行业现状
随着《中国制造2025》的全面推进,智能制造生产对管理和控制一体化需求的不断升级, 以及网络、通讯等信息技术的广泛深入应用,越来越多的智能制造控制系统与企业网中运行的管 理信息系统(如MES、ERP)之间实现了互联、互通、互控,甚至可以通过互联网、移动互联网 等直接或间接地访问,这就导致了从研发端、管理端、消费端、生产端任意一端都有可能实现对 系统的网络攻击或病毒传播,面临的安全风险进一步加大。
解决方案
智能制造行业工业控制网络面临诸多安全问题,涉及网络安全和通信层面、设备和计算安全层面、应用和数据安全层面及管理安全方面,主要包括网络非法访问可能导致的敏感信息泄露,非法入侵行为引发的网络阻塞,操 作终端或服务器中毒引发生产中断,以及操作审计措施不到位、管理制度不完善等可能引发的安全隐患等。
总体解决方案的建设重点为解决目前DNC控制系统存在的突出网络安全问题,同时结合《工业控制系统信息 安全防护指南》、《信息安全技术网络安全等级保护基本要求》等政策法规要求及客户实际进行安全建设规划。
具体建设内容如下:
1、网络和通信安全
在管理网与MES之间部署工业防火墙,只允许与生产相关的流量通过,在满足生产业务的安全 需求(生产从互联网下订单)的同时,实现管理网与生产网的安全隔离。 在生产网与MES之间部署工业防火墙,按照最小权限原则设置防火墙策略。实现DNC网络的纵 向安全隔离,保证MES系统与生产网之间生产指令及反馈信息的安全可靠。 在生产网内部核心交换机部署工业入侵检测系统和工业安全监测审计系统,及时发现、检测针 对生产网的入侵行为及违规指令等(指令错误、指令篡改等)并告警。 在各个车间出口部署工业防火墙,只允许NC程序传输及生产状态信息回传等流量通过。同时,实现各车间之间的安全隔离,杜绝通过视频监控网络非法侵入生产系统等安全隐患,保护关键生产 指令的合法有效。 对生产网内部无线网络进行安全检测,设置无线准入管理,只允许合法设备接入,预防和杜绝 无线网络入侵行为。
2、设备和计算安全
对于重要服务器实施安全加固,加强身份认证、访问控制等安全防护措施,提高服务器安全防 护能力,降低系统被破坏及数据被窃取的风险。 在各工作站和操作员站上部署工业主机安全卫士产品,只允许与生产相关的软件运行,防止僵 木蠕传播。 为关键机床及加工中心配备USB隔离设备,防止随意接入USB口,杜绝病毒、木马等进入机床和 加工中心,防止数据泄露,保证生产安全。
3、应用和数据安全
在生产网内部部署安全运维管理系统,基于唯一身份标识的集中账号与访问控制策略,实现集 中精细化运维操作管控与审计,杜绝误操作及违规行为,提高工业控制系统及设备安全维护水平。
4、管理安全
部署工业安全管理平台,对于整体工业控制安全状态进行实时监控,及时发现网络攻击、异常 指令、违规外联及漏洞等信息并及时应对。 完善管理制度,包括组织架构完善、内部/外部人员安全管理、信息安全培训在内的人员管理制 度,制定总体网络安全策略、网络/数据/介质管理制度、重大信息安全管理制度等,加强信息安全培 训,定期进行信息安全演练等。
方案价值
- 优先帮助客户解决最迫切的实际问题,保证生产稳定有序进行。
- 帮助客户构建“ 一个中心,三重防护”的整体安全防护体系,大大提高客户工业控制网络 抵御网络安全威胁的能力,为安全精益生产保驾护航。
- 帮助客户建立工控安全防护规范,形成行业示范效应。
- 提升客户安全运维管理能力,降低后续学习成本和风险发生可能,保障生产系统高效、稳定 运行。