1 案例背景简述
宝武碳业经过多年发展,在全国各地共建有18个生产基地,庞大的集团规模对管理能力提出了严峻挑战。结合国家“碳达峰”“碳中和”的战略目标,宝武碳业积极推进智能制造,开展了碳资产全生命周期管控平台建设。在IT和OT融合背景下,如何在有效保障信息安全的同时提高环境风险评估与应急响应能力,成为集团发展过程中面临的新考验。
为此,宝武碳业联合上海化工宝数字科技有限公司,提出基于纵深防御的安全解决方案,建设“碳印象”碳生态综合管理体系。
2 案例介绍
基于工控态势感知系统的工控安全纵深防御解决方案,构建“碳印象”碳生态综合管理体系可全面解决信息安全管理及碳排放问题。
(1)解决信息安全问题
通过采集DCS系统交换机的工控网络流量及工控机节点日志,在DCS系统的操作员站上部署终端防护软件,并基于DCS系统防护服务器实现统一的策略管理,在现场工控系统接入到工控网络的出口部署现场级工业防火墙,从而全面实现信息安全保护。
(2)解决碳排放问题
排查企业碳资产,摸底统计集团碳排放数据,建设碳计算模型、基于数据安全的授权体系和管理驾驶仓,可监测、管理碳排放数据,实现环境安全管理。
3 案例技术架构
工控态势感知系统通过对工控网络流量进行协议分析与行为深度分析,发现针对工控网络的可疑操作和攻击行为。针对端点系统型号多样化以及旧系统安全改造困难的问题,采用统一、动态的白名单安全防护机制。工控态势感知系统原理图见图1。
图1 工控态势感知系统原理图
“碳印象”平台采用获得国际认可的生命周期评估(LCA)工具量化“碳排放”数据,基于工业互联网、工业APP等技术,建立标准的模块化计算工具,计算企业生产活动相关的二氧化碳当量排放,分析计算采购、产品开发设计、绿色制造、营销等环节的碳排放数据,开展企业全流程碳排放数据治理。“碳印象”平台展示界面见图2。
图2 “碳印象”平台展示界面
4 案例关键功能或优势
(1)工控端点防护
针对端点系统型号多样化、旧系统安全改造难度大的问题,采用统一、动态的白名单防护机制,只允许被信任的应用程序在工控系统设备上运行,阻止未经授权的工控应用和异常的恶意代码,并阻止高级持续威胁(APT),从而最大程度实现可视性和对客户端的控制,而且无需更新特征码或手动管理列表,并经过严格的兼容性测试,优化系统配置,从而实现系统安全稳定运行。工控端点防护原理图见图3。
图3 工控端点防护原理图
(2)多基地工控安全态势感知体系
多基地工控安全态势感知体系包括集团级平台和基地级平台两级结构,总部部署集团级工控安全态势感知平台,可展示全集团各基地安全态势;各基地部署基地级态势感知平台,可监控本基地生产网的工控安全态势。基地的安全威胁和监测分析结果可通过各个基地级平台上传到总部集团级平台进行深度关联分析,以展现全集团各基地的整体安全态势,多基地工控安全态势感知体系整体架构图见图4。
图4 多基地工控安全态势感知体系整体架构图
(3)工控网络分区隔离
在边界防护方面,利用下一代防火墙的综合检测与工控协议识别能力进行综合安全防护,同时与工控安全态势感知系统相结合,达到整体的综合安全防护与预警。
在现场区域防护方面,现场工业防火墙的安全策略采用最小安全权限原则,只允许通过有通信需求的IP地址和端口,默认拒绝和隔断其它的流量。工控网络分区隔离示意图见图5。
图5 工控网络分区隔离示意图
(4)碳核查和碳计算
将企业碳排放数据与国际碳排放数据库进行对标比较,寻找本企业与国际先进企业的碳排放差距,同时将环境因素纳入企业产品设计之中,从源头减少碳排放;建立绿色低碳采购体系,使用更高效的技术和低碳清洁能源来减少生产活动中的碳排放,并基于碳捕集技术,减少向大气排放的二氧化碳含量。
5 案例价值效益
在经济效益方面,工业安全态势感知平台可以有效降低企业的安全生产损失。以宝山基地为例,假设炭材加工产线控制系统受到攻击,装置恢复正常生产至少要120小时,造成的经济损失可达500万,根据目前宝武碳业的实际排放量,“碳印象”每年预计最多可以冲抵碳排放额度5%,为企业节约百万元。
在社会效益方面,工控态势感知安全解决方案提高了工业控制系统的安全性,保障了企业正常生产运营,有效的防范了因信息维护不当造成的数据泄露等安全问题。“碳印象”平台可以满足下游企业的低碳要求,保护环境同时进行经济发展,响应国家“双碳”战略,最终达到可持续发展目的。
公司简介
宝武碳业科技股份有限公司(简称:宝武碳业,2018年9月由上海宝钢化工有限公司更名而来)隶属于中国宝武钢铁集团有限公司,是中国宝武“一基五元”战略中新材料版块的核心组成部分,致力于碳基新材料产业发展,稳步构建石墨材料、炭纤维材料和聚酯材料等新型炭材料产业链,所生产石墨电极、锂电池负极材料、碳纤维,占据世界30%以上的产能,力争成为具有核心竞争力和品牌影响力的国际领军企业。