1.1 項目背景

　　隨著榆林能源化工廠生產(chǎn)業(yè)務規(guī)模的不斷擴大，工業(yè)信息化的需求也越來越迫切。工業(yè)信息化的發(fā)展不僅僅是信息化網(wǎng)絡的擴建，工業(yè)信息安全建設也是信息化建設中至關(guān)重要的一方面，信息安全是信息化網(wǎng)絡和工業(yè)化網(wǎng)絡安全可靠運行的保障。因此，針對榆林能源化工有限公司這樣一個標桿性企業(yè)來說，工業(yè)信息安全建設具有十分重要的意義。

然而，榆林能源化工廠工業(yè)控制網(wǎng)絡的安全現(xiàn)狀存在如下安全隱患：

　　生產(chǎn)網(wǎng)和辦公網(wǎng)無網(wǎng)絡隔離裝置，辦公網(wǎng)隨意進出生產(chǎn)網(wǎng)，互聯(lián)網(wǎng)可以辦公網(wǎng)為跳板入侵生產(chǎn)網(wǎng)；

　　各工作站之間無隔離措施，某工作站遭病毒入侵受控后在工作站之間“串染”；

　　廠級服務器上無安全防護措施，辦公網(wǎng)隨意訪問，對服務器造成巨大威脅；

　　未對生產(chǎn)現(xiàn)場的工程師站、操作員站進行保護，工程師站、操作員站可對生產(chǎn)系統(tǒng)任意指令下發(fā)；

　　整個生產(chǎn)控制網(wǎng)絡未建立安全審計監(jiān)控平臺，出現(xiàn)安全問題不能及時定位問題原因和解決問題。

1.2 解決方案

　　在生產(chǎn)系統(tǒng)各區(qū)域出口處和服務器出口各部署一套威努特可信區(qū)域網(wǎng)關(guān)，生產(chǎn)網(wǎng)和辦公網(wǎng)之間部署一臺可信邊界網(wǎng)關(guān)，在各工作站的操作員站、工程師站主機上和服務器上部署威努特可信衛(wèi)士，生產(chǎn)網(wǎng)核心交換旁路部署威努特工控安全監(jiān)測與審計系統(tǒng)和威努特工控安全統(tǒng)一管理平臺，部署示意圖及現(xiàn)場施工圖如下：

　　該方案具有以下特點：

　　在生產(chǎn)網(wǎng)和辦公網(wǎng)之間部署可信邊界網(wǎng)關(guān)做訪問控制、病毒木馬防護；有效隔離服務器和生產(chǎn)現(xiàn)場，保護服務器的生產(chǎn)數(shù)據(jù)，隔離來自辦公網(wǎng)的病毒侵擾；

　　生產(chǎn)網(wǎng)每個工作站出口部署可信區(qū)域網(wǎng)關(guān)，隔離各個工作站生產(chǎn)安全，防止惡意病毒木馬在工作站之間“串染”；

　　在主機上部署可信衛(wèi)士，保護服務器免受外界利用系統(tǒng)漏洞非法讀寫數(shù)據(jù)的侵害，有效阻斷工程師站和操作員站上對生產(chǎn)控制系統(tǒng)的惡意指令下發(fā)和主機自身保護；

　　實時掌握系統(tǒng)中所有主機的是否有安全隱患，通過可信衛(wèi)士對主機的運行狀態(tài)進行監(jiān)控和掃描，檢查是否存在安全隱患，是否有系統(tǒng)補丁未完全修復；

　　對于全網(wǎng)用戶的訪問行為和操作行為需要做實時的記錄，為事后審計和事件定位提供依據(jù)，并定位和追溯事件源，協(xié)助管理員快速解決安全事件；

　　在安全防護設備部署相對完善后，為了降低企業(yè)的運維成本和管理統(tǒng)一性，在二層PMCC網(wǎng)絡部署工控網(wǎng)絡統(tǒng)一安全管理平臺，對工控網(wǎng)絡中的重要的應用系統(tǒng)、網(wǎng)絡設備、安全設備的日志信息進行統(tǒng)一管理、統(tǒng)一分析，并通過對收集上來的日志進行關(guān)聯(lián)分析得出整個工控網(wǎng)絡的安全態(tài)勢，從而發(fā)現(xiàn)網(wǎng)絡潛在威脅。

1.3　客戶價值

　　通過日志看到威努特可信邊界防火墻多次阻斷了來自辦公網(wǎng)的病毒威脅，有效保護生產(chǎn)控制網(wǎng)絡的安全；

　　為事中事后審計提供完整的事件呈現(xiàn)；

　　統(tǒng)一管理整個生產(chǎn)控制系統(tǒng)設備，節(jié)省客戶人力；

　　降低網(wǎng)絡運維人員故障處理壓力；

　　幫助客戶實現(xiàn)工業(yè)控制系統(tǒng)安全保全工作，提升企業(yè)整體安全生產(chǎn)能力和業(yè)務整體競爭力；