智能制造行业工控安全解决方案

行业背景

解决方案

       方案的防护重点为数控系统其他工控系统的网络安全及主机安全，主要依据《工业控制系统信息安全防护指南》的各项要求，着重从主机安全防护、边界及区域防护、远程访问安全、网络异常监测、数据库安全、日志搜集保护、统一安全分析等几个方面进行安全设计，确保整个控制系统形成从上到下的纵深防护的效果。

主机安全防护

       在各个车间工业控制系统的操作员站、工程师站、服务器上部署工控主机加固系统，对各个终端实现应用程序白名单防护、恶意代码防护、安全审计、连接互联网检测、外设管控等安全防护。

边界隔离、区域防护

       在企业管理网和生产管理网之间部署工业安全隔离交换系统进行物理隔离，以阻止来自企业管理网的安全威胁渗透至生产控制系统。

       在生产管理网与监督控制网、监督控制网与各个车间现场控制网边界部署工业防火墙进行工控协议深度过滤、恶意代码防护、抗DDOS攻击防护等。

远程运维审计

       部署工控安全运维审计系统，利用单点登录功能可避免记忆复杂口令，通过给第三方人员分配临时账号，可避免敏感信息外泄，同时可将运维人员的整个操作过程进行全程录像，以备后期审计取证。

网络监测审计

       部署工控网络监测审计系统（即工控数据库审计系统）进行全域监测和审计；对控制系统下发、上传的数据进行深度协议解析、实时监控，对网络非法流量及时预警、上报。

       同时通过部署的工控网络监测审计系统（即工控数据库审计系统）对控制系统的实时数据库系统、历史数据库系统进行安全审计，记录操作过程，以备后续追溯。

日志收集

       在生产管理层和监督控制层部署工控信息安全日志系统，负责收集所在区域内的网络设备日志、网络安全设备日志、主机安全防护软件日志（包含本机操作系统日志及软件依据已有策略产生的报警日志），同时把日志推送到上层部署的工控分析预警平台。

集中管理

       部署工控监测分析预警平台，将各个安全子系统的告警情况、网络安全状况进行采集和汇总，形成体系的综合监管、安全态势感知报告；同时对各个安全子系统进行集中管控，方便运维。

       随着信息化建设和自动化生产制造的不断推进，“互联网+”“中国制造 2025”等战略要求的提出和逐步落实，生产制造企业的“两化融合”的不断加深，作为关键设备的数控机床与办公网络实现了互联，数控网络面临着越来越多的工业病毒和网络攻击等信息安全风险。

       目前国内使用的主流数控生产设 备核心系统大部分是国外厂家，特别是专机和精机主要为国外厂家全套引进，如国内大量使用Siemens、FANUC等国外数控系统，核心技术受制于人，大大增加了不可控因素，而数控系统一旦遭到破坏和入侵，一方面将直接导致生产的中断和产量的降低，更重要的是由厂商提供远程维护升级，这直接导致生产数据及工艺等机密信息的泄露从而影响到我国家战略安全。因此，数控系统安全不容忽视，进行数控机床的安全防护是迫切和必要的，一方面可提升生产控制网络抵御网络威胁的能力防患于未然，另一方面，为切实保护产品关键参数等核心数据，保障国家安全和企业核心利益都具有重要意义。

政策法规

方案依据的法律法规及行业标准如下：

《中华人民共和国网络安全法》

《工业控制系统信息安全防护指南》（工信软函〔2016〕338号）

《GB/T 22239-2019 网络安全等级保护基本要求》（公安部等保2.0）

《关于加强工业控制系统信息安全管理的通知》工信部协[2011]451号

典型部署