首頁資訊 360工業(yè)互聯(lián)網(wǎng)安全——智能制造行業(yè)安全解決方案

360工業(yè)互聯(lián)網(wǎng)安全——智能制造行業(yè)安全解決方案

來源：泰然健康網(wǎng) 時間：2024年12月28日 18:42

不少單位上線了ERP、MES后，還沒有建立起相應的網(wǎng)絡安全防護，隱藏著很大的網(wǎng)絡安全風險。我們?yōu)槟峁┗?60智能制造行業(yè)安全解決方案的全系產(chǎn)品和運維支持服務。

智能制造行業(yè)安全解決方案1.jpg

分布式數(shù)字控制系統(tǒng)（DNC）網(wǎng)絡安全解決方案

行業(yè)現(xiàn)狀

隨著《中國制造2025》的全面推進，智能制造生產(chǎn)對管理和控制一體化需求的不斷升級，以及網(wǎng)絡、通訊等信息技術的廣泛深入應用，越來越多的智能制造控制系統(tǒng)與企業(yè)網(wǎng)中運行的管理信息系統(tǒng)（如MES、ERP）之間實現(xiàn)了互聯(lián)、互通、互控，甚至可以通過互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng) 等直接或間接地訪問，這就導致了從研發(fā)端、管理端、消費端、生產(chǎn)端任意一端都有可能實現(xiàn)對系統(tǒng)的網(wǎng)絡攻擊或病毒傳播，面臨的安全風險進一步加大。

面臨的問題

1、網(wǎng)絡安全和通信問題

產(chǎn)業(yè)互聯(lián)網(wǎng)化后，容易間接將生產(chǎn)網(wǎng)暴露在互聯(lián)網(wǎng)上，NC程序、PDM、CAX等系統(tǒng)存儲的敏感信息存在暴露風險。

生產(chǎn)網(wǎng)大量使用無線網(wǎng)絡進行控制，無線網(wǎng)容易被非法接入、篡改、偽造等行為可能會造成生產(chǎn)中斷、網(wǎng)絡阻塞、信息泄漏等問題。

2、設備和計算機安全問題

數(shù)控機床操作系統(tǒng)多數(shù)未進行安全加固，易被非法利用造成敏感數(shù)據(jù)泄漏及病毒擴散。

DNC服務器等核心服務器缺乏高強度的身份鑒別、強制訪問控制、安全審計等功能，對于來自互聯(lián)網(wǎng)的威脅防護力不從心。

生產(chǎn)控制系統(tǒng)使用的通訊協(xié)議存在安全上的設計缺陷，容易被不法人員利用。

操作員電腦、工作站等系統(tǒng)版本較低，病毒防護措施不嚴密，系統(tǒng)存在大量的安全漏洞，易遭受惡意攻擊。

3、應用和數(shù)據(jù)安全問題

生產(chǎn)網(wǎng)相關的應用系統(tǒng)缺乏整體的安全審計手段，各版本本身的審計顆粒度不足，無法滿足集中、全面審計的安全需求。

4、管理安全問題

DNC網(wǎng)絡及數(shù)控設備安全規(guī)章制度不健全或者制度執(zhí)行不徹底、管理人員技術水平不高、安全意識淡薄。

運維管理人員安全意識不夠，無法對廠家在維護過程中的操作行為進行全程把控，一旦在運維過程中出現(xiàn)安全事故，無技術定責手段。

解決方案

智能制造行業(yè)工業(yè)控制網(wǎng)絡面臨諸多安全問題，涉及網(wǎng)絡安全和通信層面、設備和計算安全層面、應用和數(shù)據(jù)安全層面及管理安全方面，主要包括網(wǎng)絡非法訪問可能導致的敏感信息泄露，非法入侵行為引發(fā)的網(wǎng)絡阻塞，操作終端或服務器中毒引發(fā)生產(chǎn)中斷，以及操作審計措施不到位、管理制度不完善等可能引發(fā)的安全隱患等。

總體解決方案的建設重點為解決目前DNC控制系統(tǒng)存在的突出網(wǎng)絡安全問題，同時結合《工業(yè)控制系統(tǒng)信息安全防護指南》、《信息安全技術網(wǎng)絡安全等級保護基本要求》等政策法規(guī)要求及客戶實際進行安全建設規(guī)劃。

具體建設內容如下：

1、網(wǎng)絡和通信安全

在管理網(wǎng)與MES之間部署工業(yè)防火墻，只允許與生產(chǎn)相關的流量通過，在滿足生產(chǎn)業(yè)務的安全需求（生產(chǎn)從互聯(lián)網(wǎng)下訂單）的同時，實現(xiàn)管理網(wǎng)與生產(chǎn)網(wǎng)的安全隔離。在生產(chǎn)網(wǎng)與MES之間部署工業(yè)防火墻，按照最小權限原則設置防火墻策略。實現(xiàn)DNC網(wǎng)絡的縱向安全隔離，保證MES系統(tǒng)與生產(chǎn)網(wǎng)之間生產(chǎn)指令及反饋信息的安全可靠。在生產(chǎn)網(wǎng)內部核心交換機部署工業(yè)入侵檢測系統(tǒng)和工業(yè)安全監(jiān)測審計系統(tǒng)，及時發(fā)現(xiàn)、檢測針對生產(chǎn)網(wǎng)的入侵行為及違規(guī)指令等（指令錯誤、指令篡改等）并告警。在各個車間出口部署工業(yè)防火墻，只允許NC程序傳輸及生產(chǎn)狀態(tài)信息回傳等流量通過。同時，實現(xiàn)各車間之間的安全隔離，杜絕通過視頻監(jiān)控網(wǎng)絡非法侵入生產(chǎn)系統(tǒng)等安全隱患，保護關鍵生產(chǎn) 指令的合法有效。對生產(chǎn)網(wǎng)內部無線網(wǎng)絡進行安全檢測，設置無線準入管理，只允許合法設備接入，預防和杜絕無線網(wǎng)絡入侵行為。

2、設備和計算安全

對于重要服務器實施安全加固，加強身份認證、訪問控制等安全防護措施，提高服務器安全防護能力，降低系統(tǒng)被破壞及數(shù)據(jù)被竊取的風險。在各工作站和操作員站上部署工業(yè)主機安全衛(wèi)士產(chǎn)品，只允許與生產(chǎn)相關的軟件運行，防止僵木蠕傳播。為關鍵機床及加工中心配備USB隔離設備，防止隨意接入USB口，杜絕病毒、木馬等進入機床和加工中心，防止數(shù)據(jù)泄露，保證生產(chǎn)安全。

3、應用和數(shù)據(jù)安全

在生產(chǎn)網(wǎng)內部部署安全運維管理系統(tǒng)，基于唯一身份標識的集中賬號與訪問控制策略，實現(xiàn)集中精細化運維操作管控與審計，杜絕誤操作及違規(guī)行為，提高工業(yè)控制系統(tǒng)及設備安全維護水平。

4、管理安全

部署工業(yè)安全管理平臺，對于整體工業(yè)控制安全狀態(tài)進行實時監(jiān)控，及時發(fā)現(xiàn)網(wǎng)絡攻擊、異常指令、違規(guī)外聯(lián)及漏洞等信息并及時應對。完善管理制度，包括組織架構完善、內部/外部人員安全管理、信息安全培訓在內的人員管理制度，制定總體網(wǎng)絡安全策略、網(wǎng)絡/數(shù)據(jù)/介質管理制度、重大信息安全管理制度等，加強信息安全培訓，定期進行信息安全演練等。

工業(yè)互聯(lián)網(wǎng)安全.png