水泥生产控制系统 信息安全防护解决方案
导读:本文共3520.5字符,通常情况下阅读需要12分钟。同时您也可以点击右侧朗读,来听本文内容。按键盘←(左) →(右) 方向键可以翻页。
摘要:三、方案设计原则为保证技术方案的科学性与严谨性,此方案设计主要遵循以下标准及政策文件:ISA99 / IEC 62443 《工业过程测量、控制和自动化 网络与系统信息安全》对于我国大中型企业生产网络纵深防御的适用性;国标 GB/T 30976.1-2014 《工业控制系统信息安全第1部分:评估规范》 ,GB/T 30976.2-2014 《工业控制系统信息安全第2部分:验收规范》 ;国标GB/T ... ...
目录
(为您整理了一些要点),点击可以直达。
三、方案设计原则
为保证技术方案的科学性与严谨性,此方案设计主要遵循以下标准及政策文件:
ISA99 / IEC 62443 《工业过程测量、控制和自动化 网络与系统信息安全》对于我国大中型企业生产网络纵深防御的适用性;
国标 GB/T 30976.1-2014 《工业控制系统信息安全第1部分:评估规范》 ,GB/T 30976.2-2014 《工业控制系统信息安全第2部分:验收规范》 ;
国标GB/T 22239-2008 《信息系统安全等级保护基本要求》对于工控信息安全保障的适用性;
国标 GB/T 20281-2006《信息安全技术-防火墙技术要求和测试评价方法》对于工控安全设备的适用性;
GB/T 29828-2013《信息安全技术 可信计算规范 可信连接架构》对于工控系统主机设备安全保护的适用性;
方案设计依据的总原则为依靠区域划分实现相同功能划分为一个局域的安全等级分区,依靠特定通信管道的建立实现数据通讯通道的安全可控,针对主机系统建立可靠的主机加固体系,建立完善的安全审计平台,对网络运行日志、操作系统运行日志、安全设施运行日志等进行集中收集、自动分析,及时发现各种违规行为以及病毒和黑客的攻击行为。
四、安全隔离防护方案
4.1现状及风险分析
根据现场交流调研,各分厂通过OPC Server工作站将生产实时数据采集集中储存至各分厂的实时数据库中,再由各分厂的实时数据库通过互联网专线网络将数据上传至集团总部信息中心的实时数据库。
风险分析:
1. 生产控制网络可能会遭受来自办公管理网络及数据通信网络的蠕虫、病毒扩散及其它攻击;企业上层的信息管理网中,Web发布器、实时数据库与其他操作员站、监控服务器等全部位于同一局域网中,一旦其中某一台计算机感染病毒,势必将影响该区域内其他所有计算机。
2.各分厂的信息管理网络数据出口缺乏有效的边界安全防护设备,一旦一个分厂的生产及管理信息网络感染蠕虫、病毒,就可能向其它的分厂进行扩散,造成全面风险威胁;
3、各分厂与集团信息中心的网络通讯借助光纤或运营商的专网进行通讯,对监护数据的安全、可靠、实时性有一定的保证,但仍有管道专网的公网接口及管道专网内设备已被入侵的情况对调控中心系统和站控系统的信息安全构成威胁。
4、控制网内部由于Windows操作系统的开放性,使得工程师站/操作站存在感染病毒的风险,尤其是工程师站。工程师站是工程师对控制系统进行组态和管理的窗口,在实际应用中经常使用U盘、光盘等移动介质,虽然目前做了严格的管理规定,比如在U盘插入前必须格式化等规定,但人机交互频率较高的工程师站以及第三方维护单位监督管理有难度,使控制系统依然存在感染病毒的风险,所以需要对工程师进行单独隔离。因此,做好全方位的安全防护工作显得尤为重要。
5、由于技术分布不均匀以及紧急情况亟待处理等情况,运维工程师通过互联网直接远程访问分厂的控制系统进行维护,使得生产控制系统极易遭到运维计算机及来自互联网的病毒威胁。
6、网络中一旦出现问题,无法进行原因查找和分析。而且没有区域化得隔离,这样病毒感染传播会很迅速。网络节点和节点之间无有效隔离,一旦一个节点出现问题,会迅速扩展至其它节点,蔓延至整个网络,缺乏有效的区域隔离措施,缺乏对网络进行实时监控的工具,缺乏一个能够实时反映分析网络环境的工具。
4.2安全防护解决方案
安全产品部署拓扑图依次展示如下:
1、在各分厂的信息管理网络的交换机的数据出口与集团信息中心通讯的互联网接口之间部署Guard工业防火墙,实现集团管理信息中心与各分厂信息网络及生产控制网络的安全隔离防护,有效防止来自信息网路的病毒感染生产控制系统,实现不同分厂间的安全区域划分,有效将病毒等网络威胁控制在在单一厂区内。
2、在生产控制网络的的操作员站、工程师站、OPC Server工作站等各类基于Windows系统的主机工作站上部署Intrust可信计算安全平台及客户端,有效地对各站操作系统的漏洞和病毒进行防护,同时可以对需要在系统内使用的USB等移动介质进行识别和管控,最大限度地提高终端的稳固性,降低安全风险;
3、在集团信息中心部署一台VPN服务器,并安装Remote Administrator远程桌面工具,配合防火墙仅开放此VPN服务器可以远程桌面访问分厂的内网,远程运维工程师必须通过连接集团信息中心的VPN服务器认证后方可远程至某一分厂进行维护,最大限度保证远程运维工作的便利性和安全性。
4、在各分厂的管理信息网络中部署安全管理服务器和可信计算授权服务器,对整个控制系统中的可信计算平台和工业防火墙安实施有效的管理和监控,及时发现、排除系统中潜在的威胁风险点和故障点。
5、在集团信息中心部署SMP安全管理平台,将防火墙及可信计算平台的报警信息汇总处理和分析,将实时对网络内的安全设备及路由交换设备进行管理和监控,及时发现潜在的威胁风险点,及时查找网络中的故障点,并为集团领导系统的安全防护机制和改进措施提供有利依据
4.3安全防护的目标
1)对操作员站、工程师站等网络节点进行个体体防护,依赖可信计算核心芯片保证各网络节点自身系统和应用的安全,从而降低整个系统的安全风险,有效解决U盘感染终端的困扰,解决停止Windows XP等操作系统的更新服务带来的安全问题;有效的降低的操作站系统升级所造成的经济成本。
2)确保各分厂系统对外通讯接口不会对本系统造成信息数据泄露的风险,凭借特有的OPC通讯数据检测机制确保证各分厂系统网络安全。
3)以区域隔离的理念对域间进行安全防护,保证单一分厂控制系统所出现的安全威胁不会影响到整个集团的信息安全
4)以可信计算授权服务器和工业防火墙安全管理平台组成的服务器将实时对网络内的安全设备进行管理和监控,及时发现潜在的威胁风险点,及时查找网络中的故障点,并为系统的安全防护机制和改进措施提供有利依据
5)有效减少计算机频繁维护升级和病毒感染等事故带来的停机等损失的人力、物力和时间成本。
水泥生产控制系统 信息安全防护解决方案的详细内容,希望对您有所帮助,信息来源于网络。