一、需求分析
1、工业控制系统的组成
依据工业企业信息系统的特点,对工业企业信息系统安全保障体系架构进行如下规范:
1) 规范三个层次:经营管理层,生产监控层,生产过程层。
2) 规范五个边界:互联网边界,内联网边界,外联网边界、生产网边界,过程网边界。
3) 规范六个服务区域:办公区域,办公服务器区域,MES服务器区域,生产监控区域,监控服务器区域,生产过程区域。
4) 规范三个网络:管理网络,生产网络,过程控制网络。
根据以上要求工业控制系统的基本架构如下:
2、工业控制系统的边界防护、安全加固、通信网络安全
工业企业商业秘密信息系统安全防护,一方面需要构建完整的工业控制系统安全防护体系架构,另一个方面需要重点建立边界安全访问防护策略,以避免商业秘密的泄漏。
因此需要设计互联网边界、生产网边界、内联网边界、过程控制网边界安全防护;要对工业控制系统做安全加固,主要对服务器区域、办公区域、核心交换、网络边界做安全加固。通过对各服务区域设备加固,构建一个安全的计算环境,实现区域的安全可信。通过对边界设备的加固,防止数据通过边界设备泄漏,实现边界设备运行的有效性、可控性、准入性;同时对于广域网通信,要保证数据传输的安全性;对于局域网通信,要保证网络的准入控制与无线安全。因此需要设计广域网通信安全防护、局域网准入控制、工业无线网络安全设计。
二、工控系统安全防护体系的设计
依据《中华人民共和国电子签名法》、《GB/T 30976.1-2014—工业控制系统信息安全第1部分:评估规范》、《GB/T 30976.2-2014—工业控制系统信息安全第2部分:验收规范》、《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》等工控领域和电子认证服务领域法律法规的指引设计本方案,符合相关法律法规的要求,贴合行业特点,具有可实施性。
