html模版海天煒業鋼鐵行業工控系統網絡安全解決方案
摘要:近年來,借助“互聯網+、物聯網和智能制造技術,鋼鐵行業工控系統不斷優化升級,這一發展過程中,工業控制系統的網絡安全面臨著重大挑戰。海天煒業結合鋼鐵行業項目經驗、專業的工控網絡安全產品和技術,擬定瞭鋼鐵行業的工控系統網絡安全防護方案,為鋼鐵行業產業升級提供“工控系統安全一站式服務”。

1、方案概況

本方案適用於鋼鐵行業所屬各業務板塊工業控制系統的網絡安全建設工作,方案中所指的工業控制系統包括但不限於分散控制系統、安全儀表系統、可編程序控制器、車用喇叭推薦過程控制計算機、數據采集計算機、數據庫服務器及重要設備控制系統等,以下簡稱工控系統。

本方案基於鋼鐵行業工控系統的一般防護對象模型、規劃設計瞭安全防護技術方法,做出防護對象數量初步統計並形成項目預算。

2、解決方案

12.1安全防護體系介紹

根據工業與信息化部2016年印發的《工業控制系統信息安全防護指南》要求,結合工業控制系統信息安全防護思路,工業控制系統的信息安全措施可分為防護類和監控兩大類,本方案將遵循指南要求形成一套全面的安全防護體系,整體提高企業的工控網絡安全保障能力。安全防護體系主要包括如下幾個方面:

防護類措施

(1)在區域邊界處部署工業防火墻類安全設備,實現IP、端口的訪問控制、應用層協議訪問控制、流量控制等。

(2)在操作站、工程師站部署操作站安全系統實現移動存儲介質使用的管理、軟件黑白名單管理。

(3)安全配置網絡設備,實現聯網控制、網絡準入控制、端口管控等。

監控檢查類措施

(1)在工業以太網交換機上部署工控異常監測系統,檢測工業控制系統內部入侵行為,異常操作行為,發現異常流量和異常訪問關系等。

(2)部署工控漏洞掃描系統,在系統檢修、停機或新系統上線時進行漏洞掃描,對漏洞進行修補。

(3)建立周期性風險測評機制,在系統檢修、停機或新系統上線時進行配置基線檢查、病毒檢查、車用喇叭品牌使用記錄檢查等,重點關註工控系統主機開放的服務,賬號密碼策略、協議的安全配置等問題,有計劃的對風險進行持續性改進。

2.2安全管理

編制工控信息安全資產表、梳理設備接線

以硬件為核心,落實資產責任人、運維負責人、外協單位等人員名錄,將資產的看護、巡檢、保修等工作落實到人。通過接口梳理和線路梳理,使得整個物理環境可信、可控、可檢查。

供應鏈管理

工業控制系統的全生產周期的安全管理過程中,采用適合於工業控制環境的管理和服務方式,要求服務商具有豐富的安全服務經驗、熟悉工業控制系統工作流程和特點,且對安全防護體系和工業控制系統安全防護的相關法律法規 要有深入的理解和解讀,保證相應法律法規的有效落實,並以合同的方式約定服務商在服務過程中應當承擔的責任和義務。與工業控制系統安全服務方簽定保密協議,防范敏感信息外泄。

對關鍵主機設備、網絡設備、控制組件等進行冗餘配置

對關鍵主機設備、網絡設備、控制組件等進行冗餘配置,防止重大安全事件的發生

對重要的工業控制系統的核心組件防止自人為的惡意破壞

結合重點生產部位管理辦法,對核心工業控制軟硬件所在的位置,按照物理位置和業務功能進行區域劃分,區域之間設置物理隔離裝置。定期對工控環境進行巡檢,確保所有變動都得到記錄、論證和有人負責。

拆除或封閉工業主機上不必要的USB、光驅、無線等接口

拆除或封閉工業主機上不必要的USB、光驅、無線等接口可以從根本上切斷非法數據、程序的傳播途徑。若確需使用,可以通過主機安全管理軟件對外設的端口進行控制,記錄文件的導入導出等操作痕跡,實現對端口的嚴格訪問控制。

2.3安全技術

安全管控工控主機使用軟件和外部移動設備

工控主機使用應用程序白名單軟件、外部移動設備管控軟件實現進程管控和設備管控,起到防病毒和惡意代碼的作用。

關鍵設備和重點工控網絡區域邊界安全防護

在關鍵網絡節點處通過部署工控防火墻設備檢測並阻止從工控系統外部發起的網絡攻擊行為,禁止未經授權通訊傳入或傳出工控系統。同時,通過部署工控防火墻檢測並阻止工控系統內部發生的網絡攻擊行為和病毒傳播行為。

遠程訪問安全

采取技術和管理手段禁止工業控制系統向互聯網開通高風險通用網絡服務;

確需遠程訪問控制系統的情況,則指定遠程訪問對象,並在訪問對象的網絡接口處部署工控防火墻或網閘等安全設備,對通訊協議和內容進行過濾;

通過工控主機操作系統和工控系統軟件的審計功能,記錄並保存工業控制系統設備、應用等訪問日志,並定期進行備份,通過審計賬戶登錄、訪問時間、操作內容等日志信息,追蹤定位非授權訪問行為。

安全監測和應急預案演練

采用基於工控網絡數據流分析技術的安全審計類產品對關鍵部位的網絡鏈路、安全設備、網絡設備和服務器等的運行狀況、設備信息、通訊流量等進行集中監測;對常用公開協議進行數據解析和存儲,根據控制策略配置報警條件,實時監測工控設備異常通訊行為和異常操作行為,並能夠提供追溯異常事件的完整證明數據。

使用專門的審計中心將工控系統網絡設備和網絡安全設備的審計日志進行收集匯總和集中展示,根據需要生成審計報表,並對網絡中發生的各類安全事件進行識別、報警和分析;

制定工控安全事件應急響應預案。

3、解決方案解析

針對鋼鐵行業網絡現狀,結合《指南》要求,從安全防護和安全監測兩方面綜合考慮,制定整體方案,下圖為匯總鋼鐵行業工控系統網絡拓撲特點後,進行模型化處理後繪制的安全防護示意圖,意在簡化展示各類網絡拓撲和防護策略。



根據圖中所示鋼鐵行業網絡特點,針對不同特點的網絡架構,采取不同的防護措施。

(1)在OPC Server與數據采集服務器之間加裝Guard防火墻,對OPC Server進行防護,保護采集到的數據在傳輸中不被病毒篡改及刪除;將生產管理系統MES所在數采網與控制網隔離,Guard工業防火墻插件能夠過濾兩個區域網絡間的通信,防止數采網或者控制網中節點感染病毒後,在數采網和控制網之間互相傳播。

在站控系統的工程師站上做出有效的安全防護措施,保證關鍵設備的安全運轉。在控制網內部,將每套獨立功能的工程師站作為一個防護對象,用Guard防火墻將其隔離。一旦感染病毒,網絡故障會被控制在最初發生的工程師站,而不會影響到其它部分。

對系統中關鍵PLC設備安裝防火墻,防止病毒感染控制器。

(2)在控制網內部,重點對工程師站、操作站進行安全防護,充分利用可信計算與主機加固系統對系統進程進行深度檢查,僅允許合法的Windows及控制系統軟件進程運行,而其它的非法進程則被阻擋。在每臺工程師站和操作員站上安裝可信Intrust計算及主機加固系統,防病毒,抗黑客攻擊或滲透,防止惡意代碼的攻擊,提高工控系統計算機自身的免疫力;對USB等可移動設備進行管控,減少外來不安全因素。

(3)在信息網內部部署一套工控安全管理系統SMP軟件,實時接收來自工控安全防護設備的日志,分析、組織、處理網絡環境內的告警、設備運行信息。統一安全管理中心的范圍包括本次項目中涉及的所有安全相關設備與系統。

(4)在控制網核心交換機上部署一臺安全審計與異常檢測系統,針對工業控制網絡設計的實時告警系統,通過特定的安全策略,快速識別出系統中存在的非法操作、異常事件、外部攻擊並實時告警。

(5)在控制網核心交換機上部署一臺漏洞掃描系統,基於網絡的脆弱性進行分析、評估和綜合管理,快速發現網絡資產,準確識別資產屬性、全面掃描安全漏洞,清晰定性安全風險,給出修復建議和預防措施,並對風險控制策略進行有效審核,從而在弱點全面評估的基礎上實現安全自主掌控。

4、方案總結

本方案根據工業與信息化部2016年印發的《工業控制系統信息安全防護指南》要求,結合工業控制系統信息安全的建設經驗和IT領域同類標準要求,基於鋼鐵公司工控系統的一般防護對象模台北汽車音響改裝推薦型、規劃設計瞭安全防護技術方法,形成瞭一套全面的安全防護體系,能夠整體提高企業的工控網絡安全保障能力。





altis音響改裝


鄭重聲明:以上內容與證券之focal汽車喇叭星立場無關。證券之星發佈此內容的目的在於傳播更多信息,證券之星對其觀點、判斷保持中立,不保證該內容(包括但不限於文字、數據及圖表)全部或者部分內容的準確性、真實性、完整性、有效性、及時性、原創性等。相關內容不對各位讀者構成任何投資建議,據此操作,風險自擔。股市有風險,投資需謹慎。

8F7950D3C6CCDC7C
文章標籤
創作者介紹

怎麼這樣說話

d67gikl5z 發表在 痞客邦 PIXNET 留言(0) 人氣()