工业控制系统网络安全防护分析
时间:03-14
来源:互联网
点击:
工控系统的二层防护
1、管理层与MES层之间的安全防护
管理层与MES层之间的安全防护主要是为了避免管理信息系统域和MES(制造执行)域之间数据交换面临的各种威胁,具体表现为:避免非授权访问和滥用(如业务操作人员越权操作其他业务系统);对操作失误篡改数据,抵赖行为的可控制可追溯;避免终端违规操作;及时发现非法入侵行为;过滤恶意代码(病毒蠕虫)。
也就是说,管理层与MES层之间的安全防护,保证只有可信合规的终端和服务器才可以在两个区域之间进行安全的数据交换,同时,数据交换整个过程接受监控审计。管理层与MES层之间的安全防护如下图所示:
2、MES层与工业控制层之间的安全防护
通过在MES层和生产控制层部署工业防火墙,可以阻止来自企业信息层的病毒传播; 阻挡来自企业信息层的非法入侵;管控OPC客户端与服务器的通讯,实现以下目标:
区域隔离及通信管控:通过工业防火墙过滤MES层与生产控制层两个区域网络间的通信,那么网络故障会被控制在最初发生的区域内,而不会影响到其它部分。
实时报警:任何非法的访问,通过管理平台产生实时报警信息,从而使故障问题会在原始发生区域被迅速的发现和解决。
MES层与工业控制层之间的安全防护如下图所示:
工控系统安全防护分域
安全域是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,且相同的网络安全域共享一样的安全策略。
在管理层制造执行层工业控制层中,进行管理系统安全子域的划分,制造执行安全子域的划分工业控制安全子域的划分。 安全域的合理划分,使用每一个安全域都要明确的边界,便于对安全域进行安全防护。对MESICS的安全域划分如下图所示:
如上图所示,为了保证各个生产线的安全,对各个生产线进行了安全域划分,同时在安全域之间进行了安全隔离防护。
工控系统安全防护分等级
根据安全域在信息系统中的重要程度以及考虑风险威胁安全需求安全成本等因素,将其划为不同的安全保护等级并采取相应的安全保护技术管理措施,以保障信息的安全。
安全域的等级划分要做到每个安全域的信息资产价值相近,具有相同或相近的安全等级安全环境安全策略等。安全域所涉及应用和资产的价值越高,面临的威胁越大,那么它的安全保护等级也就越高。
构建工业控制系统安全管理平台
工业控制系统和传统信息系统具有大多数相同的安全问题,但同时也存在独特的安全需求。工业控制系统最大的安全需求是唯一性和排它性,在某一特定的工业控制系统中,工业控制系统只需用唯一的工业应用程序和工业通信协议运行,其他一概不需要。
启明星辰工业系统安全管理平台为工业控制系统建立了一个相对可信的计算环境,对工控系统管理终端和网络通信具有非常强的安全控制功能。工业控制系统安全管理平台有两部分组成,一部分是工业控制系统安全管理平台,具有终端管理网络管理行为监控功能,另一部分是终端安全管理客户端。
管理平台部分
工业控制系统的安全运行,主要需要保障工业控制系统相关信息系统基础设施的安全,包括工业以太网网络操作终端关系数据库服务器实时数据库服务器操作和应用系统等各类IT资源的安全,从工业控制系统安全的角度对工控系统的各类IT资源进行监控(包括设备监控运行监控与安全监控),实现对安全事件的预警与响应,保障工业控制系统的安全稳定运行。
具体而言,工业控制系统安全管理平台功能如下:
能够对应用服务器关系数据库服务器实时数据库服务器工业以太网设备运行状态进行监控,例如CPU内存端口流量等等。
能够对操作终端外设进程桌面进行合规性在线和离线管理。
能够对各层边界数据交换情况进行监控。
能够对工业控制系统中的网络操作行为进行审计。
能够对工业控制系统日志进行关联分析和审计。
能够对工业控制系统中的异常事件进行预警响应。
能够对工业企业信息系统进行虚拟安全域的划分。
工业控制系统终端安全管理部分
由于工业控制系统管理终端的安全防护技术措施十分薄弱,所以病毒木马黑客等攻击行为都利用这些安全弱点,在终端上发生发起,并通过网络感染或破坏其他系统。
工业控制系统终端最大特点是应用相对固定,终端主要安装工业控制系统程序,所以,要防范传统方式的病毒或木马等恶意软件,最直接的方式就是利用工业控制系统对终端应用程序的进程进行管理。
具体而言,工业控制系统安全管理平台终端安全管理部分功能如下:
工业控制系统安全管理平台客户端软件轻巧精炼,占用资源极少,能够最大程度保证工业控制系统管理终端的稳定性。
工业控制系统安全管理平台客户端具有终端准入控制功能,可以防止没有达到安全基线的笔记本对终端进行管理。
工业控制系统安全管理平台客户端具有终端安全优化与加固功能,能够对工业控制系统终端进行安全优化和加固,使终端安全水平达到一定的安全基线。
工业控制系统安全管理平台客户端具有外设管理功能,对工业控制系统的外设进行管理,比如USB接口光驱网卡串口等。
工业控制系统安全管理平台客户端具有工业控制系统应用程序监控功能,对终端中的工业控制系统软件进行监控和管理。
工业控制系统安全管理平台客户端具有工业通信协议监控功能。工业控制系统终端通信协议相对固定,客户端能够对终端通信协议具有唯一性管理功能。
工业控制系统安全管理平台客户端具有离线管理功能,工业控制系统终端有一部分无法进行在线管理,客户端具有比较强大的离线自管理功能,可以完成对离线终端的管理。
工业控制系统安全管理平台客户端具有强身份认证功能,客户端具有使用工业控制系统在线终端和离线终端都具有强身份认证功能,从而防止工业控制系统被有意或无意被控制的风险。
1、管理层与MES层之间的安全防护
管理层与MES层之间的安全防护主要是为了避免管理信息系统域和MES(制造执行)域之间数据交换面临的各种威胁,具体表现为:避免非授权访问和滥用(如业务操作人员越权操作其他业务系统);对操作失误篡改数据,抵赖行为的可控制可追溯;避免终端违规操作;及时发现非法入侵行为;过滤恶意代码(病毒蠕虫)。
也就是说,管理层与MES层之间的安全防护,保证只有可信合规的终端和服务器才可以在两个区域之间进行安全的数据交换,同时,数据交换整个过程接受监控审计。管理层与MES层之间的安全防护如下图所示:
2、MES层与工业控制层之间的安全防护
通过在MES层和生产控制层部署工业防火墙,可以阻止来自企业信息层的病毒传播; 阻挡来自企业信息层的非法入侵;管控OPC客户端与服务器的通讯,实现以下目标:
区域隔离及通信管控:通过工业防火墙过滤MES层与生产控制层两个区域网络间的通信,那么网络故障会被控制在最初发生的区域内,而不会影响到其它部分。
实时报警:任何非法的访问,通过管理平台产生实时报警信息,从而使故障问题会在原始发生区域被迅速的发现和解决。
MES层与工业控制层之间的安全防护如下图所示:
工控系统安全防护分域
安全域是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,且相同的网络安全域共享一样的安全策略。
在管理层制造执行层工业控制层中,进行管理系统安全子域的划分,制造执行安全子域的划分工业控制安全子域的划分。 安全域的合理划分,使用每一个安全域都要明确的边界,便于对安全域进行安全防护。对MESICS的安全域划分如下图所示:
如上图所示,为了保证各个生产线的安全,对各个生产线进行了安全域划分,同时在安全域之间进行了安全隔离防护。
工控系统安全防护分等级
根据安全域在信息系统中的重要程度以及考虑风险威胁安全需求安全成本等因素,将其划为不同的安全保护等级并采取相应的安全保护技术管理措施,以保障信息的安全。
安全域的等级划分要做到每个安全域的信息资产价值相近,具有相同或相近的安全等级安全环境安全策略等。安全域所涉及应用和资产的价值越高,面临的威胁越大,那么它的安全保护等级也就越高。
构建工业控制系统安全管理平台
工业控制系统和传统信息系统具有大多数相同的安全问题,但同时也存在独特的安全需求。工业控制系统最大的安全需求是唯一性和排它性,在某一特定的工业控制系统中,工业控制系统只需用唯一的工业应用程序和工业通信协议运行,其他一概不需要。
启明星辰工业系统安全管理平台为工业控制系统建立了一个相对可信的计算环境,对工控系统管理终端和网络通信具有非常强的安全控制功能。工业控制系统安全管理平台有两部分组成,一部分是工业控制系统安全管理平台,具有终端管理网络管理行为监控功能,另一部分是终端安全管理客户端。
管理平台部分
工业控制系统的安全运行,主要需要保障工业控制系统相关信息系统基础设施的安全,包括工业以太网网络操作终端关系数据库服务器实时数据库服务器操作和应用系统等各类IT资源的安全,从工业控制系统安全的角度对工控系统的各类IT资源进行监控(包括设备监控运行监控与安全监控),实现对安全事件的预警与响应,保障工业控制系统的安全稳定运行。
具体而言,工业控制系统安全管理平台功能如下:
能够对应用服务器关系数据库服务器实时数据库服务器工业以太网设备运行状态进行监控,例如CPU内存端口流量等等。
能够对操作终端外设进程桌面进行合规性在线和离线管理。
能够对各层边界数据交换情况进行监控。
能够对工业控制系统中的网络操作行为进行审计。
能够对工业控制系统日志进行关联分析和审计。
能够对工业控制系统中的异常事件进行预警响应。
能够对工业企业信息系统进行虚拟安全域的划分。
工业控制系统终端安全管理部分
由于工业控制系统管理终端的安全防护技术措施十分薄弱,所以病毒木马黑客等攻击行为都利用这些安全弱点,在终端上发生发起,并通过网络感染或破坏其他系统。
工业控制系统终端最大特点是应用相对固定,终端主要安装工业控制系统程序,所以,要防范传统方式的病毒或木马等恶意软件,最直接的方式就是利用工业控制系统对终端应用程序的进程进行管理。
具体而言,工业控制系统安全管理平台终端安全管理部分功能如下:
工业控制系统安全管理平台客户端软件轻巧精炼,占用资源极少,能够最大程度保证工业控制系统管理终端的稳定性。
工业控制系统安全管理平台客户端具有终端准入控制功能,可以防止没有达到安全基线的笔记本对终端进行管理。
工业控制系统安全管理平台客户端具有终端安全优化与加固功能,能够对工业控制系统终端进行安全优化和加固,使终端安全水平达到一定的安全基线。
工业控制系统安全管理平台客户端具有外设管理功能,对工业控制系统的外设进行管理,比如USB接口光驱网卡串口等。
工业控制系统安全管理平台客户端具有工业控制系统应用程序监控功能,对终端中的工业控制系统软件进行监控和管理。
工业控制系统安全管理平台客户端具有工业通信协议监控功能。工业控制系统终端通信协议相对固定,客户端能够对终端通信协议具有唯一性管理功能。
工业控制系统安全管理平台客户端具有离线管理功能,工业控制系统终端有一部分无法进行在线管理,客户端具有比较强大的离线自管理功能,可以完成对离线终端的管理。
工业控制系统安全管理平台客户端具有强身份认证功能,客户端具有使用工业控制系统在线终端和离线终端都具有强身份认证功能,从而防止工业控制系统被有意或无意被控制的风险。
- 中压电力线通信技术(01-07)
- 北京华深校园办公自动化系统方案(02-14)
- 基于DSP技术的变电站综合自动化系统简介(11-10)
- 数据中心的网络虚拟化和自动化(01-31)
- OFDM调制技术的配电自动化通信系统研究(02-17)
- 基于ITIL的云计算实施方案 (02-08)