网络安全
工控

工控行业中,如何做到系统网络和办公网络隔离开的?

工控行业中,特别是DCS系统中,经常被要求把数据上传到办公网里面,如何保证DCS的网络安全?
关注者
9
被浏览
11,831

5 个回答

蟹妖

没单独深入搞过工控网安全,结合自己经验试答一发

从题主的问题看,工控网要经常与办公网通信,两种情况:可以离线通信的,比如使用U盘转移数据,可以做纯物理隔离,或者网闸做近似物理隔离;必须在线通信传输的,通过一些摆渡系统(只简单了解过,没有实际使用过)进行数据通信,或者做安全域隔离后严格控制通信流量,比如仅允许指定DCS系统与指定办公网IP进行指定协议包的单向或双向通信,包括流量的时间、带宽等都可以做限制或者监控。

此外主机安全、网络干扰等也都需要考虑吧

粗浅理解,仅供参考

铁路电力监控系统(PSCADA)工控安全解决方案

背景概述

铁路是国家战略性、先导性、关键性重大基础设施,是国民经济大动脉、重大民生工程和综合交通运输体系骨干,在社会发展中的地位和作用至关重要。铁路电力监控系统(PSCADA)是铁路弱电系统的重要组成部分,能够全国范围联动,掌握供电系统运行情况,处理影响运行的事故和异常情况,将几十公里、几百公里、上千公里以外的变电所、分区所、开闭所、配电所等铁路供电系统运行状态收集及显示,相关数据处理及分享。铁路电力监控系统(PSCADA)经历了单项自动化、远动自动化、综合自动化,现在正逐步向智能化、智慧化发展。

铁路电力监控系统(PSCADA)在智能化建设中极有可能引入信息安全风险,且铁路电力监控系统(PSCADA)工控设施的智能化建设往往滞后于铁路电力监控系统(PSCADA)的智能化、智慧化建设,无法应对日益增长的网络威胁,可能导致其遭受网络攻击而使生产停滞。因此需加快铁路电力监控系统(PSCADA)的工控安全建设,保障铁路电力监控系统(PSCADA)工控设施安全稳定运行。

需求分析

01标准合规性需求

铁路电力监控系统(PSCADA)要加快完成工控安全防护体系的建设工作,使之符合《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、《工业控制系统信息安全防护指南》、《关键信息基础设施安全保护条例》及工控安全相关要求。

02业务安全性需求

从铁路电力监控系统(PSCADA)路局调度所由接入区、前置服务器区、复示工作站区、调度工作站区分为4个作业区进行需求分析:

工业设备接入区、调度工作站区、复示工作站区、前置服务器区:这些工作区在建设初期主要考虑易用性和快速部署,因此存在数据流向不清晰、隔离措施不完善、隔离强度不达标等问题,容易引发各跨网交换非授权访问风险以及系统间病毒横向传播风险。

各工作区内部缺少对工业流量监测审计的手段,无法针对工控系统协议层面存在的恶意攻击、异常流量进行审计,更无法对工控指令攻击和控制参数篡改进行实时监测和告警,极易产生网络入侵事件,最终导致安全生产事故的发生。

各工作区的上位机、服务器等主机,可能存在系统及工控应用漏洞、管理员不允许打补丁、身份鉴别过于单一等情况;同时主机无针对已知、未知病毒的防护措施,容易发生误操作、非法攻击、勒索病毒感染等安全事件,铁路电力监控系统(PSCADA)迫切需要提升工控主机安全防御能力。

调度工作站区:运行着电力调度、安全监控等重要业务系统。同时连接铁路办公网。因此需加强边界安全、入侵检测、日志审计、终端管理、运维审计、安全管理平台等防护能力。

解决方案

安盟信息针对铁路电力监控系统(PSCADA)的网络架构特点及相关标准规范要求,进行分层、分区、划域,各层次、区域之间采用合理的安全防护措施。


铁路电力监控系统(PSCADA)工控安全防护拓扑示意图


01工业设备接入区

  • 在工业设备接入区对外接口采用工业防火墙进行逻辑隔离,并进行细粒度控制,精准按域进行防护。
  • 在工业设备接入区等采用工业应用审计系统对工控网络中的全流量通信、操作行为、异常行为等进行审计及预警,对异常操作行为与数据进行实时监测和报警。

02复示工作站区

  • 在复示工作站区对外接口采用工业防火墙进行逻辑隔离,并进行细粒度控制,精准按域进行防护。
  • 在主干交换机上采用入侵检测系统对网络中的全流量通信、操作行为、异常行为等进行审计及预警,以白名单方式阻止非法进程运行及非法USB等外设接入,防止工业主机被破坏。
  • 在复示工作站区工作站等部署工控主机卫士软件系统,对异常操作行为与数据进行实时监测和报警。

03安全管理中心

  • 在复示工作站区建设安全管理中心,实现终端保护控制、运维安全管控、日志审计、安全管理等。对工业生产全景进行安全态势感知、分析、预警及准入控制,并对异常报警行为形成工单分配给人工进行干预处理,同时与相应防护设备进行协同防御。

04调度工作站区

  • 在对外接口采用工业防火墙进行逻辑隔离,并进行细粒度控制,精准按域进行防护。
  • 在调度交换层交换机上采用工业应用审计系统对工控网络中的全流量通信、操作行为、异常行为等进行审计及预警,对异常操作行为与数据进行实时监测和报警。
  • 在调度工作站区工作站等部署工控主机卫士软件系统,以白名单方式阻止非法进程运行及USB等外设接入,防止工业主机被破坏。

方案价值

满足标准合规性要求

符合《信息安全技术网络安全等级保护基本要求》 (GBT22239-2019)、《工业控制系统信息安全防护指南》、《关键信息基础设施安全保护条例》及工控安全相关政策、标准及监管要求。

构建铁路电力监控系统体系化安全

通过强化铁路电力监控系统(PSCADA)区域内网络、主机及数据的安全防护,大大增强了整体安全防护能力,确保铁路电力监控系统(PSCADA)安全生产可持续运营,构建边界安全、物联设备安全的纵深防护体系。

提升铁路电力监控系统生产安全性

方案深度融合有铁路电力监控系统(PSCADA)工控设施,降低铁路电力监控系统(PSCADA)的安全运营风险,提高安全运维效率,为铁路电力监控系统(PSCADA)智能化、智慧化建设提供可靠的安全保障。

促进铁路电力监控系统智能化发展

通过建设铁路电力监控系统(PSCADA)工控安全防护体系,可解决铁路电力监控系统(PSCADA)智能化建设过程中带来的信息安全风险,保障铁路电力监控系统(PSCADA)工控设施、智能化系统安全及设备可靠运转的目标。