边界无线网络安全

工业企业信息系统安全技术指引2014-09-01发布2014-09-01实施工业企业信息系统安全技术指引-2-前言本指引由工业控制系统信息安全产业联盟提出.
本指引主要起草单位:北京启明星辰信息安全技术有限公司、北京网御星云信息技术有限公司.
本指引主要起草人:张晔.
工业企业信息系统安全技术指引-3-引言随着工业化与信息化的发展,"两化"的融合不断深入,在工业企业中,MES(制造执行系统)使IT系统与工业系统的应用不断融合,工业以太网使生产控制系统与过程控制系统不断的融合.
因此,传统IT系统面临的威胁,不断的延伸到工业控制系统中.
来自互联网或内网的安全威胁,无论影响到管理网还是生产网,都会对工业控制系统造成影响.
工业企业的生产系统中包含着大量的商业秘密,这些商业秘密,既有生产中涉及到的工艺配方,也有涉及到生产结果的数据.
如何避免企业的商业秘密不通过工业企业泄漏出去是企业面临的新课题.
为此,我们依据国家的有关政策文件,借鉴国内外的先进经验,结合企业中有关工业企业的实际情况,制定本技术指引,以规范工业企业信息系统安全建设,提高工业企业信息系统安全保障水平.
工业企业信息系统安全技术指引-4-一、范围本指引用于规范企业中工业企业的信息系统安全建设,也包括工业控制系统安全建设.
二、指引制定依据标准A.
《关于加强工业控制系统信息安全管理的通知》工信部协[2011]451号B.
《中央企业商业秘密信息系统安全技术指引》﹝2012﹞C.
《中央企业商业秘密保护暂行规定》(国资发﹝2010﹞41号)D.
《信息系统安全等级保护基本要求》GB/T22239—2008E.
《涉及国家秘密的信息系统分级保护技术要求》BMB17三、术语与定义A.
网络边界:是指网络或区域之间的边界,本规范中包括互联网边界、内联网边界、生产网边界、过程网边界、区域边界.
B.
区域:是指管理、设备、地域等属性基本类似的信息系统集合.
本规范中包括管理服务器区域、MES服务器区域、生产服务器区域、经营管理区域、生产管理区域.
C.
经营管理层:主要完成业务经营管理,包括内网办公区域、内网服务器区域、MES服务器区域、核心交换区域.
D.
生产监控层:主要完成对生产的数据采集与监控,包括数据采集与监控系统、历史数据库、实时数据库、工程师站,操作员站等.
E.
生产过程层:实现卷烟生产的自动化设备,包括PLC,PLC以下生产设备,如传感器(变送器)、执行器、控制器等.
F.
生产网:包含生产监控层与生产过程层的网络.
工业企业信息系统安全技术指引-5-G.
管理网:包含经营管理层的网络.
四、工业企业信息系统安全架构划分依据工业企业信息系统的特点,对工业企业信息系统安全保障体系架构进行如下规范:1.
规范三个层次:经营管理层,生产监控层,生产过程层.
2.
规范五个边界:互联网边界,内联网边界,外联网边界、生产网边界,过程网边界.
3.
规范六个服务区域:办公区域,办公服务器区域,MES服务器区域,生产监控区域,监控服务器区域,生产过程区域.
4.
规范三个网络:管理网络,生产网络,过程控制网络.
工业企业信息系统安全架构示意图:五、工业企业信息系统边界防护工业企业商业秘密信息系统安全防护,一方面需要构建完整的信息工业企业信息系统安全技术指引-6-系统安全保障架构,另一个方面需要重点建立边界安全访问防护策略,以避免商业秘密的泄漏.
1.
互联网边界:处于工业企业经营管理网与互联网之间,主要完成内外网安全隔离防护,进行细粒度的访问控制,对上网行为进行审计与管理,过滤恶意代码、进行入侵检测.
同时,对于远程访问和移动互联安全进行管理.
2.
生产网边界:处于生产网与经营管理网之间,主要完成两网之间的安全隔离防护,实现细粒度的访问控制,对两网之间的访问进行审计和入侵检测,同时进行恶意代码过滤.
3.
内联网边界:处于工业企业与其上级单位和下级单位之间的边界,主要完成安全隔离防护、细粒度的访问控制、以及病毒与恶意代码的过滤.
4.
过程控制网边界:处于生产网与过程控制网之间,主要实现工业协议与工控指令的白名单控制,同时对生产网和过程控制网之间的工业协议和异常行为进行分析.
六、工业企业信息系统服务区域安全加固工业企业信息系统的安全加固,主要面向与各区域设备和边界设备.
通过对各服务区域设备加固,构建一个安全的计算环境,实现区域的安全可信.
通过对边界设备的加固,防止数据通过边界设备泄漏,实现边界设备运行的有效性、可控性、准入性.
1.
服务器区域加固:主要实现服务器区域的可信、安全的计算环境,服务器加固包括:主机加固,主机安全基线管理,主机防病,主机工业企业信息系统安全技术指引-7-脆弱性评估,业务系统双因素认证,业务系统权限管理,主机补丁管理.
2.
办公区域加固:主要实现办公区域的可信、安全的计算环境,服务器加固包括:桌面安全管理,终端防病毒,终端双因素身份认证.
3.
核心交换加固:网络中的大多数据通过核心交换区域进行数据流转,要避免数据通过核心交换区域设备泄漏,通过对核心区域的安全加固,实现物理准入控制、网络接口准入控制、运维准入控制.
4.
网络边界加固:边界加固主要避免边界设备被有意或无意的控制,通过边界安全加固,实现物理准入控制、网络接口准入控制、运维准入控制.
七、工业企业信息系统通信网络安全工业企业通信网络分为两个部分,广域网通信与局域网通信.
对于广域网通信,要保证数据传输的安全性;对于局域网通信,要保证网络的准入控制与无线安全.
1.
广域网通信:通过通信网络设备与RTU设备,对数据传输进行加密,保证数据通过广域网的完整性,保密性,可用性.
2.
局域网准入控制:局域网主要防止非可信设备随意接入网络窃取商业秘密数据.
3.
工业无线网络安全:无线网络在工业现场大量的使用,通过无线网络入侵,不仅会对工业生产造成影响,也会对从生产控制服务器窃取商业秘密数据、甚至通过生产网入侵到经营管理网窃取商业秘密数据.
因此,必须实时识别对工业无线网络的入侵,并阻断.
工业企业信息系统安全技术指引-8-八、工业企业信息系统运行与安全监控信息系统安全监控主要对互联网边界、内联网边界、生产网边界、过程网边界、管理服务器区域,MES服务器区域,生产服务器区域,经营管理区域,生产管理区域进行设备可用性监控、网络行为监控、运行状态监控.
1.
设备可用性状态监控:通过采集区域、边界设备、过程控制系统设备的可用性状态参数,如:CPU、内存、磁盘、接口等状态参数,实时监控设备的可用性状态,及时发现设备的可用性事件.
2.
系统运行状态监控:通过采集操作系统、应用系统的运行状态日志,实时监控设备的运行状态,及时发现操作系统与应用系统的运行事件.
3.
网络行为监控:通过对异常行为、运维行为、指令控制行为、数据采集行为、以及异常流量等进行监控,以实现数据的安全.
九、工业企业信息系统安全运维工控企业中的生产控制系统,因其设备一般由多个厂商提供,而生产控制系统中许多监控系统,因其考虑兼容性问题,一般不及时打补丁、不安装杀毒软件,系统非常脆弱.
生产控制系统中任何设备的随意接入,都可能对生产控制系统造成影响;同时,也可能造成生产服务区域商业秘密的泄漏.
因此,必须加强工业企业经营管理系统与生产控制系统的运维维护管理工作:1.
建立符合企业特点的工业控制系统运维管理制度,确定运维管理流工业企业信息系统安全技术指引-9-程与应急管理流程.
2.
建立工业控制系统运维组织,细化日常运维工作,明确工控系统运维工作的职责分工.
3.
严格控制在没有任何安全措施的情况下,将运维笔记本或U盘与工业控制系统的直接连接,以防止运维设备(笔记本电脑、U盘)将病毒、木马、恶意代码带入到工业控制系统.
4.
采取相应的技术措施,对现场运维与远程运维进行全程的审计,对威胁运维指令进行报警.
5.
采取相应的技术措施,对于运维过程中数据的上传与下载进行深度分析,防止商业秘密在运维中泄漏.
6.
对运维过程中使用的配置文件与升级文件,进行有效的病毒查杀和备份管理.
对设备配置文件上传以及设备升级要进行风险评估.