行业背景
近年来�,国务院正式发布《中国制造2025》规划����,要求推进信息化与工业深度融合�����,把智能制造作为两化深度融合的主攻方向�����,其中重要一环就是加强智能制造工业控制系统网络安全保障能力的建设�。智能制造行业的自动化系统和IT系统功能强大�,技术融合度会越来越高�����,高度智能化�、网络化的制造技术将会成为未来的发展方向����。因此���,也给智能制造业工业控制系统带来了工控信息安全的风险和隐患�。诸如生产车间工业控制系统的生产工艺易受到非法入侵����、木马病毒攻击�����、非授权访问���、关键生产核心数据被窃取甚至破坏生产设备等恶意行为����,可能会造成生产线的瘫痪��,涉密数据被破坏或窃取等威胁�����,造成生产安全事故�。近年来�,随着国家“两化融合”“智能制造”等发展战略的推进���,企业完成了信息网络与生产网络的初步融合�����。相关企业在提高生产效率的同时也为网络攻击带来了极大便利性����。2018年8月以来���,全球等多家精尖制造业遭受病毒攻击��,某制造型企业位于新竹科技园的晶圆12厂�、中科的晶圆15厂与南科的晶圆14厂均受到“勒索病毒”攻击�����,生产线陷入停产�,直接经济损失达数亿美元��。
此次事件为相关制造型企业敲响了安全生产的警钟���。长扬科技针对军工����、汽车�����、芯片及电子器件等制造型企业网络结构和特点��,推出了智能制造企业生产网络整体安全解决方案����,为企业两化融合提供安全助力���。
国务院正式发布《中国制造2025》规划���,要求推进信息化与工业深度融合�����,把智能制造作为两化深度融合的主攻方向�����,其中重要一环就是加强智能制造工业控制系统网络安全保障能力的建设����。汽车制造业的自动化系统和IT系统功能强大����,技术融合度会越来越高�����,高度智能化制造技术将会成为未来的发展方向����;随着汽车产品和汽车技术的快速更新换代�,生产线更加智能��,生产工艺更加的精确�,生产效率更高�,功能更加强大����,同时也给工业控制系统也带来了一些工控信息安全的风险和隐患�。诸如计算机控制系统下的生产工艺易受到非法入侵���、木马病毒攻击����、非授权访问���、生产核心数据被窃取���、破坏生产设备等恶意行为�����,可能会造成生产线的瘫痪��,生产数据被破坏����、窃取等威胁�,从而造成生产安全事故�。
解决方案
网络边界安全网络边界安全
在管理网核心交换机和生产网核心交换机之间�,组成全面的边界安全隔离措施���,实现基于工业协议的安全防护����,对原来防护缺少工业安全措施���,启到一个有效的补充和有力的完善�。
在管理网核心交换机与生产服务器之间架设工业防火墙����,同时在生产服务器设置数据只读控制策略�����,防止对生产服务器数据的恶意篡改��。
在管理网核心交换机与办公网之间架设工业防火墙�,以此避免办公网络的非法访问和入侵造成生产网络被恶意攻击和病毒感染�。
网络流量安全
在管理网核心交换机上旁路部署工业监测审计系统���,运用“白名单+智能学习”技术建立工控网络安全通信模型�����,实时发现针对PLC����、服务器等重要工业控制系统的攻击和破坏行为��,以及病毒����、木马等恶意软件的扩散和传播行为����,为工业控制网络安全事件调查提供依据�����。
统一安全管理
在管理网部署一套统一安全管理平台��,对工业网络中的安全产品及安全事件进行统一管理�。通过对控制网络中的工业防火墙�、监测审计平台�����、工控主机卫士等安全产品进行集中管理��,实现对全网中各安全设备��、系统及主机的统一配置���、全面监控�����、实时告警�、流量分析等�����,降低运维成本����、提高事件响应效率����。
主机安全防护
由于工控网络的封闭性���,根据工控系统现状���,大量上位机系统老旧且存在未使用的USB端口及光驱���。现场工程师可以通过U盘或光盘等与工控网中的设备上传或下载数据信息����,而往往这些移动介质如果没有通过专门的安全检查就被带入网路中使用�,这时很容易将病毒木马带入终端����,然后通过终端散播到网络的各个区域��,给整个工业控制网络带来安全风险隐患��。通过部署工控主机卫士��,对上位机的U盘��、网络等各种端口进行管控����,对终端安全进行防护���,防止病毒感染和非法软件侵入
智能制造行业生产工业控制系统网络安全部署示意图
