随着信息化建设的深入以及生产自动化程度的提高,烟草企业开始应用制造执行系统(MES),这种“两化融合”(自动化网与管理信息化网融合互联)的业务应用系统,来增强企业核心竞争力。MES系统的定位是处于管理层之下和控制层之上的执行层,是两化融合的节点,主要服务于企业的生产管理和调度。MES系统要充分发挥作用,从生产网(自动化网)向信息网(管理信息网)的生产信息实时上报是必不可少的。
生产网是封闭环境,不与任何网络连接,并且各个生产子网均是相互独立。优势是如果没有不按规定使用网络和移动存储介质的情况下,生产网就会很安全。劣势是无法从技术手段上禁止,同时无法做到生产数据的有效利用。两化融合后,企业生产网将面临着管理信息网的安全风险导入到生产网,可能会影响生产,甚至会导致安全事故发生。因此,如何能在利用MES系统先进信息技术的同时,又能保证生产网的安全,成为一个亟待解决的问题。
安盟信息作为网络安全隔离方案的领航者,经过多年潜心研究和大量的客户实际部署案例,总结了一套以单向网络隔离和工业专用应用防护系统为主体的生产网安全防护解决方案。本方案可有效地规避两化融合后给生产网带来的安全风险,并符合国家相关政策规定要求(如等级保护)。
防护方案
✦ 安盟华御工业防火墙部署于各生产子网的生产控制区与生产非控制区之间,防范工程师站/操作员站的非授权指令下发、控制参数的恶意篡改、恶意代码的攻击,保证生产系统的安全。
✦ 安盟华御工业应用审计部署于各生产子网的生产控制区,对从上位机控制端到下位机操控指令进行有效的合规性定义。支持多种工控协议,包括IEC 60870-5-101、102和104协议、IEC 61850、IEC 61970、ICCP等。帮助用户以最捷的方式了解和掌握网络中的业务通信状态,发现网络潜在的安全。智能化的流量自学习规则,还可以辅助系统自动生成相关的异常检测规则,对现有的规则进行调优等。
✦ 安盟华御终端管理软件部署于上位机中,在允许加密狗、键盘鼠标等USB设备使用的前提下,禁止USB存储介质的使用。通过进程白名单,禁止非授权执行文件的运行。
✦ 安盟华御工业应用防护系统部署于各生产子网的非控制区,对工控网络里的所有安全节点进行统一管理和监控,作为工业应用防护体系的核心,其以整体安全运营的思想,构建一体化的安全运营平台,为运维提供技术支撑。
✦ 安盟华御安全隔离网闸(或工业单向光闸)部署于各生产子网的数据采集监控系统与管理网之间,保证生产监控数据的安全单向上报,为MES系统提供数据支撑,同时保证管理网向生产子网没有一个比特的传送,保证各生产子网的绝地安全。
✦ 安盟华御下一代防火墙部署于管理网的MES区与管理信息区之间,保护MES系统,避免外部的网络攻击和有害信息的感染。
✦ 安盟华御运维堡垒机部署于管理信息网,实现对全部远程维护系统设备的操作授权和的操作审计。
方案优势
✦ 整体防护:从网络边界到终端,从网络到应用数据,从用户到行为,均在方案中得到防护体现。覆盖了业务数据流转的全生命周期。
✦ 专业防护:针对不同的应用场景,利用相对应的专用安全防护产品进行针对性的安全防护。在MES系统与各生产子网之间部署安全隔离网闸(或工业单向光闸),而非防火墙;在生产子网的非控制区与控制区之间部署工业防火墙,而非传统防火墙;在生产子网部署工业审计系统,而非传统的网络审计系统;在终端上部署工控终端防护软件,而非传统的PC防护软件。
✦ 严格防护:按照不同应用协议类型提供细粒度的信令、参数、值域的控制。
✦ 标准防护:依据国标最高安全等级设计,采取三权分立,满足等级保护需要。
网友评论