工厂车间内部系统和终端设备安全防护措施.PDFVIP

工厂车间内部系统及终端设备的安全防护措施 近年来 ，国内外一系列信息安全事件引发了民众乃至国家高层的广泛重视， 棱镜门事件、华为服务器入侵事件等 ，这表明在信息化时代 ，占据信息技术的制 高点将很大程度决定并影响一个国家的战略实施。而对于制造企业而言 ，生产车 间作为底层基础 ，对于安全防护的工作包含了更多工业 “标签”。目前对于车间 信息安全 ，目前还没有一个公认、统一的定义 ，但是目前对于信息安全 ，已经有 较为统一的认识。信息安全是指信息网络的硬件、软件及其系统中的数据受到保 护 ，不受偶然的或者恶意的原因而遭到破坏、更改、泄露 ，系统连续可靠正常地 运行 ，信息服务不中断。信息安全主要包括以下五方面的内容 ，即需保证信息的 保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。其根本目的就是 使内部信息不受外部威胁 ，因此信息通常要加密。为保障信息安全 ，要求有信息 源认证、访问控制，不能有非法软件驻留，不能有非法操作。 车间的信息安全就是应该对工厂车间内部的系统及终端设备进行安全防 护。根据工厂内部所涉及的终端设备及系统 ，可分为工业以太网、数据采集与监 控（SCADA）、分布式控制系统（DCS）、过程控制系统（PCS）、可编程逻 辑控制器（PLC）等网络设备及工业控制系统的运行安全 ，确保工业以太网及工 业系统不被未经授权的访问、使用、泄露、中断、修改和破坏 ，为企业正常生产 提供信息服务。 1.CPS层网络防护 对于CPS层而言，可通过设置防火墙将车间底层网络和Internet网分开， 从而保护底层网络免受非法用户的侵入。入侵者必须首先穿越防火墙的安全防 线，才能接触目标计算机。通过此层的防御，可以过滤掉绝大多数的网络攻击。 此外 ，可通过安全网关提供从协议级过滤到应用级过滤。入侵者如果成功穿越防 火墙后 ，想进入更加核心的区域 ，那么就必须花费更多的时间及精力来进行攻击。 最后 ，为了有效的对网络环境进行监控 ，在靠近终端设备处同时部署IDS或IPS 系统的探测器。IDS是IntrusionDetectionSystem的缩写 ，即入侵检测系统 ， 主要用于检测病毒和网络异常通信 ，以便网络管理员采取相应措施。IDS入侵检 测系统能够察觉黑客的入侵行为并且进行记录和处理。由于当病毒爆发时，会占 用大量的工业以太网络带宽 ，使任务实时性执行出现闯题 ，IDS入侵检测系统能 够及时检测出这种非法的占用 ，记录下病毒发出的连接 ，向上层管理计算机发出 警告 ，同时它不影响整体网络的运行性能，非常适合工业以太网的网络特点。IPS 则能够快速终结 DDOS、未知的蠕虫、异常应用程序流量攻击所造成的网络阻 塞 ，实现对工业以太网的防护 ，同时它能保护防火墙和核心交换机等网络设备免 遭入侵和攻击。IPS会在此类网络攻击扩散到网络的其它地方之前阻止这个恶意 的通信 ，在网络中起到防御的作用。IPS将检查入网的数据包 ，确定这种数据包 的真正用途 ，然后决定是否允许这种数据包进入你的网络。这种技术从源头控制 了对工业以太网的恶意攻击。 2.内、外网物理隔离 目前大部分企业已安装防火墙，然而随着信息化技术发展，外部网路接入 是黑客病毒、木马、恶意代码传播的主要途径之一，实施内、外网的物理分离 ， 可以彻底杜绝公私混用的状态 ，实现内网安全、网络管理、网络维护三位一体的 立体化管理。 内外网物理隔离功能表 实施方式： （1）对网络进行区域划分 ，分为信息内网和信息外网 ，二者与互联网之间 均采用防火墙进行逻辑隔离。信息内网可根据需要进行进一步区域划分。 （2）通过硬盘隔离卡及双布线系统、双网络设备实现办公内网与外网隔离。 统一企业集团全集团互联网出口，并对互联网出口统一进行权限管理。 （3）部署Internet审计系统 ，采用虚拟化技术与VPN系统结合提升移动 办公应用的安全性和效率。 （4 ）全面部署终端安全网络准入系统，对接入内网的电脑进行健康检查， 防止非注册电脑接入企业引起泄密 ，以及带病毒木马的外来电脑引起企业网络瘫 痪。 （5）全面部署内网安全系统 ，对移动存储介质进行注册管理、重要文件进 行加密存储等。 3.上网行为管理 上网行为管理是指帮助互联网用户控制和管理对互联网的使用，包括对网 页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。 图4- 5上网行为管理系统网络拓扑图 上网行为管理系统功能如下：