《工业控制系统信息安全防护指南》在钢铁行业数字化仪控系统落地实施方案随着全球信息化和数字化技术的迅猛发展,义控系统的数字化是当前数通技术发展的必然趋势,目前均采用了全数字化的仪控技术。公司内部月日仪控系统内部出现"永恒之蓝"勒索蠕虫病毒爆发安全事故之后,对仪控系统安全的要求提高,对仪控技术与装置的研究、设计、制造、选型、应用、维护提出了越来越高的要求,全数字化仪控系统的应用将对确保公司仪控系统的安全、可靠、经济运行,起到至关重要的作用。―、数字化仪控系统架构典型的数字化仪控系统结构分为四层,分别为::现场控制层主要包括以执行器和变送器为主的现场设备;过程控制层主要基于数据采集单元、数字化仪控控制站和产品,完成现场信号输入输出、自动控制和保护功能;:操作控制层(操作和信息管理层)主要包括放置于主控室、远程停堆站、技术支持中心等控制室的操作站、后备用盘等人机交互设备和相关的数据处理设备;:管理层,即第三方控制接口以及管理层主要包括信息系统、应急处理系统等。其中管理层采用以太网,在操作控制层和过程控制层以及不同辅控系统之间采用工业以太网互联;过程控制层采用高速现场总线进行通信。保护安全级1*~3控制系统与非安全级控制系统之间数据通信通过安全级网关执行,攵字化仪控系二、数字化仪控系统安全脆弱性分析技术脆弱性:数字化仪控系统的数字化和信息化程度不断提高,其越来越多地采用通用协议、通用硬件和通用软件,以各种方式与办公网络等公共网络连接,不仅具有工控网络特有的安全脆弱性,还引入了传统信息资产的安全脆弱性,主要体现在网络、主机、应用软件以及数据安全方面;网络脆弱性:网络安全边界不清晰,未部署网络边界防护设备或设备策略配置不当,未对关键监测点进行网络安全监测和审计;主机脆弱性:主机终端使用默认配置,导致不安全或不必要的端口或服务没有关闭,缺乏安全管控措施(包括防病毒、恶意代码监测、外设管控等);应用软件脆弱性:数字化仪控系统设计时更多关注可用性和功能实现,忽略了系统的安全性,导致工控系统安全漏洞快速增长,如缓冲区溢出、拒绝服务等高危漏洞;同时应用软件的补丁程序未及时安装更新、认证和访问控制措施不足;数据安全脆弱性敏感数据传输和存储未加密,对敏感数据的访问控制措施不当,缺乏$IImTnniiuifEi统架图数字化仪控系统架构LSI%-LE-1-J•y:LE-«2j(L■)•:i-罗mMP莎LUEWWTmid对敏感数据扌操作的审计;管理脆弱性:数字化仪控系统的管理脆弱性主要体现在信息安全策略及程序文件不充分甚至缺失、信息安全培训计划及相关规章制度欠缺、很少或基本没有组织信息安全培训和意识培训、第三方运维管理措施不完善、以及缺乏完备的授权验证机制、软件不能及时更新等方面。三、数字化仪控系统安全解决方案年月日工信部发布的《工业控制系统信息安全防护指南》(以下简称“指南”)涵盖工业控制系统设计、选型、建设、测试,运行、检修、废弃各阶段安全防护工作要求,更加明确地提出了工控系统信息安全防护的指导思想。本文基于指南的相关要求提出了数字化仪控系统信息安全的纵深防御解决方案,总体安全防护架构图如图所示,具体防护措施如下:M&:1:ll:ml图数字化仪控系统安全防护架构图mil匚Kitiii-:--rwEliasL-SI-Jj四、安全技术体系建设网络安全防护•网络边界划分:二层信息网和厂级管理层之间的网络边界(二层信息网到厂级管理层的数据单向传输);监控网和现场控制层之间的网络边界;安全级控制系统和非安全级控制系统之间的网络边界监控网和第三方专用仪控系统之间的网络边界;•网络边界防护:二层信息网和厂级管理层之间、安全级控制系统和非安全级控制系统之间部署单向隔离装置实现数据单向传输;在监控网和现场控制层之间、监控网和第三方专用仪控系统之间部署工业安全网关阻断来自监控网的病毒传播、黑客攻击等行为,限制违法操作,避免其对控制网络的影响和对生产流程的破坏;•内部网络监测:在二层信息网和监控网分别旁路部署工控入侵监测系统和工控异常行为审计系统准确监测网络异常流量,通过对相关工控协议进行深度解析,及时发现潜在的网络攻击和异...
