1.1 項目背景

　　隨著榆林能源化工廠生產業務規模的不斷擴大，工業信息化的需求也越來越迫切。工業信息化的發展不僅僅是信息化網絡的擴建，工業信息安全建設也是信息化建設中至關重要的一方面，信息安全是信息化網絡和工業化網絡安全可靠運行的保障。因此，針對榆林能源化工有限公司這樣一個標桿性企業來說，工業信息安全建設具有十分重要的意義。

然而，榆林能源化工廠工業控制網絡的安全現狀存在如下安全隱患：

　　生產網和辦公網無網絡隔離裝置，辦公網隨意進出生產網，互聯網可以辦公網為跳板入侵生產網；

　　各工作站之間無隔離措施，某工作站遭病毒入侵受控后在工作站之間“串染”；

　　廠級服務器上無安全防護措施，辦公網隨意訪問，對服務器造成巨大威脅；

　　未對生產現場的工程師站、操作員站進行保護，工程師站、操作員站可對生產系統任意指令下發；

　　整個生產控制網絡未建立安全審計監控平臺，出現安全問題不能及時定位問題原因和解決問題。

1.2 解決方案

　　在生產系統各區域出口處和服務器出口各部署一套威努特可信區域網關，生產網和辦公網之間部署一臺可信邊界網關，在各工作站的操作員站、工程師站主機上和服務器上部署威努特可信衛士，生產網核心交換旁路部署威努特工控安全監測與審計系統和威努特工控安全統一管理平臺，部署示意圖及現場施工圖如下：

　　該方案具有以下特點：

　　在生產網和辦公網之間部署可信邊界網關做訪問控制、病毒木馬防護；有效隔離服務器和生產現場，保護服務器的生產數據，隔離來自辦公網的病毒侵擾；

　　生產網每個工作站出口部署可信區域網關，隔離各個工作站生產安全，防止惡意病毒木馬在工作站之間“串染”；

　　在主機上部署可信衛士，保護服務器免受外界利用系統漏洞非法讀寫數據的侵害，有效阻斷工程師站和操作員站上對生產控制系統的惡意指令下發和主機自身保護；

　　實時掌握系統中所有主機的是否有安全隱患，通過可信衛士對主機的運行狀態進行監控和掃描，檢查是否存在安全隱患，是否有系統補丁未完全修復；

　　對于全網用戶的訪問行為和操作行為需要做實時的記錄，為事后審計和事件定位提供依據，并定位和追溯事件源，協助管理員快速解決安全事件；

　　在安全防護設備部署相對完善后，為了降低企業的運維成本和管理統一性，在二層PMCC網絡部署工控網絡統一安全管理平臺，對工控網絡中的重要的應用系統、網絡設備、安全設備的日志信息進行統一管理、統一分析，并通過對收集上來的日志進行關聯分析得出整個工控網絡的安全態勢，從而發現網絡潛在威脅。

1.3　客戶價值

　　通過日志看到威努特可信邊界防火墻多次阻斷了來自辦公網的病毒威脅，有效保護生產控制網絡的安全；

　　為事中事后審計提供完整的事件呈現；

　　統一管理整個生產控制系統設備，節省客戶人力；

　　降低網絡運維人員故障處理壓力；

　　幫助客戶實現工業控制系統安全保全工作，提升企業整體安全生產能力和業務整體競爭力；