某仪表计量检测中心工业控制系统网络安全建设案例
为贯彻《工业控制系统网络安全防护指南》、落实“十四五”规划纲要“统筹发展和安全”等政策要求,充分发挥先进典型的引领示范作用,工业控制系统信息安全产业联盟举办了2023年工业安全系统典型应用案例征集遴选活动。3499cc拉斯维加斯申报的“某仪表计量检测中心工业控制系统网络安全建设案例”成功入选。
2023年工业安全系统典型应用示范案例入选名单公示
某仪表计量检测中心工业控制系统网络安全建设案例
项目简介
近年来在巨大利益的驱使下,DCS生产控制系统已成为被研究和攻击的重点目标。由于当前DCS控制系统与多厂商多设备对接,且系统设备分布在各个区域,网络结构复杂,现有的防护措施难以应对越来越复杂的攻击行为。某军工类集团公司仪表计量检测中心两条生产线的DCS控制系统,目前均未采取安全防护措施,急需全面提升DCS生产控制系统的网络安全防护等级。
3499cc拉斯维加斯结合客户集团公司的网络安全现状,确定安全建设需求,提出了加强“监测预警系统”、“应急响应手段”、“工业互联网安全态势感知平台”、“信息系统等级保护建设”的综合防护方案,全面提升集团的工控网络安全保护及整网安全能力,并为集团建立了一个完善的信息安全预防、监测、防御和响应的纵深防御的安全体系。
项目目标
根据集团网络安全所面临的风险及特点,以保障集团生产线安全稳定运行为核心,本项目主要达成以下几方面目标:
风险可控:
管理人员对目前生产内网所存在风险能够精确掌握。
安全融合:
新上线安全设备及软件与现有生产环境兼容,在不影响正常业务的情况下,全面保障集团生产运行。
区域隔离:
对生产网(车间接入)和办公网边界进行隔离,确保办公网对生产网访问的安全性。
通报预警:
技术人员对生产网中入侵、异常行为能够及时发现,对现场设备进行深度防护。
运行监测:
管理人员、技术人员对整个工控系统各类设备运行状况、安全状况能实现统一管理。
项目设计思路
依据等保2.0最新要求和集团工业控制系统安全防护策略,方案整体拓扑图如下:
根据前期客户交流,本次项目方案整体按照等保要求,从建立分区分域控制体系,构建纵深防御体系两个方面出发,全面建设集团仪表计量检测中心两条生产线DCS控制系统网络安全防护体系,在满足合规要求的同时,达到整体网络安全态势可视的目标。
构建分域的安全控制体系
方案在总体架构上按照区域边界保护思路进行,将仪表计量检测中心工控系统和外部系统从结构上划分为不同的安全区域,以安全区域为单位进行安全防御技术措施的建设,从而构成了分域的安全控制体系。
构建纵深的监测防御体系
技术方面,首先建设集团工控系统安全管理中心,从安全通信网络、安全区域边界、安全计算环境三个维度进行安全技术和措施的设计,保证业务应用的可用性、完整性和保密性保护;其次,联动安全设备。在充分考虑各种技术的组合和功能的互补性后,对确认的重大威胁或攻击进行联动防护,为DCS控制系统提供多重安全措施的综合防护能力,从外到内形成纵深的安全防御体系,保障系统整体的安全保护能力。
保证统一的安全保护强度
根据等保2.0合规要求,项目方案采用分级的办法,对于同一安全等级系统采取强度一致的安全措施,并采取统一的防护策略,使各安全措施在作用和功能上相互补充,形成动态的防护体系。
价值成效
结合工业威胁情报为安全告警提供溯源分析和问题定位
通过基于安全大数据分析的企业级工业互联网安全态势感知平台建设,实现以威胁情报中心为信息源,主动掌握攻击方最新活动轨迹及攻击手段的能力。平台可全程跟踪安全事件及漏洞,将被动挨打转化为主动出击;依托强大的安全大数据处理能力,对公司全网进行快速排查与分析,第一时间掌握企业安全态势,做到全局把控,避免出现攻击事件突发情况,从企业内部解决安全隐患。
满足工控安全合规性要求
企业希望在进行工控安全综合防护能力建设的同时能满足等保合规要求,因此项目方案中应用的工控安全防护体系、机制和关键技术对标了等保2.0中工业控制系统安全扩展要求,并结合企业实际工业网络情况进行建设,既提升了对重要工业控制系统的防护能力又满足了企业合规需求。
提高安全运维人员的工作效率
“一张卡片看清风险,一页报告看清始末”,本项目中建设的工业互联网安全态势感知平台,能为企业安全运维人员展示企业基本信息以及发生的安全事件和处置的状态、以及系统和资产的安全状态、企业面临的安全风险等等,方便安全运维人员及时掌握整个企业的安全状况;
一键生成安全运营及分析报告可解放安全运维人员以往需要人工编写分析运营报告的工作量,大大提升工作效率;
当发生安全事件时,运维人员可以从平台上获取详细的安全事件分析溯源取证信息及专家处置建议指导,节省分析研判时间,获得更多响应处置时间。
3499cc拉斯维加斯深耕工业信息安全领域多年,结合自身丰富实践经验,总结凝练军工制造行业特点和需求,打造出符合行业要求的工业控制系统安全防护解决方案,践行全栈安全防护思路,构建分域安全控制体系,建设分级的工控安全方案,提升客户工控安全防护水平,持续推进军工制造行业安全防护体系建设,为军工网络安全建设保驾护航。未来,3499cc拉斯维加斯将持续发挥自身优势力量,精炼工业安全能力,为我国的工业数字化建设发展贡献安全力量。