今日頭條
官方微信
官方抖音
資訊頻道1、 項目背景介紹
云天化集團有限責任公司(下稱:云天化集團)是以“肥料及現代農業、玻璃纖維及復合材料、精細化工及新材料”為主業的國有綜合性產業集團。云天化集團是全球領先的磷肥、氮肥、玻纖、共聚甲醛制造商。目前,集團化肥產品經營規模超過1000萬噸/年,規模居亞洲第一、全球第二,承擔著為“保障國家糧食安全”提供農用物資供應的重要職責,在全球磷復肥及磷化工行業擁有舉足輕重的地位和影響力。
近年來,隨著集團業務發展和企業生產規模的不斷擴大,對信息化和工業控制系統安全運行的依賴度也越來越高。為了貫徹落實《中華人民共和國網絡安全法》、《網絡安全等級保護制度2.0》、《關鍵信息基礎設施安全保護條例》等國家法律規范,積極響應工業和信息化部《工業互聯網創新發展行動計劃(2018-2020年)》,推進集團關于《工業控制系統安全標準建設及保障體系建設2019-2021年工作計劃》的落地實施,在2020年9月份,經過對云天化集團下屬13家企業工業控制系統網絡安全現狀、資產漏洞風險、安全管理制度規范等方面進行了充分調研后,總體按照“統一規劃,分步實施”的總體原則統籌規劃集團“工業安全監測分析運營平臺” 及下屬企業工控安全防護體系建設,全面提升云天化集團的工控網絡和信息網絡的安全威脅監測感知與應急處置能力,保障安全生產。2021年云天化集團對該建設項目公開招標,長揚科技憑借可部署于惡劣工業互聯網環境的跨越端、網、平臺的全系列產品,深入業務場景,定制專業解決方案,投標中標。
2、 項目目標與原則
項目建設目標:實現“摸清業務關系、掌握潛在威脅、看懂安全風險、加強協同共享、持續運營改進”。在集團層面,通過建設“集團工控系統安全監測與態勢感知體系”,提升工業生產網絡安全集中保障運營能力;通過建立網絡安全運營中心CSOC(Cyberspace Security Operation Center),加強對最新的工業設備漏洞、APT安全攻擊、企業上報的安全事件的集中分析能力,并制定工控安全管理制度及相關規范標準,從制度和業務線上實現集團和企業聯動。在企業層面,實現主動防御、綜合防護,落實責任分工、內部協同。
(1)集團層面,按照五個統一原則,建設“集團工控系統安全監測與態勢感知體系”,提升工業生產網絡安全集中保障運營能力。
· 五個統一原則:統一規劃、統一標準、統一建設、統一分析、統一運維、集中部署運營、分層架構實施。
· 通過集中部署“工業安全監測分析運營平臺”,以及分布式的智能采集設備和采集探針,實現對所有下屬企業工控網、辦公網的重要資產、設備漏洞、安全事件統一采集分析,做到“摸清業務關系、掌握潛在威脅、看懂安全風險”。
· 集團層面建立網絡安全運營中心CSOC(Cyberspace Security Operation Center),加強對最新的工業設備漏洞、APT安全攻擊、企業上報的安全事件的集中分析能力,實現集團和企業之間上下協同聯動,不斷提高集團和下屬企業的工控系統安全管理水平,做到“加強協同共享、持續運營改進”。
(2)集團層面,制定工控安全管理制度及相關規范標準(QB),由集團層面出臺工控安全管理及考核辦法,和企業進行聯動。
· 總體原則:明確定級、制度落實、技管結合、持續優化;
· 管理制度:明確集團和各單位、各部門之間在工控網絡安全協同、分工、執行、考核方面的具體細則。
(3)企業層面, 依據集團規范要求(QB),加強工控安全防護體系建設,實現主動防御、綜合防護,落實責任分工、內部協同。
· 按照等保“一個中心、三重防護”思想,建立縱深的工控安全防護體系;提出詳細的有針對性的建設方案和改進措施,經集團審批后進行工控安全防護建設。
· 根據集團統一要求,明確落實企業各自工控安全領導小組負責人及其成員,落實工控制度、與集團協同流程,實現安全事件自動上報、整改意見協同處置的上下協同。
· 定期參與集團組織的工控安全意識、技能培訓,加強自身在網絡信息安全方面的專業水平。
3、 項目實施與應用情況
基于前期集團對集團和下屬13家子公司安全防護需求的深入調研,長揚科技針對該化工集團存在的網絡安全隱患和安全需求,結合多年在工控安全領域深耕的經驗,為化工集團工業互聯網安全建設給出了專業有效的解決方案,創造性的實現了:工業安全監測分析運營平臺與云天化集團的HSE平臺系統對接,并輸出符合云天化集團的工業控制系統安全管理制度及建設的防護指南規范,平臺工單流程與HSE系統融合實現運維系統自動化,并實現云天化集團企業防護遵循符合云天化企業特點的分級進行防護,筑牢化工集團網絡安全建設。
(1)工業安全監測分析運營平臺與云天化集團的HSE平臺系統對接,實現了工業互聯網安全與工控系統傳統安全管理的高效對接和聯動。
工業安全監測分析運營平臺不是單維度分析原始安全設備告警日志,而是把原始告警日志和其他系統數據進行安全挖掘分析,同時對重復的告警進行去重處理,進一步識別出有效告警,最后通過HSE平臺場景分析把相關聯的告警線索進行聚合分析,形成一個完整的安全事件,最終總幾十萬條告警中識別出幾十條精準的安全事件。通過HSE平臺對接,可以直觀的了解現網絡防御檢測設備的能力,以及攻擊告警的分布情況,結合廠區安全生產等多維事件,方便后續的策略調整、完善。
· 接入方案如下:
工業安全監測分析運營平臺與云天化集團的HSE平臺系統通過Kafka數據服務總線方式進行對接,接入數據包括溯源取證分析、APT攻擊分析、網絡威脅分析、告警管理、日志集中監控、實時流量監控和各資產運行狀態等。
· HSE平臺通過對接達到如下效果:
實現對云天化安全信息的總覽監測、對態勢數據的綜合分析,建立上下統一調度的指揮平臺,幫助子單位快速共享情報;
通過對態勢數據的綜合分析,展現集團層面所受到的攻擊和威脅態勢,監控各子單位的安全狀況,形成對整體安全風險的全局視野和掌控能力;
各子單位之間共享威脅情報,預警集團內的重要安全風險,做好安全威脅的主動應對
通過HSE平臺對接建立一個上下統一調度的指揮平臺,從事前、事中、事后角度對全集團安全事件、安全漏洞和安全威脅有效納管,向各子單位提供管理、技術、數據、資源等方面的支撐
(2)輸出符合云天化集團的工業控制系統安全管理制度及建設的防護指南規范
項目實施過程中組織人力調研、編寫和制訂云天化集團工控安全防護標準,根據長揚科技在各行業實施經驗及集團、各企業現場實施調研情況,編制符合云天化集團特點的《云天化集團工業控制系統網絡安全防護要求》并輸出。
(3)平臺工單流程與HSE系統融合實現運維系統自動化
對發生的預警事件,根據標準化的處置流程進行事件處置,主體流程是以工單為核心,根據業務流程定制事件處置、跟蹤流程。實現了工控安全及生產安全集約化、統一化響應及處置。處置流程圖如下:
(4)云天化集團企業防護遵循符合云天化企業特點的分級進行防護
工業控制系統網絡安全事件可能導致巨大的企業經濟損失和重大人員傷亡等生產安全事故。結合云天化集團下屬企業實際情況,對各企業工業控制系統防護的分級依據企業資產規模和企業存在的重大危險源數量確定。
工控網絡安全事件危害程度值判定矩陣
重大危險源系數(H) | H<1 | 1≤H≤2 | H>2 | |
企業資產規模(S) | S<10億元 | 1 | 3 | 5 |
10億元≤S<20億元 | 2 | 4 | 6 | |
20億元≤S<40億元 | 3 | 5 | 7 | |
S≥40億 | 4 | 6 | 8 |
注:重大危險源系數(H)=1*N1+0.5*N2+0.25*N3+0.125*N4
N1為企業一級重大危險源數量
N2為企業二級重大危險源數量
N3為企業三級重大危險源數量
N4為企業四級重大危險源數量
云天化集團各生產企業網絡安全分級
工控網絡安全事件危害程度值 | 1-3 | 4-5 | 6-8 |
生產企業網絡安全等級 | A級 | B級 | C級 |
云天化集團各企業工業控制安全防護級別劃分主要分為A、B、C三個等級:
C級:全面防護級。需要實現對全廠所有安全設備、網絡設備等的可監、可控、可防。是保障企業安全生產最低風險運行及監管合規高級要求的較高級別。
B級:重要防護級。全廠的縱深防護,對區域邊界、系統主機、計算環境、重要工藝裝置方面進行必要防護。是保障企業低風險運行及監管合規的中等級別;
A級:基礎防護級。主要對重要工藝裝置系統、辦公網和工控網的網絡隔離進行基礎防護,是較低級別。
C級系統須完全滿足防護要求子項中的所有A、B、C三類防護子項,B級系統須完全滿足防護要求子項中的所有A、B兩類防護子項,A級系統須完全滿足防護要求子項中的所有A類防護子項。
云天化集團各企業工業控制安全防護級別
工業控制系統等級 | 對應防護子項類別 | 防護子項數量 |
A級 | A類 | 58項 |
B級 | A類、B類 | 150項 |
C級 | A類、B類、C類 | 244項 |
4、 效益分析
云天化從全局出發,對集團工控安全進行合規化建設,構建集團工控系統資產動態管理以及監測預警體系,不僅取得了很好的項目應用效果,同時又高度契合黨中央決策部署,切實落實國資委對加強中央企業信息安全工作的指導意見的重要工作,滿足《網絡安全法》,《工控安全防護指南》,《工控安全行動計劃(2021-2023)》等相關法律法規,具有很大的經濟效益、社會效益。
(1)經濟效益:
· 降本增效
本項目建設覆蓋集團和13家下屬企業,通過運用大數據、人工智能、云計算等先進技術,建設網絡安全態勢、安全通報及應急處置平臺,為集團建立網絡安全運營管理體系,同步對所有工控系統相關的資產包括核心控制器、工業主機、應用軟件、交換機、安全設備等資產信息,建立全集團統一的工控系統資產動態管理體系,幫助集團強化資產過程監督,實現統一管控,較少的網絡信息安全、工控安全技術人員即可完成綜合防護任務,實現網絡安全的態勢可視指揮,提高網絡安全事件協同事件處置效率。項目建設后每家下屬企業信息安全團隊較原編制各少1人,集團公司較原來少3人,合計共減少了16人,有效解決集團信息安全專業人員缺乏、能力不足的問題,實現高效網絡安全運維,降低管理成本。
集團信息安全專業人員人均年薪24萬左右,項目建設完成后每年為集團節約成本384萬元,以建設后運行5年計,合計節約成本1920萬元。
· 降低網絡安全威脅帶來的經濟損失
隨著互聯網的不斷發展,網絡安全威脅已成為全球經濟最大風險。常見的漏洞攻擊、釣魚攻擊及APT攻擊等網絡攻擊行為可對集團及下屬企業造成業務中斷、信息盜取、敲詐勒索等直接經濟損失。
根據Identify Theft Research Center中心的數據顯示,與2021年同期相比,2022年的數據泄漏事件增長了14%,公用事業企業、醫療機構、金融服務公司、制造企業是黑客的首要攻擊目標。根據IBM Security發布的最新報告,平均一起數據泄露產生的損失達到 440 萬美元,同比增加了 2.6%,相比較 2020 年增加了 13%,刷新了歷史記錄。在 IBM 的調查報告中還分析了很多高損失的數據泄露事件,針對包括金融服務、工業、技術、能源、運輸、通信、健康醫療、教育和公共部門行業的關鍵基礎設施攻擊。這些數據泄露造成的損失平均在 480 萬美元之上,平均比非關鍵基礎設施的組織損失高出 100 萬美元。
云天化是化工領域的關鍵基礎設施,是黑客攻擊的重要目標。通過平臺建設,及時發現并消除網絡安全隱患,有效的降低網絡安全風險,保障企業生產的連續性和穩定性,以安全保發展,以發展促安全,幫助集團應對全球數字格局中復雜的網絡威脅場景,約為集團減少潛在的網絡安全威脅帶來的經濟損失480萬美元。
(2)社會效益:
· 為數字化轉型和創新發展保駕護航
本項目工業安全監測分析運營平臺部署為集團和企業兩級部署、集團和企業兩級應用模式,兩級均可實現不同管理級別的管理控制,同時流量數據本地分析,兩級結果可視化,為集團安全運營管理構建了一個全局的、實時的、可預測的主動感知與防御安全體系,全面提升了網絡安全感知能力和運營能力,實現對關鍵信息基礎設施的全生命周期管理,為企業數字化轉型和創新發展保駕護航。
· 推動化工行業網絡安全前沿性問題研究,促進高新技術轉化落地
本項目建設,基于網絡安全前沿性問題研究,著力以需求為導向、以應用為依據,打通在網絡安全技術、產品、服務等方面的產業化鏈條,培育安全內生發展生態。
· 充分挖掘數據價值,增強企業競爭力
通過匯總分析業務系統日志并進行深度挖掘,提供多維度統計報表,個性化數據呈現,深度挖掘數據價值。數據價值挖掘在未來重要性會越來越高,它已經成為了一種新的經濟資產,被看作是新世紀的礦產與石油,為整個社會帶來了全新的創業方向、商業模式和投資機會。組織和企業會更多的依靠數據分析而非經驗和直覺來制定決策。充分挖掘和使用數據的價值將為組織和企業帶來強大的競爭力。
云天化集團是云南省國資委直管的國有重要骨干企業,本項目作為云天化集團工控網絡安全能力建設的重點項目,做好工控系統的網絡安全工作,不僅取得可觀的經濟效益,推動安全技術的前沿研究,增強自身競爭力,還對全國化工行業、云南全省眾多企業將起到良好的示范帶動作用,加快數字化轉型的安全產品迭代和技術升級。
以合作延伸輻射帶動產業鏈整體提升,以企業數字化轉型作為原點,向同行業以及產業鏈上下游相關企業輸出相關技術和標準,助力制造業高質量發展。本次項目建設,整合了各板塊接口規范,孵化多項企業標準、行業標準;本項目制定企業標準規范填補了云南省化工行業工控安全防護企業標準的空白,對云天化集團及其他化工、石化行業的企業規范的建設具有指導意義,有利于提升國家及行業監管、企業管理的效率及水平;輻射帶動多領域形成工控安全監管能力。
北京市公安局海淀分局備案號:11010802023656號