0 (991) 2819290 周一~周五, 10:00 - 19:00

工业控制系统安全防护解决方案

日期: 2018-02-11 17:15:03 作者: 点击数:   返回

一、需求分析

1、工业控制系统的组成

依据工业企业信息系统的特点,对工业企业信息系统安全保障体系架构进行如下规范:

   1) 规范三个层次:经营管理层,生产监控层,生产过程层。

   2) 规范五个边界:互联网边界,内联网边界,外联网边界、生产网边界,过程网边界。

   3) 规范六个服务区域:办公区域,办公服务器区域,MES服务器区域,生产监控区域,监控服务器区域,生产过程区域。

   4) 规范三个网络:管理网络,生产网络,过程控制网络。

   根据以上要求工业控制系统的基本架构如下:

 

2、工业控制系统的边界防护、安全加固、通信网络安全

工业企业商业秘密信息系统安全防护,一方面需要构建完整的工业控制系统安全防护体系架构,另一个方面需要重点建立边界安全访问防护策略,以避免商业秘密的泄漏。

因此需要设计互联网边界、生产网边界、内联网边界、过程控制网边界安全防护;要对工业控制系统做安全加固,主要对服务器区域、办公区域、核心交换、网络边界做安全加固。通过对各服务区域设备加固,构建一个安全的计算环境,实现区域的安全可信。通过对边界设备的加固,防止数据通过边界设备泄漏,实现边界设备运行的有效性、可控性、准入性;同时对于广域网通信,要保证数据传输的安全性;对于局域网通信,要保证网络的准入控制与无线安全。因此需要设计广域网通信安全防护、局域网准入控制、工业无线网络安全设计。

二、工控系统安全防护体系的设计

依据《中华人民共和国电子签名法》、《GB/T 30976.1-2014—工业控制系统信息安全第1部分:评估规范》、《GB/T 30976.2-2014—工业控制系统信息安全第2部分:验收规范》、《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》等工控领域和电子认证服务领域法律法规的指引设计本方案,符合相关法律法规的要求,贴合行业特点,具有可实施性。

1、“三层架构,二层防护”的体系架构设计

    通过“三层架构,二层防护”的体系架构,对工业企业信息系统进行分层、分域、分等级,从而对工控系统的操作行为进行严格的、排他性控制,确保对工控系统操作的唯一性。

    通过工控系统安全管理平台,确保HMI、管理机、控制服务工控通信设施安全可信。

2、工控系统电子认证服务区的设计

   为了全面解决工控系统各设备之间的交互认证,各层之间的信息及指令传输的完整性和保密性,操作终端及控制台操作人员和远程维护人员的准入控制,操作行为的不可抵赖性问题,工控系统必须引入PKI体系,通过PKI体系对程算法和非对程算法及数字证书来解决以上问题。下图是工控系统各网络层次间的密码应用:

 

     为了实现以上密码应用,我们要借助PKI体系,也就是电子认证服务体系及一系列的电子认证服务商用密码产品解决密码应用问题,为此我们在工控系统里设计了如下电子认证服务区:

     引入电子认证服务区后工控控制系统网路变成如下安全防护架构:

 

1  基于PKI体系的工控系统安全解决方案