天融信:工業數據擺渡的三大安全風險與應對
近年來,隨著國家網絡安全戰略部署的有效推進,在新一代信息技術加速兩化融合的同時,工業信息安全風險持續攀升,工業領域面臨著越來越嚴峻的安全形勢。一旦工業控制系統遭受到攻擊,除了直接造成工業生產停滯,帶來巨大的經濟損失外,還會將后果延伸至整個產業生態,危及公眾生命及財產安全,甚至進一步威脅到國家安全。
為應對工業控制系統普渡模型中的邊界安全風險,天融信采用單向數據擺渡技術,在滿足工業企業等保合規需求的同時,解決IT與OT網絡邊界處工業數據傳輸以及工業數據采集與轉發的安全問題。
一、如何解決生產管理層與企業資源層數據交互時面臨的安全風險?
安全風險:在生產管理層與企業資源層之間,普遍存在自動化過程中產生的數據向企業資源層其他系統轉儲的應用場景,工業數據交互過程中可能面臨著泄露、篡改等安全風險。
解決方案:天融信基于成熟的數據安全交換技術,結合工業控制系統業務特點,采用專業的隔離交換模塊進行IT與OT網間的信息擺渡,并以字段內容合法性檢查、高速同步等機制解決工業數據在轉儲過程中出現數據泄露、數據篡改等安全風險問題,同時結合單向隔離交換模塊避免威脅數據進入生產內網,保證生產管理層與企業資源層之間的數據通訊及交換安全。
二、如何防范過程監控層與生產管理層數據交互時的安全風險?
安全風險:過程監控層與生產管理層之間普遍采用OPC協議口進行數據交互,OPC協議雖然滿足了工業數據匯聚、數據共享等業務需求,但同時面臨著動態端口、DCOM機制漏洞、數據讀寫屬性易被篡改等安全風險,時刻威脅著工業控制系統的穩定運行。
解決方案:天融信采用OPC動態端口跟蹤技術與工業協議深度解析技術,在建立數據連接之前進行動態端口跟蹤,最小化開放工業控制網絡端口,杜絕任何不符合協議標準的訪問。針對IT與OT網間實現數據共享的應用場景時普遍采取“只讀不控”,而真正需要數據交互時,則采取協議深度解析與傳輸通道方向控制等手段,保障工業控制系統數據不被惡意篡改,防止非法數據下置到工業控制系統。
三、如何建立工業互聯網邊緣層安全數據采集機制?
安全風險:工業控制系統業務數據的采集與有效利用是建設工業互聯網平臺的基礎要素,而數據采集方式通常采取本地采集軟件或數據采集網關實現,但此類方法缺乏有效的安全性機制,數據傳輸過程中存在被惡意監聽、數據篡改等安全風險。
解決方案:針對工業互聯網平臺數據采集需求,天融信基于工業協議采集技術,對工業控制系統進行數據采集,并通過單向隔離交換技術進行數據擺渡,將采集到的數據安全上傳至工業互聯網平臺,滿足平臺建設過程中數據采集及安全傳輸的雙重需求。
某繼電器生產公司案例
某繼電器生產公司是中國繼電器行業的龍頭企業,隨著業務的不斷擴張,管理網對生產網的信息獲取需求越來越多,為滿足兩網間數據快速交換需求,辦公網與生產網之間實現了互聯互通,但網絡邊界處未進行任何安全防護,導致病毒感染和外部入侵的概率大大增加。
面對該企業的實際需求,天融信在其生產網與管理網邊界處部署工控安全隔離與信息交換系統設備,通過對流經的數據報文進行嚴格的協議格式檢查和內容過濾,保障兩網間數據交換途徑、交換通道及數據傳輸的安全問題。
天融信工控安全隔離與信息交換系統部署上線后,解決制造企業管理網及外部互聯系統對生產控制網帶來的病毒、木馬攻擊以及非授權訪問等問題,提升工業控制系統網絡邊界安全防護能力,保證業務數據的安全、可靠交換。
某省煤礦網重大設備實時數據對接項目
2021年某省煤礦安全監察局發文,對省內煤礦企業進行統一監察管理,要求省內煤礦企業將現場業務數據上傳。但省內大多數煤礦企業不具備將業務數據上傳的能力,并且多數企業IT與OT網絡邊界處缺乏必要的安全防護手段,因此需借助第三方安全設備在實現業務數據上傳的同時,保證生產網絡的安全。
面對該企業的實際需求,天融信在其辦公網與生產網絡邊界處部署工控安全隔離與信息交換系統,采用OPC協議采集煤礦工控環網內各系統實時數據,通過內置的協議轉發模塊將業務數據精準推送至監管平臺,保證數據采集與轉發過程中的實時性和安全性。同時,工控安全隔離與信息交換系統可對流經的數據報文進行細粒度過濾,有效防范惡意攻擊和敏感信息泄露,即保證網絡的隔離,又實現業務數據的安全、可靠交換。
工業互聯網安全建設過程道阻且長,安全威脅呈現多樣化趨勢發展,構建面向工業控制系統的邊界防護體系已迫在眉睫。天融信結合工業控制系統安全特性,將“安全+業務”充分融合,推出工控安全隔離與信息交換系統,杜絕來自信息系統的安全威脅,筑牢工業控制系統網絡邊界安全。
未來,天融信將始終堅持自主技術創新,在工業互聯網安全領域不斷探索,為工業互聯網安全產業融合發展賦能,為工業互聯網企業網絡安全保駕護航。
