行业面临问题
行业背景
随着新一轮工业革命的来临,互联网、大数据、人工智能等信息技术正在深入推动制造业融合创新发展,我国制造业转型升级已是刻不容缓。我国政府也出台相关政策力推智能制造,随着“中国制造2025”、“工业互联网”等战略的快速推进,智能制造试点示范项目分布已经逐步拓展到全国范围,数字化工厂、智能车间、“灯塔工厂”不断引领行业发展高潮。由于智能制造是基于新一代信息技术,贯穿设计、生产、管理、服务等制造活动各个环节,工控信息安全形势也变得更加复杂严峻。
安全问题
工业控制系统为满足企业数字化转型,逐步打破了原始信息孤岛的形式,生产管理系统MES、仓储管理系统(WMS)与生产控制SCADA/PLC/DNC/CNC/Robot联系越发紧密,也带来一系列安全风险:不可信数据包进入控制系统网,非法身份的用户对控制系统的访问,易受来自办公网或内部其它区域的攻击威胁。工业控制系统采用标准的TCP/IP通讯协议与软硬件系统,将数据共享至工业控制系统之外的系统,为工业生产带来极大推动作用的同时,也带来了诸多工控系统的安全问题,如:网络边界模糊、TCP/IP协议自身安全问题、工业组态软件与控制器漏洞、工控机系统漏洞、工业病毒攻击、未经授权访问、非法网络嗅探、APT攻击、僵尸网络威胁等等网络安全风险和漏洞。同时以往的IT网络安全防护技术已不能适应现有的工业控制系统安全防护需求(如无法实现OPC动态端口协议以及其他工业协议深度解析的安全防护需求),可见工业控制系统安全道路任重,刻不容缓!
铭冠网安智能制造工控安全解决方案
工业控制系统系统网络架构遵循IEC62264工业控制系统普渡模型,但基于不同行业工艺要求的不同以及自动化技术的迭代,部分层级可能存在不同程度的融合。根据等保2.0、工业信息安全防护指南中对工业控制系统安全要求,依据“安全分区、立体防御、安全运维”的原则进行总体防护。同时,智能工厂OT与IT深度融合,不仅仅是流程、技术、管理的融合,更重要的是观念、团队的融合,使得网络安全问题全程贯穿,而网络安全作为IT与OT融合的前提,必须得到可靠保证。因此,树立动态、综合的网络安全防御理念成为必须选项,用系统思维构建以基础结构安全、积极防御、态势感知、威胁情报为核心的防御体系。
网络结构
依据业务属性、实际网络结构、等级保护要求,将整个网络划分为生产管理层、过程监控层、现场控制层和生产执行层四个区域。根据业务特点、控制系统特点,横向上对工业控制系统进行安全区的划分,对处于不同的安全区的系统进行有针对性的安全防护。
边界安全
通过工业网闸数据单向摆渡的机制,对工业数据进行单向传输,杜绝任何来自除工控网络以外其他系统的网络威胁,同时通过工控防火墙,对跨安全域的访问行为进行监控,阻止非合规访问流量通过边界,尤其是对工业协议进行深度解析,通过协议白名单策略,实现对工业流量的过滤,防止工业数据传输时被窃听、篡改。
工控机安全
对生产控制区域内部操作员站、服务器等设备节点的防护已成为工控系统安全的基础环节,可为控制系统提供基础的防御与保护。通过在生产控制区域内的工程师站、操作员站部署工业主机白名单产品,对工控主机系统、工控软件、接入设备等计算环境进行安全加固与白名单管理。实现主机恶意代码防范,提升主机本体防御能力。
流量安全监测
对生产控制区域,根据网络结构及安全域划分,在关键网络节点及系统,对全流量进行监测,对生产设备及资产进行自动发现和识别,实现资产管理;对监控系统的资产进行脆弱性检查,包括资产所对应的漏洞信息,开放的端口和不安全的协议;进行工业环境的异常操作监测,如:工程师站组态变更、操控指令变更、下装、固件升级等关键事件;对控制网络中的工业入侵行为、网络病毒进行监测预警。
为防护APT攻击,实现对高级可持续威胁的防护,须在生产区域关键汇聚节点部署高级可持续威胁防护系统,实现全流量溯源、威胁分析。
安全运维
在生产管理层,严格管控对生产监控网的访问,通过工业堡垒机进行认证管理、账号管理、权限管理、操作审计等策略,实现运维操作的准入、控制以及审计,根据身份与权限进行访问控制,并且对操作行为进行安全审计。
数据安全
部署存储备份系统或容灾恢复系统对静态存储和动态传输过程中的重要工业数据进行保护,能够提供重要数据的本地数据备份与恢复功能。重要工业数据应加密存储,定期备份关键业务数据,并设置访问权限。
安全管理运营
为满足等级保护相关要求,提高工业安全运营管理的效率,应建立工业安全管理中心,通过部署工控安全管理平台进行企业工业网络安全的统一管理,实现安全设备集中状态监控、日志收集、策略下发等,实现对整个工控系统网络安全威胁的集中管控与展示;部署日志审计系统,实现日志留存、审计分析,为安全专员提供有效技术手段。