工業網絡隔離下的高效數據安全傳輸
鋼鐵生產系統由工業控制系統網絡與生產管理網絡兩大網絡系統組成。兩大網絡系統對各生產流程的設備控制、數據采集監控以及生產管理服務具有重要作用。其中,生產管理網絡主要通過部署制造企業生產過程執行系統(MES)等生產管理系統,用于為企業提供包括制造數據管理、計劃排產管理、生產調度管理、庫存管理、質量管理、人力資源管理、成本管理、項目看板管理等服務。但隨著行業發展,生產管理網絡邊界不在明顯,企業組織缺乏完善的信息安全管理體系,面對越發嚴峻的網絡環境,企業組織需要能夠進行實時管控審計、幫助自身進行系統加固的生成管理網絡安全解決方案。
1.標簽
安全隔離、訪問控制、生產主機防護、惡意代碼防護、工業防火墻、工業數采單向光閘
2.用戶痛點
1、生產網互聯互通帶來的安全邊界明顯擴大;
2、生產網基礎防護薄弱,難以抵擋外部發起的攻擊與入侵;
3、安全失衡,重功能安全,輕信息安全
4、生產網主機難以進行USB接口管控、系統加固、病毒預防等。
5、缺乏信息安全管理體系,運維人員難以進行實時管控與審計。
3.解決方案
本次方案要實現鋼鐵工控系統單向數據采集上傳到生產管理網絡的MES系統,同時又要做到采集鏈路間的隔離與訪問控制,因此項目在邊界安全設計采用工業防火墻+工業數采單向光閘方案。
某項目案例:
方案使用工業數采單向光閘實現單向數據采集與上傳,根據數采鏈路數量以及數采單向光閘產品的物理接口數量,兼顧接口冗余備份功能,可配備12臺安盟華御工業數采單向光閘(每套數采光閘5個通信接口,啟用其中3個通信接口作為采集接口,留一接口備用、一接口管理使用)。
方案采用工業防火墻防護數據采集鏈路,并做到采集鏈路間的隔離,每三條數采鏈路匯聚到一臺工業防火墻上,每條鏈路使用獨立網橋,互不干涉。34條數采鏈路,配備12臺工業防火墻(通過接口擴展,每臺工業防火墻最大支持10個通信接口,提供6個接口作為通信口,做3進3出的三條鏈路防護,留2進2出作為備份。每臺工業防火墻對應一臺數采單向光閘)。
圖一:總拓撲示意圖
1、工業防火墻:數據采集鏈路隔離與訪問控制
實現方案:
每臺數采工作站目前需要采集多個PLC或OPC服務器上的數據,這樣會造成不同鏈路間的相互訪問,因此通過部署工業防火墻來完成鏈路隔離與數采訪問控制。
部署方式:
圖二:安盟華御工業防火墻部署示意
2、工業數采單向光閘:辦公網到生產控制系統物理單向數據采集
實現方案:
通過在某鋼鐵數采工作站與工業防火墻之間部署安盟華御工業數采單向光閘,完成數據采集的場景。工業數采單向光閘內端機主動采集生產網的實時數據,并單向推送至數采單向光閘的外端機,由數采工作站采集數采單向光閘外端機上的實時數據。由于實時數據從生產網向辦公網完全物理單向上傳,從而規避了各種病毒、攻擊等威脅信息從辦公網引入生產網的安全風險。
部署方式:
圖三:安盟華御數采單向光閘部署示意
設備由內、外網處理單元和安全數據交換單元組成。安全數據交換單元在內外網主機間按照指定的周期進行安全數據的擺渡。從而在保證內外網隔離的情況下,實現可靠、高效的安全數據交換,而所有這些復雜的操作均由隔離系統自動完成,用戶只需依據自身業務特點定制合適的安全策略既可實現內外網絡進行安全數據通信,在保障用戶信息系統安全性的同時,最大限度保證客戶應用的方便性。
3、補充安全設計
網絡安全審計
建議在數采工作站交換機處部署安盟華御工業安全審計系統,快速識別出數采層中的相關非法操作、異常事件、外部攻擊等,并實時報警。實現盡早發現企業中安全風險,做到安全預警。
主機安全防護
建議在數采站部署安盟華御工控主機衛士,防止用戶的違規和誤操作、阻止不明程序,授權移動存儲介質訪問權限等,有效提高工控主機的深度“免疫”能力。
安全運維
通過在數采機房部署安盟華御堡壘機,實現運維管理員和第三方服務人員對數采工作站及設備的運維操作管理和審計。對運維人員的系統登錄授權、操作指令限制、操作全程錄屏審計等功能。
安全管理平臺
在辦公網部署安盟華御安全管理平臺,完成設備實時信息收集,實時監測終端設備的通信流量和安全事件。進行不間斷地安全事件關聯分析,強大的一體化安全管控功能界面,多視角、多層次的管理,實現安全可視化。
4、方案價值與收益:
與生產采集無縫兼容
所選產品能夠滿足與鋼鐵工控系統無縫對接,又能夠提升整體計算環境的性能和穩定性,實現數據采集與單向上傳,安全量身定做。
工控系統高安全隔離
能夠阻止各種已知與未知的安全風險,防止勒索病毒以及相關變種提供數采鏈路傳播到工控生產系統中。
集中管理可視化管控
實現對生產網業務系統操作的管理和審計,對操作人員做到“事前可知、事中可控、事后可查”的運維操作全過程管理。
異常操作審計與攻擊預警
快速識別出數采層中的相關非法操作、異常事件、外部攻擊等,并實時報警。
生產主機防護
能實時防止用戶的違規和誤操作、阻止不明程序,授權移動存儲介質訪問權限等,有效提高工控主機的深度“免疫”能力。
原文來源:安全牛
“投稿聯系方式:孫中豪 010-82992251 sunzhonghao@cert.org.cn”
