案例背景
某鍋爐集團是一家專業從事鍋爐及節能環保設備制造的企業����,在國內擁有多個生產基地���,企業響應國家能源環保和“兩化融合”政策����,近年來建設完成了智慧云平臺��,數字工廠�����、DCS系統等信息化及工業控制系統。
企業深知安全性是網絡信息系統能否正常運行所必須面對的問題�����,特別是對于鍋爐集團這樣的重工業企業來說�,工業互聯網安全不僅關系到生產效率���,更是保障員工生命安全和企業資產的關鍵���。本項目案例依據等保2.0中“一個中心�,三重防護”要求,構建鍋爐企業工業互聯網安全保障體系�����,從而實現企業“安全風險底數清楚�����、安全防護體系全面���、安全事件響應處置及時有效”的安全保障目標�����。
案例需求
(1)現有平臺側重于傳統網絡的態勢感知���,工業互聯網安全現狀形勢嚴峻���,安全防護能力亟待提升���。
鍋爐集團已建成信息網絡安全態勢感知平臺�����,與傳統信息網絡安全相比�,工業互聯網具有以下幾個方面的特點:一是工業互聯網受到攻擊后造成的后果更加嚴重;二是工業互聯網中使用的工控協議安全性不高��,更容易遭到攻擊�����;三是工業互聯網設備潛在漏洞多����,存在巨大安全隱患����。因此,與傳統網絡安全相比,工業互聯網的安全問題需要更加得到重視�����。
(2)協助鍋爐集團全面貫徹落實等保2.0建設
鍋爐集團企業資源層已滿足等級保護基本要求的安全通用要求�,但是對于等保2.0中提出的工業控制系統擴展要求滿足度還有欠缺。本項目案例將針對鍋爐集團通信網絡、計算環境��、安全管理等多個維度�����,構建體系化的解決方案���,滿足等保 2.0 工業控制系統擴展要求��,保證企業工控系統運行安全合規。
解決方案
本項目利用工控協議深度解析���、工控系統脆弱性檢測��、主機“白名單”等工控安全專用技術�,從鍋爐集團工業控制系統的區域邊界����、通信網絡、計算環境等角度設計安全防護體系��,有效解決鍋爐集團工業控制系統中實際存在的安全威脅��,提高工業控制系統等級保護符合性要求�����,將工業控制系統的安全狀況提升到一個較高的水平,并盡可能地消除或降低工業控制系統的安全風險�。
“安全風險評估”
通過部署工控漏洞掃描系統����,對鍋爐集團工控網絡中的設備���、軟件����、協議進行脆弱性分析和發現系統存在的漏洞,掌握DCS網絡安全風險底數�。
“安全分區分域”
通過劃分安全邊界及功能區域�����,部署工控防火墻對生產控制層�����、過程監控層進行訪問控制���,防止系統某一節點出現病毒����、木馬蔓延至整個網絡的現象發生。
“網絡實時監測”
工控網絡接入交換機旁路部署工控安全審計系統實現對工控網絡內部全流量��、多業務的分析�����,對計算環境內異常行為與攻擊前兆特征進行預警并上報����。
“安全計算環境”
在鍋爐集團工控網絡工程師站��、操作員站部署工控主機衛士�,以白名單的技術方式��,全方位地保護主機的資源使用以及監控本地設備安全基線配置���。根據白名單的配置���,工控主機衛士會禁止非法進程的運行����,禁止非法網絡的訪問連接��,禁止非法USB設備的接入�,從而切斷病毒和木馬的傳播與破壞路徑����。
“安全集中管理”
通過在鍋爐集團工業安全管理中心部署工業安全管理平臺對工控安全產品及第三方設備進行統一監控��、日志采集����、安全分析�����、策略下發���,為工控網絡安全運營提供決策支持�����,加強安全事件響應速度與安全運維能力,提升工控網絡整體信息安全水平。
效益評估
(1)顯著提升工控網絡安全防護水平
通過優化結構,強化邊界防護�,減少對威脅的暴露面���,降低脆弱性的可利用性�,設置多道防線����,重點防護實時控制系統。在確保結構安全的前提下���,采取身份認證、主機加固��、入侵檢測等措施����,創建層次清晰、手段豐富的安全防護體系,提高系統整體安全防護能力��,保證工業控制系統運行及重要數據的安全�����。
(2)滿足國家標準及行業規范要求
在符合等級保護2.0要求的前提下�,有效解決鍋爐集團DCS工業控制系統中實際存在的安全威脅����,提高了工業控制系統等級保護符合性要求,將工業控制系統的安全狀況提升到一個較高的水平,并盡可能地消除或降低工業控制系統的安全風險����。
