智能製造工業控制系統信息安全解決方案
背景介紹
隨著「中國製造2025」的深度推進,信息技術在工業企業的生產經營中的應用越來越廣泛。在大幅提升了生產效率的同時,一定程度上也增加了企業安全生產管理的難度。由於原本相對獨立的工業控制系統越來越多地與企業管理網互聯互通,而企業的管理網路本身又是一個相對開放的網路,這為信息系統的安全威脅向生產系統擴散提供了便利條件。與傳統的企業信息系統不同,工業控制系統的信息安全直接影響到到生產安全。
現狀分析
當前,我國智能製造呈現「數字化、智能化、網路化」的發展趨勢,但是智能製造領域面臨嚴峻的信息安全威脅。一方面,工業控制系統存在一定的漏洞和安全隱患。操作系統長期未升級、缺乏基本安全設置;生產系統與公用網路存在介面,相關安全機制存在嚴重安全隱患;野外設備普遍缺乏物理安全防護;遠程無線通信系統缺乏接入認證和通信保密防護。另一方面,智能製造網路安全感知、防護體系幾乎空白。我國目前的智能製造網路缺乏全網感知體系和終端設備監測手段,安全威脅能夠長期潛伏不易發現,在攻擊來臨時無法察覺,在遭受攻擊後無法追蹤溯源。具體體現以下幾個方面:
缺乏邊界防護措施,系統易受攻擊和感染
在一些智能生產環境中,工控系統往往與辦公網路,與互聯網直接連接,或者簡單的VLAN邏輯隔離,不能做到有效的邊界防護。
缺乏無線網路管控,無線網路易被利用
在智能工廠,大量使用無線網路,一些攻擊者可以利用無線網路的脆弱性,實施攻擊。
缺少網路准入管控手段,非法設備易接入
工控系統在日常生產運營和維護中,現場人員為了工作的便利,經常私自將筆記本、手機、ipad等設備接入到生產網路中,給系統帶來隱患。
終端安全隱患突出
工業生產環境中移動介質使用的亂象,是病毒、木馬、蠕蟲等威脅進入生產系統的主要通經。再加上防病毒軟體的安裝不全面或者病毒庫更新慢,難以保證工控系統不被攻擊。
缺乏安全審計與威脅監測機制
由於缺乏完善的安全審計機制,對網路中存在的誤操作、違規操作和遠程運維操作以及病毒、木馬等入侵行為無法感知與發現。
解決方案
(一)設計思路
我們針對以上工控系統的信息安全現狀,提出如下的解決方案設計思路:
安全分區
根據工控系統業務的重要性、功能等因素劃分不同安全區,在各安全區之間採取相應的防護措施。
「白名單」基線
從設備准入、通訊鏈路、協議、主機進程等方面構建白名單安全基線。
綜合審計
建立多方面綜合審計體系,包括設備接入審計、網路審計、操作審計及安全運維審計等。
態勢感知
通過態勢感知平台實時搜集,大數據關聯分析,實時動態發現工控系統網路中的風險。
(二)安全設計
依據智能製造工控系統的典型架構,分為三層,即過程式控制制層(PCS)、製造執行層(MES)、資源管理層(ERP),對工控系統進行安全架構設計。
1
邊界防護
在製造執行層(MES)與資源管理層(ERP)和過程式控制制層(PCS)之間分別部署傳統防火牆和工業防火牆,實現對不同層進行安全隔離與防護,減少安全事件在不同層級間「傳染」現象發生。
2
安全接入
在MES層部署網路准入控制設備,通過SNMP技術對交換機進行接管,實現對MES層管理系統和PCS層網路中私自接入網路設備(如筆記本、手機、ipad等)進行管控,從而解決因外接非法設備引起的網路安全問題。
3
監測審計
在PCS層部署工控安全監測與審計管理系統。監測引擎通過獲取交換機上的鏡像流量進行分析、數據推送,管理系統對監測引擎進行管理,數據展現。從而實現對異常流量告警、記錄、審計,為事後追溯、定位提供證據。
4
終端防護
在PCS層部署終端安全管理系統,在操作員站、工程師站、介面機、MES操作站、MDC採集伺服器等工業主機上安裝工控安全衛士,構建白環境,實現對工業主機的進程白名單管理,移動存儲介質管理,有效抵禦未知病毒、木馬、惡意程序等對工業主機的攻擊,實現安全防護。
5
安全運維
在ERP層路部署堡壘機,在運維終端時,進行集中登錄認證、集中用戶授權和集中操作審計。實現對運維人員的操作行為記錄、審計,違規操作等行為的有效監督,為事後追溯提供依據。
6
態勢感知
在ERP層部署態勢感知平台,對網路設備、安全設備進行統一管理,利用大數據關聯分析,實時動態發現工控系統網路中的風險並預警,提升企業整體安全防護水平。
客戶價值
滿足合規性要求
符合網路安全法要求,滿足等保2.0對工控系統的要求以及其他有關針對工控系統信息安全的政策、工作指南、標準等要求;
增強工控系統的安全性
保護工控系統免受病毒、木馬、蠕蟲等惡意代碼以及黑客、敵對勢力、國家組織等的惡意攻擊;同時減少內部員工的誤操作、違規操作等行為引起的善意攻擊;
提升工控安全管理水平
通過態勢感知平台,提升工作效率,節省運維人力,提升企業整體安全管理水平。
END
版權歸聖博潤所有,轉載需註明。
感謝您的關注。
TAG:聖博潤 |