案例精选丨新能源材料企业工控安全建设方案

01

背景介绍

某新能源材料公司是专业的锂电池新能源材料综合服务商，属于国家战略性新兴产业中的新材料、新能源领域，其自主开发的高电压四氧化三钴、高镍NCM、NCA等核心产品成功跻身中国、欧美、日韩地区世界500强企业高端供应链，被广泛应用于3C数码、动力领域及储能领域。目前该公司已投产使用的全产线高度自动化、智能化、集成化，车间整体的智能管控和智能化系统，让生产、物流管理、技术开发及工艺管控更加高效、准确、便捷。

图1：中控室业务监控大屏

 

02

网络现状及风险分析

随着计算机网络技术的引入，在提高生产效率的同时现场自动化系统所面临的工控安全问题也越来越突出，现场工控网络拓扑如下：

图2：现场网络拓扑示意图

网络安全风险：

• 网络安全区域边界划分不清晰、隔离措施缺失

现场数据采集服务器通过双网卡的方式实现中控室、服务器区、生产环网的互联互通，工控系统各子系统之间未进行安全分区，系统边界不清楚，边界访问控制策略缺失，存在单点网络事件扩散全网的风险；

• 通信网络缺乏监测手段、定位溯源难

目前现场网络中无流量审计监测技术工具，对网络安全入侵看不见、摸不清，定位和溯源仅基于人工经验进行排查，导致排障速度慢，调查取证难；

• 工控主机安全配置缺失、防护能力薄弱

现场采用西门子PCS控制系统，上位机采用Windows操作系统（Win10操作系统为主，含部分Win7操作系统），对生产连续性和工艺保密性要求高。但是工控主机无安全防护、外设管控和基线加固等技术措施，同时现场操作系统补丁更新难度大，存在病毒感染工控主机扩散和数据外泄风险；

• 运维管理依赖制度、缺乏技术抓手

“重建设、轻运维”的思想在工业企业中比较普遍，自动化和网络安全对外部运维依赖性大，工程师站等重要生产管理站点存在经常外联互联网的情况。

03

技术方案

为消除客户现场所面临的安全风险，参照GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》和《工业控制系统信息安全防护指南》的标准政策要求，威努特从安全评估、方案设计、安全建设、安全运维、安全培训等五个方面进行某新能源材料公司工控安全建设，构建工控网络安全运营体系：

方案设计目标是构建基于“白环境” 的 “纵深安全防护技术体系”，遵循 “一个中心，三重防护”的技术路线，以安全管理中心作为整个安全的中枢，构建集中管理和态势感知的能力，同时以安全通信网络为纽带，优化基础网络架构，分区分域，从而收缩网络攻击面。以安全区域边界为依托，以访问控制为基础，增强已知和未知攻击的防范能力，通过技术手段来强化纵深防御，实现对威胁的深度检测和及时响应，防患于未然。最终以安全计算环境为重心，以白名单技术为依托，以基于标记的强制访问控制作为技术核心，改进业务风险管控，加强计算环境层面的动态防护。

整体安全规划设计如下图所示：

图3：整体网络安全规划示意图

生产控制网的分区分域与隔离

根据生产控制网络的特点，明确划分生产网的服务器区、控制系统上位机和生产环网的边界，通过部署工业防火墙并设置基于S7、OPC工控协议指令级防护白名单，构建边界防护体系，阻断与生产无关的工业协议指令和其他非法通讯，实现对生产控制网络的重点防护；

现场实施效果展示：

图4：OPC协议不符合规约防护与告警

生产控制网安全风险监控

完成边界防护的同时还需加强对生产控制系统内部、外部网络环境进行实时监测。在生产核心网络内旁路部署工控安全监测与审计系统，对通信报文采集与深度解析，利用人工智能算法自学习建立工控通信行为模型基线，有效实现全厂设备的在线监测、异常流量发现、组态变更审计、误操作告警、通信可视化，方便运维人员掌握全厂生产控制系统的状态。

工控主机和数据的安全防护

针对主机病毒程序，采用工控主机卫士的“程序白名单”技术进行防护，将业务必须的程序加入白名单库，阻断白名单库之外所有程序，建立主动防御措施，有效防止已知、未知病毒的运行和破坏；通过工控主机卫士的“网络白名单”技术接管主机入站规则，建立“程序+端口”实现最小化网络安全访问。通过“非法外联检测”技术实现对现场工控主机私自连接外部网络的行为进行检测，为管理员优化防护策略提供技术依据；通过工控主机卫士“外设管控”技术关闭光驱、无线网卡及普通U盘、蓝牙等，其次通过安全U盘对数据进行安全加密，结合主机卫士对安全U盘标识注册功能，从根本上切断数据非法传输途径。结合以上技术手段从源头上解决恶意代码进入生产内网和数据安全传输的问题。

现场实施效果展示：

图5：程序白名单库

图6：非法外联检测

图7：移动介质安全管控

安全管理中心的建设

通过统一安全管理平台实现对安全产品集中管控，及时根据网络入侵和病毒传播情况对安全策略进行精准调控和一键下发，实现快速响应，通过对安全设备、网络设备、主机、业务系统等信息收集，对各种日志标准范化处理进而关联分析，输出各种维度分析报表，为管理员优化管理措施、完善应急方案提供可靠的数据支撑；通过工业互联防火墙的SSL VPN模块实现运维人员身份认证和数据传输加密，结合安全运维管理系统实现第三方人员的运维权限划分、授权和运维行为的审计。

现场实施效果展示：

图8：资产台账及漏洞风险可视化

图9：网络安全态势可视化

基于规范的制度流程和运营工具，客户工控安全运营部门可以根据每日、每周工控安全报表情况，及时调整现场安全防护设备的安全策略，优化制度流程，客户工控网络安全情况也在一段时间的运营后，由“良”变“优”。

04

客户价值

通过威努特对工控安全“白环境”纵深防御技术体系的构建，客户工控网络安全整体符合国家相关政策和标准要求，满足合规性要求，工控安全建设成效显著。

• 建立试点示范标杆
  
  

在工控安全建设方面实现了试点建设效果，积累了工控安全建设经验，为其他车间的厂区建设提供了思路。

• 消除安全隐患

有效管控了车间的病毒问题、U盘使用问题和工控安全状况不可知不可控的问题。

• 建设人才梯队

工控安全的实施过程中，相关人员与工控安全厂家一起进行项目实施和过程梳理，建立了基本的工控安全思路和安全运维常识。

• 提升生产效率

安全性提升，减少了因安全事件导致的停机时间，提升了生产效率。

在服务过程中，威努特协助客户组建网络安全专家和自动化专家为核心的安全运营专家团队，通过威努特安全专家团队的培训、认证及能力拓展，安全运营专家团队实现了自身安全运营能力的持续提高，形成了更加贴合自身需求的管理模式和技术标准，为后续在集团其他厂区的工控安全推广建设奠定了坚实的基础。 

发布会预告

本文始发于微信公众号（威努特工控安全）：案例精选丨新能源材料企业工控安全建设方案