工厂车间内部系统及终端设备的安全防护
- 2015年09月11日 11:28来源: 人气:9928
车间的信息安全就是应该对工厂车间内部的系统及终端设备进行安全防护。根据工厂内部所涉及的终端设备及系统,可分为工业以太网、数据采集与监控(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等网络设备及工业控制系统的运行安全,确保工业以太网及工业系统不被未经*的访问、使用、泄露、中断、修改和破坏,为企业正常生产提供信息服务。
1.CPS层网络防护
对于CPS层而言,可通过设置防火墙将车间底层网络和Internet网分开,从而保护底层网络免受非法用户的侵入。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。通过此层的防御,可以过滤掉绝大多数的网络攻击。此外,可通过安全网关提供从协议级过滤到应用级过滤。入侵者如果成功穿越防火墙后,想进入更加核心的区域,那么就必须花费更多的时间及精力来进行攻击。zui后,为了有效的对网络环境进行监控,在靠近终端设备处同时部署IDS或IPS系统的探测器。IDS是Intrusion Detection System的缩写,即入侵检测系统,主要用于检测病毒和网络异常通信,以便网络管理员采取相应措施。IDS入侵检测系统能够察觉黑客的入侵行为并且进行记录和处理。由于当病毒爆发时,会占用大量的工业以太网络带宽,使任务实时性执行出现闯题,IDS入侵检测系统能够及时检测出这种非法的占用,记录下病毒发出的连接,向上层管理计算机发出警告,同时它不影响整体网络的运行性能,非常适合工业以太网的网络特点。IPS则能够快速终结DDOS、未知的蠕虫、异常应用程序流量攻击所造成的网络阻塞,实现对工业以太网的防护,同时它能保护防火墙和核心交换机等网络设备免遭入侵和攻击。IPS会在此类网络攻击扩散到网络的其它地方之前阻止这个恶意的通信,在网络中起到防御的作用。IPS将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。这种技术从源头控制了对工业以太网的恶意攻击。
2.内、外网物理隔离
目前大部分企业已安装防火墙,然而随着信息化技术发展,外部网路接入是黑客病毒、木马、恶意代码传播的主要途径之一,实施内、外网的物理分离,可以*杜绝公私混用的状态,实现内网安全、网络管理、网络维护三位一体的立体化管理。
实施方式:
(1)对网络进行区域划分,分为信息内网和信息外网,二者与互联网之间均采用防火墙进行逻辑隔离。信息内网可根据需要进行进一步区域划分。
(2)通过硬盘隔离卡及双布线系统、双网络设备实现办公内网与外网隔离。统一企业集团全集团互联网出口,并对互联网出口统一进行权限管理。
(3)部署Internet审计系统,采用虚拟化技术与VPN系统结合提升移动办公应用的安全性和效率。
(4)全面部署终端安全网络准入系统,对接入内网的电脑进行健康检查,防止非注册电脑接入企业引起泄密,以及带病毒木马的外来电脑引起企业网络瘫痪。
(5)全面部署内网安全系统,对移动存储介质进行注册管理、重要文件进行加密存储等。
3.上网行为管理
上网行为管理是指帮助互联网用户控制和管理对互联网的使用,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。
上网行为管理系统功能如下:
网页访问过滤:可以根据行业特征、业务需要和企业文化来制定个性化的网页访问策略,过滤非工作相关的网页。
网络应用控制:可以制定有效的网络应用控制策略,封堵与业务无关的网络应用,引导员工在合适的时间做合适的事。
带宽流量管理:制定精细的带宽管理策略,对不同岗位的员工、不同网络应用划分带宽通道,并设定优先级,合理利用有限的带宽资源,节省投入成本。
信息内容审计:制定全面的信息收发监控策略,有效控制关键信息的传播范围,以及避免可能引起的法律风险。
上网行为分析:可以实时了解、统计、分析互联网使用状况,并根据分析结果对管理策略做调整和优化。
日志管理:可以查看到内网用户所访问过的域名,可以实时了解内网用户的上网行为。
4.桌面管理系统
桌面管理系统核心目标是为企业级用户提供全面的计算机设备管理手段,监控企业内IT环境的变化,保障计算机设备正常运行,大幅度降低维护成本。在此基础上提供详尽的统计报表输出,综合反映软硬件信息变动、当前配置等,帮助企业用户管理好计算机设备。
5.数据安全管理
制造企业的主要的技术成果是设计方案,但又需要在整个企业内部甚至是在企业外部使用。因此数据在要求保密的同时,也需要在内部进行共享并可根据需求控制使用权限,还不能增加管理的难度和操作的复杂化。在与企业外部合作时,还需要有安全的文件外发保护。因此,企业需对建立完善的数据加密策略:
透明加密:透明加密时用户只要有写磁盘的操作,文件就自动进行了加密。节省了用户手动进行加解密操作的时间,但并不控制文件的传播共享,不影响文件打开的时间,也不受文件大小的限制。文件在制作过程和传输过程中始终是密文。操作面向用户全透明的方式,让用户*在正常的工作中不知不觉地享受安全。同时,解密也是透明的,只要在一定环境中,密文在不需要输入密码的前提下,能够自动解密。
强制加密:根据制造企业的特点,具有自主知识产权的技术资料和图纸、图片甚多,加密软件对的机器进行强制加密是非常有必要的,如果操作者能够有选择地进行加密,加密软件便形同虚设。
应用灵活:企业加密需求是不断变化的。会随着应用程序的升级、文件格式的变化、使用范围的变化而变化。这就需要加密软件对应用环境的变化能灵活地设置受保护的文件格式和受关联的应用程序。
保障安全:企业要求实现内部无障碍共享,对加密软件来说,必然要求采用通用的密钥,密钥管理异常重要,一旦密钥外泄,对企业的打击将非常致命。因此,对文件加密系统要求必须考虑全文加密和高强度的加密算法。
方便外发:制造企业对数据加密系统还要求能方便地对外交流。由于涉密文件在企业内部都被自动强制进行了加密,对外正常交流时必须能够方便、及时。同时,能够设置外发文件的打开方式、阅览时间和阅读的次数等。
日志审计:根据BS7799安全规范,一个系统zui重要的部分是其审计跟踪能力,这是系统安全性的一部分。通过审计功能,管理员可以监督、跟踪所有用户的全部操作,查看系统的使用情况,实现zui高的系统安全。根据日志信息的具体设置,可以设定不同的日志内容。从庞大的日志数据中抽取有用的信息,对用户操作进行分类整理,自动生成相应的审计报告。通过研究日志报告,对于已发生的泄密事件可以回溯历史活动,从而发现泄密渠道。
因此,制造企业多采用透明加密系统进行核心数据加密。透明加密的部署较为简单,在管理端安装一个引擎驱动,用于管理以及建立密钥等。被加密电脑安装工作站,然后就开始根据你管理端设置的规则自动加密了,剩余的只是对管理过程(比如*、加密规则等)。
1.CPS层网络防护
对于CPS层而言,可通过设置防火墙将车间底层网络和Internet网分开,从而保护底层网络免受非法用户的侵入。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。通过此层的防御,可以过滤掉绝大多数的网络攻击。此外,可通过安全网关提供从协议级过滤到应用级过滤。入侵者如果成功穿越防火墙后,想进入更加核心的区域,那么就必须花费更多的时间及精力来进行攻击。zui后,为了有效的对网络环境进行监控,在靠近终端设备处同时部署IDS或IPS系统的探测器。IDS是Intrusion Detection System的缩写,即入侵检测系统,主要用于检测病毒和网络异常通信,以便网络管理员采取相应措施。IDS入侵检测系统能够察觉黑客的入侵行为并且进行记录和处理。由于当病毒爆发时,会占用大量的工业以太网络带宽,使任务实时性执行出现闯题,IDS入侵检测系统能够及时检测出这种非法的占用,记录下病毒发出的连接,向上层管理计算机发出警告,同时它不影响整体网络的运行性能,非常适合工业以太网的网络特点。IPS则能够快速终结DDOS、未知的蠕虫、异常应用程序流量攻击所造成的网络阻塞,实现对工业以太网的防护,同时它能保护防火墙和核心交换机等网络设备免遭入侵和攻击。IPS会在此类网络攻击扩散到网络的其它地方之前阻止这个恶意的通信,在网络中起到防御的作用。IPS将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。这种技术从源头控制了对工业以太网的恶意攻击。
2.内、外网物理隔离
目前大部分企业已安装防火墙,然而随着信息化技术发展,外部网路接入是黑客病毒、木马、恶意代码传播的主要途径之一,实施内、外网的物理分离,可以*杜绝公私混用的状态,实现内网安全、网络管理、网络维护三位一体的立体化管理。
实施方式:
(1)对网络进行区域划分,分为信息内网和信息外网,二者与互联网之间均采用防火墙进行逻辑隔离。信息内网可根据需要进行进一步区域划分。
(2)通过硬盘隔离卡及双布线系统、双网络设备实现办公内网与外网隔离。统一企业集团全集团互联网出口,并对互联网出口统一进行权限管理。
(3)部署Internet审计系统,采用虚拟化技术与VPN系统结合提升移动办公应用的安全性和效率。
(4)全面部署终端安全网络准入系统,对接入内网的电脑进行健康检查,防止非注册电脑接入企业引起泄密,以及带病毒木马的外来电脑引起企业网络瘫痪。
(5)全面部署内网安全系统,对移动存储介质进行注册管理、重要文件进行加密存储等。
3.上网行为管理
上网行为管理是指帮助互联网用户控制和管理对互联网的使用,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。
上网行为管理系统功能如下:
网页访问过滤:可以根据行业特征、业务需要和企业文化来制定个性化的网页访问策略,过滤非工作相关的网页。
网络应用控制:可以制定有效的网络应用控制策略,封堵与业务无关的网络应用,引导员工在合适的时间做合适的事。
带宽流量管理:制定精细的带宽管理策略,对不同岗位的员工、不同网络应用划分带宽通道,并设定优先级,合理利用有限的带宽资源,节省投入成本。
信息内容审计:制定全面的信息收发监控策略,有效控制关键信息的传播范围,以及避免可能引起的法律风险。
上网行为分析:可以实时了解、统计、分析互联网使用状况,并根据分析结果对管理策略做调整和优化。
日志管理:可以查看到内网用户所访问过的域名,可以实时了解内网用户的上网行为。
4.桌面管理系统
桌面管理系统核心目标是为企业级用户提供全面的计算机设备管理手段,监控企业内IT环境的变化,保障计算机设备正常运行,大幅度降低维护成本。在此基础上提供详尽的统计报表输出,综合反映软硬件信息变动、当前配置等,帮助企业用户管理好计算机设备。
5.数据安全管理
制造企业的主要的技术成果是设计方案,但又需要在整个企业内部甚至是在企业外部使用。因此数据在要求保密的同时,也需要在内部进行共享并可根据需求控制使用权限,还不能增加管理的难度和操作的复杂化。在与企业外部合作时,还需要有安全的文件外发保护。因此,企业需对建立完善的数据加密策略:
透明加密:透明加密时用户只要有写磁盘的操作,文件就自动进行了加密。节省了用户手动进行加解密操作的时间,但并不控制文件的传播共享,不影响文件打开的时间,也不受文件大小的限制。文件在制作过程和传输过程中始终是密文。操作面向用户全透明的方式,让用户*在正常的工作中不知不觉地享受安全。同时,解密也是透明的,只要在一定环境中,密文在不需要输入密码的前提下,能够自动解密。
强制加密:根据制造企业的特点,具有自主知识产权的技术资料和图纸、图片甚多,加密软件对的机器进行强制加密是非常有必要的,如果操作者能够有选择地进行加密,加密软件便形同虚设。
应用灵活:企业加密需求是不断变化的。会随着应用程序的升级、文件格式的变化、使用范围的变化而变化。这就需要加密软件对应用环境的变化能灵活地设置受保护的文件格式和受关联的应用程序。
保障安全:企业要求实现内部无障碍共享,对加密软件来说,必然要求采用通用的密钥,密钥管理异常重要,一旦密钥外泄,对企业的打击将非常致命。因此,对文件加密系统要求必须考虑全文加密和高强度的加密算法。
方便外发:制造企业对数据加密系统还要求能方便地对外交流。由于涉密文件在企业内部都被自动强制进行了加密,对外正常交流时必须能够方便、及时。同时,能够设置外发文件的打开方式、阅览时间和阅读的次数等。
日志审计:根据BS7799安全规范,一个系统zui重要的部分是其审计跟踪能力,这是系统安全性的一部分。通过审计功能,管理员可以监督、跟踪所有用户的全部操作,查看系统的使用情况,实现zui高的系统安全。根据日志信息的具体设置,可以设定不同的日志内容。从庞大的日志数据中抽取有用的信息,对用户操作进行分类整理,自动生成相应的审计报告。通过研究日志报告,对于已发生的泄密事件可以回溯历史活动,从而发现泄密渠道。
因此,制造企业多采用透明加密系统进行核心数据加密。透明加密的部署较为简单,在管理端安装一个引擎驱动,用于管理以及建立密钥等。被加密电脑安装工作站,然后就开始根据你管理端设置的规则自动加密了,剩余的只是对管理过程(比如*、加密规则等)。
下一篇:电磁参量测量与分析仪表领域技术
全年征稿/资讯合作
联系邮箱:1271141964@qq.com
- 凡本网注明"来源:智能制造网"的所有作品,版权均属于智能制造网,转载请必须注明智能制造网,https://www.gkzhan.com。违反者本网将追究相关法律责任。
- 企业发布的公司新闻、技术文章、资料下载等内容,如涉及侵权、违规遭投诉的,一律由发布企业自行承担责任,本网有权删除内容并追溯责任。
- 本网转载并注明自其它来源的作品,目的在于传递更多信息,并不代表本网赞同其观点或证实其内容的真实性,不承担此类作品侵权行为的直接责任及连带责任。其他媒体、网站或个人从本网转载时,必须保留本网注明的作品来源,并自负版权等法律责任。
- 如涉及作品内容、版权等问题,请在作品发表之日起一周内与本网联系,否则视为放弃相关权利。
