智能制造控制系统网络安全解决方案

1.行业现状

1.1.行业背景

随着工业互联网的不断推进,智能制造行业的数字化不断提速,打通了生产管理与生产控制的全环节。智能制造工业互联的数字化、智能化给生产管理带来便利的同时,也带来了巨大的网络安全挑战,边界弱化的新风险、传统防护体系面对新业务场景的脆弱性带来的风险、勒索病毒、频繁运维需求、APT攻击等严重威胁着行业的健康发展。

1.2.政策依据


中华人民共和国网络安全法
关键信息基础设施安全保护条例
信息安全技术 网络安全等级保护实施指南
信息安全技术 网络安全等级保护基本要求
工业控制系统信息安全防护指南
工业控制系统信息安全第1部分:评估规范
工业控制系统信息安全第2部分:验收规范
工业控制网络安全风险评估规范
工业自动化和控制系统网络安全集散系统(DCS)第1部分:防护要求


2.解决方案

2.1.技术框架

匡安网络智能制造行业网络安全整体解决方案基于等级保护的基本要求设计安全防护技术框架。图片1.png

2.2.方案内容

按照“纵向分层”的基本思想,通过工业防护墙对工控网进行区域划分,划分为管理执行层、生产控制层、现场设备层。管理执行层主要是技术中心及数据库区,生产控制层主要是本地DNC服务器、工程师站及操作员站等,现场设备层主要是设备区。图片2.png

(一)建立安全管控区

在生产控制层建立安全管控区,通过部署主站运维网关或便携式运维网关、设备接口安全管控系统、工控监测与审计系统、工业安全管理平台实现对生产控制层及现场设备层的运维管控、接口防护、流量监测审计及安全管理等安全防护。

(1)运维管控

通过部署主站运维网关及便携式运维网关,对现场设备层、生产控制层运维资产、运维用户进行统一管理、细化运维过程细粒度监管,实现运维事前事中的管控及事后追溯,保障运维过程安全。

(2)接口防护

通过部署设备接口安全管控系统,接入现场设备层、生产控制层终端主机(工程师站、操作员站、DNC服务器等)、数控机床、上位主机部署的USB管控系统,并接入局域网各交换机,实现对USB接口、网络接口的统一管控,从而从根源上解决违规外联、非授权接入的问题。

(3)流量监测审计

以镜像引流方式旁路部署工控监测与审计系统,通过基于工业协议深度解析各区域网络流量,智能监测和识别网络中的入侵攻击、异常操作、生产数据、重要操作等行为,并进行统计和分析。

(4)统一安全管理

通过部署匡安工业安全管理平台,接入各网络安全设备,对设备进行统一管理、统一策略调整下发、统一日志收集分析、统一实时的监控,极大简化安全管理流程。

(二)生产管理层、现场设备层防护

在现场设备层测量仪表仪器的上位主机及数控机床、生产管理层服务器及工作站部署USB接口管控装置,并接入设备接口安全管控系统,阻断违规外联行为。

(三)区域边界防护

在现场设备层与生产控制层、生产控制层与管理执行层之间部署匡安工控防火墙,构建纵深防护体系,保障生产网络安全稳定运行。防火墙可以通过对工业专有协议的深度解析,阻止来自不同区域之间的越权访问,病毒、蠕虫恶意软件扩散和入侵攻击,保护控制系统安全运行。

(四)主机防护

在现场设备层与生产控制层中CNC、DNC系统、操作员站和工程师站上部署匡安工业主机卫士,通过扫描上位机程序和进程,构建白名单安全基线,实现系统安全加固,有效防范已知未知病毒的入侵和攻击。

3.客户价值

保障生产控制网安全运行,实现运维、接入、监测的可控、能控、在控。

有效防范管理性违章,提升内控水平。