關(guān)于工業(yè)控制網(wǎng)絡(luò)的一些設(shè)計(jì)思路
掃描二維碼
隨時(shí)隨地手機(jī)看文章
中國(guó)是全球最大、增長(zhǎng)最快、最為復(fù)雜的制造業(yè)國(guó)家,制造業(yè)企業(yè)轉(zhuǎn)型需求和工業(yè)互聯(lián)網(wǎng)平臺(tái)供給能力不足是我國(guó)發(fā)展工業(yè)互聯(lián)網(wǎng)平臺(tái)主要挑戰(zhàn)。
近年來(lái),國(guó)家也是高度重視工業(yè)互聯(lián)網(wǎng)的發(fā)展,各大制造業(yè)企業(yè)也開始建立符合自身的智能車間。工業(yè)互聯(lián)網(wǎng)、機(jī)床聯(lián)網(wǎng)越來(lái)越多的成為互聯(lián)網(wǎng)相關(guān)人員和企業(yè)管理者談?wù)摰脑掝}。
先來(lái)看看我們?cè)诖蛟炻毮苘囬g,工業(yè)互聯(lián)網(wǎng)的時(shí)候遇到的問題:1、 終端無(wú)線發(fā)射器信號(hào)不穩(wěn)定,或有無(wú)線信號(hào)盲區(qū)的存在;2、 無(wú)線信號(hào)管理薄弱,自帶手機(jī)隨意連接無(wú)線信號(hào)導(dǎo)致工業(yè)用無(wú)線設(shè)備資源被搶占;3、 網(wǎng)絡(luò)準(zhǔn)入管理松散,病毒乘機(jī)而入;4、 因物理位置上工控網(wǎng)絡(luò)與管理網(wǎng)絡(luò)交叉重疊存在,為聯(lián)網(wǎng)方便,工控網(wǎng)絡(luò)與管理網(wǎng)絡(luò)之間沒有邊界。
針對(duì)上述問題,我們要求我們的工控網(wǎng)絡(luò)要遵循以下設(shè)計(jì)原則:1、 工業(yè)以太網(wǎng)主干網(wǎng)絡(luò)基于環(huán)網(wǎng)或星型雙鏈路結(jié)構(gòu)構(gòu)建,主干網(wǎng)中配置具有管理環(huán)網(wǎng)功能交換機(jī)(以太網(wǎng)管理器);2、 現(xiàn)場(chǎng)設(shè)備需具備工業(yè)以太網(wǎng)接口接入工業(yè)以太網(wǎng)。3、 采用工業(yè)級(jí)以太網(wǎng)設(shè)備構(gòu)建,包含交換機(jī)、路由器、網(wǎng)絡(luò)隔離產(chǎn)品等,確保工業(yè)以太網(wǎng)在網(wǎng)絡(luò)通訊的穩(wěn)定性、抗干擾能力以及防護(hù)等級(jí)等方面要求。
4、 工控網(wǎng)絡(luò)與管理網(wǎng)絡(luò)之間必須設(shè)置邊界防火墻,邊界防火墻要求:為保證可用性,工控網(wǎng)與管理網(wǎng)絡(luò)邊界的防火墻要求雙機(jī)部署;5、 防火墻要求設(shè)置DMZ區(qū),可用于部署與MES業(yè)務(wù)對(duì)接相關(guān)的服務(wù)器。6、 接入邊界及線路要求:工控網(wǎng)接入IT網(wǎng)絡(luò)的邊界可在IT網(wǎng)絡(luò)的匯聚或核心上;7、 接入線路要求:接入線路要求至少千兆線路;8、 安全策略要求:防火墻策略按需開通,默認(rèn)關(guān)閉;9、 無(wú)線AC可在工業(yè)網(wǎng)獨(dú)立部署,采用5G頻段無(wú)線組網(wǎng)。
工控網(wǎng)安全建設(shè)目標(biāo):1、工控網(wǎng)絡(luò)安全防護(hù)原則:以區(qū)域劃分、深度防御為基礎(chǔ)進(jìn)行防護(hù),主用手段包括防護(hù)軟件的部署、防護(hù)設(shè)備的部署、技術(shù)防護(hù)及深層防御。2、注重網(wǎng)絡(luò)結(jié)構(gòu)安全的可行性,確保與生產(chǎn)工藝的結(jié)合。3、對(duì)工控網(wǎng)絡(luò)各個(gè)層級(jí)間進(jìn)行邏輯隔離,防止網(wǎng)絡(luò)中病毒代碼的傳播,對(duì)設(shè)備進(jìn)行保護(hù);4、對(duì)工控系統(tǒng)現(xiàn)場(chǎng)設(shè)備層與生產(chǎn)控制層和管理執(zhí)行層間進(jìn)行防護(hù),形成縱深防御的安全部署;5、保障工控網(wǎng)絡(luò)能夠?qū)θ肭中袨檫M(jìn)行詳細(xì)完整的記錄,為以后的調(diào)查取證提供有力保障;6、保障工控網(wǎng)絡(luò)不受偽裝成合法訪問的攻擊行為的安全威脅。
結(jié)合工業(yè)控制系統(tǒng)信息安全防護(hù)思路,將典型工業(yè)控制系統(tǒng)分為四層,即生產(chǎn)管理層(IT)、監(jiān)督控制層(傳輸)、現(xiàn)場(chǎng)控制層、現(xiàn)場(chǎng)設(shè)備層每一個(gè)工業(yè)控制系統(tǒng)應(yīng)單獨(dú)劃分在一個(gè)區(qū)域里。在區(qū)域邊界處部署工業(yè)防火墻設(shè)備,實(shí)現(xiàn)IP端口的訪問控制、應(yīng)用層協(xié)議訪問控制、流量控制等。或者部署網(wǎng)閘設(shè)備,切斷網(wǎng)絡(luò)鏈路層鏈接,完成兩個(gè)網(wǎng)絡(luò)的數(shù)據(jù)交換。
在操作站、工程師站部署操作站安全管理系統(tǒng)實(shí)現(xiàn)移動(dòng)存儲(chǔ)介質(zhì)使用的管理、軟件黑白名單管理、聯(lián)網(wǎng)控制、網(wǎng)絡(luò)準(zhǔn)入控制、安全配置管理等。工控運(yùn)維審計(jì)系統(tǒng)由運(yùn)維管理服務(wù)器和運(yùn)維審計(jì)設(shè)備組成,運(yùn)維人員運(yùn)維現(xiàn)場(chǎng)設(shè)備時(shí)先接入運(yùn)維審計(jì)設(shè)備,再連接現(xiàn)場(chǎng)設(shè)備。運(yùn)維審計(jì)設(shè)備可審計(jì)運(yùn)維操作命令、運(yùn)維工具使用錄像等,亦可進(jìn)行防病毒、訪問控制等安全防護(hù)。
Wifi入侵檢測(cè)與防護(hù)設(shè)備是放在基于wifi組網(wǎng)的現(xiàn)場(chǎng)設(shè)備網(wǎng)絡(luò)中,可實(shí)現(xiàn)非法AP阻斷,非法外來(lái)設(shè)備接入生產(chǎn)網(wǎng)絡(luò),基于Wifi的入侵檢測(cè)等。在工業(yè)以太網(wǎng)匯聚交換機(jī)上部署工控異常監(jiān)測(cè)系統(tǒng)及工控網(wǎng)絡(luò)流秩序分析診斷系統(tǒng)。檢測(cè)工業(yè)控制系統(tǒng)內(nèi)部入侵行為,異常操作行為,發(fā)現(xiàn)異常流量和異常訪問關(guān)系等。
部署工控漏洞掃描系統(tǒng),在系統(tǒng)檢修、停機(jī)或新系統(tǒng)上線時(shí)進(jìn)行漏洞掃描,對(duì)漏洞進(jìn)行修補(bǔ)。部署安全配置基線核查系統(tǒng),在系統(tǒng)檢修、停機(jī)或新系統(tǒng)上線時(shí)進(jìn)行配置基線檢查,重點(diǎn)關(guān)注操作站、工程師站、服務(wù)器等開放的服務(wù),賬號(hào)密碼策略、協(xié)議的安全配置等問題,對(duì)風(fēng)險(xiǎn)進(jìn)行安全加固。