今日頭條
官方微信
官方抖音
資訊頻道項目背景
目前,寶武炭材新型炭材料制造基地主要建設分布于華東、華南、華中、西北等多個地區。為實現多基地協同的智能制造,需要將各基地資產、信息、物流、安全環保、人力資源等各項資源集中管控,實現以上海總部為核心的統一指揮和集中決策,同時輻射全國多基地的信息流、知識流、物流,產生協同效應。為響應上海市提出“從上海輻射全國”的建設一總部多基地智能運營平臺,有助于充分發揮總部人才、信息和資源優勢,實現多基地制造流程優化、關鍵運營指標對標分析和決策支持、關鍵設備虛擬遠程運維等,提升管控運營效率和智能決策。公司關鍵裝備的數控化率達到100%,擁有較完整的自主建設的信息系統架構、自主集成信息系統體系。公司以全球新一輪制造業變革和《中國制造2025》為主導戰略,全面實施自主創新、自主集成、創新驅動,推動智能制造核心技術研究及應用,在新型炭材料生產工藝、生產裝備等方面打破國外日美壟斷,致力于通過新型炭材料生產線的建設實現公司由傳統煤化工制造向多基地協同的炭材料智能制造轉變。
為了實現多基地管控,需要智能制造系統的支持,而隨著智能制造系統和現場工控系統的融合,工控信息安全是重要的安全支撐與保障。有別于傳統工業信息安全被動和事后防御的解決方案,以態勢感知為核心的縱深防御解決方案重點監測工控網絡的運行日志和流量,主動發現可能的安全攻擊或異常操作。
基于縱深防御的安全解決方案融合工廠安全、網絡安全、系統安全等三個方面的安全措施,基于多層次防護的“縱深防御”理念,遵循“評估——實施——持續監控”的工業信息安全整體提升路線,布局面向新材料的全公司多基地范圍的工控安全評估及加固工作,提升工控安全態勢感知、安全防護和應急處置能力,在外部世界的威脅和工控網絡之間建立盡可能多層次的保護。
項目計劃分成三期進行實施,第一期項目選取寶山基地4套現場工控系統部署典型的縱深防御解決方案的安全模塊。第二期計劃分兩步進行驗證與實施,第一步先選定一個分基地接入到總部的工控安全態勢感知平臺,驗證多基地接入的技術可行性;第二步覆蓋兩個基地剩下的套現場工控系統,并配合現場工控系統的集控改造,實現工控安全態勢的集中監控。第三期推廣到其它的基地。
目標與原則
為響應習總書記提出的“全天候全方位感知網絡安全態勢,增強網絡安全防御能力和威懾能力”,建設網絡安全態勢感知平臺,特別是針對關鍵的智能制造企業的網絡安全態勢感知能力,有助于充分發揮工業信息安全運營平臺集中安全監控的優勢,實現智能制造生產過程安全流程優化、關鍵安全運營指標對標分析和決策支持、關鍵設備安全防護等。
1.實現的技術目標如下:
(1)針對選定的現場工控系統,從整體上實現工控資產的自動識別和網絡拓撲的自動生成,實現工控網絡的可視化。
(2)進行集中的工控安全監控,及時發現違規操作、資產非法接入和資產面臨的風險,進行威脅預警和攻擊檢測,實現安全態勢的可感知和可管理。
(3)通過部署基于白名單機制的惡意軟件防護系統實現端點的安全防護,基于白名單對不可信的應用或進程進行阻止,可以有效防范未知惡意軟件在目標機的惡意執行。
(4)提供工業網絡安全域的隔離與防護,針對選定的四套典型現場工控系統提供不同控制域間的隔離。
(5)在IT和OT邊界提供綜合的安全防護能力,實現訪問控制、IPS/IDS和網絡防病毒功能。
2.項目的經濟目標如下:
(1)部署基于態勢感知的工控安全防護系統后,可以避免炭材料加工產線控制系統受到攻擊,降低因此造成的經濟損失,從而防范安全和環保事故。同時,可以形成公司內部標準的工控安全實踐,在其它的新材料生產基地進行推廣。
(2)通過實施基于工控安全態勢感知的縱深防御解決方案,探索在新材料領域里面的工控安全防護與安全監測,形成行業的示范效應,在新材料、鋼鐵、石油石化和化工等行業領域進行推廣,培養良好的安全意識,并提供可復制的最佳安全實踐。
(3)同時建設相應的工控安全行業標準和技術專利。
項目實施與介紹
1.場景特征
(1)行業特點分析
隨著中國制造2025全面推進,工業數字化、網絡化、智能化加快發展,我國工控系統存在的安全漏洞不斷增多,面臨著安全威脅加速滲透、攻擊手段復雜多樣等新挑戰。近年來,工業信息安全事件頻繁爆發。從2010年 “震網”病毒爆發到2017年WannaCry、Petya勒索病毒連續爆發等,冶金、能源、電力、天然氣、通信、交通、制藥等眾多工業領域不斷遭受安全攻擊。
炭材料行業具備如下特點:
炭材料智能制造行業是個高危行業,安全穩定運行是根本要求;
該行業工控系統的安全水平較低,防護不夠,提升空間大;
隨著智能制造的演進,系統融合與互聯互通成為趨勢,信息安全至關重要。
(2)實施場景特點分析
建設一總部多基地智能運營平臺本身就是工業互聯網的一種體現和落地探索過程,實現異地隔閡消除,實現虛擬和現實連接,實現現場數字設備和云端分析及應用互聯;通過數據的采集、可視化、分析和對標實現以數據驅動業務模式的轉變。在公司多基地智能運營工廠的建設進程中,各基地將有更多工業控制系統、數字化或智能設備接入到工業互聯網,而自動化系統的自身安全、數據接入與采集的安全、云端傳輸、存儲、分析,整體網絡架構的穩定與安全以及端到端的安全、高效是必須面對的課題。同樣面對日益猖獗的網絡攻擊、威脅和挑戰,若公司的網絡安全體系不足,無論是物理上或是邏輯上,網絡病毒或黑客都有可能侵入至工業控制系統或數字設備,影響生產甚至造成重大安全環保事故,同樣生產經驗數據的外泄也是需要避免的。隨著IT與OT的深度融合,在兩化融合的前提下,如何提高系統的安全性、提高數據自身的保密性成為重要的課題;目前公司在工業互聯網安全方面的防御體系非常薄弱,從制度、人才、軟硬件體系架構和安全偵測等方面提升安全能力已經成為公司迫在眉睫的事情。
實施場景的特點如下:
寶武炭材現有多個生產基地、分布在全國各個地方,異地管理存在巨大的挑戰;
由于新材料行業發展勢頭良好,后面有改造及擴大生產的需求,實施的工控安全防護系統需要具備可擴展性;
由現有的工控系統在不同的時期建成,有多個廠家提供的多個品牌的系統,需要兼容多種工控系統(FOXBORO、AB、西門子、浙大中控等);
新舊系統并存,包括有操作系統為XP等的老系統,安全改造難度較大。
(3)工控網絡安全現狀
目前寶武炭材網絡主要分為生產網、管理網及國際網(Internet)三部分,現場工控設備主要是現場工控系統。現有工控網絡具備一定的防病毒能力(如在部分現場工控系統的工程師站、操作員站的PC主機和數據采集機部署傳統殺毒軟件等);本部基地與其他基地采用專線遠程連接,有商用級IT防火墻部署。生產網中有一定的商用級普通IT防火墻部署。
2.需求分析
(1)安全痛點
目前寶武炭材工業網絡安全的主要痛點有以下幾方面:
未使用專門的工業網絡防火墻或網關網閘設備。現有的防火墻是商用IT級別的,對各類工業級通信協議的支持有缺陷。
工控網絡中的操作(工程師)站主機設備使用的是單機版的防病毒軟件,無法對工控網絡中主機的安全狀況進行集中統一管理,無法及時更新相關病毒庫,一旦發生系統威脅,無法及時捕捉到。
子公司生產工業網絡建設相對薄弱,沒有形成有效的安全防護機制。
目前的工業網絡安全防御機制重病毒、輕入侵,沒有強有力的縱深防御機制來保障整個工控網絡的安全性。
使用傳統的防病毒軟件及硬件防火墻無法對工控系統網絡進行工業級的安全防護,特別對于生產現場的PLC系統、現場工控系統及智能機器人、智能傳感器等設備需要有專門針對性的基于勢態感知的安全策略部署來保障整個工控系統安全、高效、穩定的運行。
缺乏一個一體化的工控系統運維平臺,能夠適用于多生產基地的統一評估、統一部署、統一監控、統一維護整個工控系統的安全,以支持智慧工廠安全運營。
(2)安全難點
由于炭材料生產網的系統涉及多個廠家的產品,同時上位機大部分是比較老的操作系統(如Windows XP),對于Windows XP操作系統,微軟已經不再支持更新,因此存在較多安全風險,實施復雜度較高。
(3)實際解決的問題
基于目前在工控安全方面存在的痛點和難點,本次項目方案的對應策略和達到的效果及突破性包括:
針對寶武炭材多生產基地和異地分布的難點,部署的基于工控態勢感知的工業防護解決方案基于分布式體系架構,可以支持多級部署,同時具備跨地域連接的特點。因此能夠滿足多基地集中管控的要求。
工控安全態勢感知系統基于中央管控平臺和具備邊緣計算能力的探針相結合的架構,支持標準的接口,整個系統具有良好的彈性,易于擴展到不同的生產裝置;
針對多廠家和多品牌的系統,采用標準的采集代理和端點防護軟件,通過適配測試與調優,達到滿足良好的品牌兼容和向后兼容特性。
針對舊系統安全改造困難的情況,采用專門防護的機制,同時進行集中的統一管理。
效益分析
基于工控態勢感知平臺的縱深防御解決方案具有很好的示范效應,將來為行業內安全實施探索出比較好的提升路徑,為各工業企業實施安全防護提供經驗與借鑒。基于該工控態勢感知平臺的安全解決方案很好地解決了所面臨的安全問題,提高了工業控制系統的安全性,贏得了公司各層面的信任,為工業控制系統的業務生產獲得了極大的競爭優勢,同時增強了公司作為安全、可靠和可信賴合作伙伴的品牌形象。
信息安全產業是一個急速發展變化的產業,信息安全的內涵和外延也會不斷的更新,但是安全態勢感知的理念在整個信息安全產品結構中的頂層地位始終不會改變。工控安全態勢感知在狹義上定義為工控信息系統安全的集中管理,包括集中的運行狀態監控、事件采集分析、安全策略下發;在廣義上定位為所有工控資源甚至是業務系統進行集中的安全管理,包括對工控資源的運行監控、事件采集分析,還包括風險管理與安全運維等內容。
工業安全態勢感知平臺的建設可以極大的降低智能制造企業在安全方面可能造成的損失,以寶山基地的智能制造工廠,假設一套炭材加工產線控制系統受到攻擊,裝置恢復正常生產至少要120小時,造成的經濟損失可達500萬,控制系統是生產的核心,控制系統異常甚至可能造成安全環保事故,后果不堪設想。
1583299765121315.jpg "寶武炭材聯合西門子打造數字化工廠,引領行業智能制造標準的制定。(寶武供圖)1583299765121315.jpg")
北京市公安局海淀分局備案號:11010802023656號