工业企业信息系统安全
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
工业企业信息系统安全
技术指引
2014-09-01发布2014-09-01实施
前言
本指引由工业控制系统信息安全产业联盟提出。
本指引主要起草单位:北京启明星辰信息安全技术有限公司、北京网御星云信息技术有限公司。
本指引主要起草人:张晔。
引言
随着工业化与信息化的发展,“两化”的融合不断深入,在工业企业中,MES(制造执行系统)使IT系统与工业系统的应用不断融合,工业以太网使生产控制系统与过程控制系统不断的融合。因此,传统IT系统面临的威胁,不断的延伸到工业控制系统中。来自互联网或内网的安全威胁,无论影响到管理网还是生产网,都会对工业控制系统造成影响。
工业企业的生产系统中包含着大量的商业秘密,这些商业秘密,既有生产中涉及到的工艺配方,也有涉及到生产结果的数据。如何避免企业的商业秘密不通过工业企业泄漏出去?是企业面临的新课题。
为此,我们依据国家的有关政策文件,借鉴国内外的先进经验,结合企业中有关工业企业的实际情况,制定本技术指引,以规范工业企业信息系统安全建设,提高工业企业信息系统安全保障水平。
一、范围
本指引用于规范企业中工业企业的信息系统安全建设,也包括工业控制系统安全建设。
二、指引制定依据标准
A.《关于加强工业控制系统信息安全管理的通知》工信部协
[2011]451号
B.《中央企业商业秘密信息系统安全技术指引》﹝2012﹞
C.《中央企业商业秘密保护暂行规定》(国资发﹝2010﹞41号)
D.《信息系统安全等级保护基本要求》GB/T 22239—2008
E.《涉及国家秘密的信息系统分级保护技术要求》BMB17
三、术语与定义
A.网络边界:是指网络或区域之间的边界,本规范中包括互联网边
界、内联网边界、生产网边界、过程网边界、区域边界。
B.区域:是指管理、设备、地域等属性基本类似的信息系统集合。
本规范中包括管理服务器区域、MES服务器区域、生产服务器区
域、经营管理区域、生产管理区域。
C.经营管理层:主要完成业务经营管理,包括内网办公区域、内网
服务器区域、MES服务器区域、核心交换区域。
D.生产监控层:主要完成对生产的数据采集与监控,包括数据采集
与监控系统、历史数据库、实时数据库、工程师站,操作员站等。
E.生产过程层:实现卷烟生产的自动化设备,包括PLC,PLC以下生
产设备,如传感器(变送器)、执行器、控制器等。
F.生产网:包含生产监控层与生产过程层的网络。
G.管理网:包含经营管理层的网络。
四、工业企业信息系统安全架构划分
依据工业企业信息系统的特点,对工业企业信息系统安全保障体系架构进行如下规范:
1.规范三个层次:经营管理层,生产监控层,生产过程层。
2.规范五个边界:互联网边界,内联网边界,外联网边界、生产网边
界,过程网边界。
3.规范六个服务区域:办公区域,办公服务器区域,MES服务器区域,
生产监控区域,监控服务器区域,生产过程区域。
4.规范三个网络:管理网络,生产网络,过程控制网络。
工业企业信息系统安全架构示意图:
五、工业企业信息系统边界防护
工业企业商业秘密信息系统安全防护,一方面需要构建完整的信息
系统安全保障架构,另一个方面需要重点建立边界安全访问防护策略,以避免商业秘密的泄漏。
1.互联网边界:处于工业企业经营管理网与互联网之间,主要完成内外网安全隔离防护,进行细粒度的访问控制,对上网行为进行审计
与管理,过滤恶意代码、进行入侵检测。同时,对于远程访问和移
动互联安全进行管理。
2.生产网边界:处于生产网与经营管理网之间,主要完成两网之间的安全隔离防护,实现细粒度的访问控制,对两网之间的访问进行审
计和入侵检测,同时进行恶意代码过滤。
3.内联网边界:处于工业企业与其上级单位和下级单位之间的边界,主要完成安全隔离防护、细粒度的访问控制、以及病毒与恶意代码
的过滤。
4.过程控制网边界:处于生产网与过程控制网之间,主要实现工业协议与工控指令的白名单控制,同时对生产网和过程控制网之间的工
业协议和异常行为进行分析。
六、工业企业信息系统服务区域安全加固
工业企业信息系统的安全加固,主要面向与各区域设备和边界设备。通过对各服务区域设备加固,构建一个安全的计算环境,实现区域的安全可信。通过对边界设备的加固,防止数据通过边界设备泄漏,实现边界设备运行的有效性、可控性、准入性。
1.服务器区域加固:主要实现服务器区域的可信、安全的计算环境,
服务器加固包括:主机加固,主机安全基线管理,主机防病,主机
脆弱性评估,业务系统双因素认证,业务系统权限管理,主机补丁
管理。
2.办公区域加固:主要实现办公区域的可信、安全的计算环境,服务
器加固包括:桌面安全管理,终端防病毒,终端双因素身份认证。
3.核心交换加固:网络中的大多数据通过核心交换区域进行数据流转,
要避免数据通过核心交换区域设备泄漏,通过对核心区域的安全加
固,实现物理准入控制、网络接口准入控制、运维准入控制。
4.网络边界加固:边界加固主要避免边界设备被有意或无意的控制,
通过边界安全加固,实现物理准入控制、网络接口准入控制、运维
准入控制。
七、工业企业信息系统通信网络安全
工业企业通信网络分为两个部分,广域网通信与局域网通信。对于广域网通信,要保证数据传输的安全性;对于局域网通信,要保证网络的准入控制与无线安全。
1.广域网通信:通过通信网络设备与RTU设备,对数据传输进行加
密,保证数据通过广域网的完整性,保密性,可用性。
2.局域网准入控制:局域网主要防止非可信设备随意接入网络窃取商
业秘密数据。
3.工业无线网络安全:无线网络在工业现场大量的使用,通过无线网
络入侵,不仅会对工业生产造成影响,也会对从生产控制服务器窃
取商业秘密数据、甚至通过生产网入侵到经营管理网窃取商业秘密
数据。因此,必须实时识别对工业无线网络的入侵,并阻断。