《工业控制系统信息安全防护需求》由会员分享,可在线阅读,更多相关《工业控制系统信息安全防护需求(3页珍藏版)》请在金锄头文库上搜索。
1、工业控制系统信息安全防护需求一、工业控制系统信息安全防护建设目标1.1提高工业网络抗攻击能力通过工业网络的安全体系的建设,使工业网络可以有效防护内部、外部、恶 意代码、ATP等攻击,安全风险降低到可控范围内,减少安全事件的发生,保护 生产网络能够高效、稳定运行,减少因为系统停机带来的生产损失。1.2 提高工业网络的管理力度通过工业网络安全体系的建设,可以对工业网络的网络流量、网络连接、工 控协议识别和解析、工程师站组态变更、操作指令变更、PLC下装等进行审计和 记录,网络管理人员可以直观了解网络运行状态及存在的安全隐患。1.3保护重要信息财产安全通过工业网络安全体系的建设,可以对工业网络内重要
2、信息的流转进行管理, 禁止未授权的存储介质的接入和使用,保护重要信息、文件、图纸不会被随意的 拷贝和流转,降低工业网络的泄密风险。二、工业控制系统信息安全防护建设需求依据工业环网的实际情况,对安全防护体系架构进行如下规范: 规范边界:内、外联网边界,办公网与生产数据服务器区域网边界; 规范服务区域:生产管理区域,生产过程区域,生产控制区域;通过上述规范,具体需求如下防护设备:区域边界防护:通过明确服务区域,针对服务区域内的设备(关键控制 器、主机等)进行内部加固,将区域内部的网络问题直接汇聚在本区域 内,通过建立区域白名单策略,规范区域内的网络规则。有效保护安全 区域内网络信息安全,以避免信息
3、泄漏及病毒“串染”,有效保护各安 全区域间网络信息安全。设备要求符合工业和信息化部工业控制系统信息安全防护指南中第 三大项“边界安全防护”第二小项要求“通过工业控制网络边界防护设备对 工业控制网络与企业网或互联网之间的边界进行安全防护,禁止没有防护的 工业控制网络与互联网连接”,需要在生产控制网络和陆地内网边界增加部 署工业安全网关,防范工业攻击对生产控制网络的安全威胁。 生产服务器主机安全加固:由于办公网与生产网互联互通,任何终端实 际上对生产网都可能成为威胁点。在生产信息化网络中,除了对边界防 护之外还需要解决终端的安全威胁,主机由于操作系统漏洞、应用软件 漏洞而引起的攻击、阻止未授权程序
4、在这些主机上的操作运行,控制非 管理人员对这些主机的访问等,防止类似“ Wannacry ”攻击事件再次发 生,也是对生产控制网络的又一层保护屏障。对办公网终端主机安装病 毒防护软件(可由客户自主选择)。设备要求符合工业和信息化部工业控制系统信息安全防护指南中第 一大项“安全软件选择与管理”中的第二小项要求“建立防病毒和恶意软件 入侵管理机制,对工业控制系统及临时接入的设备采取病毒查杀等安全预防 措施”,以及GB/T 30976.1-2014工业控制系统信息安全第一部分评估 规范中“第6.4.2 SR 3.2:恶意代码的防护”,明确提出建立生产网络的防 病毒和恶意软件入侵管理机制。网络威胁监测
5、:对生产信息化网络中的攻击行为、数据流量、重要操作 等进行监测审计,实现网络威胁的态势感知,也用于事后回溯和网络分 析。设备要求符合工业和信息化部工业控制系统信息安全防护指南中第 七大项“安全监测和应急预案演练”中第一小项要求“在生产控制网络部署 网络安全监测设备,及时发现、报告并处理网络攻击或异常行为”。在工业 生产网络核心交换机上旁路镜像部署基于工业协议的工控安全监测设备,对 工控网络中的攻击行为、数据流量、重要操作等进行监测审计,用于事后回 溯和网络分析。安全产品统一管理:对生产信息化网络中的相关安全产品进行统一的管理及运维,信息安全管理人员可以通过统一安全管理平台对整个工业控 制网内信息安全情况进行统一实时的监控,在第一时间内发现网络安全 问题。三、所需设备的拓扑图由剧内网峋火埼:心变视机2工业ILL变觐IH北找入.必融I工控安全威曲 监测与审计系统信息网盼濯X内网打公区,刁防痫占敦件VPN仍、眼御田什幽0沽0岳:;:!生F生产.即再坍再坍 -生产网统一安全管理平 台I/O4ASS2I/D F震全Hi0主机安全加. 固枷 =SFV
