详细介绍
1、方案简介
基于加工制造行业生产系统网络的安全问题,提出整体安全防护解决方案,保障工控系统在与互联网对接时的数据安全与网络安全。
2、解决痛点
工控系统边界访问控制痛点
加工制造行业生产系统网络设计之初未对生产控制系统网络内部各网络资产之间的访问规则进行严格定义与限制,无法对恶意传播、非法外连、非法接入等行为进行有效的控制。入侵者可轻易利用生产控制系统网络中的某一个资产作为跳板,来访问其它重要资产,以达到渗透的目的,这是对生产系统产生安全威胁最为主要的原因之一。因此为保障生产网络安全,需划分网络边界,网络区域间实施严格的访问控制策略。
工控系统漏洞检测痛点
PC+Windows的技术架构现已成为控制系统上位机的主流,而在控制网络中,上位机是实现执行层与现场I/O通信的主要网络节点,因此其操作系统的漏洞就成为了整个控制网络信息安全中的一个短板。同样的,生产网络中存在的工控设备漏洞、工业控制软件漏洞等也不容忽视,需要对工控漏洞进行全面检测,并对工控网络脆弱性进行评估。
工控系统恶意代码管控痛点
由于生产控制单元相对较为分散,造成了物理层面的管理困难,部分操作工或运维人员通过移动存储设备或感染恶意代码的个人PC与控制系统中上位机进行连接,造成恶意代码植入上位机。非工控恶意代码通常影响上位机计算性能,造成指令操作间隔过长,影响正常控制流程;工控环境恶意代码则针对上位机中应用程序存在的漏洞进行攻击,通过漏洞进行指定恶意操作,从而造成生产事故。需加强工控网络中恶意代码管控,降低恶意代码感染风险。
工控安全整体监控
随着加工制造行业各单位内部信息系统的持续建设,生产网信息系统产生的数据无法被有效收集、整理并加以利用,导致信息安全管理员无法通过数据分析发现隐藏在其中的安全威胁。当前生产网中缺少针对过程监控系统、DCS控制系统、PLC控制系统等应用环境安全信息统一的收集及分析手段,如果仅仅采用边界防护手段无法抵御不断更新的攻击手段,无法对整个生产网络进行全方位不间断的安全风险监测。需部署统一监控分析手段,形成有效的整体防范策略,增加企业面对外来威胁或攻击时的防御能力。
3、解决思路
工控网络边界访问控制
在企业资源层和生产区网络区域边界部署工控安全隔离与信息交换系统。依照等保2.0基本要求对生产网中基于工业协议的报文进行过滤,对边界流量进行单向隔离,该隔离为应用层单向即办公网对访问控制策略允许的目标设备进行只读操作,禁用基于管理网的写操作行为。同时,对于非带外视频流量进行过滤,过滤规则与应用流量相同,仅允许办公网进行读取操作。
在生产区控制网络内部各独立安全域边界部署工控防火墙,通过工业协议深度解析功能对访问控制行为进行管控。将访问内容与设定的安全策略进行比对,确认报文的通过或阻断,当出现异常报文(超过设定阈值)时,阻断并进行告警处理。
工控系统入侵行为和恶意代码管控
在生产大区非控制区核心交换机旁路部署工控入侵检测与审计系统,及时发现来自外部的各种入侵行为,安全威胁,并对访问和操作行为进行安全审计。
在运维管理区域部署工控主机卫士管控中心,生产网上位机、服务器、采集终端等PC部署工控主机卫士客户端。基于“白名单”方式对终端应用讲程、服务进行识别,禁用策略范围外进程、服务。同时对移动存储介质进行授权,从驱动层面禁用非授权介质。
工控系统操作行为审计
在工控系统接入交换机上旁路部署工控安全监测审计系统,对下属节点数据变化及写操作内容进行审计,对工业报文内容进行解析,且系统支持设定阈值,可对数据变化加速度范围进行设定,对超出设定范围的场景,记录其时间戳、寄存器地址、操作数值,并做出报警响应。
工控系统漏洞检测
在运维管理区内旁路部署工控漏洞扫描系统,承担对生产网中非运行状态以及未上线前主机、应用、控制器的脆弱性扫描任务,实现对网络脆弱性的识别;扫描结果通过syslog或snmp方式将日志上传至管理网工业互联网安全态势分析与管理系统。
工控安全设备集中管控
在运维管理区旁路部署工控安全集中管理系统,实现对安全设备的统一管理,支持统一管理工控防火墙、工控安全监测审计、工控主机卫士等,提供统一策略配置,可集中收集日志进行统一分析。
工控安全整体监控
在运维管理区旁路部署工业互联网安全态势分析与管理系统,通过安全大数据建模分析,帮助客户看清现在面临的网络威胁,并对防护策略进行评估;通过对业务的全流量监控,可检测攻击,还原被攻击场景,对攻击流量成分、清洗总量、攻击时间进行详细描述,对业务影响进行有效评估。工业互联网安全态势分析与管理系统从网络层、主机层、应用层各个维度对安全进行监控,避免了以前看不见的安全盲区。工业互联网安全态势分析与管理系统将安全做到了可视化,将安全事件转化为数学模型,通过对其分析、判断,构建立体的安全防护模式。
运营案例
具备智能制造生产网络与办公网络互通的企业,具备工业物联网,需要基于工业控制系统进行安全防护的场景。
