工业控制系统网络安全防护方案

作者:赛博 来源:张力网络 时间:2017-11-08 点击:619
      应用背景
      数据采集与监控(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等工业控制系统广泛运用于工业、能源、交通、水利及市政等领域,用于控制生产设备的运行。一旦工业控制系统信息安全出现漏洞,将对工业生产运行和国家经济安全造成重大隐患。工业控制系统最早和企业管理系统是隔离的,但近年来为了实现实时的数据采集与生产控制,满足"两化融合"的需求和管理的方便,通过逻辑隔离的方式,使工业控制系统和企业管理系统可以直接进行通信,而企业管理系统一般直接连接Internet,在这种情况下,工业控制系统接入的范围不仅扩展到了企业网,而且面临着来自Internet的威胁。 
      需求分析
      工业网络中同时存在保障工业系统的工业控制网络和保障生产经营的办公网络,考虑到不同业务终端的安全性与故障容忍程度的不同,对其防御的策略和保障措施应该按照等级进行划分,实施分层次的纵深防御体系。一般工业企业的信息系统,可以划分为管理层、制造执行层、工业控制层。在管理层与制造执行层之间,主要进行身份鉴别、访问控制、检测审计、链路冗余、内容检测等安全防护;在制造执行系统层和工业控制系统层之间,主要避免管理层直接对工业控制层的访问,保证制造执行层对工业控制层的操作唯一性。
      解决方案
       XingAn SPG工业安全隔离装置是专门应用于工业控制系统的网络单向隔离产品,采用“2+1”的架构,支持工控网络常用的OPC、Modbus等协议。部署在管理层与制造执行层之间,只允许制造执行层的数据单向传送到管理层,阻挡管理层对制造执行层的非法访问,同时也防止管理层网络的木马、病毒等扩散到制造执行层。在数采监控层和控制层之间应安装专业的XingAn SGG工业安全控制网关,解决OPC通讯采用动态端口带来的安全防护瓶颈问题,提供实时的网络安全监测,对异常报文进行分析、过滤和报警,支持MAC/IP地址绑定,防止Dos/DDos攻击。
  • 关闭窗口 打印本页
  • 分享到: