当前位置: 防御器材 >> 防御器材介绍 >> 精选案例强化网络安全防护建设,护航智能
随着“中国制造”全面推进,工业数字化、网络化、智能化加快发展,新形势下工控安全工作的重要性和紧迫性更加凸显。近年来,针对制造业工业控制系统的网络安全攻击事件屡屡发生,如“台积电勒索病毒入侵事件”、“铝业巨头海德鲁公司遭勒索病毒攻击”等,给制造行业工业控制系统的网络安全防护工作敲响警钟。
近年来,我国对网络安全的重视程度不断提升。随着《中华人民共和国网络安全法》、《等保2.0》、《工业控制系统信息安全防护指南》等一系列法律及行业规定要求的颁布实施,更进一步凸显工业控制系统系统运营单位开展网络安全防护工作的重要性、迫切性和必要性,为企业开展工业控制系统网络安全建设工作提供有力指导和支撑。
1、项目背景
某省新材料集团公司是一家集研发、生产和经营为一体的航空航天交通铝新材料先进制造商,其旗下包含多个大型铝加工生产制造厂区。所生产的产品广泛应用于航空航天、轨道交通、汽车、船舶、3C电子等领域。
图片源自:视觉中国为积极响应国家号召,紧随“智能制造”步伐,提高企业自身竞争力,该集团针对旗下各生产企业进行智能制造升级和改造,采取最新的智能自动化系统MES,进一步提高生产效率,推进产供销一体化。然而,新增的MES系统在促进生产业务的“智能制造”同时,也带来相应的网络安全防护挑战。
当前,其旗下各生产企业单位的生产系统及配套的辅控系统网络安全防护措施仍相对薄弱、安全防护技术滞后、以及现有的防护技术已然满足不了当前网络安全防护需求的现状,并根据“同步规划、同步建设、同步运行”的原则,在推进业务系统智能制造升级和改造的同时,亟需进行网络安全建设改造工作。
2、需求分析
铝加工生产车间包括熔铸、挤压、热轧和冷轧等重要生产车间,各车间均部署有多套PLC控制设备,主要包括SIEMENSS7-、SIEMENSS7-和ABSLC5等品牌系列PLC,并由此组成了单个工艺或生产线的PLC控制系统,经过现场调研和风险评估,各生产车间生产系统存在以下安全隐患现象:
生产车间PLC系统网络拓扑图生产系统网络存在违规外联至办公网的现象,网络边界缺乏可靠隔离技术防护措施。生产系统内部缺乏入侵检测、安全审计以及集中监测等技术措施。PLC、组态软件以及上位机操作系统存在大量高中危安全漏洞,缺乏安全漏洞防范技术措施。上位机等操作站缺乏恶意代码防范技术措施,病毒防护技术手段“空白”。上位机等操作站针对USB外设接入等行为缺乏有效的技术管控措施,外设终端等设备可随意通过USB接口方式接入。上位机操作系统、数据库、组态软件和应用软件等未进行安全加固,存在弱口令等现象。针对生产系统未建立配套的安全管理体系,日常安全管理制度不完善,在规章制度、责任部门、管理人员和日常运维操作等方面均缺乏制度管理。综上所述,依据《信息安全技术网络安全等级保护基本要求》(GB∕T-)标准要求,遵循“一个中心三重防御“的技术防护指导,结合工业控制系统的网络层次架构,分别从企业资源层、生产管理层、过程监控层、现场控制层和现场设备层等层面入手,运用工控协议解析、指纹识别、黑白名单机制和主动防御等工业控制系统防护技术,添加安全隔离、入侵检测、安全审计和恶意代码防范等技术措施,并形成统一安全管理中心,优化日常安全管理体系,健全安全管理制度,提升生产系统网络安全整体防护能力水平,满足等级保护标准要求,实现“安全合规”,助力企业安全生产。
3、解决方案
边界防护
在各生产车间网络的边界处部署工业防火墙和工业隔离网闸,采用适用于工控网络的“黑白名单”机制和协议解析,细化访问控制粒度,对非法及异常访问行为进行拦截阻断,保障网络边界安全。
网络监测
分别在各生产车间网络关键节点中旁路部署工业入侵检测系统和监测审计系统,对攻击行为进行检测和告警,实现网络流量的采集分析监测和异常告警。
日志审计
分别在各生产车间网络中部署日志审计系统,实现日志信息的收集和集中分析,并提供日志查询、历史日志查询和事件告警功能,及时了解网络设备运行状态和识别存在的安全事件,提高系统安全防护能力。
上位机安全
部署工业终端安全卫士和USB安全防御系统,对操作系统进行安全加固,采取“白名单”机制,实现病毒主动免疫和USB接入行为管控。
漏洞管控
部署工业安全评估系统,定期对工控系统进行安全评估和漏洞扫描,及时发现系统网络中存在的安全隐患,识别存在的已知安全漏洞,通过网络“黑名单”方式进行安全漏洞防护,消除或降低面临的威胁风险。
集中管控
建立安全管理中心,部署统一安全管理平台和堡垒机,实现对网络安全设备的统一安全管控,实现安全设备的状态监控、审计管理和策略管理等集中管控功能,构筑安全管理中心平台,提升整体网络安全防护和运维管控水平。
管理优化
根据等保三级的安全管理要求,从安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等层面,进行管理制度修编和梳理,建立安全管理制度体系和日常安全运维操作规程,加强安全培训、安全评估和应急预案,提升企业日常网络安全运维水平。
生产系统网络安全解决方案设计图4、客户价值
1、安全合规建设,满足网络安全法和等级保护标准等要求,推动工控网络安全工作的开展和落实,助力企业提升网络安全防护水平。
2、遵循最小化影响原则,对网络行为进行监测、审计、控制和预警,实现“事前监控、事中控制、事后溯源”,静态和动态的主动防御体系,对保障生产控制系统的安全稳定运行起至关重要的作用。
3、通过采取智能学习,构建可视化工控网络拓扑,使工控网络“看得见,摸得着”,帮助企业管理人员轻松掌握网络安全状况,提高运维工作效率。
4、通过采取安全加固、防护提升和管理优化等一系列措施,弥补现有生产系统网络安全层面的空白,提高安全防护水平,降低遭受攻击破坏的风险,保障生产网络的安全稳定运行,助力企业安全生产。