MENU
首页 > 关于安盟 > 新闻资讯 > 正文
2023-08-31
立足场景应用,谈化工行业边界安全防护
行业背景

化工行业作为国家重要的支柱产业,其行业具有高温、高压、易燃、易爆、易腐蚀等特殊性,属于典型的技术密集型企业,生产连续性很强,装置和重要设备的意外停产都会导致巨大的经济损失,因此生产过程控制大多采用 DCS 等先进的控制系统,为此化工行业工控系统网络安全的重要性更显得尤为突出。

在2019年发布的等保2.0(第二级和第三级)基本要求中“工业控制系统安全扩展要求”第7.5.2.1及8.5.2.1条“网络架构”分别提出要求“工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用技术隔离手段”,“工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用单向的技术隔离手段”。工业和信息化部关于印发《工业控制系统信息安全防护指南》第“三、 边界安全防护”中“(三)通过工业防火墙、网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护”。

综合上述要求,工业企业的工业控制系统在与其他系统进行连接时需要采用技术隔离手段,以保护工业控制系统的边界安全。从IEC 62264-1层次模型进行分析,网络安全边界在生产管理层与过程监控层之间,我们暂时称之为生产管理层的层级边界。

需求分析

随着国家“两化融合”“数字化转型”“化工云”等相关政策、指导文件的发布,化工企业开始根据自身情况进行生产技术改革,生产装置优化系统、专家系统已不能满足对整体化工生产工艺综合优化、提质的需求。MES系统、行业云等智能制造解决方案逐渐在化工企业中扩大,解决生产环节综合调度、信息对称、精细化管理、能耗优化等问题。
安盟信息依据对化工企业丰富的网络安全建设经验和大量的实践经验,对化工行业MES系统、行业云等智能制造解决方案综合分析,化工企业的生产装置(DCS系统)工业段存在与MES系统、化工云等上层平台进行密切的数据交换过程。生产装置工艺段有完整的DCS系统,且有SIS系统、CCS系统与之相辅相成,属于相对独立的网络系统,对上层平台多采用OPC 的标准接口提供生产及告警信息。针对生产管理层级边界的网络安全防护即可实现对化工行业生产装置工艺段的防护,又可对MES系统、化工云等上层平台带来可靠的、稳定的数据源。

解决方案

1.建设目标
依照此次解决方案设计,可使企业工控系统实现对黑客、病毒、恶意代码等高风险抵御,阻止内部/外部人员的非法访问,工控系统中的关键生产数据信息单向上传到生产管理网络的MES系统、化工云中,防范来自生产管理网络或办公网络(互联网)的非法入侵和攻击。

 建设目标和主要任务如下:
  • 抵御生产管理网络或办公网络(互联网)发起的恶意攻击和破坏。
  • 防止勒索病毒、木马等恶意程序从边界传播,对工控关键系统造成不利影响和破坏。
  • 实现数据采集链路间的高安全隔离与访问控制。
  • 做好边界安全防护,保障工控系统的安全、可靠、稳定运行。
2.技术路线
解决方案主要实现企业工控系统(生产装置)的关键工业数据信息采集,单向上传到生产管理网络MES系统、化工云的功能,同时又要做到各生产控制系统安全域与生产管理网络边界的安全隔离与访问控制,因此有如下三种方案可以实现安全防护功能。

  • 工业数采单向光闸:实现关键生产数据采集物理单向上传到生产管理层MES系统(单向光信号,无反馈),同时保障边界高安全隔离与两网的访问控制。
  • 工业网闸:实现两网边界安全隔离与访问控制,可针对工业协议进行深度解析与信令级别管控,采用与传统网闸“数据信息摆渡”的原理实现两网边界的高安全隔离。
  • 工业防火墙:实现两网边界安全隔离与访问控制,可针对工业协议进行深度解析与信令级别管控,“白名单”机制实现两网边界的安全隔离。

3.方案设计

  • 工业数采单向光闸方案
工业数采单向光闸利用发光和收光光器件的物理特性,可实现网间数据的物理单向上传。工业数采单向光闸采用内网单元+外网单元+光收发模块的硬件物理结构,内网单元+外网单元均采用自主设计研发的多核多线程专用安全操作系统,完全杜绝WINDOWS系列系统由于环境因素造成的不打补丁、不升级等产生的安全风险。


  • 工业网闸方案
工业网闸采用“2+1”即内网单元+外网单元+专用隔离卡(FPGA)的硬件物理结构,结合“数据信息摆渡”的原理,实现边界的高安全隔离。内网单元+外网单元均采用自主设计研发的多核多线程专用安全操作系统,完全杜绝WINDOWS系列系统由于环境因素造成的不打补丁、不升级等产生的安全风险。
  • 工业防火墙方案
工业防火墙基于应用白名单策略、信令控制、参数控制、内容过滤、智能识别等技术手段,实现对生产管理网络与生产装置区域边界的安全防护。工业防火墙在OPC通讯过程中,工业生产关键数据包到达工业防火墙后,工业防火墙使用OPC专用通讯防护模块进行识别与深度解析,及时发现OPC通讯使用的动态端口,关闭不使用的端口,防止恶意程序的入侵与扩散,同时检测通讯包内的不合法元素,摒弃不安全数据包,实现两网之间的安全隔离。


4.三种设计方案对比


3.推荐方案

   经过对三种解决方案的设计对比,推荐使用工业网闸方案应用于生产管理层级边界的安全隔离与防护。

1.方案优势

  • 方案符合《信息安全技术 网络安全等级保护基本要求》GB/T22239-2019的相关规定及要求。
  • 工业网闸的架构为“2+1”硬件物理架构,即内网单元+外网单元+专用隔离卡(FPGA),在工业数据信息传输过程中采用“数据信息摆渡”的原理,形成近乎物理隔离的安全通道,与此同时“数据信息摆渡”过程通过包地拆解检查,杜绝了非法数据的传输。
  • 工业网闸采用通道控制策略来实现工业控制网至生产管理网络的单向传输控制。随着未来生产管理网MES系统的数据积累,工业大数据等技术的升级,存在对工控系统的参数进行优化的情况,此时只需简单的策略调整即可实现优化参数的下置。
  • 工业网闸采用专用的工业通信模块,对工业通讯的管控细粒度达到控制信令级别,如OPC DA协议,可对协议内的只读、只写等控制参数进行附加策略的管控,在保证“数据信息摆渡”+通道单向管控的同时,可实现协议控制信令级的业务单向。
  • 工业网闸的内网单元+外网单元均采用自主设计研发的多核多线程专用安全操作系统,完全杜绝Windos系列系统由于环境因素造成的不打补丁、不升级等产生的安全风险。
  • 工业网闸采用协议管控的方式进行边界的安全方式,无采集和转发过程,在未来生产管理网络调用OPC HDA\A&E时,工业网闸只需进行策略的升级即可完成。
  • 工业网闸属于“工业控制网络安全隔离与信息交换系统(增强级)”类,取证均需通过公安部专业检测机构检测通过,为工业网络安全隔离专用产品。
  • 工业网闸可采用双机热备方式进行部署,杜绝了单点故障的问题。且工业网闸只是策略应用的启动过程,网络通讯的重建时间要小很多。
  • 工业网闸属于工业专用隔离设备,内网单元+外网单元均采用自主设计研发的多核多线程专用安全操作系统,出厂前已经进行安全加固,不允许安装任何的程序或者插件,避免了外来文件或程序带来的安全风险。
2.安盟华御工业网闸

安盟华御工业安全隔离装置采用满足工业控制网的高稳定性、低时延要求的专用“2+1”硬件平台,适用于多尘、嘈杂的工业环境。可深度解析和管控OPC、Modbus、S7、IEC104等10余种工控协议,达到仅次于物理隔离下的信息摆渡与数据交互,被广泛用于工业企业的工控网和MES系统(生产调度等生产管理系统)之间,保障生产控制网络的环境安全、高效的运行。

关闭
上一篇: 无

相关新闻