项目介绍
工业控制系统(ICS)广泛应用于制造、能源、交通、水利以及市政等领域, 用于控制生产设备的运行。一旦工业控制系统信息安全出现漏洞,将对工业生产 运行和国家经济安全造成重大隐患。随着计算和网络技术的发展,特别是信息化 与工业化深度融合以及物联网的快速发展,工业控制系统越来越多采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,病毒、木马等威胁 正在向工业控制系统扩散,工业控制系统信息安全问题日益突出。尤其是目前热 火潮天的“工业互联网”、“工业 4.0”、“两化深度融合”、“智能制造”、“智能工厂”等相关概念表明,在国家政策、技术创新和工业参与者需求转变等多个维度的共同驱动和协同下,工业正朝着数字化、网络化、开放化、集成化的工业互联方向发展,将面临更加复杂的信息安全威胁。近年来,工业控制系统信息安全事件不断发生,“震网”、“火焰”、“毒区”、“Havex”等恶意软件严重影响了关键工业基础设施的稳定运行,充分反映了工业控制系统信息安全面临的严峻形势。
主要建设项目
本方案对网络进行了合理划分,将测试网服务器、数控机床服务器、电镀网服务器从涉密办公网中剥离出来,分别部署到各自的网络内,即将测试服务器部署到测试网,数控机床网服务器部署到数控机床网,电镀网服务器部署到电镀网内,测试网、数控机床网、电镀网统一构成生产控制网。
主干部分,设计思路使用三层网络架构为基础模型,在核心交换机中设置各办公网和生产控制网的网段及网段之间的互相访问权限。防火墙控制各个网段与外网相互访问的规则。
生产控制网内,又下分为三个网络, 将服务器分别置于各自网络中,可以有效的提高各服务器在提供数据存储、测试、指令下发等工作效率。同时又保证了三个服务器在生产控制网内的作用,通过工控安全网关纵向隔离,实现纵向边界深度防护,防范基于工业协议的网络攻击;各网络区域之间通过工控安全网关横向隔离,阻止来自区域之间的越权访问,病毒、蠕虫恶意软件扩散和入侵攻击。
办公网专注于办公和设计,生产网专注于生产制造。办公网与生产网使用同一台核心交换机及网络安全产品,并采用 VPN 技术进行将办公网与生产网进行逻辑隔离。网络系统功能设计包含 IP 地址规划、VLAN 规划以及路由规划。
实施效果
生产网络安全防护项目建设完成后,能够全面提升企业生产网络的整体安全,确保设备、系统、网络的可靠性、稳定性,减少人员的工作量,提高安全生产管理水平、工作效率和管理效率。
生产网络安全防护项目建设完成后,安全防护整体建设工作符合国家相关政策和标准要求,可实现企业办公区和生产控制区的边界防护,有效避免来自企业办公区而来的其它威胁;
生产网络安全防护项目建设完成后,可实现对操作员站进行主机安全加固,通过白名单机制构建安全基线,防止病毒木马、恶意软件对系统的破坏;
生产网络安全防护项目建设完成后,可实现对整体网络的安全监测及审计,及时发现网络中是否存在违反安全策略的行为和被攻击的迹象;
生产网络安全防护项目建设完成后,可以通过统一安全管理中心对所有工控安全防护设备及系统的统一管理,降低运维管理成本;
生产网络安全防护项目建设完成后,可提高工控网络整体防护能力, 通过工控网络的安全体系的建设,使工控生产网络可以有效防护内部、外部、恶 意代码、ATP 等攻击,安全风险降低到可控范围内,减少安全事件的发生,保护生产网络能够高效、稳定运行,减少因为系统停机带来的生产损失。