1.酸洗冷连轧一层网络中,工程师站、实际值处理服务器、过程数据采集服务器、实时数据采集站、HMI服务器、西门子工艺传动控制操作站等部署可信计算安全产品,解决工控系统终端病毒感染、恶意代码进程启动、操作系统内核漏洞、USB误用滥用等安全隐患,从根本上实现了对各种不安全因素的主动护。
2.自动化控制器和工程师站之间部署工业防火墙,防护隔离来自工程师站风险。
3酸洗冷连轧自动化建设中没有考虑到安全防护的问题,根据自动化施工图所示,L1级设备和L2级设备都混杂连接到交换机上,使得L1级设备和L2级设备无法有条理的梳理,造成各个功能区不能有效的隔离。建议增加L1级交换机,把一个工艺段所有的PLC设备连接到专属的了L1级交换机上,在交换机上联的出口部署Guard工业防火墙,隔离L1级系统和L2级系统。L2级系统上联二层网络出口(172.17.32.13)部署Guard工业防火墙,隔离一层网络和二层网络。
酸洗工艺交换机(172.17.32.14)出口部署工业防火墙,隔离酸洗和冷轧两套系统。
4.第三方系统德国米巴赫公司,冷轧厂激光焊机操作站部署工业防火墙,短信管理平台部署可信计算平台。隔离西门子自动化系统和第三方系统。
5.Cisco switch 3550-24EMI和Cisco switch 2960-S(新增设备)交换机上部署工控审计与异常监测
包括功能如下:
? 网络数据流量监测;
? 网络异常数据报警及追溯;
? 操作记录及协议深度分析;(需要双方配合)
? 信息窃取报警(通过网络的文件或数据非法访问及传输);
? 未知设备接入;
6.建议在二层网络中部署安全管理平台
安全管理平台接收来自工业网络防火墙和可信终端的报警及日志。安全管理平台具有工控网络行为审计记录的智能分析的功能,具备强大的审计日志存储查询功能,可以对海量的审计数据进行实时监控和网络行为态势分析,使系统安全运维人员能够通过实时日志展示画面随时监控正在发生的不同级别审计日志和报警信息,也可以通过安全管理平台的条件查询、统计、筛选、图表展示和态势分析算法模型等强大的功能迅速得出网络健康状况,最终自动获得详细的统计分析报告和事件处置方式建议,实现系统安全运维管理的实时性、完整性、自动化、智能化。
安全管理平台针对工控网络行为进行监控和与智能安全分析,监控平台以底层工业防火墙、工控可信计算安全平台以及其他网络设备为探针,针对内置的“工业控制网络通讯行为模型库”核心模块,能及时检测工业网络中出现的工业攻击、蠕虫病毒及非法入侵、设备异常等情况,并对危及系统网络安全的因素做出智能预警分析,为管理者提供决策支持,以总览大局的方式为工业网络信息安全故障的及时排查、分析提供可靠地依据。
如以下拓扑图所示: