第一章 卷烟厂网络概况分析及解决方案
卷烟厂车间网络是*草烟**制丝生产自动化的重要基础网络,是卷烟智能制造的重要组成部分。车间、厂部、公司的各类信息系统获取制丝生产设备的数据均依托此网络进行传输,为个信息系统提供实时操作、监控和历史数据。
1.1传统网络架构分析:
传统网络架构设备故障频发,网络系统稳定性下降,生产设备因网络中断造成的断流增加,现场数据采集频繁出现异常,这些问题无法通过简单的设备维修的方法解决。这给车间生产造成了一定程度的影响。
1.2生产网络安全分析:
传统车间网络安全问题也令人堪忧,卷烟车间大多数控制网络中在运行的电脑,仅有少部分主机卫士用来全天候对系统进行安全防护。另外,控制器的设计都以优化实时的I/O功能为主,而并不提供加强的网络连接安全防护功能力。由于PLC等控制系统缺乏安全性设计,所以PLC系统都是非常容易受到攻击的对象,一般的黑客初学者很容易就能获取入侵这些系统的工具。并且当前国家基础实施控制系统基本上被国外厂商垄断,设备都存在漏洞和固件后门。核心技术受制于人,增加了诸多不可控因素。
1.2.1通信协议漏洞
卷烟厂中广泛使用了S7协议和OPC 协议等工业控制协议,随之而来的通信协议漏洞问题也日益突出。例如, OPC Classic 协议(OPC DA, OPC HAD 和 OPC A&E) 基于微软的 DCOM 协议, DCOM 协议是在网络安全问题被广泛认识之前设计的,极易受到攻击,并且 OPC 通讯采用不固定的端口号,导致目前几乎无法使用传统的 IT 防火墙来确保其安全性。因此确保使用 OPC 通讯协议的工业控制系统的安全性和可靠性给工程师带来了极大的挑战。
1.2.2操作系统漏洞
卷烟厂制丝车间的本地操作站以及SCADA服务器都是Windows 平台的,为保证过程控制系统的相对独立性,同时考虑到系统的稳定运行,现场所使用的Windows操作系统长时间未更新系统补丁,不安装补丁系统就存在被攻击的可能,从而埋下安全隐患。
1.2.3操作系统漏洞安全策略和管理流程漏洞
追求可用性而牺牲安全,是很多工业控制系统存在的普遍现象,卷烟厂工业控制系统缺乏完整有效的安全策略与管理流程也给工业控制系统信息安全带来了一定的威胁。例如工业控制系统中移动存储介质包括笔记本电脑、U 盘等设备的使用和不严格的访问控制策略。
1.2.4操作系统漏洞杀毒软件漏洞
为了保证工控应用软件的可用性,卷烟厂工控系统操作站、工程师站和服务器大部分都未安装安全防护软件。即使安装了杀毒软件,在使用过程中也有很大的局限性,原因在于使用杀毒软件很关键的一点是,其病毒库需要不定期的经常更新,这一要求尤其不适合于工业控制环境。而且杀毒软件对新病毒的处理总是滞后的,导致每年都会爆发大规模的病毒攻击,特别是新病毒。
1.2.5应用软件漏洞
由于应用软件多种多样,很难形成统一的防护规范以应对安全问题;另外当应用软件面向网络应用时,就必须开放其应用端口。因此常规的IT 防火墙等安全设备很难保障其安全性。互联网攻击者很有可能会利用一些大型工程自动化软件的安全漏洞获取诸如重要区域或大型设备的控制权,一旦这些控制权被不良意图黑客所掌握,那么后果不堪设想。
为了适应新时代的数字工厂,智能制造以及生产安全的需求-----建设可视化双环安全网络的新型网络势在必行。
第二章 卷烟厂可视化双环安全网络意义价值
通过可视化双环安全网络设计,使设备控制网络和设备管理网络具备强大的数据采集管理能力,能快速完成数据采集和应用,快速定位网络故障,解决网络安全性和稳定性问题,实现可视化网络管理, 确保客户在复杂的工业环境中,也能通过简单操作,轻松将独立的传统系统集成到网络中,而且网络安全防护建设完成后,能够全面提升工控网络的安全性,确保生产管理等系统的可靠性、稳定性、高效性,减少安全运维人员的工作量,提高安全生产管理水平、工作和管理效率。有效提高工控网络的抗攻击能力,实现高效运维,洞悉全局。打造卷烟厂工业数字化、智能制造奠定坚实的基础。
第三章 卷烟厂可视化双环安全网络亮点优势
3.1化繁为简的网络管理性体系
可视化的网络平台管理,实时监测数据,集中管理,通过网络实现远程监控与操作;统一安全管理平台将工控网络中的所有安全设备和系统统一集中管理,减少管理人员的工作量,降低企业人力资源的投入。统一安全管理平台具有丰富的管理功能,友好的用户界面,人性化的统计报表,极大的提高企业工控安全管理的效率。
3.2更高的可靠性
确保系统可靠地、能连续地运行,要求具备高性价比。
3.3更高的安全性
抵御各种电磁干扰与适应复杂环境工作;对于安全防范系统,其本身的安全性能不可忽视;覆盖工控网络边界、主机、PLC及工控设备、工控组态软件等全方位安全的纵深防护体系,覆盖检测、防护、响应、审计的全过程,不留安全死角。深度理解工控系统广泛使用的S7、Modbus、DNP3、IEC104、Profinet、OPC等数十种应用通信协议,智能学习各类操作行为和参数,更好的识别攻击行为。
3.4更强的实用性
主要技术和产品必须具有成熟、稳定、实用的特点,产品和系统主要性能参数满足未来发展的需要。
3.5更广可扩充性
系统中通信距离长、节点多,设计时应充分考虑今后的发展需要,系统应具有预备容量的扩充与升级换代的可能。
3.6更高效的节能环保
供电方式受限,要求低功耗、低发热度。
第四章 卷烟厂可视化双环安全网络设计
4.1系统总计构成
系统主要由双环网机房核心交换机、双环网汇聚交换机、双环网接入交换机、工业防火墙、工业互联防火墙、工控安全审计与检测系统、工控主机卫士、日志审计与分析系统、统一安全管理平台、工业态势感知平台、移动介质安检站、可视化网络综合管理平台组成。
4.2系统详细思路
4.2.1双环网络系统构建
通过工业交换机的自愈功能和聚合功能的有效利用形成双环工业网络架构,使用双环工业网络具备更强的冗余性和自愈性,也同时具备更高网络速率、更稳定的网络通道。
4.2.2网络系统安全防护
根据工控双环网络架构特点并结合工控系统运行环境相对稳定,系统更新频率较低的特点,结合公安部发布的GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》和工信部印发的《工业控制系统网络安全防护指南》关于工业控制系统安全技术与管理中的要求,以及*草烟**行业的《*草烟**工业企业生产网与管理网网络互联安全规范》等规范要求,提出基于“白环境” 的纵深防御安全防护技术体系解决方案;加强对卷烟厂网络内、外恶意代码入侵及异常流量、异常行为的检测防护能力,提升工控主机安全防护能力,加强数据库系统操作审计与分析能力,提升系统的日志审计与分析能力,并建立统一的安全管理中心,实现对工控网络中的安全设备进行集中运维管控。进而构筑工控网络安全防护体系。
工控网络安全防护建设依据“安全分区、纵深防护、统一监控”的原则进行建设。
“安全分区”:根据生产过程,将生产相关配套工业控制系统按照实现功能进行安全分区。内部再根据不同控制系统进行安全分域。根据划分的安全区、安全域制定区间、域间防护措施。
“纵深防护”:结合安全区、安全域划分结果,在制定区、域边界防护措施的同时,也要在安全区、安全域内部部署异常行为、恶意代码的检测和防护措施。
“统一监控”:针对各安全区、安全域的防护措施、检测及审计措施建立统一的、分级的监控系统,统一监控各生产车间的工业控制系统的安全状况。将各生产车间的工业控制系统安全风险进行集中的展示,以风险等级的方式给出不同工业控制系统的安全风险级别,全面了解并掌握系统动态。
可解决的网络安全等级保护高风险项如下:
- 强化安全区域边界访问控制能力;
- 提高网络内、外入侵和恶意代码防御能力;
- 提高违规外联检测能力;
- 提高系统内主机病毒防范能力;
- 提高主机身份认证能力,采用双因子认证机制;
- 一键式安全加固,提高主机安全基线;
- 关闭不必要的服务端口,提高入侵防范能力;
- 利用访问控制策略,保证业务配置文件不被篡改;
- 提高日志审计能力,审计日志至少保存6个月;
- 加强运维人员行为管理;
- 建立统一安全管理中心,强化集中管控能力;
- 技术手段辅助业主完成定期自检;
- 建立工业安全态势感知平台,实时掌握生产网络安全态势。
4.2.3可视化双环安全网络架构图
可视化双环安全网络架构图:
内容原创,转载需注明。
关注公众号“智能制造趋势”,获取更多行业信息。