案例概述

案例通过划分工控系统网络边界，在边界部署边界安全设备，配置安全防护策略，对不同网络安全域间的数据访问和通信实施持续监听、合法性检查、攻击防范等措施，从而实现生产网、数据网、办公网之间的数据安全共享、通信安全可控、安全设备统一监控。

建设目标

• 边界清晰：企业的不同业务区域之间的网络边界清晰，不同业务区域之间的数据访问在限定的通信链路上。
• 访问受控：通过在清晰的工控网络边界部署安全隔离、安全审计等设备，对数据进行摆渡、校验、加密等，实现数据防泄漏、防篡改、防丢失的目标，对各项服务、设备、数据进行全方位防护。通过部署具有更高安全保护等级、更灵活数据通信方式的工业网络安全隔离设备，提升对现场业务的支持能力。
• 问题可追溯：在发生安全事件后，企业能够根据边界安全防护设备的相关记录，包括事件日志、审计日志、异常告警、流量统计等，对事件的攻击来源、攻击发生时间、攻击手段、产生的后果以及其他相关信息进行分析重现，为安全事件的后续处理提供更多信息。
• 可集中监控：通过部署集中监控平台，实现生产控制网络中的安全设备集中管理，实现对现有工控网络内网络安全防护设备的统一管理；及时的设备维护升级、安全相关的数据和信息的实时更新，日志和告警信息的集中呈现、安全事件的及时响应和深度分析、安全问题的便捷追溯。实现对现有工控网络内安全事件的统一采集、集中存储、统一处理、集中分析；安全策略的统一下发，安全日志统一收集，安全告警的统一呈现。

解决方案

• 集中安全监控：在中心机房DMZ区内部署2台集中安全监控系统（主备），实现对新部署安全设备的集中监控管理及安全事件统计分析。
• 工业防火墙：在信息中心实时数据库部署2台工业防火墙HA，对实时数据库进行访问控制；在炼油分部和化工分部汇聚交换机处与信息中心机房之间各部署2台防火墙HA模式，实现对区域的访问控制；炼油部分站点部署13台防火墙，实现站点安全防护。
• 安全隔离网关：在化工分部13套装置分别部署13台数采隔离网关，在炼油分部14套装置分别部署14台数采隔离网关，实现各层网络之间的区域隔离和访问控制，以及工业数据的采集上传。
• 工业安全审计：在信息中心机房交换机部署1台工业安全审计系统，在炼油分部汇聚交换机处部署2台审计探针，在化工分部汇聚交换机处部署2台审计探针，实现流量数据审计以及流量数据采集分析。