1、 项目背景介绍

云天化集团有限责任公司（下称：云天化集团）是以“肥料及现代农业、玻璃纤维及复合材料、精细化工及新材料”为主业的国有综合性产业集团。云天化集团是全球领先的磷肥、氮肥、玻纤、共聚甲醛制造商。目前，集团化肥产品经营规模超过1000万吨/年，规模居亚洲第一、全球第二，承担着为“保障国家粮食安全”提供农用物资供应的重要职责，在全球磷复肥及磷化工行业拥有举足轻重的地位和影响力。

近年来，随着集团业务发展和企业生产规模的不断扩大，对信息化和工业控制系统安全运行的依赖度也越来越高。为了贯彻落实《中华人民共和国网络安全法》、《网络安全等级保护制度2.0》、《关键信息基础设施安全保护条例》等国家法律规范，积极响应工业和信息化部《工业互联网创新发展行动计划（2018-2020年）》，推进集团关于《工业控制系统安全标准建设及保障体系建设2019-2021年工作计划》的落地实施，在2020年9月份，经过对云天化集团下属13家企业工业控制系统网络安全现状、资产漏洞风险、安全管理制度规范等方面进行了充分调研后，总体按照“统一规划，分步实施”的总体原则统筹规划集团“工业安全监测分析运营平台” 及下属企业工控安全防护体系建设，全面提升云天化集团的工控网络和信息网络的安全威胁监测感知与应急处置能力，保障安全生产。2021年云天化集团对该建设项目公开招标，长扬科技凭借可部署于恶劣工业互联网环境的跨越端、网、平台的全系列产品，深入业务场景，定制专业解决方案，投标中标。

2、 项目目标与原则

项目建设目标：实现“摸清业务关系、掌握潜在威胁、看懂安全风险、加强协同共享、持续运营改进”。在集团层面，通过建设“集团工控系统安全监测与态势感知体系”，提升工业生产网络安全集中保障运营能力；通过建立网络安全运营中心CSOC（Cyberspace Security Operation Center），加强对最新的工业设备漏洞、APT安全攻击、企业上报的安全事件的集中分析能力，并制定工控安全管理制度及相关规范标准，从制度和业务线上实现集团和企业联动。在企业层面，实现主动防御、综合防护，落实责任分工、内部协同。

（1）集团层面，按照五个统一原则，建设“集团工控系统安全监测与态势感知体系”，提升工业生产网络安全集中保障运营能力。

·  五个统一原则：统一规划、统一标准、统一建设、统一分析、统一运维、集中部署运营、分层架构实施。

·  通过集中部署“工业安全监测分析运营平台”，以及分布式的智能采集设备和采集探针，实现对所有下属企业工控网、办公网的重要资产、设备漏洞、安全事件统一采集分析，做到“摸清业务关系、掌握潜在威胁、看懂安全风险”。

·  集团层面建立网络安全运营中心CSOC（Cyberspace Security Operation Center），加强对最新的工业设备漏洞、APT安全攻击、企业上报的安全事件的集中分析能力，实现集团和企业之间上下协同联动，不断提高集团和下属企业的工控系统安全管理水平，做到“加强协同共享、持续运营改进”。

（2）集团层面，制定工控安全管理制度及相关规范标准（QB），由集团层面出台工控安全管理及考核办法，和企业进行联动。

·  总体原则：明确定级、制度落实、技管结合、持续优化；

·  管理制度：明确集团和各单位、各部门之间在工控网络安全协同、分工、执行、考核方面的具体细则。

（3）企业层面， 依据集团规范要求（QB），加强工控安全防护体系建设，实现主动防御、综合防护，落实责任分工、内部协同。

·  按照等保“一个中心、三重防护”思想，建立纵深的工控安全防护体系；提出详细的有针对性的建设方案和改进措施，经集团审批后进行工控安全防护建设。

·  根据集团统一要求，明确落实企业各自工控安全领导小组负责人及其成员，落实工控制度、与集团协同流程，实现安全事件自动上报、整改意见协同处置的上下协同。

·  定期参与集团组织的工控安全意识、技能培训，加强自身在网络信息安全方面的专业水平。

3、 项目实施与应用情况

基于前期集团对集团和下属13家子公司安全防护需求的深入调研，长扬科技针对该化工集团存在的网络安全隐患和安全需求，结合多年在工控安全领域深耕的经验，为化工集团工业互联网安全建设给出了专业有效的解决方案，创造性的实现了：工业安全监测分析运营平台与云天化集团的HSE平台系统对接，并输出符合云天化集团的工业控制系统安全管理制度及建设的防护指南规范，平台工单流程与HSE系统融合实现运维系统自动化，并实现云天化集团企业防护遵循符合云天化企业特点的分级进行防护，筑牢化工集团网络安全建设。

（1）工业安全监测分析运营平台与云天化集团的HSE平台系统对接，实现了工业互联网安全与工控系统传统安全管理的高效对接和联动。

工业安全监测分析运营平台不是单维度分析原始安全设备告警日志，而是把原始告警日志和其他系统数据进行安全挖掘分析，同时对重复的告警进行去重处理，进一步识别出有效告警，最后通过HSE平台场景分析把相关联的告警线索进行聚合分析，形成一个完整的安全事件，最终总几十万条告警中识别出几十条精准的安全事件。通过HSE平台对接，可以直观的了解现网络防御检测设备的能力，以及攻击告警的分布情况，结合厂区安全生产等多维事件，方便后续的策略调整、完善。

·  接入方案如下：

工业安全监测分析运营平台与云天化集团的HSE平台系统通过Kafka数据服务总线方式进行对接，接入数据包括溯源取证分析、APT攻击分析、网络威胁分析、告警管理、日志集中监控、实时流量监控和各资产运行状态等。

·  HSE平台通过对接达到如下效果：

实现对云天化安全信息的总览监测、对态势数据的综合分析，建立上下统一调度的指挥平台，帮助子单位快速共享情报；

通过对态势数据的综合分析，展现集团层面所受到的攻击和威胁态势，监控各子单位的安全状况，形成对整体安全风险的全局视野和掌控能力；

各子单位之间共享威胁情报，预警集团内的重要安全风险，做好安全威胁的主动应对

通过HSE平台对接建立一个上下统一调度的指挥平台，从事前、事中、事后角度对全集团安全事件、安全漏洞和安全威胁有效纳管，向各子单位提供管理、技术、数据、资源等方面的支撑

（2）输出符合云天化集团的工业控制系统安全管理制度及建设的防护指南规范

项目实施过程中组织人力调研、编写和制订云天化集团工控安全防护标准，根据长扬科技在各行业实施经验及集团、各企业现场实施调研情况，编制符合云天化集团特点的《云天化集团工业控制系统网络安全防护要求》并输出。

（3）平台工单流程与HSE系统融合实现运维系统自动化

对发生的预警事件，根据标准化的处置流程进行事件处置，主体流程是以工单为核心，根据业务流程定制事件处置、跟踪流程。实现了工控安全及生产安全集约化、统一化响应及处置。处置流程图如下：

（4）云天化集团企业防护遵循符合云天化企业特点的分级进行防护

工业控制系统网络安全事件可能导致巨大的企业经济损失和重大人员伤亡等生产安全事故。结合云天化集团下属企业实际情况，对各企业工业控制系统防护的分级依据企业资产规模和企业存在的重大危险源数量确定。

工控网络安全事件危害程度值判定矩阵

注：重大危险源系数（H）=1*N1+0.5*N2+0.25*N3+0.125*N4

N1为企业一级重大危险源数量

N2为企业二级重大危险源数量

N3为企业三级重大危险源数量

N4为企业四级重大危险源数量

云天化集团各生产企业网络安全分级

云天化集团各企业工业控制安全防护级别划分主要分为A、B、C三个等级：

C级：全面防护级。需要实现对全厂所有安全设备、网络设备等的可监、可控、可防。是保障企业安全生产最低风险运行及监管合规高级要求的较高级别。

B级：重要防护级。全厂的纵深防护，对区域边界、系统主机、计算环境、重要工艺装置方面进行必要防护。是保障企业低风险运行及监管合规的中等级别；

A级：基础防护级。主要对重要工艺装置系统、办公网和工控网的网络隔离进行基础防护，是较低级别。

C级系统须完全满足防护要求子项中的所有A、B、C三类防护子项，B级系统须完全满足防护要求子项中的所有A、B两类防护子项，A级系统须完全满足防护要求子项中的所有A类防护子项。

云天化集团各企业工业控制安全防护级别

4、 效益分析

云天化从全局出发，对集团工控安全进行合规化建设，构建集团工控系统资产动态管理以及监测预警体系，不仅取得了很好的项目应用效果，同时又高度契合党中央决策部署，切实落实国资委对加强中央企业信息安全工作的指导意见的重要工作，满足《网络安全法》，《工控安全防护指南》，《工控安全行动计划（2021-2023）》等相关法律法规，具有很大的经济效益、社会效益。

（1）经济效益：

·  降本增效

本项目建设覆盖集团和13家下属企业，通过运用大数据、人工智能、云计算等先进技术，建设网络安全态势、安全通报及应急处置平台，为集团建立网络安全运营管理体系，同步对所有工控系统相关的资产包括核心控制器、工业主机、应用软件、交换机、安全设备等资产信息，建立全集团统一的工控系统资产动态管理体系，帮助集团强化资产过程监督，实现统一管控，较少的网络信息安全、工控安全技术人员即可完成综合防护任务，实现网络安全的态势可视指挥，提高网络安全事件协同事件处置效率。项目建设后每家下属企业信息安全团队较原编制各少1人，集团公司较原来少3人，合计共减少了16人，有效解决集团信息安全专业人员缺乏、能力不足的问题，实现高效网络安全运维，降低管理成本。

集团信息安全专业人员人均年薪24万左右，项目建设完成后每年为集团节约成本384万元，以建设后运行5年计，合计节约成本1920万元。

·  降低网络安全威胁带来的经济损失

随着互联网的不断发展，网络安全威胁已成为全球经济最大风险。常见的漏洞攻击、钓鱼攻击及APT攻击等网络攻击行为可对集团及下属企业造成业务中断、信息盗取、敲诈勒索等直接经济损失。

根据Identify Theft Research Center中心的数据显示，与2021年同期相比，2022年的数据泄漏事件增长了14%，公用事业企业、医疗机构、金融服务公司、制造企业是黑客的首要攻击目标。根据IBM Security发布的最新报告，平均一起数据泄露产生的损失达到 440 万美元，同比增加了 2.6%，相比较 2020 年增加了 13%，刷新了历史记录。在 IBM 的调查报告中还分析了很多高损失的数据泄露事件，针对包括金融服务、工业、技术、能源、运输、通信、健康医疗、教育和公共部门行业的关键基础设施攻击。这些数据泄露造成的损失平均在 480 万美元之上，平均比非关键基础设施的组织损失高出 100 万美元。

云天化是化工领域的关键基础设施，是黑客攻击的重要目标。通过平台建设，及时发现并消除网络安全隐患，有效的降低网络安全风险，保障企业生产的连续性和稳定性，以安全保发展，以发展促安全，帮助集团应对全球数字格局中复杂的网络威胁场景，约为集团减少潜在的网络安全威胁带来的经济损失480万美元。

（2）社会效益：

·  为数字化转型和创新发展保驾护航

本项目工业安全监测分析运营平台部署为集团和企业两级部署、集团和企业两级应用模式，两级均可实现不同管理级别的管理控制，同时流量数据本地分析，两级结果可视化，为集团安全运营管理构建了一个全局的、实时的、可预测的主动感知与防御安全体系，全面提升了网络安全感知能力和运营能力，实现对关键信息基础设施的全生命周期管理，为企业数字化转型和创新发展保驾护航。

·  推动化工行业网络安全前沿性问题研究，促进高新技术转化落地

本项目建设，基于网络安全前沿性问题研究，着力以需求为导向、以应用为依据，打通在网络安全技术、产品、服务等方面的产业化链条，培育安全内生发展生态。

·  充分挖掘数据价值，增强企业竞争力

通过汇总分析业务系统日志并进行深度挖掘，提供多维度统计报表，个性化数据呈现，深度挖掘数据价值。数据价值挖掘在未来重要性会越来越高，它已经成为了一种新的经济资产，被看作是新世纪的矿产与石油，为整个社会带来了全新的创业方向、商业模式和投资机会。组织和企业会更多的依靠数据分析而非经验和直觉来制定决策。充分挖掘和使用数据的价值将为组织和企业带来强大的竞争力。

云天化集团是云南省国资委直管的国有重要骨干企业，本项目作为云天化集团工控网络安全能力建设的重点项目，做好工控系统的网络安全工作，不仅取得可观的经济效益，推动安全技术的前沿研究，增强自身竞争力，还对全国化工行业、云南全省众多企业将起到良好的示范带动作用，加快数字化转型的安全产品迭代和技术升级。

以合作延伸辐射带动产业链整体提升，以企业数字化转型作为原点，向同行业以及产业链上下游相关企业输出相关技术和标准，助力制造业高质量发展。本次项目建设，整合了各板块接口规范，孵化多项企业标准、行业标准；本项目制定企业标准规范填补了云南省化工行业工控安全防护企业标准的空白，对云天化集团及其他化工、石化行业的企业规范的建设具有指导意义，有利于提升国家及行业监管、企业管理的效率及水平；辐射带动多领域形成工控安全监管能力。