1.1 項目背景

　　隨著榆林能源化工廠生產業(yè)務規(guī)模的不斷擴大，工業(yè)信息化的需求也越來越迫切。工業(yè)信息化的發(fā)展不僅僅是信息化網絡的擴建，工業(yè)信息安全建設也是信息化建設中至關重要的一方面，信息安全是信息化網絡和工業(yè)化網絡安全可靠運行的保障。因此，針對榆林能源化工有限公司這樣一個標桿性企業(yè)來說，工業(yè)信息安全建設具有十分重要的意義。

然而，榆林能源化工廠工業(yè)控制網絡的安全現(xiàn)狀存在如下安全隱患：

　　生產網和辦公網無網絡隔離裝置，辦公網隨意進出生產網，互聯(lián)網可以辦公網為跳板入侵生產網；

　　各工作站之間無隔離措施，某工作站遭病毒入侵受控后在工作站之間“串染”；

　　廠級服務器上無安全防護措施，辦公網隨意訪問，對服務器造成巨大威脅；

　　未對生產現(xiàn)場的工程師站、操作員站進行保護，工程師站、操作員站可對生產系統(tǒng)任意指令下發(fā)；

　　整個生產控制網絡未建立安全審計監(jiān)控平臺，出現(xiàn)安全問題不能及時定位問題原因和解決問題。

1.2 解決方案

　　在生產系統(tǒng)各區(qū)域出口處和服務器出口各部署一套威努特可信區(qū)域網關，生產網和辦公網之間部署一臺可信邊界網關，在各工作站的操作員站、工程師站主機上和服務器上部署威努特可信衛(wèi)士，生產網核心交換旁路部署威努特工控安全監(jiān)測與審計系統(tǒng)和威努特工控安全統(tǒng)一管理平臺，部署示意圖及現(xiàn)場施工圖如下：

　　該方案具有以下特點：

　　在生產網和辦公網之間部署可信邊界網關做訪問控制、病毒木馬防護；有效隔離服務器和生產現(xiàn)場，保護服務器的生產數(shù)據，隔離來自辦公網的病毒侵擾；

　　生產網每個工作站出口部署可信區(qū)域網關，隔離各個工作站生產安全，防止惡意病毒木馬在工作站之間“串染”；

　　在主機上部署可信衛(wèi)士，保護服務器免受外界利用系統(tǒng)漏洞非法讀寫數(shù)據的侵害，有效阻斷工程師站和操作員站上對生產控制系統(tǒng)的惡意指令下發(fā)和主機自身保護；

　　實時掌握系統(tǒng)中所有主機的是否有安全隱患，通過可信衛(wèi)士對主機的運行狀態(tài)進行監(jiān)控和掃描，檢查是否存在安全隱患，是否有系統(tǒng)補丁未完全修復；

　　對于全網用戶的訪問行為和操作行為需要做實時的記錄，為事后審計和事件定位提供依據，并定位和追溯事件源，協(xié)助管理員快速解決安全事件；

　　在安全防護設備部署相對完善后，為了降低企業(yè)的運維成本和管理統(tǒng)一性，在二層PMCC網絡部署工控網絡統(tǒng)一安全管理平臺，對工控網絡中的重要的應用系統(tǒng)、網絡設備、安全設備的日志信息進行統(tǒng)一管理、統(tǒng)一分析，并通過對收集上來的日志進行關聯(lián)分析得出整個工控網絡的安全態(tài)勢，從而發(fā)現(xiàn)網絡潛在威脅。

1.3　客戶價值

　　通過日志看到威努特可信邊界防火墻多次阻斷了來自辦公網的病毒威脅，有效保護生產控制網絡的安全；

　　為事中事后審計提供完整的事件呈現(xiàn)；

　　統(tǒng)一管理整個生產控制系統(tǒng)設備，節(jié)省客戶人力；

　　降低網絡運維人員故障處理壓力；

　　幫助客戶實現(xiàn)工業(yè)控制系統(tǒng)安全保全工作，提升企業(yè)整體安全生產能力和業(yè)務整體競爭力；