某集团股份有限公司，是一家以PTA、聚酯和涤纶纤维制造为主业的大型股份制上市企业。公司现年生产加工能力居世界涤纶长丝企业产能和产量前列，该集团连续名列中国企业500强，是目前集团所在县级市唯一一家入围中国500强的企业，在企业发展前进过程中，公司还先后被认定为国家大型企业、国家重点高新技术企业，并获得全国“五一”劳动奖状、全国文明单位，全国模范劳动关系和谐企业等荣誉称号。

项目背景

近年来，该集团所在的地方政府提出聚焦“一业一网”打造“数字经济”的目标，在充分享受互联网带来的红利的背景下，该集团也在制造业转型升级之路上不断前行，希望通过打造“数字化制造”，用数字化转型为企业节能降耗、提质增效。目前该集团的智能制造还处于初级阶段，该集团打造的“数字化制造”，正是认识到实体经济拥抱互联网实现智能制造的重要性，通过全方位的智能制造，提升企业竞争力，为我国工业互联网化打造一个品牌示范。旨在推动该集团自动化、数字化、智能化、一体化的进一步升级，打造行业的“灯塔工程”，为我国化纤制造行业工业互联网化引领航向。

安全现状与风险分析

网络安全现状

目前，数字化工厂的初步规划已经显现，工业生产网的网络规划和拓扑已经整理出初步计划，规划网络拓扑如下图所示：

通过我司技术人员与该集团数字工厂相关负责人员沟通和现场调研了解到：该集团主厂区主要分为3个车间，共4条工艺产线，工业生产网核心交换机通过防火墙与办公网络相连，生产网核心交换机分别连接3个车间的汇聚交换机和外围动力站区域。各个车间聚酯汇聚交换机分别下联卷绕工艺交换机、聚酯DCS、立体库等；另外通过接入交换机连接数采服务器网关，进行相关数据的采集与汇总上传。

通信协议层面，现场数采节点到数采服务器之间运行的是OPC协议，下层服务器上传到上层服务器运行的是物联网协议MQTT。另外生产车间自动化设备多种多样，根据业务扩展性要求，需要支持ModBus TCP、IEC104等协议。

集团主厂区拥有工控主机200台左右，操作系统主要为Windows7、Windows10和Windows XP系统；数采网关服务器20台左右，主要为Linux系统。

该集团数字化工厂的工作正在逐步有序的进行推进，集团共有四十多个厂区，但是在推进工作的过程之中，在工业生产网络也逐渐发现了一些安全盲点问题。随着两化融合工作的不断深入，安全风险和安全需求正在逐渐的突显，具体情况分析如下：

网络架构风险

数字工厂的逐步建设，打破了各个车间原有的网络信息“孤岛”，打通了原来彼此互相独立的车间生产网络。虽然主厂区目前按照车间，在核心交换机上做了逻辑区域划分，但是各生产车间区域之间并没有做任何安全防护和访问控制措施。一旦其中一个车间区域发生网络安全问题产生横向渗透攻击，将导致全厂车间生产都遭受影响。

网络通信风险

整个主厂区工业生产网络中，缺乏对网络攻击的有效监测与审计措施。在数字工厂网络互联互通的情况下，网络管理人员如果不能及时发现攻击并采取有效防护措施，将无法对网络内部人员的行为和安全事件进行有效的监测与审计，可能会造成严重的生产损失。

终端主机风险

通过“现场访谈+实地调研”方式，发现厂区工控主机面临以下风险：

• 工控主机USB端口使用缺少有效审计和管控措施；

• 存在网内的病毒横向渗透传播现象，众多上位机“带毒”运行；
• 部分工控主机安装的传统杀毒软件，病毒库老旧，无法及时更新，存在对工控协议“误杀”、“误拦”的情况，并且占用系统内存、CPU资源较高，严重影响生产系统的正常运行；
• 开放高风险端口，例如445端口，存在巨大安全隐患；同时存在弱口令问题，结合高风险服务和端口的开放，存在被暴力渗透的风险。

统一运维风险

集团主厂区的3个车间物理位置分散，且IT信息中心管理人员数量有限。随着各个业务系统上线运行和安全防护设备的增加，如果没有集中安全管理中心，管理人员点状、分散型处理遇到的问题将会大大降低工作效率，无法发挥整体安全防护系统的最大作用。

项目建设需求

边界访问控制需求

主厂区不同安全车间之间需要有相应的防护措施，不同工艺流程需要根据业务特点划分安全域。在核心交换机到一期聚酯汇聚交换机、3期聚酯汇聚交换机、CP1聚酯汇聚交换机之间，需要部署工业防火墙实现安全防护和访问控制；同时工业防火墙需要从硬件层面和网络实施过程中保证业务对连续性和高可用性需求。

网络威胁检测需求

此次项目触发点为集团主厂区生产网内发生大规模主机中毒蓝屏现象，严重影响了业务正常投产开车。在威努特技术人员配合现场工作人员处理完终端工控主机自身的病毒后，发现在网内仍然存在病毒传播现象。所以在实现安全防护建设的同时加强网络中高级威胁的攻击是亟需解决的痛点问题。

主机综合防护需求

主厂区网络中的工控机多数使用Windows操作系统和部分Linux系统，需要满足病毒防范、主机安全基线加固和移动介质管控。其中病毒防范更多是抵御未知病毒和木马对工控主机的感染和扩散；主机安全基线加固要实现不必要端口和服务的关闭以及弱口令等高危风险的消除，同时需要开启响应的审核策略；移动介质管控需要通过技术手段实现对U盘、光驱和无线网卡的管控，实现工业主机接口层面的非法内联和外联。

集团统一管控需求

数字化工厂的建设涉及整个集团的四十几家工厂，随着数字化工厂的进度推进，伴随着工控安全建设也越来越大，管理人员除了需要协调各个安全系统之间的策略配置之外，还要面对数量巨大、彼此割裂的安全日志和事件信息，这将使管理人员力不从心，导致工控出现问题时得不到及时排查，影响各个厂区生产。集团侧需通过建设安全管理中心对控制网络中的边界隔离、网络监测、主机防护等安全产品进行集中管理，实现对全网中各安全设备、系统及主机的统一配置、全面监控、实时告警、流量分析等，降低运维成本、提高事件响应效率。

解决方案

由于客户环境中工控主机品牌多、类别多、数量多，客户着重关注在主机防护和加固需求层面的兼容性问题，并组织了多家厂商进行安全产品的POC测试，我司积极响应客户需求，在顺利完成工控主机卫士POC测试的同时，协助客户梳理现场网络风险和资产梳理，基于现场网络的安全现状并结合GB/T 22239-2019 《信息安全技术网络安全等级保护基本要求》和《工业控制系统信息网络安全防护指南》中的技术要求，为客户提出定制化的安全解决方案，良好的产品测试效果和专业的技术能力得到客户高度认可，在众多友商中脱颖而出。

整体解决方案基于“白名单”机制的生产调度系统网络安全“白环境”纵深防御技术路线，构建工控系统 “三化六防”的技术体系。通过对工控网络流量、工控主机状态等进行监控，收集并分析工控网络数据及软件运行状态，建立工控系统正常工作环境下的安全状态基线和模型，进而构筑生产调度系统的网络安全“白环境”，确保：

• 只有可信任的设备，才能接入工控网络；

• 只有可信任的消息，才能在工控网络上传输；

• 只有可信任的软件，才允许被执行。

工控安全建设方案设计如下图所示：

边界访问控制

在生产网的核心交换机与一期聚酯汇聚交换机、3期聚酯汇聚交换机、CP1聚酯汇聚交换机之间部署专业的工业防火墙，配置OPC等工业协议白名单的通讯策略，工业防火墙硬件采用密闭无风扇和全电口bypass的设计，结合“三重固化+三种工作模式”的机制在保证对业务正常运行无影响的基础上实现从访问到指令乃至工艺的全方位最小化的安全隔离防护。  

网络威胁检测

除了正常的区域边界和终端工控主机的安全防护外，此项目计划，后期将在网络核心节点处旁路部署高级威胁检测系统，开启入侵检测策略，对扫描探测、入侵攻击、SQL注入攻击、DoS&DDoS攻击、中间人劫持攻击等行为进行检测；开启未知威胁检测策略，基于威胁情报数据和沙箱行为模式匹配技术，深度检测所有可疑网络活动的高级持续性威胁（APT），进一步提升生产调度系统各关键网络边界的防护检测能力。

主机综合防护

针对该集团主生产厂区的实际情况，在各条产线的上位机和数采服务器上部署工控主机卫士软件，通过“四重锁定+两个中心”构建工业主机安全计算环境，开启文件白名单控制功能，实现对病毒和恶意代码的防范；开启安全基线加固功能，提升主机操作系统安全防护等级；开启移动介质管控功能，降低通过 USB 移动介质引入病毒的风险；开启漏洞防护功能，以虚拟补丁的技术实现流行病毒利用的常见漏洞防护（如：震网病毒漏洞、永恒之蓝漏洞和永恒之黑漏洞等），综合以上技术能力构建主机业务安全运行最小化环境。

集团统一管控

项目前期，在各个物理隔离的厂区生产网内设置安全管理区域，在生产网的核心交换机旁路部署统一安全管理平台，采用私有加密方式实现安全设备的管理，同时全面记录工业网络中的主机安全日志、网络异常攻击监测日志、网络攻击防护日志、工业网络会话信息，攻击发生时的原始报文信息，便于安全事件分析和调查取证，提高管理人员的日常管理与维护效率，减轻运维工作量。在整个数字化工厂建设后期，集团所属工厂统一进行网络规划，届时将通过集团对所有下属工厂的工控安全进行统一有效的安全管控。  

客户价值

• 企业自身效益

目前集团已开展包括主厂区在内的十家厂区进行了数字化平台建设的生产系统工控安全防护工作，后续将在集团下属的几十家厂区逐步展开工业控制系统的安全防护工作。其他厂区将根据自身业务发展需要和实际的网络架构，针对性的结合生产系统和数采节点，构建以环境为技术核心的纵深防御技术体系，为数字化工厂提供可靠的安全保障。

• 社会正面效益

集团通过智能制造数字化平台围绕泛在连接、高效承载、智能融合、价值转化关键能力要素要求进行建设，通过科学的架构支撑企业，赋能行业。一方面，面向集团内部，重点解决企业数字化运营中亟待解决的数据采集、数据贯通等基础的安全问题，从而有效降低生产成本，提升生产率，辅助公司指挥运营；另一方面，面向整个化纤行业，实现上下游数据贯通，从而提升上下游企业协同能力，构建行业平台与应用标杆。

集团作为积极推进智能制造和数字化改造的行业典范，目前已经实现从纺丝、落筒、包装到仓储的全流程自动化，打通了生产过程中的各业务环节，让管理更便捷、品质更优良、生产更稳定、成本更可控，一个个“未来工厂”，正在集团从梦想走向现实。

威努特简介

北京威努特技术有限公司（以下简称“威努特”）， 是国内工控网络安全领军企业、全球六家荣获国际自动化协会安全合规学会ISASecure CRT Tool认证企业之一和亚太地区唯一国际自动化学会（ISA）全球网络安全联盟(GCA)创始成员。

威努特作为国家高新技术企业，以创新的“白环境”整体解决方案为核心，自主研发了全系列工控网络安全专用产品，拥有64项发明专利、64项软件著作权、70项原创漏洞证明等核心知识产权。积极牵头和参与工控网络安全领域国家、行业标准制定，受邀出色完成新中国70周年庆典、中共十九大、两会等重大活动的网络安保任务，被授予“国家重大活动网络安保技术支持单位”，得到了中央网信办、公安部、工信部等国家政府部门的高度认可。迄今已成功为电力、轨道交通、石油石化、军工、烟草、市政、智能制造、冶金等国家重要行业1000多家工业企业提供了全面有效的安全保障。

威努特始终以“专注工控，捍卫安全”为使命，致力于为我国关键信息基础设施网络空间安全保驾护航！

 

渠道合作咨询   张先生 18201311186

稿件合作   微信:shushu12121

本文始发于微信公众号（威努特工控安全）：案例精选丨威努特助力化纤制造企业数字化转型完美收官