隨著工業互聯網的不斷推進,智能制造行業的數字化不斷提速,打通了生產管理與生產控制的全環節。智能制造工業互聯的數字化、智能化給生產管理帶來便利的同時,也帶來了巨大的網絡安全挑戰,邊界弱化的新風險、傳統防護體系面對新業務場景的脆弱性帶來的風險、勒索病毒、頻繁運維需求、APT攻擊等嚴重威脅著行業的健康發展。
匡安網絡智能制造行業網絡安全整體解決方案基于等級保護的基本要求設計安全防護技術框架。
按照“縱向分層”的基本思想,通過工業防護墻對工控網進行區域劃分,劃分為管理執行層、生產控制層、現場設備層。管理執行層主要是技術中心及數據庫區,生產控制層主要是本地DNC服務器、工程師站及操作員站等,現場設備層主要是設備區。
在生產控制層建立安全管控區,通過部署主站運維網關或便攜式運維網關、設備接口安全管控系統、工控監測與審計系統、工業安全管理平臺實現對生產控制層及現場設備層的運維管控、接口防護、流量監測審計及安全管理等安全防護。
(1)運維管控
通過部署主站運維網關及便攜式運維網關,對現場設備層、生產控制層運維資產、運維用戶進行統一管理、細化運維過程細粒度監管,實現運維事前事中的管控及事后追溯,保障運維過程安全。
(2)接口防護
通過部署設備接口安全管控系統,接入現場設備層、生產控制層終端主機(工程師站、操作員站、DNC服務器等)、數控機床、上位主機部署的USB管控系統,并接入局域網各交換機,實現對USB接口、網絡接口的統一管控,從而從根源上解決違規外聯、非授權接入的問題。
(3)流量監測審計
以鏡像引流方式旁路部署工控監測與審計系統,通過基于工業協議深度解析各區域網絡流量,智能監測和識別網絡中的入侵攻擊、異常操作、生產數據、重要操作等行為,并進行統計和分析。
(4)統一安全管理
通過部署匡安工業安全管理平臺,接入各網絡安全設備,對設備進行統一管理、統一策略調整下發、統一日志收集分析、統一實時的監控,極大簡化安全管理流程。
在現場設備層測量儀表儀器的上位主機及數控機床、生產管理層服務器及工作站部署USB接口管控裝置,并接入設備接口安全管控系統,阻斷違規外聯行為。
在現場設備層與生產控制層、生產控制層與管理執行層之間部署匡安工控防火墻,構建縱深防護體系,保障生產網絡安全穩定運行。防火墻可以通過對工業專有協議的深度解析,阻止來自不同區域之間的越權訪問,病毒、蠕蟲惡意軟件擴散和入侵攻擊,保護控制系統安全運行。
在現場設備層與生產控制層中CNC、DNC系統、操作員站和工程師站上部署匡安工業主機衛士,通過掃描上位機程序和進程,構建白名單安全基線,實現系統安全加固,有效防范已知未知病毒的入侵和攻擊。
保障生產控制網安全運行,實現運維、接入、監測的可控、能控、在控。
有效防范管理性違章,提升內控水平。
匡安微信公眾號
