通过智能制造工厂安全建设项目,实现了以下目标:
管理人员对目前自身工控系统所存在风险能够精确掌握。在对生产网和管理网边界进行隔离,确保管理网对生产网访问的安全性。技术人员对生产网中入侵、异常行为的及时发现,对现场设备进行深 度防护。管理人员、技术人员对整个工控系统各类设备运行状况、安全状况统一管理。
1、系统可能存在以下一些风险:
(1) 管理网和生产网互联,管理网风险容易引入生产网。随着工控系统的集成化越来越高,生产系统各个子系统的互联程度大大 提高。管理网中的 mes 系统需要与车间互联,下发生产数据。但在管理网和生产网边界访问控制策略缺失等问题导 致一旦管理网服务器感染病毒后,可以迅速通过工控网络传播到现场控制设备,直接影响操作员站、工程师站故障,影响正常生产。
(2) 网络访问关系无审计。 由于工控系统的特殊性,设备之间访问关系以及访问所使用的协议、端口都 比较固定,因此如果出现设备间的异常访问则应及时关注是否为入侵行为。存在整个工控系统内设备间访问关系不明确的现象,没有任何在网络层面和业务层面对系统内设备异常访问的发现及审计。
(3) 工控设备存在风险。plc以及所使用的主要组态软件存在着大量漏洞,时刻威胁着工控设备正常运行。
(4) 工业协议存在风险。工控系统中所使用 的 opc、profinet 等工业协议更多的是考虑协议传输的实时性等符合工业需求,但是在安全性方面考虑不足,存在着泄露信息或指令被篡改等风险
(5) 缺乏统一监控管理。缺乏统一有效的信息安全监控工具对工业 控制系统中的网络设备、服务器、数据库等进行有效安全监控和管理,在工业控 制系统和控制网络的设备出现故障时,不能提供及时的预警和故障定位,造成排 障时间较长。
2、安全解决方案
本方案的整体思路主要依据行业网络安全“分级分域、整体保护、积极预防、动态管理”的总体策略。首先对整个工控系统进行全面风险评估掌握目前工业互联网典型安全解决方案案例汇编 v1.0 工控系统风险现状;通过管理网和生产网隔离确保生产网不会引入来自管理网风险,保证生产网边界安全;在各车间内部工控系统进行一定手段的监测、防护, 保证车间内部安全;最后对整个工控系统进行统一安全呈现,将各个防护点组成一个全面的防护体系,保障其整个工业控制系统安全稳定运行。
(1) 全面风险评估
对整个工控网的评估,整体思路如下图所示:
技术方面是从应用、网络、上位机、下位机几个层面展开。管理方面是从合规、组织与人员、风险管理、安全策略、业务连续性、第三方管理等方面展开。最终通过风险评估准确了解工控网络系统安全现状,详细掌握工控系统威胁和风险;通过评估结果,找出工控安全的具体建设需求,以便真正满足企业的实 际情况,为进一步提出安全建议提供有力支撑;通过评估找出安全隐患的轻重缓急,以确保工控安全建设的阶段,合理规划工控安全建设和安全投入;通过评估 提高相关人员安全意识,以便落实国家及行业主管单位的人员安全培训及意识培 养的要求。
(2) 管理网和生产网隔离
风险分析中已经分析了管理网和生产网互联互通所存在的风险。
针对这一问题,本解决方案在车间工业控制系统生产网和管理网边界都部署工业防火墙进行管理网和生产网的逻辑隔离,对两网间数据交换进行安全防护,确保生产网不会引入管理网所面临风险。
(3) 各车间内监测与防护
在管理网和生产网隔离中已经对生产执行层和各个车间生产网络进行了逻辑隔离,确保管理网风险不会引入各车间生产网。那么对于车间内部的安全风险,应如何处理来确保各车间内部的安全性?在车间内部主要包括以下几方面风险:1)各类操作站的安全风险;2)网络访问关系不明确; 3)plc 等工控设备安全风险; 4)通讯协议存在风险; 5)无线通信安全性不足。针对各方面风险采取对应的防护手段如下:在操作员站、工程师站、hmi等各类操作站部署安全系统对主机的进程、软件、流量、u盘的使用等进行监控,防范主机非法访问网络其它节点;部署工业异常监测系统,监测工控网络的相关业务异常和入侵行为,通过工控网络中的流量关系图形化展示梳理发现网络中的故障,出现异常及时报警;部署工业漏洞扫描系统,发现各类操作系统、组态软件、以及工业交换机、plc 等存在的漏洞,为车间内各类设备、软件提供完善的漏洞分析检测。在plc 前端部署工业防火墙,对plc 进行防护。在车间现场通过部署 wifi 入侵检测设备,对工业控制系统中的 agv小车等其他无线网络进行安全防护。
(4) 统一安全管理
对于管理人员,面对整个企业各个车间内繁多的各类工控网络设备、服务器、操作站以及安全设备,如何高效管理,掌握各个点的风险现状,对整个工控系统 安全现状能够统一掌握,及时处理各类设备故障与威胁同样是工控安全建设至关 重要的一环。针对这一情况,通过在生产执行层部署工业控制信息安全管理系统,对生产中各车间工控系统进行可用性、性能和服务水平的统一监控管理。包括各类主机、服务器、现场控制设备、以及各类网络设备、安全设备的配置及事件分析、审计、预警与响应,风险及态势的度量与评估,对整个系统面向业务进行主动化、智能化安全管理,保障工业控制系统整体持续安全运营。从管理人员的角度,对于生产系统整体安全状况以及系统中的操作站、服务器、plc 以及安全设备的运行状态需要及时掌握。
防护方案设备部署情况如下图所示:
小结
德富莱在本次视频终端设备智能制造安全建设项目中,通过全面风险评估可以切实让生产运维人员和管理人员清晰获悉自身网络中的风险,以便提前做到适度防护,提升了运维人员效率,为管理人员对安全的规划提供了有力的支撑;通过生产网和管理网隔离实现了对mes系统到车间的访问控制,阻断来自管理网的非法行为;经过多项安全防护措施后,能够有效的保障工控网中网络、主机应用等各层面的多数安全问题发生,降低公司生产业务中断的风险;通过统一安全管理平台建设对各车间工控系统进行安全性、可用性、性能和服务水平的统一监控管理减少可能潜在的风险隐患,减少信息系统故障来的经济损失。