buyup集運
>

應用設計

>

方案 | 鋼鐵冶煉行業“橫向分層,縱向隔離”網絡安全解決方案

方案 | 鋼鐵冶煉行業“橫向分層,縱向隔離”網絡安全解決方案

一、工控網絡安全的重要性

重磅解讀《關鍵信息基礎設施安全保護條例》

2021年8月17日,中華人民共和國國務院總理李克強簽署國務院令,公佈《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》)暨國令第745號令。國家對關鍵信息基礎設施實行重點保護,採取措施,監測、防禦、處置來源於中華人民共和國境內外的網絡安全風險和威脅,保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞,依法懲治危害關鍵信息基礎設施安全的違法犯罪活動,條例自2021年9月1日起施行。

在《網絡安全法》第三章“網絡運行安全”中,以“關鍵信息基礎設施的運行安全”對關鍵信息基礎設施安全保護的基本要求、職責分工履行義務和採取措施等方面作了基本法層面的總體制度安排,此次正式發佈的《關鍵信息基礎設施安全保護條例》以《中華人民共和國網絡安全法》為依據,將與GB/T22239-2019《信息安全技術網絡安全等級保護基本要求》一起,結合其他已頒佈的法規條例等,構成我國網絡安全防護工作的基本法律和法規基礎和理論依據。

《關鍵信息基礎設施安全保護條例》共6章51條,分別從關鍵信息基礎設施的範圍及認定、運營者責任義務、保障和促進、法律責任等方面給出了明確的指導和要求,要求關鍵信息基礎設施相關企業建立健全網絡安全保護制度和責任制,制定網絡安全應急預案,開展網絡安全監測、檢測和風險評估工作,採取安全保護措施應當與關鍵信息基礎設施同步規劃、同步建設、同步使用,違反本條例規定將會受到行政處罰、判處罰金甚至要承擔刑事責任。

二、網絡安全建設原則和範圍 

鍊鐵生產線在一級網絡、二級網絡、三級網絡所有和工業控制系統相關的系統、網絡和設備。鍊鐵生產線工控安全防護設計,實施過程中建立深度防禦體系,實現鍊鐵網的縱向隔離、計算機環境防護、網絡邊界隔離、通信網絡、用户和數據進行全面控制。

三、項目網絡安全問題和隱患分析

網絡現狀分析

image.png

鍊鐵系統中包含四個獨立的局域網,四個獨立的局域網上連至匯聚交換機,管理服務器直連到匯聚交換機,從而實現管理服務器和四個局域網互通,管理服務器與四個局域網內的所有PLC實現數據交換。

網絡延遲問題

4個獨立的局域網上連至同一台匯聚交換機,四個獨立的局域網沒有進行VLAN劃分,四個局域網都進行二層轉發,從而導致四個原本獨立的局域網之間形成通路,四個局域網合為同一個網絡,網絡的擴展,造成了同一個局域網內終端設備的過多,導致廣播封包的激增,造成整體網絡擁擠,網絡速率降低。

 網絡內終端設備過多,管理服務器接收過多的廣播報文,導致管理服務器網絡延遲高。局域網內前端設備的過多也導致整體網絡的帶寬需求增加,從而降低了整體網絡的速率。

網絡安全問題

穩定性:四個獨立的局域網通過一台匯聚交換機打通後,任意一個局域網內出現網絡風暴都會導致整體網絡的風暴,整體網絡將無法通訊,對生產線造成影響;

安全性:網絡的無障礙互通會導致整體網絡過於脆弱,任何一點的病毒侵入都會導致整體網絡的所有設備受病毒感染,從而對生產線造成不可估量的威脅及影響;

實用性:局域網內終端設備過多會導致廣播報文的激增,後台管理服務器收到過多的廣播報文會佔用網絡帶寬,從而使後台服務器的網速下降,顯示數據的延遲增高。前端設備過多也會導致服務器的資源被佔用,從而降低網絡的實用性。

邊界風險

鋼鐵的生產自動化程度和管理信息化程度都非常高,從生產線的第一、二級基本混在一起、第二級和第三級之間無防護措施,如果病毒從管理網侵入二級網絡後,就可以長驅直入到生產現場,甚至直接攻擊到PLC。

鍊鐵生產過程中存在遠程訪問需求,需要系統集成商對系統進行調試,鍊鐵網絡中的調試電腦為雙網卡配置,一個網卡連接工控網內部,另一個網卡連接外網或其他網絡,通過遠程連接的方式訪問內網中的服務器,並調試現場設備,調試電腦與服務器、控制設備等之間沒有安全防護,一旦病毒感染,利用控制設備漏洞,將導致現場設備異常運行。

四、鍊鐵系統建設方案

方案思路

image.png

保持原有網絡拓撲的基礎上,增加1台工業防火牆,工業防火牆位於前端網絡與匯聚交換機之間,實現四路數據的縱向隔離,對工業防火牆進行ACL策略配置實現生產網與控制網的橫向隔離,做到只有PLC被允許的數據上傳至管理服務器,陌生的數據報文攔截至工業防火牆之前,上端同理只有被防火牆允許的數據通過防火牆進入生產網,不被允許的數據報文攔截至防火牆之前。

統一監管平台部署於匯聚交換機旁路,實現對防火牆的統一監管和配置,並且將通過防火牆的數據詳情記錄在統一監管平台上,實現簡單的日誌審計功能。

方案依據

以“分區分域、整體保護 、積極預防、動態管理”為總體策略,圍繞“縱深防禦+白環境”,打造工業控制系統安全技術體系。

 ● 以風險為核心,先了解風險,再分步規劃實施;

 ● 網絡區域劃分,縱向分區,橫向分域;

 ● 技術,管理雙管齊下;

 ● 縱深防禦,適度防護;

 ● 白環境;

 ● 集中管控、監測預警。

image.png

 縱深防禦技術體系

以工業網絡安全“白環境”為核心,建立自主可控、安全可靠的工控安全整體防護體系。

 ● 只有可信任的設備,才允許接入

 ● 只有可信任的消息,才允許傳輸

 ● 只有可信任的程序,才允許執行

image.png

白環境解決方案

1.建立工控邊界隔離“白環境”

建立生產監控層與生產控制層(或辦公網與生產網)的合法流量模型,梳理邊界流量白名單,只放行業務相關流量,所有異常流量均阻斷,避免傳統防病毒網關或IPS需要頻繁升級特徵庫的窘境。

image.png

邊界“白環境”

五、參考標準

安全建設參考標準

 ● 工信部信軟〔2016〕338號《工業控制系統信息安全防護指南》

 ● GB 17859-1999 《計算機信息系統安全保護等級劃分準則》

 ● GB/T 22240-2008 《信息安全技術 信息系統安全保護等級定級指南》

 ● GB/T 22239-2008 《信息安全技術 信息系統安全等級保護基本要求》

 ● GB/T 20269—2006 《信息安全技術 信息系統安全管理要求》

 ● GBT22239-2019 《信息安全技術網絡安全等級保護基本要求》

安全評估參考標準

 ● 工信部信軟[2017]188號《工業控制系統信息安全防護評估管理辦法》

 ● GB/T 20984—2007《信息安全技術 信息安全風險評估規範》

 ● GB/T30976.1-2014 《工業控制系統信息安全第1部分:評估規範》

 ● GBT22239-2019 《信息安全技術網絡安全等級保護基本要求》

審核編輯(
王靜
)
投訴建議

評論

查看更多評論
其他資訊

查看更多

恩創 分享 | 現場網絡方面常見的問題

乾貨 | 什麼是igmp snooping協議?

恩創 分享|概述POE標準供電協議802.3af/at/bf

恩創---IPV6協議

案例 | 恩創交換機在天府機場GTC中的應用