立足场景应用,谈化工行业边界安全防护
行业背景
化工行业作为国家重要的支柱产业,其行业具有高温、高压、易燃、易爆、易腐蚀等特殊性,属于典型的技术密集型企业,生产连续性很强,装置和重要设备的意外停产都会导致巨大的经济损失,因此生产过程控制大多采用 DCS 等先进的控制系统,为此化工行业工控系统网络安全的重要性更显得尤为突出。
在2019年发布的等保2.0(第二级和第三级)基本要求中“工业控制系统安全扩展要求”第7.5.2.1及8.5.2.1条“网络架构”分别提出要求“工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用技术隔离手段”,“工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用单向的技术隔离手段”。工业和信息化部关于印发《工业控制系统信息安全防护指南》第“三、 边界安全防护”中“(三)通过工业防火墙、网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护”。
综合上述要求,工业企业的工业控制系统在与其他系统进行连接时需要采用技术隔离手段,以保护工业控制系统的边界安全。从IEC 62264-1层次模型进行分析,网络安全边界在生产管理层与过程监控层之间,我们暂时称之为生产管理层的层级边界。
需求分析
随着国家“两化融合”“数字化转型”“化工云”等相关政策、指导文件的发布,化工企业开始根据自身情况进行生产技术改革,生产装置优化系统、专家系统已不能满足对整体化工生产工艺综合优化、提质的需求。MES系统、行业云等智能制造解决方案逐渐在化工企业中扩大,解决生产环节综合调度、信息对称、精细化管理、能耗优化等问题。
安盟信息依据对化工企业丰富的网络安全建设经验和大量的实践经验,对化工行业MES系统、行业云等智能制造解决方案综合分析,化工企业的生产装置(DCS系统)工业段存在与MES系统、化工云等上层平台进行密切的数据交换过程。生产装置工艺段有完整的DCS系统,且有SIS系统、CCS系统与之相辅相成,属于相对独立的网络系统,对上层平台多采用OPC 的标准接口提供生产及告警信息。针对生产管理层级边界的网络安全防护即可实现对化工行业生产装置工艺段的防护,又可对MES系统、化工云等上层平台带来可靠的、稳定的数据源。
解决方案
1.建设目标
依照此次解决方案设计,可使企业工控系统实现对黑客、病毒、恶意代码等高风险抵御,阻止内部/外部人员的非法访问,工控系统中的关键生产数据信息单向上传到生产管理网络的MES系统、化工云中,防范来自生产管理网络或办公网络(互联网)的非法入侵和攻击。
建设目标和主要任务如下:
-
抵御生产管理网络或办公网络(互联网)发起的恶意攻击和破坏。
-
防止勒索病毒、木马等恶意程序从边界传播,对工控关键系统造成不利影响和破坏。
-
实现数据采集链路间的高安全隔离与访问控制。
-
做好边界安全防护,保障工控系统的安全、可靠、稳定运行。
2.技术路线
解决方案主要实现企业工控系统(生产装置)的关键工业数据信息采集,单向上传到生产管理网络MES系统、化工云的功能,同时又要做到各生产控制系统安全域与生产管理网络边界的安全隔离与访问控制,因此有如下三种方案可以实现安全防护功能。
-
工业数采单向光闸:实现关键生产数据采集物理单向上传到生产管理层MES系统(单向光信号,无反馈),同时保障边界高安全隔离与两网的访问控制。
-
工业网闸:实现两网边界安全隔离与访问控制,可针对工业协议进行深度解析与信令级别管控,采用与传统网闸“数据信息摆渡”的原理实现两网边界的高安全隔离。
-
工业防火墙:实现两网边界安全隔离与访问控制,可针对工业协议进行深度解析与信令级别管控,“白名单”机制实现两网边界的安全隔离。
3.方案设计
-
工业数采单向光闸方案
工业数采单向光闸利用发光和收光光器件的物理特性,可实现网间数据的物理单向上传。工业数采单向光闸采用内网单元+外网单元+光收发模块的硬件物理结构,内网单元+外网单元均采用自主设计研发的多核多线程专用安全操作系统,完全杜绝WINDOWS系列系统由于环境因素造成的不打补丁、不升级等产生的安全风险。
-
工业网闸方案
工业网闸采用“2+1”即内网单元+外网单元+专用隔离卡(FPGA)的硬件物理结构,结合“数据信息摆渡”的原理,实现边界的高安全隔离。内网单元+外网单元均采用自主设计研发的多核多线程专用安全操作系统,完全杜绝WINDOWS系列系统由于环境因素造成的不打补丁、不升级等产生的安全风险。
-
1. 工业防火墙方案
工业防火墙基于应用白名单策略、信令控制、参数控制、内容过滤、智能识别等技术手段,实现对生产管理网络与生产装置区域边界的安全防护。工业防火墙在OPC通讯过程中,工业生产关键数据包到达工业防火墙后,工业防火墙使用OPC专用通讯防护模块进行识别与深度解析,及时发现OPC通讯使用的动态端口,关闭不使用的端口,防止恶意程序的入侵与扩散,同时检测通讯包内的不合法元素,摒弃不安全数据包,实现两网之间的安全隔离。
4.三种设计方案对比
推荐方案
经过对三种解决方案的设计对比,推荐使用工业网闸方案应用于生产管理层级边界的安全隔离与防护。
1.方案优势
-
工业网闸属于工业专用隔离设备,内网单元+外网单元均采用自主设计研发的多核多线程专用安全操作系统,出厂前已经进行安全加固,不允许安装任何的程序或者插件,避免了外来文件或程序带来的安全风险
安盟华御工业网闸
安盟华御工业安全隔离装置采用满足工业控制网的高稳定性、低时延要求的专用“2+1”硬件平台,适用于多尘、嘈杂的工业环境。可深度解析和管控OPC、Modbus、S7、IEC104等10余种工控协议,达到仅次于物理隔离下的信息摆渡与数据交互,被广泛用于工业企业的工控网和MES系统(生产调度等生产管理系统)之间,保障生产控制网络的环境安全、高效的运行。
文章版权归西部工控xbgk所有,未经许可不得转载。