工业生产网安全防护建设要点有什么
工业生产网安全防护建设要点有:
调整优化工控网络架构:合理划分网络区域,建立进出工业控制生产网的安全控制点。在控制网与IT网之间进行安全逻辑隔离或者单向物理隔离;建立控制网与IT网之间可控的应用与数据交换区(视业务特点与数据重要程度);在控制网内进行无线局域网(WLAN)安全组网与严格访问权限控制;对现场控制设备与非现场控制设备分离组网,通过独立管理区进行现场设备的控制管理(视网络规模与管理复杂度而定)。
建立工控网络纵深防御体系:对进出控制网的网络流量进行白名单控制,部署威胁检测、行为监测、访问控制以及安全审计设备,阻挡外网与控制网络的不安全通信。完整审计通信记录,实现对控制系统的安全防护与异常追溯。
加强工控主机安全防护:对工程师站、操作站(HMI)、SCADA服务器、MES服务器、实时数据库服务器等工业主机实施病毒查杀、白名单管控、系统加固、U盘与外设管控等安全措施,确保工业主机与服务器设备的稳定运行。
建设工控网络远程访问安全接入点:在安全接入点对进出控制网的流量进行身份认证、数据加解密、访问控制以及威胁检测。若远端设备通过有线或无线拨号连接控制网,则建立VPN隧道,实现对远程运维接入和远程终端单元(RTU)数据传输的风险控制。
建设工业互联网安全接入点:在接入点对企业网与工业互联网平台之间的流量进行身份认证、数据加密、访问控制以及威胁检测。控制网内通过无线(WLAN、4G/5G)发送的数据,则统一导流至边缘计算安全网关,保障联网的工业设备、工业应用免受互联网威胁,保障工业数据的安全传输与使用。
建立工控网络安全监测体系:在控制网部署工业安全流量探针、日志探针,实时监测网络攻击行为,采集设备安全日志,获取工控资产、系统漏洞信息,监测非法设备接入(如非受控U盘、第三方运维设备)以及控制网设备非法外联。所有监测数据汇总至工业安全态势感知平台,实现工控网络安全可视,满足法律合规要求。
建设工业安全态势感知平台:采集工控网络的资产、漏洞、威胁、行为等数据,统一汇总至工业安全态势感知平台集中分析,并进行可视化呈现,实现对控制网的整体安全监控;对工业互联网安全态势监管平台开放接口,实现与行业监管机构的事件通报和处置联动。
建立边缘计算云平台安全防护体系:在边缘计算中心搭建可持续运营的弹性的云安全管理与服务平台,覆盖云外南北向访问控制、云内东西向访问控制、主机防护、漏洞管理、Web安全防护以及流量与行为审计,通过虚拟安全资源池的方式为不同应用按需提供安全防护能力。在云平台部署零信任身份认证管理系统,严格控制用户访问云平台应用权限;部署数据泄露防护系统,保护工业大数据安全。
建设工控安全仿真验证平台:按照生产场景等比例搭建仿真环境,模拟实际生产控制过程,对工控网络安全进行全面渗透评估,对安全防护方案进行可行性研究与充分测试验证。除了评估现网系统的安全,仿真平台还可以进行核心控制设备(PLC、DCS)的可靠性研究,以及工艺安全研究。