智能制造行业如何建立全面的工业控制系统信息安全保障体系

发布时间 2018-08-22

随着国务院印发《中国制造2025》的通知和工信部发布《关个于贯彻落实<国务院关于积极推进“互联网+”行动的指导意见>的行动计划(2015—2018年)》,加强智能制造工业控制系统网络安全保障能力建设和健全保障体系势在必行。

国内智能制造行业面临多重信息安全风险
 


伴随两化融合的实施,智能制造行业生产制造中的信息安全问题显得越来越突出,一旦网络被攻陷,不仅会破坏精密机床设备,也会泄露企业的技术信息,一方面损坏企业形象,另一方面会对国家和社会造成严重不良影响。其风险如下:

 

● 高精类数控设备通过使用U盘或连入网络传输数据,可能会被传染病毒或恶意代码,进而严重影响生产的产量、质量及效率;

 

● 第三方人员(尤其是远程的国外人员)在远程维护高精类机床设备时可能会有相关生产数据的信息泄露,直接影响着企业声誉、国家命脉;

 

● 未对工业控制网络区域间进行隔离、恶意代码、异常监测、访问控制等一系列的防护措施,一旦发生病毒或攻击,很容易影响全部车间甚至全公司;

 

● 未对操作站主机及服务器端进行必要的安全配置,会导致该主机一旦被接触访问,则被攻击的成功机会很高;

 

● 对相关人员的操作未进行审计记录,一旦发生安全事件后很难取证;

 

● 无线客户端和接入点的认证措施不足,使得相关信息很容易在车间中被人盗取或滥用;

 

● 未对设备及日志进行统一管理,使得相关工控系统事件不能统一收集、分析,不易关联分析设备间的事件和日志,难于发现及时复杂的问题;

 

● 未针对工业控制系统建立统一的应急响应机制,使得发生问题后不能在最短时间内响应处理;

 

● 缺少相应的工控安全管理制度和工控安全意识培训。
 
建立全面的工业控制系统信息安全保障体系

 

现阶段,智能制造行业的工控系统以高端数控机床、工业机器人、测试床等几类为主。机床一般有铣床、磨床、洗床、加工中心等,主体品牌有西门子、法兰克、马扎克等国外品牌,以及海天龙门、永进等国内品牌。通常设备接口分RS232、RJ45两种。

 

为提升机床效率和利用率,逐步建立DNC网络,实现统一的机床管理和实时监测,使设计和生产直接连接,DNC网络通常使用的国外品牌包括Cimco和Predator,国内提供的主要品牌为数码大方和蓝光,传输数据通过TCP/IP协议,采集数据通过OPC、MODBUS及厂家自身协议等。

 

 

 

通过以上对国内智能制造行业面临多重信息安全风险的分析,建立全面的工业控制系统信息安全保障体系势在必行,其采取措施如下:

 

● 部署数控机床安全防护装置,对数控机床进行安全防护,抵御来自管理层系统和其他区域的一切风险;

 

● 部署工业防火墙,进行边界隔离和重点区域隔离,通过对网络数据的自学习,工控协议的深度解析,设置精细化访问控制策略,能够有效的隔离恶意代码,阻止网络安全事件的扩散;

 

● 部署工业异常监测系统,对全网流量信息进行多维度分析,实时展示网络中各协议分布情况,同时可识别主流的工控协议,如modbus协议,opc协议等;对流量进行实时分析和历史分析,实现入侵检测功能,记录业务异常操作,起到事中防范,事后追查的作用;

 

● 部署工控漏洞扫描系统及基线配置核查系统,对生产控制主机入网及定期进行漏洞扫描、配置核查,保障工控主机安全运行;

 

● 工控运维审计系统,为机床提供安全的远程运维方式,可实时监控和阻断机床运维,对人员操作进行审计;

 

● 恶意代码检测系统和敏感信息检测系统,生产数据及应用进行安全防护,避免商业机密外泄;

 

● 部署操作站安全系统,通过对主机终端进行防护,可实现CAM终端、工艺终端的USB、光驱、无线等接口进行严格外设控制,实现化被动为主动的防御,能够有效的防范“0-day”病毒和恶意代码;

 

● 部署工业网闸,对重点区域进行重点隔离;

 

● 工控信息安全管理系统,实现对企业网络设备、安全设备、服务器、终端等的统一管理,针对CNC安全防护装置进行日志统一收集,实现对CNC安全防护装置系统日志分析、监控、审计、报表、展示等。
 

启明星辰拥有业内最全安全产品线和最完整的各行业的解决方案,并且通过十几年对制造行业的深耕,已经形成一整套成熟的行业解决方案,并落地多个行业。

 

启明星辰智能制造解决方案,帮助智能制造行业内多个企业建立全面的工业控制系统信息安全保障体系,达到等保的网络安全技术要求,减少企业的信息安全事件,保障商业秘密不外泄。采用安全可控的信息安全技术和产品,对工控网进行安全区域划分并进行安全防护,对于存在安全隐患的国外数控机床通过借助第三方信息安全产品的监测防护,弥补短时期内不能替换为国内工控设备问题和风险,逐步过渡到自主可控,最终帮助企业整体实现信息安全体系建设的目的。