制信科技
手机版
 
e-works global
 
智能制造
优制网
制信网
最新新闻
热点文章
我要投稿
联系电话:027-87592219/20/21转188
投稿邮箱:tb@e-works.net.cn
文章推荐
视频推荐
未来汽车工厂,在线下单支持私人定制
未来汽车工厂,在线下单支持私人定制
2018-02-02
基于云端的三维CAD系统Autodesk Fusion 360
基于云端的三维CAD系统Autodesk Fusion 360
2018-01-31
通过PTC物联网技术实现Flowserve泵的预测性维护
通过PTC物联网技术实现Flowserve泵的预测性维护
2018-01-31
微软预测性维护保障电梯高效服务
微软预测性维护保障电梯高效服务
2018-01-30
您所在的位置:首页 > 视点

智能制造中的工控信息安全框架设计

发布时间:2017-05-06
关键字:工控信息安全 
收藏好文推荐打印
德国首先将信息技术应用于制造工业的全周期中,开启了Industry 4. 0 第四次工业革命。并全面论述了Industry 4.0 的愿景与目标、主要内容和采用的战略,深入分析了智能工厂的体系架构,同时阐述了智能工厂创新联盟正在开展的研发项目。

    具备在线修改防火墙组态的功能,可以实时对组态的防火墙策略进行修改,而且不影响工厂实时通讯。无需电厂停机就可在线直接插入使用,不需要对原有网络进行任何改动,不存在因安全规则配置错误导致有效工业通讯被阻断的隐患,大大降低了项目实施风险。为满足工业环境的特点,设计为双电源供电,断电报警输出功能,无风扇宽温设计,并提供可配置Bypass功能。

    3.2 在线审计与异常监测

    生产控制区的监控系统应当具备安全审计功能,能够对生产网络通讯做行为分析,实时监测网络中的通讯链路状态,溯源网络中病毒木马的传播路径;同时,用户可自定义异常状态判定阈值,将发生的异常通讯以告警的形式汇总展示;此产品还同时具备工控协议及操作系统漏洞库,可以检测工控系统是否存在安全漏洞和隐患。

    除了具备实时工业通讯协议行为解析外,审计设备也可像飞机的黑匣子一样,能够回溯及追查网络安全问题,完成追根溯源。

    包括功能如下:

    网络数据流量监测;

    网络异常数据报警及追溯;

    操作记录及协议深度分析;(需要双方配合)

    信息窃取报警(通过网络的文件或数据非法访问及传输);

    未知设备接入;

    3.3 计算机防病毒及主动安全防御功能

    生产控制区具备控制功能的系统应当逐步推广应用以密码硬件为核心的可信计算技术,用于实现计算环境和网络环境安全可信,免疫未知恶意代码破坏,应对高级别的恶意攻击。

    由于工业控制环境的特殊性,恶意代码库难以获得及时的升级,因此在工控系统中实施基于恶意代码库的恶意代码防范,将存在严重滞后性。攻击者可以轻易利用恶意代码库还未收集的恶意代码侵入主机系统,进而破坏整个工控系统安全性。

    可信计算终端防护由授权服务器和安全客户端两部分组成。客户端全面度量系统所有进程,并将度量信息提交至授权服务器端,服务器对这些信息进行编辑后生成白名单,供客户端下载,客户端依据所下载的白名单对系统和应用进行防护,并将系统及应用中的异常信息和拦截日志进行上传。

    移动存储介质是主机之间传输信息的重要途径,因此对移动存储介质的管控和审计也是整个工业控制系统安全建设的重要组成部分。基于可信计算技术构建的移动存储介质管控系统,其主要功能包括:主机对移动存储介质的身份认证;主机对移动存储介质的准入控制;主机对准入信息的下载更新。首先可信服务器为主机及移动存储设备颁发准入证书,然后可信服务器将统一产生并发布主机对移动存储设备的准入策略,形式为主机能插入的U盘列表,最后主机的准入控制将基于两个方面的策略来实施,即必须同时满足这两方面策略才能读取或写入移动存储介质的内容,一方面移动存储介质的身份位于主机的准入策略的列表中,另一方面主机的身份必须位于移动存储介质的准入策略的列表中。

    此外,移动设备的接入和使用行为将被严格地审计,包括接入时间、接入的操作站、访问主体、被访问客体、访问方式、访问结果、日期及时间、用户信息等等。

    3.4 工控安全监控需要综合监控功能

    网络安全管理平台,接收来自工业网络防火墙和可信终端的报警及日志。具有工控网络行为审计记录的智能分析的功能,具备强大的审计日志存储查询功能,可以对海量的审计数据进行实时监控和网络行为态势分析,使系统安全运维人员能够通过实时日志展示画面随时监控正在发生的不同级别审计日志和报警信息,也可以通过安全管理平台的条件查询、统计、筛选、图表展示和态势分析算法模型等强大的功能迅速得出网络健康状况,最终自动获得详细的统计分析报告和事件处置方式建议,实现系统运维管理的实时性、完整性、安全性、自动化、智能化。

    平台针对工控网络行为进行监控和与智能安全分析,监控平台以底层工业防火墙、工控可信计算安全平台以及其他网络设备为探针,针对内置的“工业控制网络通讯行为模型库”核心模块,能及时检测工业网络中出现的工业攻击、蠕虫病毒及非法入侵、设备异常等情况,并对危及系统网络安全的因素做出智能预警分析,为管理者提供决策支持,为工业网络信息安全故障的及时排查、分析提供可靠地依据。

    3.5 控制系统网络安全管理

    生产控制网络安全管理是整个安全方案中的必要手段,针对生产控制区内,无法采用软硬件技术实现安全的,需采用管理手段进行防护。

    3.7 远程访问安全技术

    由产业链上不同控制车间/工厂通过互联网共享数据信息。工业防火墙对生产数据防护,提供通信安全的保障。

    3.8 安全防火体系架构图:

    1

    4、结语

    本文以纵深防御的防护理念为核心,结合智能制造中的工控信息安全的需求,推出一套基于可信计算、工业防火墙、工控审计与异常监测、SMP安全管理平台的纵深防御的解决方案,实现了智能制造工厂控制系统信息安全的纵深防御,能切实有效地保护工控系统远离木马、蠕虫、黑客等各种威胁和攻击,保障企业生产安全稳定运行。

2
上一页1 2