案例精選丨威努特助力化纖製造企業數字化轉型完美收官

某集團股份有限公司，是一家以PTA、聚酯和滌綸纖維製造為主業的大型股份制上市企業。公司現年生產加工能力居世界滌綸長絲企業產能和產量前列，該集團連續名列中國企業500強，是目前集團所在縣級市唯一一家入圍中國500強的企業，在企業發展前進過程中，公司還先後被認定為國家大型企業、國家重點高新技術企業，並獲得全國「五一」勞動獎狀、全國文明單位，全國模範勞動關係和諧企業等榮譽稱號。

項目背景

近年來，該集團所在的地方政府提出聚焦「一業一網」打造「數字經濟」的目標，在充分享受網際網路帶來的紅利的背景下，該集團也在製造業轉型升級之路上不斷前行，希望通過打造「數字化製造」，用數字化轉型為企業節能降耗、提質增效。目前該集團的智慧製造還處於初級階段，該集團打造的「數字化製造」，正是認識到實體經濟擁抱網際網路實現智慧製造的重要性，通過全方位的智慧製造，提升企業競爭力，為我國工業網際網路化打造一個品牌示範。旨在推動該集團自動化、數字化、智慧化、一體化的進一步升級，打造行業的「燈塔工程」，為我國化纖製造行業工業網際網路化引領航向。

安全現狀與風險分析

網路安全現狀

目前，數字化工廠的初步規劃已經顯現，工業生產網的網路規劃和拓撲已經整理出初步計劃，規劃網路拓撲如下圖所示：

通過我司技術人員與該集團數字工廠相關負責人員溝通和現場調研瞭解到：該集團主廠區主要分為3個車間，共4條工藝產線，工業生產網核心交換機通過防火牆與辦公網路相連，生產網核心交換機分別連線3個車間的匯聚交換機和外圍動力站區域。各個車間聚酯匯聚交換機分別下聯卷繞工藝交換機、聚酯DCS、立體庫等；另外通過接入交換機連線數採伺服器閘道器，進行相關資料的採集與彙總上傳。

通訊協議層面，現場數採節點到數採伺服器之間運行的是OPC協議，下層伺服器上傳到上層伺服器運行的是物聯網協議MQTT。另外生產車間自動化裝置多種多樣，根據業務擴展性要求，需要支援ModBus TCP、IEC104等協議。

集團主廠區擁有工控主機200臺左右，作業系統主要為Windows7、Windows10和Windows XP系統；數採閘道器伺服器20臺左右，主要為Linux系統。

該集團數字化工廠的工作正在逐步有序的進行推進，集團共有四十多個廠區，但是在推進工作的過程之中，在工業生產網路也逐漸發現了一些安全盲點問題。隨著兩化融合工作的不斷深入，安全風險和安全需求正在逐漸的突顯，具體情況分析如下：

網路架構風險

數字工廠的逐步建設，打破了各個車間原有的網路資訊「孤島」，打通了原來彼此互相獨立的車間生產網路。雖然主廠區目前按照車間，在核心交換機上做了邏輯區域劃分，但是各生產車間區域之間並沒有做任何安全防護和訪問控制措施。一旦其中一個車間區域發生網路安全問題產生橫向滲透攻擊，將導致全廠車間生產都遭受影響。

網路通訊風險

整個主廠區工業生產網路中，缺乏對網路攻擊的有效監測與審計措施。在數字工廠網路互聯互通的情況下，網路管理人員如果不能及時發現攻擊並採取有效防護措施，將無法對網路內部人員的行為和安全事件進行有效的監測與審計，可能會造成嚴重的生產損失。

終端主機風險

通過「現場訪談+實地調研」方式，發現廠區工控主機面臨以下風險：

工控主機USB埠使用缺少有效審計和管控措施；存在網內的病毒橫向滲透傳播現象，眾多上位機「帶毒」運行；部分工控主機安裝的傳統防毒軟體，病毒庫老舊，無法及時更新，存在對工控協議「誤殺」、「誤攔」的情況，並且佔用系統記憶體、CPU資源較高，嚴重影響生產系統的正常運行；開放高風險埠，例如445埠，存在巨大安全隱患；同時存在弱口令問題，結合高風險服務和埠的開放，存在被暴力滲透的風險。統一運維風險

集團主廠區的3個車間物理位置分散，且IT資訊中心管理人員數量有限。隨著各個業務系統上線運行和安全防護裝置的增加，如果沒有集中安全管理中心，管理人員點狀、分散型處理遇到的問題將會大大降低工作效率，無法發揮整體安全防護系統的最大作用。

項目建設需求

邊界訪問控制需求

主廠區不同安全車間之間需要有相應的防護措施，不同工藝流程需要根據業務特點劃分安全域。在核心交換機到一期聚酯匯聚交換機、3期聚酯匯聚交換機、CP1聚酯匯聚交換機之間，需要部署工業防火牆實現安全防護和訪問控制；同時工業防火牆需要從硬體層面和網路實施過程中保證業務對連續性和高可用性需求。

網路威脅檢測需求

此次項目觸發點為集團主廠區生產網內發生大規模主機中毒藍屏現象，嚴重影響了業務正常投產開車。在威努特技術人員配合現場工作人員處理完終端工控主機自身的病毒後，發現在網內仍然存在病毒傳播現象。所以在實現安全防護建設的同時加強網路中高階威脅的攻擊是亟需解決的痛點問題。

主機綜合防護需求

主廠區網路中的工控機多數使用Windows作業系統和部分Linux系統，需要滿足病毒防範、主機安全基線加固和移動介質管控。其中病毒防範更多是抵禦未知病毒和木馬對工控主機的感染和擴散；主機安全基線加固要實現不必要埠和服務的關閉以及弱口令等高危風險的消除，同時需要開啟響應的稽核策略；移動介質管控需要通過技術手段實現對U盤、光碟機和無線網卡的管控，實現工業主機介面層面的非法內聯和外聯。

集團統一管控需求

數字化工廠的建設涉及整個集團的四十幾家工廠，隨著數字化工廠的進度推進，伴隨著工控安全建設也越來越大，管理人員除了需要協調各個安全系統之間的策略配置之外，還要面對數量巨大、彼此割裂的安全日誌和事件資訊，這將使管理人員力不從心，導致工控出現問題時得不到及時排查，影響各個廠區生產。集團側需通過建設安全管理中心對控制網路中的邊界隔離、網路監測、主機防護等安全產品進行集中管理，實現對全網中各安全裝置、系統及主機的統一配置、全面監控、實時告警、流量分析等，降低運維成本、提高事件響應效率。

解決方案

由於客戶環境中工控主機品牌多、類別多、數量多，客戶著重關注在主機防護和加固需求層面的相容性問題，並組織了多家廠商進行安全產品的POC測試，我司積極響應客戶需求，在順利完成工控主機衛士POC測試的同時，協助客戶梳理現場網路風險和資產梳理，基於現場網路的安全現狀並結合GB/T 22239-2019 《資訊保安技術網路安全等級保護基本要求》和《工業控制系統資訊網路安全防護指南》中的技術要求，為客戶提出定製化的安全解決方案，良好的產品測試效果和專業的技術能力得到客戶高度認可，在眾多友商中脫穎而出。

整體解決方案基於「白名單」機制的生產排程系統網路安全「白環境」縱深防禦技術路線，構建工控系統 「三化六防」的技術體系。通過對工控網路流量、工控主機狀態等進行監控，收集並分析工控網路資料及軟體運行狀態，建立工控系統正常工作環境下的安全狀態基線和模型，進而構築生產排程系統的網路安全「白環境」，確保：

只有可信任的裝置，才能接入工控網路；只有可信任的訊息，才能在工控網路上傳輸；只有可信任的軟體，才允許被執行。工控安全規劃方案設計如下圖所示（本圖為整體規劃，後續分期建設）：

邊界訪問控制

在生產網的核心交換機與一期聚酯匯聚交換機、3期聚酯匯聚交換機、CP1聚酯匯聚交換機之間部署專業的工業防火牆，配置OPC等工業協議白名單的通訊策略，工業防火牆硬體採用密閉無風扇和全電口bypass的設計，結合「三重固化+三種工作模式」的機制在保證對業務正常運行無影響的基礎上實現從訪問到指令乃至工藝的全方位最小化的安全隔離防護。

網路威脅檢測

除了正常的區域邊界和終端工控主機的安全防護外，此項目計劃，後期將在網路核心節點處旁路部署高階威脅檢測系統，開啟入侵檢測策略，對掃描探測、入侵攻擊、SQL注入攻擊、DoS&DDoS攻擊、中間人劫持攻擊等行為進行檢測；開啟未知威脅檢測策略，基於威脅情報資料和沙箱行為模式匹配技術，深度檢測所有可疑網路活動的高階持續性威脅（APT），進一步提升生產排程系統各關鍵網路邊界的防護檢測能力。

主機綜合防護

針對該集團主生產廠區的實際情況，在各條產線的上位機和數採伺服器上部署工控主機衛士軟體，通過「四重鎖定+兩個中心」構建工業主機安全計算環境，開啟檔案白名單控制功能，實現對病毒和惡意程式碼的防範；開啟安全基線加固功能，提升主機作業系統安全防護等級；開啟移動介質管控功能，降低通過 USB 移動介質引入病毒的風險；開啟漏洞防護功能，以虛擬補丁的技術實現流行病毒利用的常見漏洞防護（如：震網病毒漏洞、永恆之藍漏洞和永恆之黑漏洞等），綜合以上技術能力構建主機業務安全運行最小化環境。

集團統一管控

項目前期，在各個物理隔離的廠區生產網內設定安全管理區域，在生產網的核心交換機旁路部署統一安全管理平臺，採用私有加密方式實現安全裝置的管理，同時全面記錄工業網路中的主機安全日誌、網路異常攻擊監測日誌、網路攻擊防護日誌、工業網路會話資訊，攻擊發生時的原始報文資訊，便於安全事件分析和調查取證，提高管理人員的日常管理與維護效率，減輕運維工作量。在整個數字化工廠建設後期，集團所屬工廠統一進行網路規劃，屆時將通過集團對所有下屬工廠的工控安全進行統一有效的安全管控。

客戶價值

企業自身效益目前集團已開展包括主廠區在內的十家廠區進行了數字化平臺建設的生產系統工控安全防護工作，後續將在集團下屬的幾十家廠區逐步展開工業控制系統的安全防護工作。其他廠區將根據自身業務發展需要和實際的網路架構，針對性的結合生產系統和數採節點，構建以環境為技術核心的縱深防禦技術體系，為數字化工廠提供可靠的安全保障。

社會正面效益集團通過智慧製造數字化平臺圍繞泛在連線、高效承載、智慧融合、價值轉化關鍵能力要素要求進行建設，通過科學的架構支撐企業，賦能行業。一方面，面向集團內部，重點解決企業數字化運營中亟待解決的資料採集、資料貫通等基礎的安全問題，從而有效降低生產成本，提升生產率，輔助公司指揮運營；另一方面，面向整個化纖行業，實現上下游資料貫通，從而提升上下游企業協同能力，構建行業平臺與應用標杆。

集團作為積極推進智慧製造和數字化改造的行業典範，目前已經實現從紡絲、落筒、包裝到倉儲的全流程自動化，打通了生產過程中的各業務環節，讓管理更便捷、品質更優良、生產更穩定、成本更可控，一個個「未來工廠」，正在集團從夢想走向現實。