近日，工业控制系统信息安全产业联盟（ICSISIA)公布了2021年工业安全系统典型应用示范案例公示名单。凭借卓越的行业场景化安全规划和建设能力，威斯尼斯人wns2299cn钢铁行业自动化工业网络安全防御解决方案成功入选，工业互联网安全保障能力再获肯定。

钢铁行业自动化工业网络安全防御解决方案

1 项目概述

1.1 项目背景

      为了更好地应对新的市场挑战，各钢铁企业都在积极推进信息化建设，近年来，钢铁企业的信息化建设取得了很大进展，随着MES和ERP系统投入了运行，对于强化集团管控水平、规范内部管理、提高运作效率、节能减排、增产降耗发挥了巨大的作用。钢铁生产企业网络系统分为L1-L5，组成如下：

1.2 建设目标

      按照国家和工控行业相关网络安全防护的政策与网络安全标准要求，针对钢铁企业生产控制技术发展，全面评估制造执行层、过程控制层和现场设备层内的网络情况、业务系统、控制系统及现场设备可能存在的网络安全风险，并形成分析报告，围绕企业技改与集团网络安全运营发展规划，利用当前先进的网络安全防护理念、技术与产品，分期设计与建设纵深立体的网络安全防护体系，辅助企业、集团建立网络安全监测、通报预警与联动处置机制，为某钢铁综合安全防护能力提供技术支撑，为某钢铁整体安全生产保驾护航。

2 工控安全防护方案

2.1 总体描述

      本方案针对某钢铁L1-L3生产控制系统实际需求，通过设计建设一套稳定、先进、高效、可靠的工控安全监测防护体系，集中展现生产控制系统的整体工控安全态势，提升整体工控安全监管水平和防御能力，针对系统的特点、专业性、稳定性进行设计，结合长扬多年工业控制系统与工控安全研究和经验总结，以国家等级保护的“一个中心、三重防护”为整体防护思想，构建某钢铁L1-L3层生产控制系统网络安全防护的技术体系，并完善安全管理体系，形成技术+管理的综合安全防护体系，满足实际安全防护需求，如下图所示。

网络安全防护体系框架示意图

      方案从实际出发，以某钢铁L1-L3层生产控制系统为等级保护对象，从安全通信网络、安全区域边界、安全计算环境、安全管理中心和安全管理要求等几个维度来构建综合安全防护体系。

安全通信网络：对某钢铁L1-L3层生产控制系统的访问逻辑进行梳理，优化网络结构，按照网络资产的属性与访问逻辑，合理划分网络安全域，在生产控制系统网络的边界部署安全隔离与访问控制措施，实现必要的边界安全防护，同时按照业务组网应用特点，酌情增加链路加密措施，保障链路通信的数据安全性。

安全区域边界：在重要的安全域边界设计部署安全隔离与访问控制措施，对重要安全域进行必要的安全防护，保证生产控制系统的运行安全。

安全计算环境：对全网的服务器、操作员站、工程师站等主机系统设计安装必要的主机白名单软件，实现对主机系统必要的安全监测和管控，保障主机系统运行安全，主机安全管控措施包括主机进程管控、主机USB口外界管理等，实现主机防病毒、防第三方软件非授权安装使用、防USB设备非法连接与数据拷贝等功能，提升人机交互界面必要的安全防控，提升主机系统的安全性。同时，借助于在安全管理域内部署的主机系统脆弱性扫描工具，实现对主机系统弱口令、漏洞的安全管理，通过主机加固措施，提升主机系统的抗攻击能力。

安全管理中心：在L3层部署一套统一安全管理系统，实现对所有安全设备的统一管理和操作命令下发；部署一套运维管理系统，针对运维人员操作行为做事前预防，实时监控和事后审计；在L3层部署一套全流量分析系统做设备集中分析，通过在L2层部署智能采集器对资产、流量、文件、日志、漏洞、网络设备、网络安全设备、主机等全要素数据进行采集和监控，获取工控系统设备类型、设备参数、运行状态、地理位置、开放端口及服务等关键信息，在L4-L5层部署一套态势感知系统做集中展示，实现对某钢铁全网安全态势的监控、评估、预警、可视化和集中响应，协助某钢铁构建纵深防御的网络安全保障体系，从而有效提升网络安全威胁监测、态势感知、应急处置、追踪溯源等能力，提高网络与安全运维效率。

安全管理体系：基于某钢铁热轧现有的安全管理组织结构与管理措施，由专业的安全服务人员以安全咨询服务的形式，按照相关标准规范要求，为用户梳理安全管理体系内容，帮助用户健全与完善安全管理体系相关内容，从管理上完善安全管理的体系化建设，包括日常管理以及应急保障等相关内容，以构建综合的安全防护体系，保障某钢铁热轧工控系统的安全稳定运行。

2.2 组网拓扑

组网拓扑说明：

1．L2现场监控层：在L2部署智能采集器（流量日志审计）采集现场工业流量和设备日志，在操作员和工程师站上安装白名单软件进行安全加固和白名单防护。在与L3边界部署工控防火墙（共16条线，已部署7台可以利旧，9台为新增），做区域间防护和安全过滤。后期在炼铁/炼钢，其他工艺段部署方式相同。

2．L3生产执行层：在与L4边界部署工业网闸做边界隔离，部署统一安全管理集中管理安全设备和统一下发策略，部署运维管理系统对运维人员进行安全监控与审计，部署全流量日志分析系统做厂级安全态势展示，数据源来L2、L3层智能采集器原始数据。

3．L4-L5层部署工业互联网安全态势感知平台，数据经过全流量处理发送到工业互联网安全态势感知平台做集中展示，统一监控和预警，提升某钢铁生产生产控制系统整体工控安全防护能力，最终实现工控安全可视化，可控和可管。

 方案价值

1. 降低敏感数据被泄露的风险

本方案应用了基于工业控制系统的防护手段，通过实现生产系统网络与外界网络的有效隔离，降低了某钢铁敏感数据被泄露的风险。

2.完善组织OT内控体系，满足合规需求

本方案在设计时，参照了国家等级保护相关规范要求，严格按照等保2.0三级要求进行设计，并按照某钢铁热轧当前的工控系统信息化建设程度来提出符合实际需求的解决方案，实现了从OT应用控制、OT一般控制、OT审计等三个维度来打造合规的OT控制体系。

3.加强企业网络安全风险防范能力

通过开展安全风险评估工作，运用科学的方法和手段，发现网络安全存在的主要问题和矛盾，并有针对性地提出抵御威胁的防护对策和整改措施，有效地防范和降低关键业务信息系统的网络安全风险，最大限度地提升某钢铁的安全保障能力，增强了企业应对网络安全风险的防范能力。

4.构建闭环管理的工控安全体系

本方案通过打造可视化的工控安全态势感知平台，对现场L1-L3层进行综合安全性的安全防护，实现对某钢铁生产控制系统的安全“感知、研判、通报、处置、追溯、恢复、检查”流程的闭环管理。

5.工控网络安全统一规划、统一标准、统一建设、统一管理

本方案按照《网络安全法》“三同步”原则，对工控系统整体网络安全体系实行“统一规划、统一标准、统一建设、统一管理”，最大程度地节约了建设成本，并保障了某钢铁生产系统的安全。

6.全面提升某钢铁安全管理水平和技术服务能力

通过安全防护体系、安全管理体系等方面的规范化建设，不仅构建了以安全可控为目标、监控审计为特征、细粒度安全防护为手段的工业控制系统新一代主动防御体系，提升了某钢铁生产控制系统的安全防护能力，而且也增强了技术人员的安全意识、安全运维能力和技术服务能力以及提升了企业的安全管理水平。