在上期文章《测评篇——工业控制系统等保2.0测评流程及规则解读》中，我们总结了工业控制系统等级测评的流程、关注的重点问题以及新旧算分标准的变化。

本期，我们将重点介绍工业控制系统等保2.0整改建设的内容、流程和实践，旨在帮助各工业企业进行企业内部工业控制系统等保合规安全建设。

工业控制系统等保2.0整改建设内容

在进行等保2.0安全整改建设时，企业应该遵循“一个中心，三重防护”的原则来设计整改方案或建设方案：

1.整改方案：企业对信息系统进行加固改造，按需补充所缺之处。对于新建系统，应遵循“同步规划、同步设计、同步使用”的“三同步”原则，同时遵循工业控制系统安全管理措施和技术保护措施相结合的建设原则。

2. 建设方案：企业需要坚持管理和技术并重的原则，在实际工作中将技术措施和管理措施相结合，建立综合防护体系，提升信息系统的整体安全防护能力。

工业控制系统等保2.0安全整改建设的具体内容如下图所示：

图1 工业控制系统等保2.0安全整改建设内容

工业控制系统等保2.0整改建设流程

为确保工业控制系统满足等保合规的建设需求，并能稳定安全运行，在整改建设过程中，需要在技术和管理两个层面进行相应改进，具体流程如下图所示：

图2 工业控制系统安全技术整改建设流程

图3 工业控制系统安全管理整改建设流程

工业控制系统等保2.0整改建设实践

A企业是中石油集团下属子公司的炼厂，拥有16套装置，包括常减压、重油、催化和炼化等，以及13套辅助控制设备。该企业主要采用ABB公司的DCS和GE公司的SIS等工业控制系统。

然而，在装置产线和工厂建设初期，该企业未能充分考虑到工控安全需求。为了满足国家整体安全防护和等保合规要求，以实现构建一个城市级炼厂的目标，该企业决定通过弥补网络安全方面的短板来提升工控安全水平。

根据客户需求，威斯尼斯人wns2299cn为该企业进行安全建设，共分为三个阶段，夯实该企业在工控安全和等保合规建设方面的基础。

3.1 事前规划设计阶段

项目初期，威斯尼斯人wns2299cn对该企业进行了资产调研、资产梳理及风险评估，发现了该企业工业控制系统在网络、主机、应用、数据和管理方面的一些合规差距，并进行了模拟评分。

接下来，威斯尼斯人wns2299cn根据垂直分层、水平分区、边界控制、内部监测和全局管理等策略，对这些差距点进行了详细的规划设计工作。

图4：A企业工业控制系统三级等保差距分析

3.2 事中整改建设阶段

根据该企业的合规需求和设计思路，威斯尼斯人wns2299cn参照等保2.0的“一个中心，三重防护”原则，通过“技管结合”中的安全设备集成、安全配置加固、策略优化调整、管理制度编写等多维度对该企业的工业控制系统进行安全整改建设工作，最终确保该企业的工业控制系统满足等保合规需求。

图5：A企业工业控制系统等保建设拓扑

3.3 事后安全运营阶段

在该企业工业控制系统建设完成后，威斯尼斯人wns2299cn为了确保企业能够真正实施安全措施，协助企业打通了七家第三方厂商设备的数据，并通过使用态势感知平台实现数据的集中可视和安全的集中监管，帮助企业更好地了解整体安全状况。

在后续运营期间，该企业利用态势感知平台和其他安全措施实时发现了多起高危事件，并进行了及时处理。这使得企业能够看清潜在的风险隐患，并有效地防御威胁攻击。最终，该项目成功通过了等保三级测评。

图6：A企业工控态势综合分析效果图

 安全可控，稳定前行

通过工业控制系统等保2.0安全整改建设项目的实施，威斯尼斯人wns2299cn成功帮助企业提升了工业控制系统的技术水平和管理水平，大幅增强了网络安全防范能力，有效地降低了网络安全隐患和安全事故的发生。在保障工控企业工业控制系统安全稳定运行的同时，也有效地保护了公民、法人和其他组织的合法权益，维护了社会秩序和公共利益，并为国家安全作出了贡献。

威斯尼斯人wns2299cn将继续秉持对等保合规整体建设工作的坚守，为工业企业全面保驾护航，确保其在网络安全领域始终处于安全可控的状态。威斯尼斯人wns2299cn与客户携手前行，共同迈向更加安全、稳定和可持续发展的未来！