两化融合工业信息安全解决方案

1 方案背景与目标

工业控制系统具有运行连续性、操作周期性、功能实时确定性和现场环境易燃、易爆、高温、高压、强电磁干扰的工程特征。面对日益复杂的纵深渗透、动态协同的集团化攻击，仅依靠传统防火墙和IT信息安全技术体系已无法有效应对，网络安全问题迫在眉睫。另外伴随着智能装备、智能物流、制造等系统的应用，工厂实现整个生产过程中的优化控制，智能调度和生产，以及设备运行状态的监控，质量的管理、设计与绩效管理，对生产、设备、质量的异常做出正确的判断和集成等，实现制造执行与运营管理、研发设计、智能装备的集成，实现设计制造一体化、管控一体化的智能制造。国内外各厂家也纷纷提出智能工厂和应对中国制造2025战略的实践，而智能工厂从底端设备智能化到上端经营分析智能化打通后，信息安全问题将成为其实践中的必经之路。

随着“两化融合”的发展，工控系统信息安全事件时有发生，针对工业控制系统的定向攻击也日益增多。2010年工控领域发生了骇人听闻的“震网”事件，震网病毒开创了工控网络高精准度网络攻击的先河，也为各个国家网络安全敲响了警钟。2017年6月1日，我国正式出台了作为网络安全基础性法律的《中华人民共和国网络安全法》。2019年底等级保护2.0的发布则是网络安全的一次重大升级，对象范围在传统系统的基础上扩大了云计算、移动互联、物联网、大数据等，对等级保护制度提出了新的要求。等保2.0标准不再自主定级，而是通过“确定定级对象→初步确定等级→专家评审→主管部门审核→公安机关备案审查→最终确定等级”的线性流程定级，系统定级必须经过专家评审和主管部门审核，才能到公安机关备案，整体定级更加严格。

中控技术基于丰富的工控领域产品研发和工程实践经验，结合智能工厂一体化集成总体框架，对智能工厂信息安全脆弱性和风险系数进行了综合分析。在深入研究智能工厂工控安全策略和安全需求的基础上，推出了以“内建安全、纵深防御、专业运维”为核心的综合防护产品及《supSecurity 工业信息安全等保解决方案》，可以一站式全流程地解决等保所需的等保合规问题。

2 方案详细介绍

supSecurity 工业信息安全等保解决方案以炼油、石化、化工及电力等工业企业的过程控制网及信息网为对象，采用内建安全、纵深防御等技术手段，提出三大安全体系技术框架，实现一站式全流程的安全合规建设的目的，帮助企业实现对工控信息安全的有效管理，提升企业对生产控制的恶意程序防护、信息事故溯源、容灾备份、安全运维等能力，协助企业实现法规、标准、政策的合规性等级保护建设。

2.1 解决方案架构

supSecurity 工业信息安全等保解决方案以“一个中心、三重防护、三个体系 ”为核心指导思想，构建工控安全纵深防御保障体系，结合安全服务，实现主动防御的效果 ，确保人员安全、业务稳定。

以技术保障为基础、以管理运营为抓手、以监测预警为核心、以协同响应为目标的网络安全防御体系落地为具体的安全需求，包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人 员、安全建设管理、安全运维管理等各个层面的安全需求，再依据中控技术成熟的安全能力，将安全需求转化为可以实现的技术防护、安全管理措施，安全运营手段，为用户单位业务系统安全保驾护航。

2.1.1安全技术体系

网络安全等级保护安全技术体系设计按照“一个中心”管理下的“三重防护”体系框架，构建安全机制和策略，形成等级保护对象的安全保护环境。该安全保护环境主要分为安全计算环境、安全区域边界、安全通信网络和安全管理中心四个部分，最后结合安全的物理环境构建体系化安全技术保障方案。

2.1.2安全管理体系

建立统一的信息安全管理体系，落实各项管理制度。所谓“三分技术，七分管理”，技术和产品是基础，安全管理是关键，建立一个优秀的安全管理框架，让好的安全策略在这个框架内可重复实施，才能实现等级保护对象的持续安全。从安全管理制度、安全管理机构、安全管理人员、安全建设管理及安全运维管理等方面进行系统规划设计，建立统一的网络安全管理系统，落实各项管理制度，让用户的安全管理体系，有宏观的设计、有清晰的责任权限、有合理的制度要求。同时应用安全可视化、统一运维管理等创新的技术手段，简化安全运维管理，减轻安全运维负担，提升安全运维管理的效率，最终做到整体防御、分区隔离；积极防护、内外兼防；自身防御、主动免疫；纵深防御、技管并重。

2.1.3安全运营体系

安全运营可以定义为：“为了实现安全目标，提出安全解决构想、验证效果、分析问题、诊断问题、协调资源解决问题并持续迭代优化的过程”。

在安全技术体系及安全管理体系基础上，如何整合已有的安全防御措施，从传统安全防御技术建设逐渐向安全整体解决方案及安全运营模式转型，构建统一的安全运营体系，实现安全运营指标化，加快安全响应速度，增强综合防护效果，成为企业信息化安全工作的其中一大重点。

建立安全运营体系，是为了帮助企业持续的对安全体系进行维护和改进。帮助企业利用技术手段、管理方法、对问题进行分析、诊断，发现症结后，协调资源，终于实现企业网络及时发现风险、降低风险保持长期安全的目标。

为了实现安全目标，提出安全解决构想、验证效果、分析问题、诊断问题、协调资源解决问题并持续迭代优化，并充分考虑工业网络安全“有效性”的基础上，中控技术建立了一系列完善的安全运营体系。

2.2 核心的综合防护产品

2.3 典型案例

2.3.1 BH炼化全厂网络安全改造

（1）项目背景

BH炼化全厂DCS系统运行多年，设备老旧，存在宕机风险，且网络防护层级低，不具备抗网络攻击能力，未对工控系统采取有效的网络安全保护措施。为了能够及时发现网络攻击、违法操作等恶意行为，对网络行为和系统本地日志进行解析、分析、记录、汇报，针对安全事件定位分析，同时满足合规性要求。该厂DCS系统升级及网络安全改造迫在眉睫。

（2）实施应用

对全厂数据流和各层/各系统服务关系进行评估、调研与梳理，对工控系统信息安全防护现状分析和深度防护方案设计，并进行信息安全防护方案设计与实施，现场部署了主机安全卫士，内建安全增强系统，工业防火墙，工控安全审计系统，部署入侵检测系统，容灾备份体系。

（3）项目意义

本项目帮助用户实现对工控信息安全的有效管理，提升用户对生产控制的容灾能力，避免因病毒入侵、设备损坏、设备丢失、人为数据破坏等造成的巨大损失。

2.3.2 WH精细化工网络安全项目

（1）项目背景

WH精细化工是一家全球化运营的化工新材料公司，在生产控制网内执行严格的规章制度管理，2019年该公司总部提出网络安全建设改造要求，中控承接该项目。

（2）实施应用

根据该公司规定的项目建设目标、建设范围、技术方案、项目实施计划、项目风险管理、项目成果管理等相关内容，设计网络隔离与访问控制策略（横向分域）、控制网网络诊断措施、容灾设计与应急等网络安全全方位防护方案。

（3）项目意义

网络信息监测可视化程度高，异常情况清晰可辩，节省运维人力成本，系统维护成本降低但精准度提高，给用户带来了可观的收益。