1、项目背景

某能源公司是国内最大的清洁能源分销商之一，截至2021年，在全国20个省市及自治区运营252个城市燃气项目，为2583.5万个住宅用户和20.24万家工商业用户提供燃气服务，覆盖人口1.24亿人。该公司拥有国际先进的燃气接收、储备、传输的自动化生产系统，由于较早工控系统没有与外网进行信息交互的需求，建设之初较少考虑信息安全问题。随着"两化融合"、"互联网+"、"工业4.0"等概念的推进，工控系统与互联网的信息交互变得越来越密切，系统中隐藏的风险、漏洞日益显著，给企业的安全生产带来了巨大挑战。

2、项目介绍

该集团下属某企业生产现场主要由集控中心和5个门站组成。工控网内部区域划分不明确，工控网与办公网缺少访问限制及策略控制，存在以下安全隐患。

01.工控主机、服务器缺少安全防护软件，缺乏抵御病毒、恶意代码对系统破坏和攻击的能力。

02.集控网络与场站网络间以及办公网络间缺少访问控制和专用安全网络，缺少流量、日志监测和预警，容易造成数据传输风险，加大了安全管理成本。

03.现有安全系统独立运行，未开展集成工作，系统间联动能力不足、数据无法实现协同，容易形成“孤岛”。

3、项目目标

依据《信息安全技术信息系统安全等级保护基本要求》、《信息系统安全保护等级保护实施指南》、《工业过程测量、控制与自动化、网络与系统信息安全》等政策标准以及燃气行业工控系统建设需求，进行工控网络的整改建设，使工控网络系统安全防护得到提升，同时达到《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）等级保护3级相关要求。

通过整体安全防护建设实现：

01.工控网、办公网、视频网边界做安全隔离防护，消除网络层面各区域间及跨网交换非授权访问风险以及病毒横向传播风险。

02.工控网内部分区分域，并采用最小化原则，配置访问控制策略，对消息来源、用户、设备身份进行鉴别。

03.工控主机安全防护，对工控主机进行安全加固、病毒免疫，降低误操作、非法攻击、勒索病毒感染等风险。

4、解决方案

4.1.计算环境防护

通过部署工业主机安全卫士，监控工控主机的进程状态、USB存储设备使用情况，阻止恶意代码运行，抵御病毒和可持续性攻击行为。

4.2.安全通信网络

运用IPSec技术实现通讯隧道加密通信，打造安全的网络传输环境。

4.3.安全边界隔离

通过部署工业防火墙，利用细粒度的访问控制策略，实现安全访问;通过部署工业安全隔离与信息交换系统，利用物理隔离技术，实现文件、数据安全传输，保障工业控制系统安全运行。

4.4.集中安全管理

通过部署集中安全管理系统，实现对工控防护设备的统一管控，以及对其运行状态、事件记录和威胁日志等关键信息统一分析和整理。

5、项目价值

5.1 基于密码学安全传输—保证数据完整性

利用Ipsec隧道通讯加密技术，保障网络通讯安全，有效规避工控网络脆弱性风险，保证生产数据安全，打造安全网络传输环境。

5.2 网域隔离—确保通信安全

利用成熟的网络隔离技术和数据摆渡技术，并结合细粒度访问控制策略，通过对工业协议的深度解析，保障数据安全有效的传递。

5.3 集中管控—实现安全感知

通过管理中心实时图表统计，掌握系统运行状态、业务安全状况，预测安全风险趋势，实时感知整体安全状况。