《数字化车间信息安全常见威胁源、机械制造行业数字化车间信息安全示例、信息安全增强要求》由会员分享,可在线阅读,更多相关《数字化车间信息安全常见威胁源、机械制造行业数字化车间信息安全示例、信息安全增强要求(10页珍藏版)》请在金锄头文库上搜索。
1、GB/T 17 A A 附 录 A (资料性附录) 数字化车间的信息安全常见威胁源 数字化车间的信息安全危险既可能来自于数字化车间(数字化车间应该有明确的边界)外部,也可 能来自于数字化车间内部。威胁来源归结但不限于以下几类: a) 数字化车间互联互通,上层系统受到的威胁可能渗透到数字化车间内; b) 数字化车间系统支持的远程维护以及不规范的无线接入点; c) 数字化车间内设备访问因特网或物联网连接; d) 移动媒体的不规范使用,USB 设备、光盘、移动硬盘等; e) 恶意攻击如 DoS、DDoS、APT、人员恶意操作等; f) 人员误操作。 GB/T 18 B B 附 录 B (资料性附录)
2、 典型机械制造行业数字化车间信息安全示例 B.1 概述 随着网络技术的快速发展,通过网络来进行生产、管理成为制造业的趋势,利用DNC技术进行加工 过程管控,已经成为各制造企业的主流选择。DNC不同于单台机床与计算机的一对一连接,而是多台机 床组成网络,编程人员在自己的计算机编制好加工程序(NC程序)后,通过网络传输到DNC系统中,再 由DNC系统传输到数控机床中或通过数控机床访问DNC系统下载程序。 目前部分单位已经实现了以DNC系统为中心的生产工控系统网络, 通过DNC系统进行NC程序的下载和 上传,实现生产的自动化控制;同时通过CNC的采集系统对机床的实时状态进行采集,将采集数据上传 至D
3、NC服务器,实现设备状态的实时采集和汇总。这些变化大大提高了生产力,但同时也让控制系统面 临新的风险与挑战。如图B.1所示。 图B.1 机械制造行业典型架构 B.2 确定保护对象与目标 GB/T 19 对车间进行现场调研,通过对现场相关的网络、设备、数据和应用等资产进行识别与分类,确定各 类资产的可用性、 完整性和保密性安全属性, 然后利用确定的算法将信息资产三个因素的价值综合考虑, 确定资产价值大小,从而最终确定要保护的关键资产如下: a) 网络及网络设备; b) 现场控制层设备:数控机床; c) 计算机设备:服务器、工作站、DNC 客户端等; d) 软件:工业控制系统专有协议、DNC 相关
4、软件、源代码; e) 数据:工艺配方、数据库数据。 B.3 风险分析与处置 随着两化融合的不断深入,车间网络与信息系统的作用日益增强,面临的脆弱性、威胁以及潜在的 风险都会对生产经营造成极大的影响。 风险分析是识别风险及其可能造成的损失, 从而调整安全防护措 施,防患于未然,以提升企业的安全保障水平和能力。按照“风险管理”的方法对车间进行风险分析与 处置,具体如下: 威胁识别: a) 车间管理网络与控制网络互联互通, 上层管理网络受到的威胁与攻击可能渗透扩展到控制网络; b) 车间不同控制单元间没有进行网络划分与隔离,局部感染可能会影响到全局; c) 车间控制系统远程维护缺少有效管控手段,可能
5、会造成生产数据的信息泄密或者破坏; d) USB 设备、移动硬盘等使用无有效管控手段; e) 车间工控设备、 主机可能遭受恶意代码及病毒攻击, 未对操作站主机或者工控设备进行必要的 安全配置,一旦能接触访问到被攻击的成功机会很大; f) 对关键生产工艺数据、工艺配方进行窃取或破坏。 脆弱性识别: a) 工控设备因自身安全性设计方面存在不足,导致其具有可自主修改权限低、安全性差; b) 数字化车间设备所使用的网络协议及应用软件存在漏洞等; c) 数字化车间网络系统设计、配置存在缺陷; d) 网络设备和网络交换设备的链路层安全策略配置不全, 通过网络进行恶意攻击如 MAC 洪泛攻击、 ARP 攻击
6、、生成树攻击等成功机会很大。 基于威胁和脆弱性识别以及威胁利用脆弱性导致安全事件发生的可能性分析, 并对当前已有安全措 施确认后,综合考虑风险控制成本与风险造成的影响,确定需要处置的安全风险如下: a) 从纵向上来看,控制网络可能会遭受来自办公管理网络的蠕虫、病毒扩散及其他攻击; b) 从横向上来看,一旦一个控制室单元中感染蠕虫、病毒,就可能向其他的控制区进行扩散,造 成全面风险威胁; c) 攻击者可轻易的将攻击机接入到网络的某一端口, 获得与工控设备进行通讯的权限, 实施攻击 行为; d) 主机设备对于合法进程无识别,对于病毒无防护,主机较容易感染病毒或启动非法进程,比较 容易遭受恶意代码的
7、攻击; e) 工控设备有的依然采用默认口令或者弱口令; f) 整个系统网络没有形成统一有效的安全监控及审计体系, 网络中如果发生异常通讯或故障, 无 法及时识别并定位安全问题的源头。 B.4 安全防护需求与安全策略 GB/T 20 基于安全风险处置要求,结合业务现状,安全需求主要体现在以下几个方面: a) 对车间网络进行安全域划分并对安全域之间实行边界防护, 禁止没有防护的控制网络与互联网 连接,安全域之间通过防火墙等安全设备进行逻辑隔离; b) 在工控设备自身安全方面,其可自主修改权限低、安全性差,可被配置程度低,需要实现对设 备的安全使用和管理控制,降低自身威胁和整体风险性; c) 在工业
8、控制网络平台安全方面,如何保证指令在工控系统中传输时不被篡改、丢弃,提供良好 的网络平台,提升网络质量,是能正常、正确生产的前提条件; d) 在工控系统安全方面,如何保证系统不被病毒、木马等恶意程序侵害,如何保证系统不被非授 权使用、破坏等,如何保证数据被正确下载和上传,是必须解决的安全问题; e) 在工控应用方面,如何保证系统的权限及使用过程合法、合理,行为可追踪,访问内容可控; f) 在协议安全方面,必须处理好工控设备与现代信息设备协议转换和过程中数据传输的验证等; g) 在接入安全方面,解决工控网络和工控设备的接入认证问题,防止非法接入; h) 从设备本身的安全角度看,由于设备的内部结构
9、比较复杂、外部通用接口较多、内部专有接口 较多、控制难度较大、系统漏洞很难修补,需加强技术手段进行访问控制和审计; i) 从设备工作环境看,由于大部分设备安放在比较开放的环境下,接触人员包括公司员工、产品 厂商/供应商、协作配套等多类人群,对人员的识别必须采取有效的机制,达到有效的控制信 息的知悉范围; j) 从数据管理角度看,由于现场操作人员过多的参与到数据存储、删除等处理活动中,数据存储 在本地未进行加密处理,同时又无相关的审计、访问控制措施,尤其在试验环境下,信息泄露 问题严重,而目前无论从管理手段还是从技术手段均不能完全满足现有的管理的要求。 图B.2 典型工程/数字化车间架构 安全策
10、略: GB/T 21 根据安全防护需求分析,根据上图所示的安全架构,在DNC系统网络中从多个方面综合采取安全防 护措施,力求建立纵深防御体系。具体策略如下: 管理措施 1) 指定专人负责车间安全管理,重要数据、工艺配方、文件资料做到专人管理并签署保密协 议,使用要有授权并有记录; 2) 外部人员的访问与网络接入要有严格的审批与权限控制。 技术措施 a) 区域划分与网络防护 1) 区域划分, 将具备相同功能和安全要求的设备划分在同一区域内, 对网络结构进行重新设 计规划,不同的区域划分不同的子网,并按照方便管理和控制的原则为各子网、网段分配 地址段; 2) 在区域网络边界部署网络安全隔离设备,
11、分别管控流经网络边界的数据流, 安全策略配置 数据单向通讯和端口级网络防护策略,保证通讯的可靠性和传输方向的一致性; 3) 每个数控机床和数控设备网之间部署工业防火墙, 实现网络区域隔离和通讯管控, 工业防 火墙具备工业环境适用性和 OPC、 ModBus 等工业通讯协议的应用层安全防护功能, 可以针 对协议本身进行数据合法性检查, 保证数据通讯的可控性与可信度。 同时工业防火墙还具 备链路层数据帧检查功能和ARP攻击防护能力, 可有效识别通讯设备IP和MAC是否合法, 防止广播风暴和洪泛攻击等对工控网络的威胁; 4) 在网络交换机等设备配置最小化的应用安全策略,根据业务应用需求划分 VLAN
12、、关闭空 闲端口,绑定端口接入主机信息(MAC、IP 等),避免设备非法接入以及保证网络接入的 安全性; 5) 在网络中部署入侵检测系统, 采取旁路监听模式, 这样既可以侦测网络中是否存在入侵行 为或异常通讯行为, 如有异常情况则及时发送安全审计报警日志, 又同时保证了工控网络 生产数据的正常传递不受影响。 b) 身份认证 1) 核查车间网络中网络设备、工控系统等默认口令或弱口令,进行整改并定期更新。 c) 使用控制 1) 在 DNC 系统中的计算机上采用基于可信计算技术的主机安全防护产品为工控系统主机提 供白名单方式的软件系统进程管控, 进而实现对恶意代码的防范, 及时阻止或发现可疑进 程的
13、启动,进而为工控系统的主机构建可信的进程运行环境; 2) 计算机上部署基于可信计算技术的移动存储介质的管控及审计系统, 实现主机对移动存储 介质的身份认证与准入控制,管控移动设备的使用; 3) 重要计算机上安装访问控制终端软件, 实现不同用户对于主机系统中的程序和文件的使用 权限的访问控制及记录。 d) 安全审计 1) 在车间网络部署工控安全审计与异常监测平台,对所有通信进行实时分析、记录、匹配、 告警, 及时发现各种违规行为以及病毒和黑客的攻击行为, 并可对过去发生的网络通信行 为进行追溯。 B.5 安全确认与评估 根据实施的安全策略, 确定验证和证实系统安全性的目标并制定详细的安全测试计划
14、, 定义测试所 采取的步骤,用测试、分析、观察和演示的方法验证和证实系统安全需求。 GB/T 22 对系统安全性进行检测或证实,使用渗透测试工具、工控协议漏洞检测设备、网络分析系统等工具 设备通过网络对工控系统与设备进行攻击与网络信息收集;使用病毒样本、非法U盘等对主机系统与设 备进行破坏,实际记录测试结果,出具测试报告。 对检测结果与检测报告进行分析,通过与安全需求对照,确定系统的安全性满足车间的安全需求, 安全策略得到正确有效的实施。 B.6 运行与维护 信息安全是一个长期持久的工作, 车间的信息安全解决方案实施投入运行后, 需要建立一个长效的 安全运行机制,才能使车间的信息安全进入持续改
15、进的良性循环。进入运行维护阶段后须重点关注:运 行管理和控制、变更管理和控制、安全状态监控、安全自查和持续改进等。措施如下: a) 制定车间安全运维相关制度规程。 明确安全运维具体责任人, 建立详细的维护操作流程与相关 表单; b) 明确现场运维和远程运维的管理要求, 对运维账号的申请与管理、 运维行为的规范等提出具体 要求,对现场运维尤其是远程运维进行严格审批和监视; c) 在车间网络部署安全运维统一管理平台, 自动采集车间所有安全设备、 主机服务器、 网络通信、 应用等的运行状态和审计日志等数据, 并利用大数据、 数据挖掘等先进技术分析网络行为及用 户行为等因素所构成的网络态势。 为用户提
16、供安全动态监控运维平台, 对当前网络及设备安全 状态进行集中、实时监控,发现异常及时告警,提醒用户及时处理; d) 运行过程中须及时了解和控制运行过程中的安全风险, 应定期进行风险评估, 评估内容包括对 车间保护对象的威胁、脆弱性等方面,并出具风险评估报告; e) 当车间的业务流程、系统状况发生重大变更时,如“增加新的应用或应用发生较大变更、网络 结构和连接状况发生较大变更、技术平台大规模的更新、系统扩容或改造、发生重大安全事件 后,或基于某些运行记录怀疑将发生重大安全事件”,也须进行风险评估。 GB/T 23 C C 附 录 C (资料性附录) 数字化车间信息安全增强要求 C.1 概述 用户在实现数字化车间信息安全技术基本要求的同时, 可以根据实际需要采用本附录的增强要求以 提高数字化车间的信息安全能力。 C.2 区域划分与边界防护 C.2.1 感知控制层增
