编者按

当前，中国经济正在进入由高速度向高质量转型的关键时期。在以数字中国、双碳、安全生产为代表的政策驱动，以云大物移智为代表的技术驱动，以及以降本增效为代表的企业发展内生驱动的共振合力下，工业互联网相关领域正在迎来广阔的发展空间。而在市场催生出大量新场景、新机遇的同时，也对安全提出了更高要求。随着相关政策的落地实施，网络安全合规和安全生产已然成为工业企业、政府客户的刚性需求和一把手工程。那么，企业如何在数字化转型过程中规范化地进行安全建设和安全管理？目前存在的痛点难点又该如何解决？

《最佳实践》是威斯尼斯人wns2299cn创办的一档案例类栏目。结合自成立以来的各行业场景服务经验，从近4000家客户服务实践项目中遴选出的具有代表性、有推广性和借鉴性的典范案例，其中多个项目曾获得工信部试点示范项目称号，通过清晰详实的需求分析和解决方案描述，呈现企业在数字化转型过程中的安全建设故事，为行业客户提供有益借鉴。

某油气销售企业是国内规模最大的天然气终端综合利用企业，是国家关键信息基础设施企业，在全国拥有数十家省公司，近千家项目公司。该油气销售企业的总部、省公司调度中心、项目公司及场站的多套生产系统采用西门子、AB、施耐德、三菱等国外品牌PLC系统，以至于该企业信息化核心技术受制于人。为解决这一问题，该企业通过建立生产管理系统实现数字化转型，为国产化推广应用打下坚实基础。其中，威斯尼斯人wns2299cn承担了该企业数字化转型过程网络安全体系建设和安全服务工作，为企业新形势下网络安全保驾护航。

在生产管理系统建设过程中，严格遵循《中华人民共和国网络安全法》“同步规划、同步建设、同步使用”的三同步原则，通过网络安全体系建设为企业生产管理系统数字化转型、新技术应用进行安全赋能，避免在复杂的网络安全形势下，系统遭受病毒、木马、黑客攻击，造成业务中断、安全事故等，从而影响国计民生，甚至影响国家安全。

数字化转型所面临的网络安全痛点

该企业的数十家省公司工控系统存在弱口令、中高危漏洞、USB接口未封堵等46项网络安全问题。为解决这些安全隐患，该企业通过对安全厂商进行多轮调研和评估，选择了长扬为其提供专业安全产品及服务。

威斯尼斯人wns2299cn基于多年来在石油行业的经验积累与安全实践，组建专业的风险评估团队，通过对该企业总部和典型省公司、项目公司、场站生产系统进行专业化风险评估，发现存在网络混用、安全防护缺失、日志孤岛无审计、弱口令、中高危漏洞等系列网络安全脆弱性痛点。在数字化转型过程中办公网和互联网之间的威胁可能渗透到生产网，这些网络安全脆弱性会给生产业务系统带来巨大风险。

网络安全防护体系护航企业数字化转型

威斯尼斯人wns2299cn凭借在石油行业深耕多年的实践经验，运用专业化的网络安全技术和服务，依据《信息安全技术 网络安全等级保护基本要求》（GBT22239-2019）、《关键信息基础设施保护条例》、《中国石油工控系统网络安全防护指南》、《油气输送管道监控与数据采集(SCADA)系统安全防护规范》等国家、行业、企业标准，为企业整体网络安全防护体系进行了阶段规划，采用“示范先行，标准推广”的思路，以总部、2座省公司、4座项目公司、1座LPG储备库、1座LNG工厂、2座无线站场为典型示范场景，通过在示范项目阶段获得的宝贵成功经验指导编制《企业工控网络安全标准》，为后期推广阶段网络安全体系建设打下坚实基础。

图1：网络拓扑示意图

1. 合理分区分域，加强网络边界防护

在集团公司生产网与办公网边界、省公司生产网与办公网边界、无线网与生产网边界、站场与项目公司边界部署工业网闸设备，通过安全数据交换单元在内外网主机间进行安全数据摆渡，实现不同安全级别网络的物理隔离。通过合理设置工业协议规则，保证系统通信内容审查、文件交换、数据交换的能力，避免病毒、木马通过非可信区进入可信区。

图2：规则设置

在集团公司生产网边界、省公司生产网网络边界、生产网与无线网络边界、项目公司生产网边界、站场生产网边界部署工业防火墙，通过工业防火墙的白名单功能、工业协议深度解析等功能提升安全域间边界访问控制能力。并通过“白名单+黑名单”的防护方式建立起坚实的网路边界防护屏障，保障生产网免遭受已知和未知的网络攻击。

图3：工业白名单

图4：漏洞黑名单

在集团公司、省公司、项目公司部署入侵检测系统实现对网络威胁入侵检测，及时发现网络异常情况，蠕虫、木马病毒以及APT等恶意程序的传播状况，并对僵尸主机监控定位，实现网络运行状态的实时监控。入侵检测系统拥有海量病毒特征库和专业的恶意URL库，配合最新的防病毒引擎，能够精准识别并清除流行木马和顽固病毒，对于未知威胁和APT事件快速定位预警。

图5：攻击快速预警统计

2. 降本增效，实现安全防护，避免漏洞攻击

在集团公司、省公司、项目公司、站场的操作员站、工程师站、服务器上部署工控主机卫士，通过白名单技术，建立白名单库，能够有效阻止病毒、木马等恶意代码在工控主机上感染、执行和扩散，避免病毒、木马等恶意代码将主机作为入口进入生产网实施破坏行为。

 图6：建立白名单

在集团公司、省公司、项目公司部署工业安全审计系统，检测工控网络中的入侵行为、流量异常，追踪溯源工控网络安全事件。工业安全审计系统基于对常规IT协议、工业控制协议的通信报文进行深度解析（DPI，Deep Packet Inspection），实时检测工业协议的网络攻击、用户误操作、用户违规操作、未知设备接入以及蠕虫、病毒等利用资产漏洞进行恶意传播和破坏的行为，并实时报警，完整记录网络通信过程，包括工业控制协议会话记录，为工业控制系统的安全事故调查提供坚实的基础。

图7：工业协议深度解析

在集团公司、省公司、项目公司部署日志审计系统将主机、网络设备、安全设备等的海量日志收集，并对海量日志进行关联分析，以便发现隐匿在主机、网络设备、安全设备等的病毒、木马等恶意代码，并为事后网络溯源提供依据。

图8：事件关联分析

3. 全面建立防护体系，实现主动防御，纵深防御

在集团公司、省公司部署安全管理平台实现安全产品集中管理、策略集中下发、日志集中展示、流量异常实时性分析、安全事件追踪溯源等能力，为客户提供直观、可视的威胁展示界面。

图9：设备集中管理

在集团公司、省公司部署安全运维管理系统从而提高网络设备、安全设备、服务器等主机设备应用系统的用户管理、授权管理、认证管理和综合审计能力，为企业提供集中的用户和资源管理，采用强身份认证手段，帮助企业制定严格的资源访问策略，详细记录用户对资源的访问及操作，全面保障系统资源的安全。

图10：运维管理概览

4. 示范先行，标准化推广

基于示范项目的成功经验，并结国家、行业标准规范和企业的安全防护现状，编写了《企业工控网络安全防护标准》，为后期在集团下属省公司、项目公司、场站建立安全防护体系提供参考标准，为数字化转型、国产化替代在集团及下属单位推广奠定基础。

图11：企业标准

网络安全防护体系为企业带来的效益

通过网络安全防护体系建设，企业具备了安全防护的技术手段，在工控网络安全方面实现了从“人防”到“技防”的转变，可精确、高效处理网络安全风险，加强了集团侧、企业侧与场站的上下联动、可视化管理，提升了网络安全监测、安全设备统管理，实现多级管理和集中监控；在合规建设方面，满足了等保、关保等标准规范的相关要求，并确保集团及其下属公司顺利通过等保定级备案；在经济效益方面，帮助企业有效避免因遭受病毒、木马、黑客等网络攻击而导致的业务中断和经济损失。

长扬在本项目中围绕客户核心需求，补齐了客户工控网络安全短板，最终助力其完成企业数字化转型建设的目标，树立了行业标杆示范。