1、用户介绍

某煤业集团是国内一个以煤炭和煤化工为主导产业煤基多元化企业集团，产品主要行销国内的大钢厂、大电厂以及化工、建材、化肥企业，并部分出口国外。

2、安全风险

● 各个生产子系统在接入区域环网时缺少身份认证、访问控制的边界防护措施；

● 各个生产子系统内网网络中缺少针对非授权访问、违规操作、异常流量等行为的安全审计与监测措施；

● 集中监控层网络中没有针对网络入侵、黑客攻击、恶意代码等威胁的检测与审计手段；

● 集中监控与生产系统的上位主机没有针对外设接口使用的有效监管措施；

● 集中监控中没有针对工程师站运维过程的授权管理与审计手段。

3、解决方案

●  在各生产子系统接入区域环网时通过部署工业防火墙设备，以实现不同网络区域之间的逻辑隔离，以及与集中监控层网络之间的纵向访问控制；

●  根据各生产子系统的重要等级，在重要系统的控制网络内部部署工控安全审计系统与USB安全隔离装置，实现对各重要子系统网络中可能存在的非授权访问、违规操作、异常流量等行为进行安全审计与监测，以及对通过USB接口接入生产网络时的病毒查杀和访问权限控制；

●  在集中监控层网络与办公网或其他外部网络进行通讯时，通过部署防火墙类设备，保证数据访问时的安全可靠；

●  在安全管理中心部署一套账号集中管理与审计系统，可以对网络中所有用户的账号进行集中管理、运维操作的身份鉴别，以及对运维过程的全程监控与审计功能；

在安全管理中心部署一套日志审计，能够实时控制网络中网络设备、安全设备、服务器、数据库系统的日志信息，进行统一地收集、处理和关联分析；

●  在监控层交换机镜像口旁路形式署一套入侵检测系统，通过准确监测网络异常流量，自动应对各类攻击流量，及时发现安全威胁；

●  在监控层终端部署网络版主机安全防护系统，实现终端进程的可信管理，只允许需要的业务软件运行，其他病毒、恶意程序，以及与业务无关的软件都无法运行，提供极高的安全性。

4、客户价值

● 满足合规性

通过针对工控系统的安全建设，形成了一套完整的工控安全防护技术保障体系，不仅满足了相关部委对工业控制系统安全防护方面的要求，同时也提升了抵御网络攻击、恶意代码感染的能力。

● 降低事故率

煤炭开采行业作为生产事故的高发行业，全方位的保障安全生产是企业工作的重点之一，通过对各生产系统的网络安全防护，尽可能的降低由于网络威胁导致系统停机而引起安全生产事故。

● 提高生产率

网络安全防护项目的建设是一套完整的安全保证体系，不能能够通过部署防护设备，提升生产网络的安全防护等级，还可以实现对生产系统网络资产的集中管理与状态监控，及时发现网络危险源、故障点，提高生产效率。