有色冶金整体安全解决方案

有色冶金（ICS）系统介绍

有色冶金是典型的资金和技术密集型企业，生产的连续性很强，装置和重要设备的意外停产都会导致巨大的经济损失，因此生产过程控制大多采用DCS等先进的控制系统，DCS控制系统的供应商主要有西门子、和利时、霍尼韦尔、艾默生、横河电机、中控等。

随着有色冶金企业管控一体化的实现，越来越多的控制网络系统通过信息网络连接到互联上，潜在的威胁就越来越大。在这种背景下，客观要求对于工业控制网络进行的网络安全防护显得尤为重要。

ICS系统风险分析

1）网络互联带来的安全风险

在企业实际应用环境中，许多控制网络都是“敞开的”，在各控制系统和区域边界缺乏有效的安全审计、入侵监控等策略和机制，无法实时发现和应对来自系统内部和外部的非法访问和恶意攻击。尤其是基于OPC、Modbus等开放通信协议的工业控制网络，黑客一旦控制该系统，就可能导致生产运行的瘫痪。

2)缺少统一运维管控

区别于管理网，生产网中运维操作大部分为本地或就近网络接入，该种操作造成运维过程缺乏必要的监管，即针对运维用户、运维时间、目标设备、运维手段等管控。且当前控制系统大部分为C/S架构，仅通过设备地址对设备进行区分（登录普遍存在超级用户），上述运维方式存在误操作空间，即更新程序下错设备，对生产造成较大影响。

3)误操作指令

误操作根据主观意识区分为无意操作及恶意操作；无意操作通常指运维工程师进行写操作或更新程序过程中，操作错误数值或错误地址，造成生产事故，故需要具备针对其协议深度识别的防范手段。

解决方案

1）网络安全隔离

将安盟华御工业安全隔离装置部署于生产网及办公网边界，依照等保2.0要求对生产网中基于工业协议的报文进行过滤，对边界流量进行单向隔离，该隔离为应用层单向即管理网对访问控制策略允许的目标设备进行只读操作，禁用基于办公网的写操作行为。

2）工业防火墙

部署于独立控制系统及各个划分区域边界：通过基于工业协议的识别对访问行为进行访问控制；通过对访问内容识别与设定的基于寄存器的安全策略比对，确认对报文的通过或阻断，当发生异常报文（超过设定阈值）后进行报警处理。通过带外管理方式将日志上传至统一监控平台。

3）监控审计

在生产网旁路部署安盟华御安全审计系统监控和记录用户对数据库、生产调度系统、采集服务器的相关操作记录日志，对误操作和错误操作进行溯源，为事后调查取证提供依据。

4）安全运维

在生产网旁路部署安盟华御工业堡垒机，实现业务管理员、运维管理员和第三方服务人员的系统运维操作管理和审计。

安盟华御工业堡垒机可实现对运维人员的系统登录授权、系统密码代维、操作指令限制、操作全程录屏审计等功能。

5）运行监控

在生产网安全管理区部署安盟华御安全管理平台，对工控网络设备、安全设备、操作站等实时、细粒度的运行监控，故障定位和告警响应，并进行不间断地安全事件关联分析，强大的一体化安全管控功能界面， 多视角、多层次的管理与态势感知视图。

方案优势

✦ 无缝兼容

产品即够满足与原有系统无缝对接，又能够提升整体计算环境的性能和稳定性，从而保障系统安全与高可用，以达到对原系统和将来扩容系统的良好双向无缝对接。

✦ 合规防护

方案充分考虑到了有色冶金行业的实际ICS安全需求，满足政策法规要求，满足等级保护要求。

✦ 差异防护

针对不同的安全防护需求，推荐不同安全防护设备与技术手段，“私人订制、功能分区、重点防护”。

✦ 细粒度防护

方案实施过程中，安盟信息安全专家会根据不同应用类型、业务特点、行业经验，在设备上实现细粒度控制。

✦ 态势感知

对工控设备运行情况监控分析，安全事件关联分析，多角度进行关联，形成态势感知图及预警。