案例精选丨威努特助力净水公司顺利完成安全改造

一、项目背景

某净水公司作为集污水处理、建设、运营、资产经营及研发为一体的特大型国有污水处理企业，在城市水处理中发挥着核心作用。作为关键信息基础设施单位，其一旦遭受攻击将可能严重危害国家安全、国计民生、公共利益，故该净水公司结合自控网络改造项目的契机同步进行工控网络安全改造，满足各厂站自控网及监控网接入到公司的VPN网络、实现统一管理要求、加强工控网络安全防护水平的项目需求。   

本项目工控网络安全改造旨在保障国家安全、国计民生、公共利益，满足GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》和《关键信息基础设施网络安全保护基本要求》（报批稿）的技术要求，以“事前预警、事中监测、事后回溯”为建设导向，建设符合企业自身特点的工业安全防御体系及“中心+分厂”一体的工控安全态势感知平台。

二、改造前的安全状况

该净水公司厂站服务器区域部分服务器采用虚拟化部署，各厂站通过数采服务器采集生产数据发送至公司总部，各厂站工控网上位机与PLC之间的通讯协议以S7、Modbus、CIP等工业控制系统专用协议为主。

主要安全短板梳理如下：

图1 工控网络拓扑示意图

三、本项目安全方案设计及目标

四、整体解决方案

图2 工控网络安全防护拓扑示意图

在各厂OPC服务器与厂内控制环网、厂内生产服务器区域边界部署工业防火墙进行逻辑隔离及访问控制，基于工业防火墙对工业协议深度解析及访问控制策略，实现OPC协议单向只读，满足客户对厂站数据安全传输的需求。

同时，工业防火墙具备了传统防火墙的包过滤、状态检测等主要功能，且结合工业控制网络的特点，对工业控制数据包进行过滤，主要手段有白名单机制、工业协议深度解析等，通过学习获取到工业控制系统中传输的协议，支持使用类和方法，收集所有传输协议，阻止其他异常流量，满足客户网络改造完成后厂站与总部连通的安全隔离需求。

图3 工业防火墙OPC协议白名单

在厂站服务器、区域服务器等主机上部署工控主机卫士，通过“白名单”技术、安全基线配置、外设管控等手段实现对净水公司生产网生产服务器的安全防护，满足客户对工控网络内生产服务器安全加固的需求。

工控主机卫士采用“文件级”应用白名单机制，可以有效阻止病毒、木马及“0-Day”漏洞的感染和被利用，在不影响工控系统监控软件和组态软件的正常使用情况下，实现工控主机从启动、加载到持续运行过程的安全防护。可有效阻止工控恶意程序或代码在工控主机的执行、扩散，从根本上解决传统杀毒软件带来的误杀、漏杀、占用系统资源、需要联网升级病毒库等问题，同时还能够实现对USB存储设备、无线光驱等外设的安全管控、主机安全加固、实现双因子认证、强制访问控制等功能。

图4 工控主机卫士白名单管理

在安全管理中心部署日志审计与分析系统、安全运维管理系统和统一安全管理平台，满足客户对安全日志审计、运维人员行为管控、安全设备统一管理的需求，实现：

1、实时收集净水公司各站点中不同厂商的网络设备、安全设备、服务器、操作员站、数据库系统的日志信息，并进行统一处理和关联分析，帮助一线管理人员从海量日志中迅速、精准地识别安全事件，及时对安全事件进行追溯或干预；

图5 日志审计与分析系统告警分析

2、切断运维终端对工控网络设备或资源的直接访问，采用协议代理的方式，实现对各站点网络设备、主机设备、应用系统、数据库等集中有序的运维安全管理，对运维人员从登录到退出的全程操作行为进行审计，从而加强厂站服务器区域、分水厂工控网络及设备远程维护的安全管理；

图6 安全运维管理系统监控仪表盘

3、对净水公司控制网络中的访问控制、主机防护等安全产品进行集中管理，实现对全网中各安全设备、系统及主机的统一配置、全面监控、实时告警、流量分析等，降低运维成本、提高事件响应效率。

图7 统一安全管理平台安全设备管理

在安全管理中心部署工控安全态势感知平台，整合所有安全设备的安全告警和日志，通过智能关联分析可以获得工控网络全局的安全风险和态势，满足客户“中心+分厂”一体的工控安全态势感知的需求。

图8 工业安全态势感知平台威胁态势展示

部署工控安全态势感知平台可解决该净水公司以下工控安全核心问题：

五、客户价值

• 构建整体安全防护技术体系，保障净水公司生产业务安全稳定运行

本方案通过部署威努特工控安全防护产品结合“白名单”纵深安全防御体系的整体工控安全解决方案，解决了客户集中安全管理、工控网络区域边界防护、工控主机安全防护、构建态势感知能力的工控网络安全需求，保障净水公司生产业务安全稳定运行。

• 构建全方位工业安全态势感知能力，树立净水行业工控安全建设标杆

通过“净水公司+下属分厂”的整体工控安全态势感知平台建设，采用数据可视化手段直观地展示工业网络环境的安全态势，包括资产态势、运行态势、脆弱性态势、网络攻击态势等，理清网络资产家底、实时监测运行状态、及时发现安全威胁、深度挖掘历史事件，为安全运维提供技术支撑、为安全防护提供监测预警、为等保合规提供辅助指导、为安全事故提供溯源能力，达到“事前预警、事中监测、事后回溯”的效果。

• 全面合规，满足规范要求

满足GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》、《关键信息基础设施网络安全保护基本要求》相关技术要求。

威努特简介

北京威努特技术有限公司（简称：威努特）成立于2014年，专注于工控安全领域，以自主研发的全系列工控安全产品为基础，为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务。凭借持续的研发创新能力和丰富的实战经验入选全球六家荣获国际自动化协会ISASecure认证企业之一和亚太地区唯一全球网络安全联盟(GCA)创始成员。

威努特秉承首创的工业网络“白环境” 技术理念，迄今为国内及“一带一路”沿线国家的2000多家客户实现了业务的安全合规运行，已成为最受客户信赖的工控安全领军企业。同时，作为中国工控安全国家队，积极推动产业集群建设构建生态圈发展，牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作，致力于为国家关键信息基础设施保驾护航。

威努特始终以“专注工控，捍卫安全”为使命，致力于为我国关键信息基础设施网络空间安全保驾护航！

渠道合作咨询   张先生 18201311186

稿件合作   微信:shushu12121

原文始发于微信公众号（威努特工控安全）：案例精选丨威努特助力净水公司顺利完成安全改造