工業(yè)控制系統(tǒng)信息安全防護(hù)需求

工業(yè)控制系統(tǒng)信息安全防護(hù)需求一、工業(yè)控制系統(tǒng)信息安全防護(hù)建設(shè)目標(biāo)1.1提高工業(yè)網(wǎng)絡(luò)抗攻擊能力通過工業(yè)網(wǎng)絡(luò)的安全體系的建設(shè)，使工業(yè)網(wǎng)絡(luò)可以有效防護(hù)內(nèi)部、外部、惡意代碼、ATP等攻擊，安全風(fēng)險(xiǎn)降低到可控范圍內(nèi)，減少安全事件的發(fā)生，保護(hù)生產(chǎn)網(wǎng)絡(luò)能夠高效、穩(wěn)定運(yùn)行，減少因?yàn)橄到y(tǒng)停機(jī)帶來的生產(chǎn)損失。1.2提高工業(yè)網(wǎng)絡(luò)的管理力度通過工業(yè)網(wǎng)絡(luò)安全體系的建設(shè)，可以對(duì)工業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)流量、網(wǎng)絡(luò)連接、工控協(xié)議識(shí)別和解析、工程師站組態(tài)變更、操作指令變更、PLC下裝等進(jìn)行審計(jì)和記錄，網(wǎng)絡(luò)管理人員可以直觀了解網(wǎng)絡(luò)運(yùn)行狀態(tài)及存在的安全隱患。1.3保護(hù)重要信息財(cái)產(chǎn)安全通過工業(yè)網(wǎng)絡(luò)安全體系的建設(shè)，可以對(duì)工業(yè)網(wǎng)絡(luò)內(nèi)重要信息的流轉(zhuǎn)進(jìn)行管理，禁止未授權(quán)的存儲(chǔ)介質(zhì)的接入和使用，保護(hù)重要信息、文件、圖紙不會(huì)被隨意的拷貝和流轉(zhuǎn)，降低工業(yè)網(wǎng)絡(luò)的泄密風(fēng)險(xiǎn)。二、工業(yè)控制系統(tǒng)信息安全防護(hù)建設(shè)需求依據(jù)工業(yè)環(huán)網(wǎng)的實(shí)際情況，對(duì)安全防護(hù)體系架構(gòu)進(jìn)行如下規(guī)范：規(guī)范邊界：內(nèi)、外聯(lián)網(wǎng)邊界，辦公網(wǎng)與生產(chǎn)數(shù)據(jù)服務(wù)器區(qū)域網(wǎng)邊界；規(guī)范服務(wù)區(qū)域：生產(chǎn)管理區(qū)域，生產(chǎn)過程區(qū)域，生產(chǎn)控制區(qū)域；通過上述規(guī)范，具體需求如下防護(hù)設(shè)備：?區(qū)域邊界防護(hù)：通過明確服務(wù)區(qū)域，針對(duì)服務(wù)區(qū)域內(nèi)的設(shè)備（關(guān)鍵控制器、主機(jī)等）進(jìn)行內(nèi)部加固，將區(qū)域內(nèi)部的網(wǎng)絡(luò)問題直接匯聚在本區(qū)域內(nèi)，通過建立區(qū)域白名單策略，規(guī)范區(qū)域內(nèi)的網(wǎng)絡(luò)規(guī)則。有效保護(hù)安全區(qū)域內(nèi)網(wǎng)絡(luò)信息安全，以避免信息泄漏及病毒“串染”，有效保護(hù)各安全區(qū)域間網(wǎng)絡(luò)信息安全。設(shè)備要求符合工業(yè)和信息化部《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》中第三大項(xiàng)“邊界安全防護(hù)”第二小項(xiàng)要求“通過工業(yè)控制網(wǎng)絡(luò)邊界防護(hù)設(shè)備對(duì)工業(yè)控制網(wǎng)絡(luò)與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間的邊界進(jìn)行安全防護(hù)，禁止沒有防護(hù)的工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接”，需要在生產(chǎn)控制網(wǎng)絡(luò)和陸地內(nèi)網(wǎng)邊界增加部署工業(yè)安全網(wǎng)關(guān)，防范工業(yè)攻擊對(duì)生產(chǎn)控制網(wǎng)絡(luò)的安全威脅。?生產(chǎn)服務(wù)器主機(jī)安全加固：由于辦公網(wǎng)與生產(chǎn)網(wǎng)互聯(lián)互通，任何終端實(shí)際上對(duì)生產(chǎn)網(wǎng)都可能成為威脅點(diǎn)。在生產(chǎn)信息化網(wǎng)絡(luò)中，除了對(duì)邊界防護(hù)之外還需要解決終端的安全威脅，主機(jī)由于操作系統(tǒng)漏洞、應(yīng)用軟件漏洞而引起的攻擊、阻止未授權(quán)程序在這些主機(jī)上的操作運(yùn)行，控制非管理人員對(duì)這些主機(jī)的訪問等，防止類似“Wannacry”攻擊事件再次發(fā)生，也是對(duì)生產(chǎn)控制網(wǎng)絡(luò)的又一層保護(hù)屏障。對(duì)辦公網(wǎng)終端主機(jī)安裝病毒防護(hù)軟件（可由客戶自主選擇）。設(shè)備要求符合工業(yè)和信息化部《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》中第一大項(xiàng)“安全軟件選擇與管理”中的第二小項(xiàng)要求“建立防病毒和惡意軟件入侵管理機(jī)制，對(duì)工業(yè)控制系統(tǒng)及臨時(shí)接入的設(shè)備采取病毒查殺等安全預(yù)防措施”，以及《GB/T30976.1-2014工業(yè)控制系統(tǒng)信息安全》第一部分評(píng)估規(guī)范中“第6.4.2SR3.2：惡意代碼的防護(hù)”，明確提出建立生產(chǎn)網(wǎng)絡(luò)的防病毒和惡意軟件入侵管理機(jī)制。?網(wǎng)絡(luò)威脅監(jiān)測(cè)：對(duì)生產(chǎn)信息化網(wǎng)絡(luò)中的攻擊行為、數(shù)據(jù)流量、重要操作等進(jìn)行監(jiān)測(cè)審計(jì)，實(shí)現(xiàn)網(wǎng)絡(luò)威脅的態(tài)勢(shì)感知，也用于事后回溯和網(wǎng)絡(luò)分析。設(shè)備要求符合工業(yè)和信息化部《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》中第七大項(xiàng)“安全監(jiān)測(cè)和應(yīng)急預(yù)案演練”中第一小項(xiàng)要求“在生產(chǎn)控制網(wǎng)絡(luò)部署網(wǎng)絡(luò)安全監(jiān)測(cè)設(shè)備，及時(shí)發(fā)現(xiàn)、報(bào)告并處理網(wǎng)絡(luò)攻擊或異常行為”。在工業(yè)生產(chǎn)網(wǎng)絡(luò)核心交換機(jī)上旁路鏡像部署基于工業(yè)協(xié)議的工控安全監(jiān)測(cè)設(shè)備，對(duì)工控網(wǎng)絡(luò)中的攻擊行為、數(shù)據(jù)流量、重要操作等進(jìn)行監(jiān)測(cè)審計(jì)，用于事后回溯和網(wǎng)絡(luò)分析。?安全產(chǎn)品統(tǒng)一管理：對(duì)生產(chǎn)信息化網(wǎng)絡(luò)中的相關(guān)安全產(chǎn)品進(jìn)行統(tǒng)一的管理及運(yùn)維，信息安全管理人員可以通過統(tǒng)一安全管理平臺(tái)對(duì)整個(gè)工業(yè)控制網(wǎng)內(nèi)信息安全情況進(jìn)行統(tǒng)一實(shí)時(shí)的監(jiān)控，在第一時(shí)間內(nèi)發(fā)現(xiàn)網(wǎng)絡(luò)安全問題。三、所需設(shè)備的拓?fù)鋱D由劇內(nèi)網(wǎng)峋火埼:心變視機(jī)2工業(yè)ILL變覲IH北找入.必融I工控安全威曲監(jiān)測(cè)與審計(jì)系統(tǒng)信息網(wǎng)盼濯X內(nèi)網(wǎng)打■公區(qū)，刁防