1、 項目背景介紹

云天化集團有限責任公司（下稱(chēng)：云天化集團）是以“肥料及現代農業(yè)、玻璃纖維及復合材料、精細化工及新材料”為主業(yè)的國有綜合性產(chǎn)業(yè)集團。云天化集團是全球領(lǐng)先的磷肥、氮肥、玻纖、共聚甲醛制造商。目前，集團化肥產(chǎn)品經(jīng)營(yíng)規模超過(guò)1000萬(wàn)噸/年，規模居亞洲第一、全球第二，承擔著(zhù)為“保障國家糧食安全”提供農用物資供應的重要職責，在全球磷復肥及磷化工行業(yè)擁有舉足輕重的地位和影響力。

近年來(lái)，隨著(zhù)集團業(yè)務(wù)發(fā)展和企業(yè)生產(chǎn)規模的不斷擴大，對信息化和工業(yè)控制系統安全運行的依賴(lài)度也越來(lái)越高。為了貫徹落實(shí)《中華人民共和國網(wǎng)絡(luò )安全法》、《網(wǎng)絡(luò )安全等級保護制度2.0》、《關(guān)鍵信息基礎設施安全保護條例》等國家法律規范，積極響應工業(yè)和信息化部《工業(yè)互聯(lián)網(wǎng)創(chuàng )新發(fā)展行動(dòng)計劃（2018-2020年）》，推進(jìn)集團關(guān)于《工業(yè)控制系統安全標準建設及保障體系建設2019-2021年工作計劃》的落地實(shí)施，在2020年9月份，經(jīng)過(guò)對云天化集團下屬13家企業(yè)工業(yè)控制系統網(wǎng)絡(luò )安全現狀、資產(chǎn)漏洞風(fēng)險、安全管理制度規范等方面進(jìn)行了充分調研后，總體按照“統一規劃，分步實(shí)施”的總體原則統籌規劃集團“工業(yè)安全監測分析運營(yíng)平臺” 及下屬企業(yè)工控安全防護體系建設，全面提升云天化集團的工控網(wǎng)絡(luò )和信息網(wǎng)絡(luò )的安全威脅監測感知與應急處置能力，保障安全生產(chǎn)。2021年云天化集團對該建設項目公開(kāi)招標，長(cháng)揚科技憑借可部署于惡劣工業(yè)互聯(lián)網(wǎng)環(huán)境的跨越端、網(wǎng)、平臺的全系列產(chǎn)品，深入業(yè)務(wù)場(chǎng)景，定制專(zhuān)業(yè)解決方案，投標中標。

2、 項目目標與原則

項目建設目標：實(shí)現“摸清業(yè)務(wù)關(guān)系、掌握潛在威脅、看懂安全風(fēng)險、加強協(xié)同共享、持續運營(yíng)改進(jìn)”。在集團層面，通過(guò)建設“集團工控系統安全監測與態(tài)勢感知體系”，提升工業(yè)生產(chǎn)網(wǎng)絡(luò )安全集中保障運營(yíng)能力；通過(guò)建立網(wǎng)絡(luò )安全運營(yíng)中心CSOC（Cyberspace Security Operation Center），加強對最新的工業(yè)設備漏洞、APT安全攻擊、企業(yè)上報的安全事件的集中分析能力，并制定工控安全管理制度及相關(guān)規范標準，從制度和業(yè)務(wù)線(xiàn)上實(shí)現集團和企業(yè)聯(lián)動(dòng)。在企業(yè)層面，實(shí)現主動(dòng)防御、綜合防護，落實(shí)責任分工、內部協(xié)同。

（1）集團層面，按照五個(gè)統一原則，建設“集團工控系統安全監測與態(tài)勢感知體系”，提升工業(yè)生產(chǎn)網(wǎng)絡(luò )安全集中保障運營(yíng)能力。

·  五個(gè)統一原則：統一規劃、統一標準、統一建設、統一分析、統一運維、集中部署運營(yíng)、分層架構實(shí)施。

·  通過(guò)集中部署“工業(yè)安全監測分析運營(yíng)平臺”，以及分布式的智能采集設備和采集探針，實(shí)現對所有下屬企業(yè)工控網(wǎng)、辦公網(wǎng)的重要資產(chǎn)、設備漏洞、安全事件統一采集分析，做到“摸清業(yè)務(wù)關(guān)系、掌握潛在威脅、看懂安全風(fēng)險”。

·  集團層面建立網(wǎng)絡(luò )安全運營(yíng)中心CSOC（Cyberspace Security Operation Center），加強對最新的工業(yè)設備漏洞、APT安全攻擊、企業(yè)上報的安全事件的集中分析能力，實(shí)現集團和企業(yè)之間上下協(xié)同聯(lián)動(dòng)，不斷提高集團和下屬企業(yè)的工控系統安全管理水平，做到“加強協(xié)同共享、持續運營(yíng)改進(jìn)”。

（2）集團層面，制定工控安全管理制度及相關(guān)規范標準（QB），由集團層面出臺工控安全管理及考核辦法，和企業(yè)進(jìn)行聯(lián)動(dòng)。

·  總體原則：明確定級、制度落實(shí)、技管結合、持續優(yōu)化；

·  管理制度：明確集團和各單位、各部門(mén)之間在工控網(wǎng)絡(luò )安全協(xié)同、分工、執行、考核方面的具體細則。

（3）企業(yè)層面， 依據集團規范要求（QB），加強工控安全防護體系建設，實(shí)現主動(dòng)防御、綜合防護，落實(shí)責任分工、內部協(xié)同。

·  按照等?！耙粋€(gè)中心、三重防護”思想，建立縱深的工控安全防護體系；提出詳細的有針對性的建設方案和改進(jìn)措施，經(jīng)集團審批后進(jìn)行工控安全防護建設。

·  根據集團統一要求，明確落實(shí)企業(yè)各自工控安全領(lǐng)導小組負責人及其成員，落實(shí)工控制度、與集團協(xié)同流程，實(shí)現安全事件自動(dòng)上報、整改意見(jiàn)協(xié)同處置的上下協(xié)同。

·  定期參與集團組織的工控安全意識、技能培訓，加強自身在網(wǎng)絡(luò )信息安全方面的專(zhuān)業(yè)水平。

3、 項目實(shí)施與應用情況

基于前期集團對集團和下屬13家子公司安全防護需求的深入調研，長(cháng)揚科技針對該化工集團存在的網(wǎng)絡(luò )安全隱患和安全需求，結合多年在工控安全領(lǐng)域深耕的經(jīng)驗，為化工集團工業(yè)互聯(lián)網(wǎng)安全建設給出了專(zhuān)業(yè)有效的解決方案，創(chuàng )造性的實(shí)現了：工業(yè)安全監測分析運營(yíng)平臺與云天化集團的HSE平臺系統對接，并輸出符合云天化集團的工業(yè)控制系統安全管理制度及建設的防護指南規范，平臺工單流程與HSE系統融合實(shí)現運維系統自動(dòng)化，并實(shí)現云天化集團企業(yè)防護遵循符合云天化企業(yè)特點(diǎn)的分級進(jìn)行防護，筑牢化工集團網(wǎng)絡(luò )安全建設。

（1）工業(yè)安全監測分析運營(yíng)平臺與云天化集團的HSE平臺系統對接，實(shí)現了工業(yè)互聯(lián)網(wǎng)安全與工控系統傳統安全管理的高效對接和聯(lián)動(dòng)。

工業(yè)安全監測分析運營(yíng)平臺不是單維度分析原始安全設備告警日志，而是把原始告警日志和其他系統數據進(jìn)行安全挖掘分析，同時(shí)對重復的告警進(jìn)行去重處理，進(jìn)一步識別出有效告警，最后通過(guò)HSE平臺場(chǎng)景分析把相關(guān)聯(lián)的告警線(xiàn)索進(jìn)行聚合分析，形成一個(gè)完整的安全事件，最終總幾十萬(wàn)條告警中識別出幾十條精準的安全事件。通過(guò)HSE平臺對接，可以直觀(guān)的了解現網(wǎng)絡(luò )防御檢測設備的能力，以及攻擊告警的分布情況，結合廠(chǎng)區安全生產(chǎn)等多維事件，方便后續的策略調整、完善。

·  接入方案如下：

工業(yè)安全監測分析運營(yíng)平臺與云天化集團的HSE平臺系統通過(guò)Kafka數據服務(wù)總線(xiàn)方式進(jìn)行對接，接入數據包括溯源取證分析、APT攻擊分析、網(wǎng)絡(luò )威脅分析、告警管理、日志集中監控、實(shí)時(shí)流量監控和各資產(chǎn)運行狀態(tài)等。

·  HSE平臺通過(guò)對接達到如下效果：

實(shí)現對云天化安全信息的總覽監測、對態(tài)勢數據的綜合分析，建立上下統一調度的指揮平臺，幫助子單位快速共享情報；

通過(guò)對態(tài)勢數據的綜合分析，展現集團層面所受到的攻擊和威脅態(tài)勢，監控各子單位的安全狀況，形成對整體安全風(fēng)險的全局視野和掌控能力；

各子單位之間共享威脅情報，預警集團內的重要安全風(fēng)險，做好安全威脅的主動(dòng)應對

通過(guò)HSE平臺對接建立一個(gè)上下統一調度的指揮平臺，從事前、事中、事后角度對全集團安全事件、安全漏洞和安全威脅有效納管，向各子單位提供管理、技術(shù)、數據、資源等方面的支撐

（2）輸出符合云天化集團的工業(yè)控制系統安全管理制度及建設的防護指南規范

項目實(shí)施過(guò)程中組織人力調研、編寫(xiě)和制訂云天化集團工控安全防護標準，根據長(cháng)揚科技在各行業(yè)實(shí)施經(jīng)驗及集團、各企業(yè)現場(chǎng)實(shí)施調研情況，編制符合云天化集團特點(diǎn)的《云天化集團工業(yè)控制系統網(wǎng)絡(luò )安全防護要求》并輸出。

（3）平臺工單流程與HSE系統融合實(shí)現運維系統自動(dòng)化

對發(fā)生的預警事件，根據標準化的處置流程進(jìn)行事件處置，主體流程是以工單為核心，根據業(yè)務(wù)流程定制事件處置、跟蹤流程。實(shí)現了工控安全及生產(chǎn)安全集約化、統一化響應及處置。處置流程圖如下：

（4）云天化集團企業(yè)防護遵循符合云天化企業(yè)特點(diǎn)的分級進(jìn)行防護

工業(yè)控制系統網(wǎng)絡(luò )安全事件可能導致巨大的企業(yè)經(jīng)濟損失和重大人員傷亡等生產(chǎn)安全事故。結合云天化集團下屬企業(yè)實(shí)際情況，對各企業(yè)工業(yè)控制系統防護的分級依據企業(yè)資產(chǎn)規模和企業(yè)存在的重大危險源數量確定。

工控網(wǎng)絡(luò )安全事件危害程度值判定矩陣

注：重大危險源系數（H）=1*N1+0.5*N2+0.25*N3+0.125*N4

N1為企業(yè)一級重大危險源數量

N2為企業(yè)二級重大危險源數量

N3為企業(yè)三級重大危險源數量

N4為企業(yè)四級重大危險源數量

云天化集團各生產(chǎn)企業(yè)網(wǎng)絡(luò )安全分級

云天化集團各企業(yè)工業(yè)控制安全防護級別劃分主要分為A、B、C三個(gè)等級：

C級：全面防護級。需要實(shí)現對全廠(chǎng)所有安全設備、網(wǎng)絡(luò )設備等的可監、可控、可防。是保障企業(yè)安全生產(chǎn)最低風(fēng)險運行及監管合規高級要求的較高級別。

B級：重要防護級。全廠(chǎng)的縱深防護，對區域邊界、系統主機、計算環(huán)境、重要工藝裝置方面進(jìn)行必要防護。是保障企業(yè)低風(fēng)險運行及監管合規的中等級別；

A級：基礎防護級。主要對重要工藝裝置系統、辦公網(wǎng)和工控網(wǎng)的網(wǎng)絡(luò )隔離進(jìn)行基礎防護，是較低級別。

C級系統須完全滿(mǎn)足防護要求子項中的所有A、B、C三類(lèi)防護子項，B級系統須完全滿(mǎn)足防護要求子項中的所有A、B兩類(lèi)防護子項，A級系統須完全滿(mǎn)足防護要求子項中的所有A類(lèi)防護子項。

云天化集團各企業(yè)工業(yè)控制安全防護級別

4、 效益分析

云天化從全局出發(fā)，對集團工控安全進(jìn)行合規化建設，構建集團工控系統資產(chǎn)動(dòng)態(tài)管理以及監測預警體系，不僅取得了很好的項目應用效果，同時(shí)又高度契合黨中央決策部署，切實(shí)落實(shí)國資委對加強中央企業(yè)信息安全工作的指導意見(jiàn)的重要工作，滿(mǎn)足《網(wǎng)絡(luò )安全法》，《工控安全防護指南》，《工控安全行動(dòng)計劃（2021-2023）》等相關(guān)法律法規，具有很大的經(jīng)濟效益、社會(huì )效益。

（1）經(jīng)濟效益：

·  降本增效

本項目建設覆蓋集團和13家下屬企業(yè)，通過(guò)運用大數據、人工智能、云計算等先進(jìn)技術(shù)，建設網(wǎng)絡(luò )安全態(tài)勢、安全通報及應急處置平臺，為集團建立網(wǎng)絡(luò )安全運營(yíng)管理體系，同步對所有工控系統相關(guān)的資產(chǎn)包括核心控制器、工業(yè)主機、應用軟件、交換機、安全設備等資產(chǎn)信息，建立全集團統一的工控系統資產(chǎn)動(dòng)態(tài)管理體系，幫助集團強化資產(chǎn)過(guò)程監督，實(shí)現統一管控，較少的網(wǎng)絡(luò )信息安全、工控安全技術(shù)人員即可完成綜合防護任務(wù)，實(shí)現網(wǎng)絡(luò )安全的態(tài)勢可視指揮，提高網(wǎng)絡(luò )安全事件協(xié)同事件處置效率。項目建設后每家下屬企業(yè)信息安全團隊較原編制各少1人，集團公司較原來(lái)少3人，合計共減少了16人，有效解決集團信息安全專(zhuān)業(yè)人員缺乏、能力不足的問(wèn)題，實(shí)現高效網(wǎng)絡(luò )安全運維，降低管理成本。

集團信息安全專(zhuān)業(yè)人員人均年薪24萬(wàn)左右，項目建設完成后每年為集團節約成本384萬(wàn)元，以建設后運行5年計，合計節約成本1920萬(wàn)元。

·  降低網(wǎng)絡(luò )安全威脅帶來(lái)的經(jīng)濟損失

隨著(zhù)互聯(lián)網(wǎng)的不斷發(fā)展，網(wǎng)絡(luò )安全威脅已成為全球經(jīng)濟最大風(fēng)險。常見(jiàn)的漏洞攻擊、釣魚(yú)攻擊及APT攻擊等網(wǎng)絡(luò )攻擊行為可對集團及下屬企業(yè)造成業(yè)務(wù)中斷、信息盜取、敲詐勒索等直接經(jīng)濟損失。

根據Identify Theft Research Center中心的數據顯示，與2021年同期相比，2022年的數據泄漏事件增長(cháng)了14%，公用事業(yè)企業(yè)、醫療機構、金融服務(wù)公司、制造企業(yè)是黑客的首要攻擊目標。根據IBM Security發(fā)布的最新報告，平均一起數據泄露產(chǎn)生的損失達到 440 萬(wàn)美元，同比增加了 2.6%，相比較 2020 年增加了 13%，刷新了歷史記錄。在 IBM 的調查報告中還分析了很多高損失的數據泄露事件，針對包括金融服務(wù)、工業(yè)、技術(shù)、能源、運輸、通信、健康醫療、教育和公共部門(mén)行業(yè)的關(guān)鍵基礎設施攻擊。這些數據泄露造成的損失平均在 480 萬(wàn)美元之上，平均比非關(guān)鍵基礎設施的組織損失高出 100 萬(wàn)美元。

云天化是化工領(lǐng)域的關(guān)鍵基礎設施，是黑客攻擊的重要目標。通過(guò)平臺建設，及時(shí)發(fā)現并消除網(wǎng)絡(luò )安全隱患，有效的降低網(wǎng)絡(luò )安全風(fēng)險，保障企業(yè)生產(chǎn)的連續性和穩定性，以安全保發(fā)展，以發(fā)展促安全，幫助集團應對全球數字格局中復雜的網(wǎng)絡(luò )威脅場(chǎng)景，約為集團減少潛在的網(wǎng)絡(luò )安全威脅帶來(lái)的經(jīng)濟損失480萬(wàn)美元。

（2）社會(huì )效益：

·  為數字化轉型和創(chuàng )新發(fā)展保駕護航

本項目工業(yè)安全監測分析運營(yíng)平臺部署為集團和企業(yè)兩級部署、集團和企業(yè)兩級應用模式，兩級均可實(shí)現不同管理級別的管理控制，同時(shí)流量數據本地分析，兩級結果可視化，為集團安全運營(yíng)管理構建了一個(gè)全局的、實(shí)時(shí)的、可預測的主動(dòng)感知與防御安全體系，全面提升了網(wǎng)絡(luò )安全感知能力和運營(yíng)能力，實(shí)現對關(guān)鍵信息基礎設施的全生命周期管理，為企業(yè)數字化轉型和創(chuàng )新發(fā)展保駕護航。

·  推動(dòng)化工行業(yè)網(wǎng)絡(luò )安全前沿性問(wèn)題研究，促進(jìn)高新技術(shù)轉化落地

本項目建設，基于網(wǎng)絡(luò )安全前沿性問(wèn)題研究，著(zhù)力以需求為導向、以應用為依據，打通在網(wǎng)絡(luò )安全技術(shù)、產(chǎn)品、服務(wù)等方面的產(chǎn)業(yè)化鏈條，培育安全內生發(fā)展生態(tài)。

·  充分挖掘數據價(jià)值，增強企業(yè)競爭力

通過(guò)匯總分析業(yè)務(wù)系統日志并進(jìn)行深度挖掘，提供多維度統計報表，個(gè)性化數據呈現，深度挖掘數據價(jià)值。數據價(jià)值挖掘在未來(lái)重要性會(huì )越來(lái)越高，它已經(jīng)成為了一種新的經(jīng)濟資產(chǎn)，被看作是新世紀的礦產(chǎn)與石油，為整個(gè)社會(huì )帶來(lái)了全新的創(chuàng )業(yè)方向、商業(yè)模式和投資機會(huì )。組織和企業(yè)會(huì )更多的依靠數據分析而非經(jīng)驗和直覺(jué)來(lái)制定決策。充分挖掘和使用數據的價(jià)值將為組織和企業(yè)帶來(lái)強大的競爭力。

云天化集團是云南省國資委直管的國有重要骨干企業(yè)，本項目作為云天化集團工控網(wǎng)絡(luò )安全能力建設的重點(diǎn)項目，做好工控系統的網(wǎng)絡(luò )安全工作，不僅取得可觀(guān)的經(jīng)濟效益，推動(dòng)安全技術(shù)的前沿研究，增強自身競爭力，還對全國化工行業(yè)、云南全省眾多企業(yè)將起到良好的示范帶動(dòng)作用，加快數字化轉型的安全產(chǎn)品迭代和技術(shù)升級。

以合作延伸輻射帶動(dòng)產(chǎn)業(yè)鏈整體提升，以企業(yè)數字化轉型作為原點(diǎn)，向同行業(yè)以及產(chǎn)業(yè)鏈上下游相關(guān)企業(yè)輸出相關(guān)技術(shù)和標準，助力制造業(yè)高質(zhì)量發(fā)展。本次項目建設，整合了各板塊接口規范，孵化多項企業(yè)標準、行業(yè)標準；本項目制定企業(yè)標準規范填補了云南省化工行業(yè)工控安全防護企業(yè)標準的空白，對云天化集團及其他化工、石化行業(yè)的企業(yè)規范的建設具有指導意義，有利于提升國家及行業(yè)監管、企業(yè)管理的效率及水平；輻射帶動(dòng)多領(lǐng)域形成工控安全監管能力。