今日頭條
官方微信
官方抖音
資訊頻道項目背景
目前,寶武炭材新型炭材料制造基地主要建設(shè)分布于華東、華南、華中、西北等多個地區(qū)。為實現(xiàn)多基地協(xié)同的智能制造,需要將各基地資產(chǎn)、信息、物流、安全環(huán)保、人力資源等各項資源集中管控,實現(xiàn)以上海總部為核心的統(tǒng)一指揮和集中決策,同時輻射全國多基地的信息流、知識流、物流,產(chǎn)生協(xié)同效應(yīng)。為響應(yīng)上海市提出“從上海輻射全國”的建設(shè)一總部多基地智能運營平臺,有助于充分發(fā)揮總部人才、信息和資源優(yōu)勢,實現(xiàn)多基地制造流程優(yōu)化、關(guān)鍵運營指標(biāo)對標(biāo)分析和決策支持、關(guān)鍵設(shè)備虛擬遠程運維等,提升管控運營效率和智能決策。公司關(guān)鍵裝備的數(shù)控化率達到100%,擁有較完整的自主建設(shè)的信息系統(tǒng)架構(gòu)、自主集成信息系統(tǒng)體系。公司以全球新一輪制造業(yè)變革和《中國制造2025》為主導(dǎo)戰(zhàn)略,全面實施自主創(chuàng)新、自主集成、創(chuàng)新驅(qū)動,推動智能制造核心技術(shù)研究及應(yīng)用,在新型炭材料生產(chǎn)工藝、生產(chǎn)裝備等方面打破國外日美壟斷,致力于通過新型炭材料生產(chǎn)線的建設(shè)實現(xiàn)公司由傳統(tǒng)煤化工制造向多基地協(xié)同的炭材料智能制造轉(zhuǎn)變。
為了實現(xiàn)多基地管控,需要智能制造系統(tǒng)的支持,而隨著智能制造系統(tǒng)和現(xiàn)場工控系統(tǒng)的融合,工控信息安全是重要的安全支撐與保障。有別于傳統(tǒng)工業(yè)信息安全被動和事后防御的解決方案,以態(tài)勢感知為核心的縱深防御解決方案重點監(jiān)測工控網(wǎng)絡(luò)的運行日志和流量,主動發(fā)現(xiàn)可能的安全攻擊或異常操作。
基于縱深防御的安全解決方案融合工廠安全、網(wǎng)絡(luò)安全、系統(tǒng)安全等三個方面的安全措施,基于多層次防護的“縱深防御”理念,遵循“評估——實施——持續(xù)監(jiān)控”的工業(yè)信息安全整體提升路線,布局面向新材料的全公司多基地范圍的工控安全評估及加固工作,提升工控安全態(tài)勢感知、安全防護和應(yīng)急處置能力,在外部世界的威脅和工控網(wǎng)絡(luò)之間建立盡可能多層次的保護。
項目計劃分成三期進行實施,第一期項目選取寶山基地4套現(xiàn)場工控系統(tǒng)部署典型的縱深防御解決方案的安全模塊。第二期計劃分兩步進行驗證與實施,第一步先選定一個分基地接入到總部的工控安全態(tài)勢感知平臺,驗證多基地接入的技術(shù)可行性;第二步覆蓋兩個基地剩下的套現(xiàn)場工控系統(tǒng),并配合現(xiàn)場工控系統(tǒng)的集控改造,實現(xiàn)工控安全態(tài)勢的集中監(jiān)控。第三期推廣到其它的基地。
目標(biāo)與原則
為響應(yīng)習(xí)總書記提出的“全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢,增強網(wǎng)絡(luò)安全防御能力和威懾能力”,建設(shè)網(wǎng)絡(luò)安全態(tài)勢感知平臺,特別是針對關(guān)鍵的智能制造企業(yè)的網(wǎng)絡(luò)安全態(tài)勢感知能力,有助于充分發(fā)揮工業(yè)信息安全運營平臺集中安全監(jiān)控的優(yōu)勢,實現(xiàn)智能制造生產(chǎn)過程安全流程優(yōu)化、關(guān)鍵安全運營指標(biāo)對標(biāo)分析和決策支持、關(guān)鍵設(shè)備安全防護等。
1.實現(xiàn)的技術(shù)目標(biāo)如下:
(1)針對選定的現(xiàn)場工控系統(tǒng),從整體上實現(xiàn)工控資產(chǎn)的自動識別和網(wǎng)絡(luò)拓撲的自動生成,實現(xiàn)工控網(wǎng)絡(luò)的可視化。
(2)進行集中的工控安全監(jiān)控,及時發(fā)現(xiàn)違規(guī)操作、資產(chǎn)非法接入和資產(chǎn)面臨的風(fēng)險,進行威脅預(yù)警和攻擊檢測,實現(xiàn)安全態(tài)勢的可感知和可管理。
(3)通過部署基于白名單機制的惡意軟件防護系統(tǒng)實現(xiàn)端點的安全防護,基于白名單對不可信的應(yīng)用或進程進行阻止,可以有效防范未知惡意軟件在目標(biāo)機的惡意執(zhí)行。
(4)提供工業(yè)網(wǎng)絡(luò)安全域的隔離與防護,針對選定的四套典型現(xiàn)場工控系統(tǒng)提供不同控制域間的隔離。
(5)在IT和OT邊界提供綜合的安全防護能力,實現(xiàn)訪問控制、IPS/IDS和網(wǎng)絡(luò)防病毒功能。
2.項目的經(jīng)濟目標(biāo)如下:
(1)部署基于態(tài)勢感知的工控安全防護系統(tǒng)后,可以避免炭材料加工產(chǎn)線控制系統(tǒng)受到攻擊,降低因此造成的經(jīng)濟損失,從而防范安全和環(huán)保事故。同時,可以形成公司內(nèi)部標(biāo)準(zhǔn)的工控安全實踐,在其它的新材料生產(chǎn)基地進行推廣。
(2)通過實施基于工控安全態(tài)勢感知的縱深防御解決方案,探索在新材料領(lǐng)域里面的工控安全防護與安全監(jiān)測,形成行業(yè)的示范效應(yīng),在新材料、鋼鐵、石油石化和化工等行業(yè)領(lǐng)域進行推廣,培養(yǎng)良好的安全意識,并提供可復(fù)制的最佳安全實踐。
(3)同時建設(shè)相應(yīng)的工控安全行業(yè)標(biāo)準(zhǔn)和技術(shù)專利。
項目實施與介紹
1.場景特征
(1)行業(yè)特點分析
隨著中國制造2025全面推進,工業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化加快發(fā)展,我國工控系統(tǒng)存在的安全漏洞不斷增多,面臨著安全威脅加速滲透、攻擊手段復(fù)雜多樣等新挑戰(zhàn)。近年來,工業(yè)信息安全事件頻繁爆發(fā)。從2010年 “震網(wǎng)”病毒爆發(fā)到2017年WannaCry、Petya勒索病毒連續(xù)爆發(fā)等,冶金、能源、電力、天然氣、通信、交通、制藥等眾多工業(yè)領(lǐng)域不斷遭受安全攻擊。
炭材料行業(yè)具備如下特點:
炭材料智能制造行業(yè)是個高危行業(yè),安全穩(wěn)定運行是根本要求;
該行業(yè)工控系統(tǒng)的安全水平較低,防護不夠,提升空間大;
隨著智能制造的演進,系統(tǒng)融合與互聯(lián)互通成為趨勢,信息安全至關(guān)重要。
(2)實施場景特點分析
建設(shè)一總部多基地智能運營平臺本身就是工業(yè)互聯(lián)網(wǎng)的一種體現(xiàn)和落地探索過程,實現(xiàn)異地隔閡消除,實現(xiàn)虛擬和現(xiàn)實連接,實現(xiàn)現(xiàn)場數(shù)字設(shè)備和云端分析及應(yīng)用互聯(lián);通過數(shù)據(jù)的采集、可視化、分析和對標(biāo)實現(xiàn)以數(shù)據(jù)驅(qū)動業(yè)務(wù)模式的轉(zhuǎn)變。在公司多基地智能運營工廠的建設(shè)進程中,各基地將有更多工業(yè)控制系統(tǒng)、數(shù)字化或智能設(shè)備接入到工業(yè)互聯(lián)網(wǎng),而自動化系統(tǒng)的自身安全、數(shù)據(jù)接入與采集的安全、云端傳輸、存儲、分析,整體網(wǎng)絡(luò)架構(gòu)的穩(wěn)定與安全以及端到端的安全、高效是必須面對的課題。同樣面對日益猖獗的網(wǎng)絡(luò)攻擊、威脅和挑戰(zhàn),若公司的網(wǎng)絡(luò)安全體系不足,無論是物理上或是邏輯上,網(wǎng)絡(luò)病毒或黑客都有可能侵入至工業(yè)控制系統(tǒng)或數(shù)字設(shè)備,影響生產(chǎn)甚至造成重大安全環(huán)保事故,同樣生產(chǎn)經(jīng)驗數(shù)據(jù)的外泄也是需要避免的。隨著IT與OT的深度融合,在兩化融合的前提下,如何提高系統(tǒng)的安全性、提高數(shù)據(jù)自身的保密性成為重要的課題;目前公司在工業(yè)互聯(lián)網(wǎng)安全方面的防御體系非常薄弱,從制度、人才、軟硬件體系架構(gòu)和安全偵測等方面提升安全能力已經(jīng)成為公司迫在眉睫的事情。
實施場景的特點如下:
寶武炭材現(xiàn)有多個生產(chǎn)基地、分布在全國各個地方,異地管理存在巨大的挑戰(zhàn);
由于新材料行業(yè)發(fā)展勢頭良好,后面有改造及擴大生產(chǎn)的需求,實施的工控安全防護系統(tǒng)需要具備可擴展性;
由現(xiàn)有的工控系統(tǒng)在不同的時期建成,有多個廠家提供的多個品牌的系統(tǒng),需要兼容多種工控系統(tǒng)(FOXBORO、AB、西門子、浙大中控等);
新舊系統(tǒng)并存,包括有操作系統(tǒng)為XP等的老系統(tǒng),安全改造難度較大。
(3)工控網(wǎng)絡(luò)安全現(xiàn)狀
目前寶武炭材網(wǎng)絡(luò)主要分為生產(chǎn)網(wǎng)、管理網(wǎng)及國際網(wǎng)(Internet)三部分,現(xiàn)場工控設(shè)備主要是現(xiàn)場工控系統(tǒng)。現(xiàn)有工控網(wǎng)絡(luò)具備一定的防病毒能力(如在部分現(xiàn)場工控系統(tǒng)的工程師站、操作員站的PC主機和數(shù)據(jù)采集機部署傳統(tǒng)殺毒軟件等);本部基地與其他基地采用專線遠程連接,有商用級IT防火墻部署。生產(chǎn)網(wǎng)中有一定的商用級普通IT防火墻部署。
2.需求分析
(1)安全痛點
目前寶武炭材工業(yè)網(wǎng)絡(luò)安全的主要痛點有以下幾方面:
未使用專門的工業(yè)網(wǎng)絡(luò)防火墻或網(wǎng)關(guān)網(wǎng)閘設(shè)備。現(xiàn)有的防火墻是商用IT級別的,對各類工業(yè)級通信協(xié)議的支持有缺陷。
工控網(wǎng)絡(luò)中的操作(工程師)站主機設(shè)備使用的是單機版的防病毒軟件,無法對工控網(wǎng)絡(luò)中主機的安全狀況進行集中統(tǒng)一管理,無法及時更新相關(guān)病毒庫,一旦發(fā)生系統(tǒng)威脅,無法及時捕捉到。
子公司生產(chǎn)工業(yè)網(wǎng)絡(luò)建設(shè)相對薄弱,沒有形成有效的安全防護機制。
目前的工業(yè)網(wǎng)絡(luò)安全防御機制重病毒、輕入侵,沒有強有力的縱深防御機制來保障整個工控網(wǎng)絡(luò)的安全性。
使用傳統(tǒng)的防病毒軟件及硬件防火墻無法對工控系統(tǒng)網(wǎng)絡(luò)進行工業(yè)級的安全防護,特別對于生產(chǎn)現(xiàn)場的PLC系統(tǒng)、現(xiàn)場工控系統(tǒng)及智能機器人、智能傳感器等設(shè)備需要有專門針對性的基于勢態(tài)感知的安全策略部署來保障整個工控系統(tǒng)安全、高效、穩(wěn)定的運行。
缺乏一個一體化的工控系統(tǒng)運維平臺,能夠適用于多生產(chǎn)基地的統(tǒng)一評估、統(tǒng)一部署、統(tǒng)一監(jiān)控、統(tǒng)一維護整個工控系統(tǒng)的安全,以支持智慧工廠安全運營。
(2)安全難點
由于炭材料生產(chǎn)網(wǎng)的系統(tǒng)涉及多個廠家的產(chǎn)品,同時上位機大部分是比較老的操作系統(tǒng)(如Windows XP),對于Windows XP操作系統(tǒng),微軟已經(jīng)不再支持更新,因此存在較多安全風(fēng)險,實施復(fù)雜度較高。
(3)實際解決的問題
基于目前在工控安全方面存在的痛點和難點,本次項目方案的對應(yīng)策略和達到的效果及突破性包括:
針對寶武炭材多生產(chǎn)基地和異地分布的難點,部署的基于工控態(tài)勢感知的工業(yè)防護解決方案基于分布式體系架構(gòu),可以支持多級部署,同時具備跨地域連接的特點。因此能夠滿足多基地集中管控的要求。
工控安全態(tài)勢感知系統(tǒng)基于中央管控平臺和具備邊緣計算能力的探針相結(jié)合的架構(gòu),支持標(biāo)準(zhǔn)的接口,整個系統(tǒng)具有良好的彈性,易于擴展到不同的生產(chǎn)裝置;
針對多廠家和多品牌的系統(tǒng),采用標(biāo)準(zhǔn)的采集代理和端點防護軟件,通過適配測試與調(diào)優(yōu),達到滿足良好的品牌兼容和向后兼容特性。
針對舊系統(tǒng)安全改造困難的情況,采用專門防護的機制,同時進行集中的統(tǒng)一管理。
效益分析
基于工控態(tài)勢感知平臺的縱深防御解決方案具有很好的示范效應(yīng),將來為行業(yè)內(nèi)安全實施探索出比較好的提升路徑,為各工業(yè)企業(yè)實施安全防護提供經(jīng)驗與借鑒。基于該工控態(tài)勢感知平臺的安全解決方案很好地解決了所面臨的安全問題,提高了工業(yè)控制系統(tǒng)的安全性,贏得了公司各層面的信任,為工業(yè)控制系統(tǒng)的業(yè)務(wù)生產(chǎn)獲得了極大的競爭優(yōu)勢,同時增強了公司作為安全、可靠和可信賴合作伙伴的品牌形象。
信息安全產(chǎn)業(yè)是一個急速發(fā)展變化的產(chǎn)業(yè),信息安全的內(nèi)涵和外延也會不斷的更新,但是安全態(tài)勢感知的理念在整個信息安全產(chǎn)品結(jié)構(gòu)中的頂層地位始終不會改變。工控安全態(tài)勢感知在狹義上定義為工控信息系統(tǒng)安全的集中管理,包括集中的運行狀態(tài)監(jiān)控、事件采集分析、安全策略下發(fā);在廣義上定位為所有工控資源甚至是業(yè)務(wù)系統(tǒng)進行集中的安全管理,包括對工控資源的運行監(jiān)控、事件采集分析,還包括風(fēng)險管理與安全運維等內(nèi)容。
工業(yè)安全態(tài)勢感知平臺的建設(shè)可以極大的降低智能制造企業(yè)在安全方面可能造成的損失,以寶山基地的智能制造工廠,假設(shè)一套炭材加工產(chǎn)線控制系統(tǒng)受到攻擊,裝置恢復(fù)正常生產(chǎn)至少要120小時,造成的經(jīng)濟損失可達500萬,控制系統(tǒng)是生產(chǎn)的核心,控制系統(tǒng)異常甚至可能造成安全環(huán)保事故,后果不堪設(shè)想。
合西門子打造數(shù)字化工廠,引領(lǐng)行業(yè)智能制造標(biāo)準(zhǔn)的制定。(寶武供圖)1583299765121315.jpg "寶武炭材聯(lián)合西門子打造數(shù)字化工廠,引領(lǐng)行業(yè)智能制造標(biāo)準(zhǔn)的制定。(寶武供圖)1583299765121315.jpg")
北京市公安局海淀分局備案號:11010802023656號