工业控制系统的安全状况提升到一个较高的水平,并尽可能地消除或降低工业控制系统的安全风险。
“安全风险评估”
通过部署工控漏洞扫描系统,对锅炉集团工控网络中的设备、软件、协议进行脆弱性分析和发现系统存在的漏洞,掌握DCS网络安全风险底数。
“安全分区分域”
通过划分安全边界及功能区域,部署工控防火墙对生产控制层、过程监控层进行访问控制,防止系统某一节点出现病毒、木马蔓延至整个网络的现象发生。
“网络实时监测”
工控网络接入交换机旁路部署工控安全审计系统实现对工控网络内部全流量、多业务的分析,对计算环境内异常行为与攻击前兆特征进行预警并上报。
“安全计算环境”
在锅炉集团工控网络工程师站、操作员站部署工控主机卫士,以白名单的技术方式,全方位地保护主机的资源使用以及监控本地设备安全基线配置。根据白名单的配置,工控主机卫士会禁止非法进程的运行,禁止非法网络的访问连接,禁止非法USB设备的接入,从而切断病毒和木马的传播与破坏路径。
“安全集中管理”
通过在锅炉集团工业安全管理中心部署工业安全管理平台对工控安全产品及第三方设备进行统一监控、日志采集、安全分析、策略下发,为工控网络安全运营提供决策支持,加强安全事件响应速度与安全运维能力,提升工控网络整体信息安全水平。
效益评估
(1)显著提升工控网络安全防护水平
通过优化结构,强化边界防护,减少对威胁的暴露面,降低脆弱性的可利用性,设置多道防线,重点防护实时控制系统。在确保结构安全的前提下,采取身份认证、主机加固、入侵检测等措施,创建层次清晰、手段丰富的安全防护体系,提高系统整体安全防护能力,保证工业控制系统运行及重要数据的安全。
(2)满足国家标准及行业规范要求
在符合等级保护2.0要求的前提下,有效解决锅炉集团DCS工业控制系统中实际存在的安全威胁,提高了工业控制系统等级保护符合性要求,将工业控制系统的安全状况提升到一个较高的水平,并尽可能地消除或降低工业控制系统的安全风险。
