-
解决方案
2022-07-20工控网络安全防护关键:一中心、两分离、三边界背景当前,随着工业信息化的迅猛发展,“两化融合、工业互联网”等国家战略的推出,以及云计算、大数据、人工智能、物联网等新一代信息技术与制造技术的加速融合,工业控制系统(以下简称“工控系统”)由从原始的封闭独立走向开放、由单机走向互联、由自动化走向智能化。但在工业企业获得巨大发展动能的环境背景下,也产生了大量安全风险,工控安全正面临严峻的挑战。要做好工控系统的安全防护方案,不仅要对工控系统及相关网络有深入了解,更要对其所承载的业务有着足够认识。但从现状来说,工控安全人员与业务运行、系统运行的衔接性还有待加强,掌握的数据不够准确,对工控系统的网络安全需求定位不够清晰,导致实施的安全防护策略对系统运行产生非正面的影响,或使用的相关网络安全技术针对性不足,没有真正起到防护作用。
工控系统的特殊性
工控系统以“可用性”为第一安全需求,而传统IT网络安全以“机密性”为第一安全需求。在信息安全的三个属性(机密性、完整性、可用性)中,传统安全的优先顺序是机密性、完整性、可用性,而工控系统则是可用性、完整性、机密性。
工控系统对实时性要求高,不允许延迟,更不允许出现网络中断。针对这一差异,无论是工控安全解决方案还是工控安全产品均要考虑工控系统这一特点:
工控安全产品:必须从软硬件设计上达到更高的可靠性,例如:硬件要求无风扇设计与宽温宽压设计,像工业防火墙还要支持Bypass功能等。
安全解决方案:工控安全解决方案的体系、框架均要围绕着工控系统的生命周期高可用性出发,最大程度地保护工控系统的安全,避免与工控系统产生冲突,让工业生产始终保持绿色生产。
工控系统风险与需求
工控网络层面:工控环网、调度网、信息管理网、视频网及第三方边界等互联互通、多网互联,大区生产企业对数据流向不清晰、隔离措施不完善、隔离强度不够等,存在网络层面各区域间及跨网交换非授权访问风险以及病毒横向传播风险。
工控主机层面:工控主机系统漏洞很少修补、补丁不敢下载、身份认证方式单一等,工控主机也未部署对已知和未知病毒的防护措施,工控主机环境存在误操作、非法攻击、勒索病毒感染等风险,迫切需要对工控主机进行主机加固、病毒免疫等。
工控协议层面:在当前的生产网络中,各类安全威胁不断涌入工业控制系统,大多生产企业内部缺少工业流量监测审计手段,无法针对工控系统协议层面存在的恶意攻击、异常流量进行审计,更无法对工控指令攻击和控制参数篡改进行实时监测和告警,让网络入侵长时间陪同,最终导致安全生产事故的发生。
工控管理层面:工业企业缺乏符合落地的工控安全管理制度,未建立安全管理体系,各种管理制度不完善,甚至无安全管理人员等,因此大大制约了生产企业快速发展。
一中心、二分离、三边界
基于以上背景与需求,安盟信息工控安全解决方案防御理念从一中心、两分离,三边界三点出发。
安盟信息工控安全解决方案防御理念工控安全强调的是与工控系统本体安全相融合,工控安全是个大安全范畴,是支撑工控系统整个生命周期的高可用性的关键,由控制系统本身安全、安全防护设备、业务生产过程安全、功能安全、工控网络安全、信息安全共同构成,解决方案需将工控安全与工业生产深度融合,着重保障工控系统可用性为目标,综合运用功能安全、信息安全等技术手段和防护措施,保障工控系统在生命周期内的安全稳定运行。
随着工业企业的发展,传统IT安全设备或单一的技术手段已经不能保证工控系统的安全稳定运行,只有建立工控安全顶层保障体系,从自主可控、密码赋能、协议安全等顶层设计出发,才能从根本上解决工控系统的网络安全隐患。安盟信息凭借在新一代边界安全、工业互联网安全、商用密码应用和数据安全方面深入地理解和深厚的经验,多维度强化工控安全防护能力,推动我国数字经济进入全面发展的新时代,助力我国工业行业高质量发展!
相关新闻
-
2025-06-24
-
2025-06-20
-
2025-06-13
-
2025-05-30
-
2025-05-24
-