工业企业信息系统安全

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

工业企业信息系统安全

技术指引

2014-09-01发布2014-09-01实施

前言

本指引由工业控制系统信息安全产业联盟提出。

本指引主要起草单位:北京启明星辰信息安全技术有限公司、北京网御星云信息技术有限公司。

本指引主要起草人:张晔。

引言

随着工业化与信息化的发展,“两化”的融合不断深入,在工业企业中,MES(制造执行系统)使IT系统与工业系统的应用不断融合,工业以太网使生产控制系统与过程控制系统不断的融合。因此,传统IT系统面临的威胁,不断的延伸到工业控制系统中。来自互联网或内网的安全威胁,无论影响到管理网还是生产网,都会对工业控制系统造成影响。

工业企业的生产系统中包含着大量的商业秘密,这些商业秘密,既有生产中涉及到的工艺配方,也有涉及到生产结果的数据。如何避免企业的商业秘密不通过工业企业泄漏出去?是企业面临的新课题。

为此,我们依据国家的有关政策文件,借鉴国内外的先进经验,结合企业中有关工业企业的实际情况,制定本技术指引,以规范工业企业信息系统安全建设,提高工业企业信息系统安全保障水平。

一、范围

本指引用于规范企业中工业企业的信息系统安全建设,也包括工业控制系统安全建设。

二、指引制定依据标准

A.《关于加强工业控制系统信息安全管理的通知》工信部协

[2011]451号

B.《中央企业商业秘密信息系统安全技术指引》﹝2012﹞

C.《中央企业商业秘密保护暂行规定》(国资发﹝2010﹞41号)

D.《信息系统安全等级保护基本要求》GB/T 22239—2008

E.《涉及国家秘密的信息系统分级保护技术要求》BMB17

三、术语与定义

A.网络边界:是指网络或区域之间的边界,本规范中包括互联网边

界、内联网边界、生产网边界、过程网边界、区域边界。

B.区域:是指管理、设备、地域等属性基本类似的信息系统集合。

本规范中包括管理服务器区域、MES服务器区域、生产服务器区

域、经营管理区域、生产管理区域。

C.经营管理层:主要完成业务经营管理,包括内网办公区域、内网

服务器区域、MES服务器区域、核心交换区域。

D.生产监控层:主要完成对生产的数据采集与监控,包括数据采集

与监控系统、历史数据库、实时数据库、工程师站,操作员站等。

E.生产过程层:实现卷烟生产的自动化设备,包括PLC,PLC以下生

产设备,如传感器(变送器)、执行器、控制器等。

F.生产网:包含生产监控层与生产过程层的网络。

G.管理网:包含经营管理层的网络。

四、工业企业信息系统安全架构划分

依据工业企业信息系统的特点,对工业企业信息系统安全保障体系架构进行如下规范:

1.规范三个层次:经营管理层,生产监控层,生产过程层。

2.规范五个边界:互联网边界,内联网边界,外联网边界、生产网边

界,过程网边界。

3.规范六个服务区域:办公区域,办公服务器区域,MES服务器区域,

生产监控区域,监控服务器区域,生产过程区域。

4.规范三个网络:管理网络,生产网络,过程控制网络。

工业企业信息系统安全架构示意图:

五、工业企业信息系统边界防护

工业企业商业秘密信息系统安全防护,一方面需要构建完整的信息

系统安全保障架构,另一个方面需要重点建立边界安全访问防护策略,以避免商业秘密的泄漏。

1.互联网边界:处于工业企业经营管理网与互联网之间,主要完成内外网安全隔离防护,进行细粒度的访问控制,对上网行为进行审计

与管理,过滤恶意代码、进行入侵检测。同时,对于远程访问和移

动互联安全进行管理。

2.生产网边界:处于生产网与经营管理网之间,主要完成两网之间的安全隔离防护,实现细粒度的访问控制,对两网之间的访问进行审

计和入侵检测,同时进行恶意代码过滤。

3.内联网边界:处于工业企业与其上级单位和下级单位之间的边界,主要完成安全隔离防护、细粒度的访问控制、以及病毒与恶意代码

的过滤。

4.过程控制网边界:处于生产网与过程控制网之间,主要实现工业协议与工控指令的白名单控制,同时对生产网和过程控制网之间的工

业协议和异常行为进行分析。

六、工业企业信息系统服务区域安全加固

工业企业信息系统的安全加固,主要面向与各区域设备和边界设备。通过对各服务区域设备加固,构建一个安全的计算环境,实现区域的安全可信。通过对边界设备的加固,防止数据通过边界设备泄漏,实现边界设备运行的有效性、可控性、准入性。

1.服务器区域加固:主要实现服务器区域的可信、安全的计算环境,

服务器加固包括:主机加固,主机安全基线管理,主机防病,主机

脆弱性评估,业务系统双因素认证,业务系统权限管理,主机补丁

管理。

2.办公区域加固:主要实现办公区域的可信、安全的计算环境,服务

器加固包括:桌面安全管理,终端防病毒,终端双因素身份认证。

3.核心交换加固:网络中的大多数据通过核心交换区域进行数据流转,

要避免数据通过核心交换区域设备泄漏,通过对核心区域的安全加

固,实现物理准入控制、网络接口准入控制、运维准入控制。

4.网络边界加固:边界加固主要避免边界设备被有意或无意的控制,

通过边界安全加固,实现物理准入控制、网络接口准入控制、运维

准入控制。

七、工业企业信息系统通信网络安全

工业企业通信网络分为两个部分,广域网通信与局域网通信。对于广域网通信,要保证数据传输的安全性;对于局域网通信,要保证网络的准入控制与无线安全。

1.广域网通信:通过通信网络设备与RTU设备,对数据传输进行加

密,保证数据通过广域网的完整性,保密性,可用性。

2.局域网准入控制:局域网主要防止非可信设备随意接入网络窃取商

业秘密数据。

3.工业无线网络安全:无线网络在工业现场大量的使用,通过无线网

络入侵,不仅会对工业生产造成影响,也会对从生产控制服务器窃

取商业秘密数据、甚至通过生产网入侵到经营管理网窃取商业秘密

数据。因此,必须实时识别对工业无线网络的入侵,并阻断。

相关文档
最新文档