項(xiàng)目背景

目前，寶武炭材新型炭材料制造基地主要建設(shè)分布于華東、華南、華中、西北等多個(gè)地區(qū)。為實(shí)現(xiàn)多基地協(xié)同的智能制造，需要將各基地資產(chǎn)、信息、物流、安全環(huán)保、人力資源等各項(xiàng)資源集中管控，實(shí)現(xiàn)以上海總部為核心的統(tǒng)一指揮和集中決策，同時(shí)輻射全國(guó)多基地的信息流、知識(shí)流、物流，產(chǎn)生協(xié)同效應(yīng)。為響應(yīng)上海市提出“從上海輻射全國(guó)”的建設(shè)一總部多基地智能運(yùn)營(yíng)平臺(tái)，有助于充分發(fā)揮總部人才、信息和資源優(yōu)勢(shì)，實(shí)現(xiàn)多基地制造流程優(yōu)化、關(guān)鍵運(yùn)營(yíng)指標(biāo)對(duì)標(biāo)分析和決策支持、關(guān)鍵設(shè)備虛擬遠(yuǎn)程運(yùn)維等，提升管控運(yùn)營(yíng)效率和智能決策。公司關(guān)鍵裝備的數(shù)控化率達(dá)到100%，擁有較完整的自主建設(shè)的信息系統(tǒng)架構(gòu)、自主集成信息系統(tǒng)體系。公司以全球新一輪制造業(yè)變革和《中國(guó)制造2025》為主導(dǎo)戰(zhàn)略，全面實(shí)施自主創(chuàng)新、自主集成、創(chuàng)新驅(qū)動(dòng)，推動(dòng)智能制造核心技術(shù)研究及應(yīng)用，在新型炭材料生產(chǎn)工藝、生產(chǎn)裝備等方面打破國(guó)外日美壟斷，致力于通過(guò)新型炭材料生產(chǎn)線的建設(shè)實(shí)現(xiàn)公司由傳統(tǒng)煤化工制造向多基地協(xié)同的炭材料智能制造轉(zhuǎn)變。

為了實(shí)現(xiàn)多基地管控，需要智能制造系統(tǒng)的支持，而隨著智能制造系統(tǒng)和現(xiàn)場(chǎng)工控系統(tǒng)的融合，工控信息安全是重要的安全支撐與保障。有別于傳統(tǒng)工業(yè)信息安全被動(dòng)和事后防御的解決方案，以態(tài)勢(shì)感知為核心的縱深防御解決方案重點(diǎn)監(jiān)測(cè)工控網(wǎng)絡(luò)的運(yùn)行日志和流量，主動(dòng)發(fā)現(xiàn)可能的安全攻擊或異常操作。

基于縱深防御的安全解決方案融合工廠安全、網(wǎng)絡(luò)安全、系統(tǒng)安全等三個(gè)方面的安全措施，基于多層次防護(hù)的“縱深防御”理念，遵循“評(píng)估——實(shí)施——持續(xù)監(jiān)控”的工業(yè)信息安全整體提升路線，布局面向新材料的全公司多基地范圍的工控安全評(píng)估及加固工作，提升工控安全態(tài)勢(shì)感知、安全防護(hù)和應(yīng)急處置能力，在外部世界的威脅和工控網(wǎng)絡(luò)之間建立盡可能多層次的保護(hù)。

項(xiàng)目計(jì)劃分成三期進(jìn)行實(shí)施，第一期項(xiàng)目選取寶山基地4套現(xiàn)場(chǎng)工控系統(tǒng)部署典型的縱深防御解決方案的安全模塊。第二期計(jì)劃分兩步進(jìn)行驗(yàn)證與實(shí)施，第一步先選定一個(gè)分基地接入到總部的工控安全態(tài)勢(shì)感知平臺(tái)，驗(yàn)證多基地接入的技術(shù)可行性；第二步覆蓋兩個(gè)基地剩下的套現(xiàn)場(chǎng)工控系統(tǒng)，并配合現(xiàn)場(chǎng)工控系統(tǒng)的集控改造，實(shí)現(xiàn)工控安全態(tài)勢(shì)的集中監(jiān)控。第三期推廣到其它的基地。

目標(biāo)與原則

為響應(yīng)習(xí)總書(shū)記提出的“全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)，增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力”，建設(shè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)，特別是針對(duì)關(guān)鍵的智能制造企業(yè)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知能力，有助于充分發(fā)揮工業(yè)信息安全運(yùn)營(yíng)平臺(tái)集中安全監(jiān)控的優(yōu)勢(shì)，實(shí)現(xiàn)智能制造生產(chǎn)過(guò)程安全流程優(yōu)化、關(guān)鍵安全運(yùn)營(yíng)指標(biāo)對(duì)標(biāo)分析和決策支持、關(guān)鍵設(shè)備安全防護(hù)等。

1.實(shí)現(xiàn)的技術(shù)目標(biāo)如下：

（1）針對(duì)選定的現(xiàn)場(chǎng)工控系統(tǒng)，從整體上實(shí)現(xiàn)工控資產(chǎn)的自動(dòng)識(shí)別和網(wǎng)絡(luò)拓?fù)涞淖詣?dòng)生成，實(shí)現(xiàn)工控網(wǎng)絡(luò)的可視化。

（2）進(jìn)行集中的工控安全監(jiān)控，及時(shí)發(fā)現(xiàn)違規(guī)操作、資產(chǎn)非法接入和資產(chǎn)面臨的風(fēng)險(xiǎn)，進(jìn)行威脅預(yù)警和攻擊檢測(cè)，實(shí)現(xiàn)安全態(tài)勢(shì)的可感知和可管理。

（3）通過(guò)部署基于白名單機(jī)制的惡意軟件防護(hù)系統(tǒng)實(shí)現(xiàn)端點(diǎn)的安全防護(hù)，基于白名單對(duì)不可信的應(yīng)用或進(jìn)程進(jìn)行阻止，可以有效防范未知惡意軟件在目標(biāo)機(jī)的惡意執(zhí)行。

（4）提供工業(yè)網(wǎng)絡(luò)安全域的隔離與防護(hù)，針對(duì)選定的四套典型現(xiàn)場(chǎng)工控系統(tǒng)提供不同控制域間的隔離。

（5）在IT和OT邊界提供綜合的安全防護(hù)能力，實(shí)現(xiàn)訪問(wèn)控制、IPS/IDS和網(wǎng)絡(luò)防病毒功能。

2.項(xiàng)目的經(jīng)濟(jì)目標(biāo)如下：

（1）部署基于態(tài)勢(shì)感知的工控安全防護(hù)系統(tǒng)后，可以避免炭材料加工產(chǎn)線控制系統(tǒng)受到攻擊，降低因此造成的經(jīng)濟(jì)損失，從而防范安全和環(huán)保事故。同時(shí)，可以形成公司內(nèi)部標(biāo)準(zhǔn)的工控安全實(shí)踐，在其它的新材料生產(chǎn)基地進(jìn)行推廣。

（2）通過(guò)實(shí)施基于工控安全態(tài)勢(shì)感知的縱深防御解決方案，探索在新材料領(lǐng)域里面的工控安全防護(hù)與安全監(jiān)測(cè)，形成行業(yè)的示范效應(yīng)，在新材料、鋼鐵、石油石化和化工等行業(yè)領(lǐng)域進(jìn)行推廣，培養(yǎng)良好的安全意識(shí)，并提供可復(fù)制的最佳安全實(shí)踐。

（3）同時(shí)建設(shè)相應(yīng)的工控安全行業(yè)標(biāo)準(zhǔn)和技術(shù)專(zhuān)利。

項(xiàng)目實(shí)施與介紹

1.場(chǎng)景特征

（1）行業(yè)特點(diǎn)分析

隨著中國(guó)制造2025全面推進(jìn)，工業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化加快發(fā)展，我國(guó)工控系統(tǒng)存在的安全漏洞不斷增多，面臨著安全威脅加速滲透、攻擊手段復(fù)雜多樣等新挑戰(zhàn)。近年來(lái)，工業(yè)信息安全事件頻繁爆發(fā)。從2010年 “震網(wǎng)”病毒爆發(fā)到2017年WannaCry、Petya勒索病毒連續(xù)爆發(fā)等，冶金、能源、電力、天然氣、通信、交通、制藥等眾多工業(yè)領(lǐng)域不斷遭受安全攻擊。

炭材料行業(yè)具備如下特點(diǎn)：

• 炭材料智能制造行業(yè)是個(gè)高危行業(yè)，安全穩(wěn)定運(yùn)行是根本要求；

• 該行業(yè)工控系統(tǒng)的安全水平較低，防護(hù)不夠，提升空間大；

• 隨著智能制造的演進(jìn)，系統(tǒng)融合與互聯(lián)互通成為趨勢(shì)，信息安全至關(guān)重要。

（2）實(shí)施場(chǎng)景特點(diǎn)分析

建設(shè)一總部多基地智能運(yùn)營(yíng)平臺(tái)本身就是工業(yè)互聯(lián)網(wǎng)的一種體現(xiàn)和落地探索過(guò)程，實(shí)現(xiàn)異地隔閡消除，實(shí)現(xiàn)虛擬和現(xiàn)實(shí)連接，實(shí)現(xiàn)現(xiàn)場(chǎng)數(shù)字設(shè)備和云端分析及應(yīng)用互聯(lián)；通過(guò)數(shù)據(jù)的采集、可視化、分析和對(duì)標(biāo)實(shí)現(xiàn)以數(shù)據(jù)驅(qū)動(dòng)業(yè)務(wù)模式的轉(zhuǎn)變。在公司多基地智能運(yùn)營(yíng)工廠的建設(shè)進(jìn)程中，各基地將有更多工業(yè)控制系統(tǒng)、數(shù)字化或智能設(shè)備接入到工業(yè)互聯(lián)網(wǎng)，而自動(dòng)化系統(tǒng)的自身安全、數(shù)據(jù)接入與采集的安全、云端傳輸、存儲(chǔ)、分析，整體網(wǎng)絡(luò)架構(gòu)的穩(wěn)定與安全以及端到端的安全、高效是必須面對(duì)的課題。同樣面對(duì)日益猖獗的網(wǎng)絡(luò)攻擊、威脅和挑戰(zhàn)，若公司的網(wǎng)絡(luò)安全體系不足，無(wú)論是物理上或是邏輯上，網(wǎng)絡(luò)病毒或黑客都有可能侵入至工業(yè)控制系統(tǒng)或數(shù)字設(shè)備，影響生產(chǎn)甚至造成重大安全環(huán)保事故，同樣生產(chǎn)經(jīng)驗(yàn)數(shù)據(jù)的外泄也是需要避免的。隨著IT與OT的深度融合，在兩化融合的前提下，如何提高系統(tǒng)的安全性、提高數(shù)據(jù)自身的保密性成為重要的課題；目前公司在工業(yè)互聯(lián)網(wǎng)安全方面的防御體系非常薄弱，從制度、人才、軟硬件體系架構(gòu)和安全偵測(cè)等方面提升安全能力已經(jīng)成為公司迫在眉睫的事情。

實(shí)施場(chǎng)景的特點(diǎn)如下：

• 寶武炭材現(xiàn)有多個(gè)生產(chǎn)基地、分布在全國(guó)各個(gè)地方，異地管理存在巨大的挑戰(zhàn)；

• 由于新材料行業(yè)發(fā)展勢(shì)頭良好，后面有改造及擴(kuò)大生產(chǎn)的需求，實(shí)施的工控安全防護(hù)系統(tǒng)需要具備可擴(kuò)展性；

• 由現(xiàn)有的工控系統(tǒng)在不同的時(shí)期建成，有多個(gè)廠家提供的多個(gè)品牌的系統(tǒng)，需要兼容多種工控系統(tǒng)（FOXBORO、AB、西門(mén)子、浙大中控等）；

• 新舊系統(tǒng)并存，包括有操作系統(tǒng)為XP等的老系統(tǒng)，安全改造難度較大。

（3）工控網(wǎng)絡(luò)安全現(xiàn)狀

目前寶武炭材網(wǎng)絡(luò)主要分為生產(chǎn)網(wǎng)、管理網(wǎng)及國(guó)際網(wǎng)（Internet）三部分，現(xiàn)場(chǎng)工控設(shè)備主要是現(xiàn)場(chǎng)工控系統(tǒng)。現(xiàn)有工控網(wǎng)絡(luò)具備一定的防病毒能力（如在部分現(xiàn)場(chǎng)工控系統(tǒng)的工程師站、操作員站的PC主機(jī)和數(shù)據(jù)采集機(jī)部署傳統(tǒng)殺毒軟件等）；本部基地與其他基地采用專(zhuān)線遠(yuǎn)程連接，有商用級(jí)IT防火墻部署。生產(chǎn)網(wǎng)中有一定的商用級(jí)普通IT防火墻部署。

2.需求分析

（1）安全痛點(diǎn)

目前寶武炭材工業(yè)網(wǎng)絡(luò)安全的主要痛點(diǎn)有以下幾方面：

• 未使用專(zhuān)門(mén)的工業(yè)網(wǎng)絡(luò)防火墻或網(wǎng)關(guān)網(wǎng)閘設(shè)備。現(xiàn)有的防火墻是商用IT級(jí)別的，對(duì)各類(lèi)工業(yè)級(jí)通信協(xié)議的支持有缺陷。

• 工控網(wǎng)絡(luò)中的操作（工程師）站主機(jī)設(shè)備使用的是單機(jī)版的防病毒軟件，無(wú)法對(duì)工控網(wǎng)絡(luò)中主機(jī)的安全狀況進(jìn)行集中統(tǒng)一管理，無(wú)法及時(shí)更新相關(guān)病毒庫(kù)，一旦發(fā)生系統(tǒng)威脅，無(wú)法及時(shí)捕捉到。

• 子公司生產(chǎn)工業(yè)網(wǎng)絡(luò)建設(shè)相對(duì)薄弱，沒(méi)有形成有效的安全防護(hù)機(jī)制。

• 目前的工業(yè)網(wǎng)絡(luò)安全防御機(jī)制重病毒、輕入侵，沒(méi)有強(qiáng)有力的縱深防御機(jī)制來(lái)保障整個(gè)工控網(wǎng)絡(luò)的安全性。

• 使用傳統(tǒng)的防病毒軟件及硬件防火墻無(wú)法對(duì)工控系統(tǒng)網(wǎng)絡(luò)進(jìn)行工業(yè)級(jí)的安全防護(hù)，特別對(duì)于生產(chǎn)現(xiàn)場(chǎng)的PLC系統(tǒng)、現(xiàn)場(chǎng)工控系統(tǒng)及智能機(jī)器人、智能傳感器等設(shè)備需要有專(zhuān)門(mén)針對(duì)性的基于勢(shì)態(tài)感知的安全策略部署來(lái)保障整個(gè)工控系統(tǒng)安全、高效、穩(wěn)定的運(yùn)行。

• 缺乏一個(gè)一體化的工控系統(tǒng)運(yùn)維平臺(tái)，能夠適用于多生產(chǎn)基地的統(tǒng)一評(píng)估、統(tǒng)一部署、統(tǒng)一監(jiān)控、統(tǒng)一維護(hù)整個(gè)工控系統(tǒng)的安全，以支持智慧工廠安全運(yùn)營(yíng)。

（2）安全難點(diǎn)

由于炭材料生產(chǎn)網(wǎng)的系統(tǒng)涉及多個(gè)廠家的產(chǎn)品，同時(shí)上位機(jī)大部分是比較老的操作系統(tǒng)（如Windows XP），對(duì)于Windows XP操作系統(tǒng)，微軟已經(jīng)不再支持更新，因此存在較多安全風(fēng)險(xiǎn)，實(shí)施復(fù)雜度較高。

（3）實(shí)際解決的問(wèn)題

基于目前在工控安全方面存在的痛點(diǎn)和難點(diǎn)，本次項(xiàng)目方案的對(duì)應(yīng)策略和達(dá)到的效果及突破性包括：

• 針對(duì)寶武炭材多生產(chǎn)基地和異地分布的難點(diǎn)，部署的基于工控態(tài)勢(shì)感知的工業(yè)防護(hù)解決方案基于分布式體系架構(gòu)，可以支持多級(jí)部署，同時(shí)具備跨地域連接的特點(diǎn)。因此能夠滿足多基地集中管控的要求。

• 工控安全態(tài)勢(shì)感知系統(tǒng)基于中央管控平臺(tái)和具備邊緣計(jì)算能力的探針相結(jié)合的架構(gòu)，支持標(biāo)準(zhǔn)的接口，整個(gè)系統(tǒng)具有良好的彈性，易于擴(kuò)展到不同的生產(chǎn)裝置；

• 針對(duì)多廠家和多品牌的系統(tǒng)，采用標(biāo)準(zhǔn)的采集代理和端點(diǎn)防護(hù)軟件，通過(guò)適配測(cè)試與調(diào)優(yōu)，達(dá)到滿足良好的品牌兼容和向后兼容特性。

• 針對(duì)舊系統(tǒng)安全改造困難的情況，采用專(zhuān)門(mén)防護(hù)的機(jī)制，同時(shí)進(jìn)行集中的統(tǒng)一管理。

效益分析

基于工控態(tài)勢(shì)感知平臺(tái)的縱深防御解決方案具有很好的示范效應(yīng)，將來(lái)為行業(yè)內(nèi)安全實(shí)施探索出比較好的提升路徑，為各工業(yè)企業(yè)實(shí)施安全防護(hù)提供經(jīng)驗(yàn)與借鑒。基于該工控態(tài)勢(shì)感知平臺(tái)的安全解決方案很好地解決了所面臨的安全問(wèn)題，提高了工業(yè)控制系統(tǒng)的安全性，贏得了公司各層面的信任，為工業(yè)控制系統(tǒng)的業(yè)務(wù)生產(chǎn)獲得了極大的競(jìng)爭(zhēng)優(yōu)勢(shì)，同時(shí)增強(qiáng)了公司作為安全、可靠和可信賴合作伙伴的品牌形象。

信息安全產(chǎn)業(yè)是一個(gè)急速發(fā)展變化的產(chǎn)業(yè)，信息安全的內(nèi)涵和外延也會(huì)不斷的更新，但是安全態(tài)勢(shì)感知的理念在整個(gè)信息安全產(chǎn)品結(jié)構(gòu)中的頂層地位始終不會(huì)改變。工控安全態(tài)勢(shì)感知在狹義上定義為工控信息系統(tǒng)安全的集中管理，包括集中的運(yùn)行狀態(tài)監(jiān)控、事件采集分析、安全策略下發(fā)；在廣義上定位為所有工控資源甚至是業(yè)務(wù)系統(tǒng)進(jìn)行集中的安全管理，包括對(duì)工控資源的運(yùn)行監(jiān)控、事件采集分析，還包括風(fēng)險(xiǎn)管理與安全運(yùn)維等內(nèi)容。

工業(yè)安全態(tài)勢(shì)感知平臺(tái)的建設(shè)可以極大的降低智能制造企業(yè)在安全方面可能造成的損失，以寶山基地的智能制造工廠，假設(shè)一套炭材加工產(chǎn)線控制系統(tǒng)受到攻擊，裝置恢復(fù)正常生產(chǎn)至少要120小時(shí)，造成的經(jīng)濟(jì)損失可達(dá)500萬(wàn)，控制系統(tǒng)是生產(chǎn)的核心，控制系統(tǒng)異常甚至可能造成安全環(huán)保事故，后果不堪設(shè)想。