股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
立即咨询
行业面临问题
行业背景
随着新(xīn)一轮工(gōng)业革命的来临,互联网、大数据、人工(gōng)智能(néng)等信息技(jì )术正在深入推动制造业融合创新(xīn)发展,我國(guó)制造业转型升级已是刻不容缓。我國(guó)政府也出台相关政策力推智能(néng)制造,随着“中(zhōng)國(guó)制造2025”、“工(gōng)业互联网”等战略的快速推进,智能(néng)制造试点示范项目分(fēn)布已经逐步拓展到全國(guó)范围,数字化工(gōng)厂、智能(néng)車(chē)间、“灯塔工(gōng)厂”不断引领行业发展高潮。由于智能(néng)制造是基于新(xīn)一代信息技(jì )术,贯穿设计、生产(chǎn)、管理(lǐ)、服務(wù)等制造活动各个环节,工(gōng)控信息安(ān)全形势也变得更加复杂严峻。
安(ān)全问题
工(gōng)业控制系统為(wèi)满足企业数字化转型,逐步打破了原始信息孤岛的形式,生产(chǎn)管理(lǐ)系统MES、仓储管理(lǐ)系统(WMS)与生产(chǎn)控制SCADA/PLC/DNC/CNC/Robot联系越发紧密,也带来一系列安(ān)全风险:不可(kě)信数据包进入控制系统网,非法身份的用(yòng)户对控制系统的访问,易受来自办(bàn)公(gōng)网或内部其它區(qū)域的攻击威胁。工(gōng)业控制系统采用(yòng)标准的TCP/IP通讯协议与软硬件系统,将数据共享至工(gōng)业控制系统之外的系统,為(wèi)工(gōng)业生产(chǎn)带来极大推动作(zuò)用(yòng)的同时,也带来了诸多(duō)工(gōng)控系统的安(ān)全问题,如:网络边界模糊、TCP/IP协议自身安(ān)全问题、工(gōng)业组态软件与控制器漏洞、工(gōng)控机系统漏洞、工(gōng)业病毒攻击、未经授权访问、非法网络嗅探、APT攻击、僵尸网络威胁等等网络安(ān)全风险和漏洞。同时以往的IT网络安(ān)全防护技(jì )术已不能(néng)适应现有(yǒu)的工(gōng)业控制系统安(ān)全防护需求(如无法实现OPC动态端口协议以及其他(tā)工(gōng)业协议深度解析的安(ān)全防护需求),可(kě)见工(gōng)业控制系统安(ān)全道路任重,刻不容缓!
亚信安(ān)全解决方案
工(gōng)业控制系统系统网络架构遵循IEC62264工(gōng)业控制系统普渡模型,但基于不同行业工(gōng)艺要求的不同以及自动化技(jì )术的迭代,部分(fēn)层级可(kě)能(néng)存在不同程度的融合。根据等保2.0、工(gōng)业信息安(ān)全防护指南中(zhōng)对工(gōng)业控制系统安(ān)全要求,依据“安(ān)全分(fēn)區(qū)、立體(tǐ)防御、安(ān)全运维”的原则进行总體(tǐ)防护。同时,智能(néng)工(gōng)厂OT与IT深度融合,不仅仅是流程、技(jì )术、管理(lǐ)的融合,更重要的是观念、团队的融合,使得网络安(ān)全问题全程贯穿,而网络安(ān)全作(zuò)為(wèi)IT与OT融合的前提,必须得到可(kě)靠保证。因此,树立动态、综合的网络安(ān)全防御理(lǐ)念成為(wèi)必须选项,用(yòng)系统思维构建以基础结构安(ān)全、积极防御、态势感知、威胁情报為(wèi)核心的防御體(tǐ)系。
-
- 网络结构
- 依据业務(wù)属性、实际网络结构、等级保护要求,将整个网络划分(fēn)為(wèi)生产(chǎn)管理(lǐ)层、过程监控层、现场控制层和生产(chǎn)执行层四个區(qū)域。根据业務(wù)特点、控制系统特点,横向上对工(gōng)业控制系统进行安(ān)全區(qū)的划分(fēn),对处于不同的安(ān)全區(qū)的系统进行有(yǒu)针对性的安(ān)全防护。
-
- 边界安(ān)全
- 通过工(gōng)业网闸数据单向摆渡的机制,对工(gōng)业数据进行单向传输,杜绝任何来自除工(gōng)控网络以外其他(tā)系统的网络威胁,同时通过工(gōng)控防火墙,对跨安(ān)全域的访问行為(wèi)进行监控,阻止非合规访问流量通过边界,尤其是对工(gōng)业协议进行深度解析,通过协议白名(míng)单策略,实现对工(gōng)业流量的过滤,防止工(gōng)业数据传输时被窃听、篡改。
-
- 工(gōng)控机安(ān)全
- 对生产(chǎn)控制區(qū)域内部操作(zuò)员站、服務(wù)器等设备节点的防护已成為(wèi)工(gōng)控系统安(ān)全的基础环节,可(kě)為(wèi)控制系统提供基础的防御与保护。通过在生产(chǎn)控制區(qū)域内的工(gōng)程师站、操作(zuò)员站部署工(gōng)业主机白名(míng)单产(chǎn)品,对工(gōng)控主机系统、工(gōng)控软件、接入设备等计算环境进行安(ān)全加固与白名(míng)单管理(lǐ)。实现主机恶意代码防范,提升主机本體(tǐ)防御能(néng)力。
-
- 流量安(ān)全监测
- 对生产(chǎn)控制區(qū)域,根据网络结构及安(ān)全域划分(fēn),在关键网络节点及系统,对全流量进行监测,对生产(chǎn)设备及资产(chǎn)进行自动发现和识别,实现资产(chǎn)管理(lǐ);对监控系统的资产(chǎn)进行脆弱性检查,包括资产(chǎn)所对应的漏洞信息,开放的端口和不安(ān)全的协议;进行工(gōng)业环境的异常操作(zuò)监测,如:工(gōng)程师站组态变更、操控指令变更、下装(zhuāng)、固件升级等关键事件;对控制网络中(zhōng)的工(gōng)业入侵行為(wèi)、网络病毒进行监测预警。
為(wèi)防护APT攻击,实现对高级可(kě)持续威胁的防护,须在生产(chǎn)區(qū)域关键汇聚节点部署高级可(kě)持续威胁防护系统,实现全流量溯源、威胁分(fēn)析。
-
- 安(ān)全运维
- 在生产(chǎn)管理(lǐ)层,严格管控对生产(chǎn)监控网的访问,通过工(gōng)业堡垒机进行认证管理(lǐ)、账号管理(lǐ)、权限管理(lǐ)、操作(zuò)审计等策略,实现运维操作(zuò)的准入、控制以及审计,根据身份与权限进行访问控制,并且对操作(zuò)行為(wèi)进行安(ān)全审计。
-
- 数据安(ān)全
- 部署存储备份系统或容灾恢复系统对静态存储和动态传输过程中(zhōng)的重要工(gōng)业数据进行保护,能(néng)够提供重要数据的本地数据备份与恢复功能(néng)。重要工(gōng)业数据应加密存储,定期备份关键业務(wù)数据,并设置访问权限。
-
- 安(ān)全管理(lǐ)运营
- 為(wèi)满足等级保护相关要求,提高工(gōng)业安(ān)全运营管理(lǐ)的效率,应建立工(gōng)业安(ān)全管理(lǐ)中(zhōng)心,通过部署工(gōng)控安(ān)全管理(lǐ)平台进行企业工(gōng)业网络安(ān)全的统一管理(lǐ),实现安(ān)全设备集中(zhōng)状态监控、日志(zhì)收集、策略下发等,实现对整个工(gōng)控系统网络安(ān)全威胁的集中(zhōng)管控与展示;部署日志(zhì)审计系统,实现日志(zhì)留存、审计分(fēn)析,為(wèi)安(ān)全专员提供有(yǒu)效技(jì )术手段。
