面对严峻的信息安全环境，我国高度重视生产监控系统信息安全相关工作的建设和发展水平，由各相关部门陆续出台相关政策和文件，强化顶层设计，对工控信息安全防护工作进行监督和指导。

某铝业公司作为铝行业绿色发展的企业，准备通过开展智能集控中心建设，加快企业信息化和工业化深度融合，推进智能制造向数字化、网络化、智能化发展，培育新动能、增强竞争新优势，实现企业高质量发展。天地和兴在智能集控中心建设时同步完善网络安全防护能力、建立安全运营模式，来保证业务稳定运行，助力铝业公司的操作标准化、运营数据化、生产智能化迈上新台阶。

天地和兴按照国家和工控行业相关网络安全防护的政策与网络安全标准要求，针对冶金企业生产控制技术发展，全面评估生产网络情况、业务系统、控制系统及现场设备可能存在的网络安全风险，并形成分析报告，围绕企业技改与网络安全运营发展规划，利用当前先进的网络安全防护理念、技术与产品，分期设计与建设纵深立体的网络安全防护体系，辅助企业建立网络安全监测、通报预警与联动处置机制，为综合安全防护能力提供技术支撑，为铝业公司智能集控中心安全生产保驾护航。

网络安全风险分析

1、非法接入风险

非法接入风险主要存在于生产控制系统等网络接入设备。攻击者可能利用这些端口获取到对现场PLC设备或服务器的网络访问途径，进而威胁部分或者整个生产控制系统。

2、工控协议漏洞风险

 “两化”融合的促进了工控系统与IT系统的互联需求，工业互联网生产控制系统逐步采用通用协议或已经广泛应用的工业协议传输数据。然而工控协议形成之初更多考虑业务通信的有效性与稳定性，未考虑通信的安全性，导致现在在通信过程中暴露了很多协议漏洞风险，攻击者可能通过数据监听、协议解析与劫持技术，篡改通信数据、控制命令，可直接威胁企业生产控制系统的正常运行。

3、明文数据传输风险

生产控制系统中的业务数据以明文的形式传输，缺乏必要的安全防护措施，其机密性和完整性无法得到保证。其生产数据在采集、传输、存储和应用环节都有可能被侵入网络和设备的攻击者轻松获得、更改，引起严重事故，造成不可估量的损失。

4、工控系统软件风险

生产控制系统在建设过程中，主要考虑可靠性，很少部署采取安全加固措施的定制系统，而是较多选择通用软、硬件产品，这样做虽然大大降低了设计和建设上的成本，但同时也带来了潜在的风险，如近年来曝光的工控配套软件存在的漏洞、后门，默认账户不做处理，使用过程中采用弱口令导致系统权限易被获取等，为整个系统带来显著的脆弱性。

5、工控网络结构脆弱性风险

生产控制系统各子网之间缺乏必要的隔离措施，上层设备对下层缺乏身份鉴别机制，一旦局部控制网络被病毒感染，容易迅速蔓延到整个生产控制网络，造成“一点突破，全网皆失”，严重威胁正常管线数据及控制指令的传输。

6、工控从业人员风险

生产控制系统的操作、运营、维护人员都是自动化出身，注重安全生产环节内容，缺乏网络安全风险意识，上岗时未参加专门的工控安全培训，网络安全意识与安全技能不足，警惕性不高，对工控系统网络安全隐患可能导致的后果缺乏足够认识，从而导致很多越权操作、违规操作的行为，给安全生产带来诸多隐患。

7、移动设备接入管理风险

没有达到一定安全基线的便携式计算机接入工控系统，容易对生产网络造成安全威胁。此外，交叉使用U盘、光盘等移动存储介质容易导致病毒传播问题，将外界的不安全因素带入到生产控制系统内部。

8、安全管理中心风险分析

信息安全的构建是一个系统工程，目前企业安全防护的系统性、结构性不强，与工控系统业务的耦合度不够。故需要对工控系统的各个环节进行统一的综合考虑、规划和构架，并随时兼顾系统内外的变化情况。此外，整个工控系统信息安全运行状态工控手段薄弱，缺乏有效的网络感知能力，在日益严峻的安全形势下，需要弥补的方面尚有很多；目前整个系统也未形成全局性网络安全态势感知能力和安全事件处理能力，缺乏有效的全景可视化能力。

智能集控中心采用工业云虚拟化方案进行智能集控计算资源基础建设，由工业云虚拟出用于工业控制系统及数据采集的各种虚拟机。工业控制系统种类分级，工业云分为现场控制资源层和过程监控资源层，各层之间使用网闸进行隔离。现场控制资源层各种现场设备及控制终端，过程监控资源层对接办公网络中的各种生产管理系统。

1、统一安全监管

建立安全专网，将SSL VPN、日志审计系统、账号管理及运维审计系统、工业漏洞扫描系统通过安全专网管理交换机和防火墙后与用户办公网交换机进行连接，并通过旁路管理口将所有安全设备接入至安全监管平台进行统一管理。

天地和兴安全监管平台能够从资产、脆弱性、威胁和攻击等多个视角全面分析工控网络系统安全态势。采用安全可视化技术，直观呈现全网拓扑视图、告警趋势、故障告警、实时告警和资产比例等全面的工控系统安全态势，为运维人员提供友好易读的安全监控界面，提升安全运维工作效率。

2、精细化安全边界管控

在办公网和用户外联网络之间部署天地和兴第二代防火墙，实现用户网络到外部网络之间的区域隔离，根据源与目标IP之间的业务访问需求，配置最小化访问控制策略。

天地和兴第二代防火墙支持基于接口的虚拟线路，网络管理员可以规定每个线路的带宽，作为流控的基准。在虚拟线路下，最多可支持 4 级通道的设定，满足网络管理员对不同部门及其下级机构设置具有层级关系的流量控制策略。

天地和兴第二代防火墙能够针对用户认证进行基于多元组的访问控制策略，对于应用进行细粒度的上网行为管控，实现基于用户、位置、时间、应用、行为、内容等 6 个维度的精细化审计。

在监控网、办公网、工控网之间部署工控防火墙，进行基于“白名单”的智能化访问控制。天地和兴的工控防火墙在功能上除具备通用防火墙的部分通用协议的应用层过滤能力意外，还具有对工业控制协议应用层的过滤能力，在性能上比通用防火墙具有更高的环境适应能力，能够适应工业环境对控制命令执行的实时性要求。而且具备白名单策略智能学习功能，能够在用户现场快速部署，并且跟随业务系统进行快速更新。

在虚拟化各资源层、办公网之间部署网闸，工业网闸采用“2+1”架构设计，即：内网主机、外网主机、数据摆渡部件组成，支持工控领域常见的OPC/MODBUS/WINCC等主流工控协议，具有物理隔离、访问控制、协议隔离、应用隔离、风险隔离等安全隔离功能，具有文件、数据库同步、视频数据的安全交换能力，保证双网数据安全同步。

3、安全可审计的运维管控

通过部署SSL VPN、账号管理及运维审计系统，能够远程管理工业控制网络中主机设备、安全设备、服务器、数据库系统的远程，进行统一管理和操作、处理和关联分析，帮助一线管理人员安全可靠的管理生产设备。

天地和兴的账号管理及运维审计系统能够加强对工业企业操作维护人员的访问控制与审计，防止非授权用户访问操作，从而有效避免工业企业运维人员违规操作，保障工业企业网络安全。

天地和兴的账号管理及运维审计系统支持多种认证方式，结合套件功能可以快速实现业务系统的双因子认证和单点登录，在保证运维安全性的同时也提高了运维效率。

4、灵活的终端安全管控

在工业控制终端部署主机安全防护，其特殊的白名单的主动防御机制，能够以占用更小的系统计算资源，实现最大的防护效能。在工业终端不外联网的情况下，有效的实现主机防病毒、第三方软件的非授权安装与使用，主机系统外接口的管控，USB 外接存储设备的认证管控、防病毒与操作行为审计，为主机系统安全运行提供必要的安全保障。

同时配合USB安全隔离系统，对USB存储设备上的文件进行病毒查杀；采用先进的软件“白名单”防护机制，对USB存储设备上的文件进行过滤；有效防范已知恶意病毒，阻止各类未知恶意软件对可信计算机带来的威胁。保证USB存储设备上的数据安全、完整、快速的传输到可信计算机。

5、完善的感知系统

主动防御需要在入侵行为对信息系统发生影响之前，能够及时精准预警，实时构建弹性防御体系，避免、转移、降低信息系统面临的风险。天地和兴科技基于对高级恶意威胁的深刻理解，帮助用户建立了针对 APT 攻击检测和防御的整体主动防御解决方案。

通过部署日志审计系统，能够实时将网络设备、安全设备、服务器、数据库系统的日志信息，进行统一地收集、处理和关联分析，帮助一线管理人员从海量日志中迅速、精准地识别安全事件，及时对安全事件进行追溯或干预，满足国家标准规范中关于日志审计的相关要求。

通过部署工业漏洞扫描系统，通对办公网、工业网的服务器及管理设备和主机进行漏洞扫描，做威胁分析。

最终利用安全感知系统，结合交换机的全流量威胁分析及其他安全设备的异常告警感知，实现对安全事件精准预警，将安全防御逐渐由被动防御向主动防御转变。