智能工厂工控系统网络安全等级保护建设方案V1.0.docxVIP

工控安全解决方案 PAGE PAGE45 / NUMPAGES46 智能工厂工控系统网络安全等级保护建设方案 北京天融信网络安全技术有限公司 2023年2月 概述 背景 回顾过去二十余年，各行业的信息化程度不断加深，IT信息系统的复杂度与开放度随之提升。而在随着“工业4.0”、“工业互联网”以及我国提出的“中国制造2025”战略之后。放眼望去，在全球范围内的信息化与工业化之间出现了不断的交叉与融合的发展趋势，对于工业领域中不断应用信息化技术而言，对于国家层面以及企业自身的效益层面都具有着至关重要的战略意义。 近年来，随着信息化与工业化的深度融合，无论从安全意识还是安全措施方面，仍然停留在传统工业时代，认为“隔离和专有”足以保障信息安全。这种认知，导致信息安全问题险象环生。也给企业的工业控制系统带来了工控信息安全的风险和隐患。诸如生产工业控制系统的生产工艺易受到非法入侵、木马病毒攻击、非授权访问、关键生产核心数据被窃取甚至破坏生产设备等恶意行为，可能会造成生产线的瘫痪，涉密数据被破坏或窃取等威胁，造成生产安全事故等。所以保障工控安全的同时，办公网的防护也是我们的目标。 天融信公司作为国内信息安全行业的领导企业，为多家用户完成定级、评估和整改工作，积累了大量丰富的等级保护建设经验。本方案根据《信息安全技术GB/T 22239-2019 网络安全等级保护基本要求》，结合天融信公司等级保护建设经验，针对智能工厂工控系统信息安全现状和业务特点，提出了本次办公网和生产网的等级保护建设方案。 目标 根据智能工厂工控系统的现状和将来的应用需求，并结合国家关于等级保护的通用要求和工控安全要求，采用现代化信息安全保护技术，制定针对性的技术方案与管理方案，为北方华创智能工厂信息系统的等级化安全体系建设提供参考和实施的依据。本文将主要阐述和针对智能工厂信息系统建设和信息安全体系的规划设计。 主要内容是智能工厂信息系统的总体信息安全体系建设，完善传统网络和工业控制系统的基础安全防护架构，开展信息系统等保工作，符合行业等级保护基本要求。 安全建设思路 等级保护建设流程 本方案从技术部分进行安全建设，技术部分根据《网络安全等级保护基本要求》分为安全通信网络、安全区域边界、安全计算环境、安全管理中心四个方面进行建设，建设面对对象则是办公和生产两张网络。 整个安全保障体系各部分既有机结合，又相互支撑。之间的关系可以理解为“构建安全管理机构，制定完善的安全管理制度及安全策略，由相关人员，利用技术工手段及相关工具，进行信息系统建设和运行维护。” 根据等级化安全保障体系的设计思路，等级保护的设计与实施通过以下步骤进行： 1. 信息系统识别与定级：确定保护对象，通过分析信息系统所属类型、所属信息类别、服务范围以及业务对信息系统的依赖程度确定信息系统的等级。通过此步骤充分了解信息系统状况，包括信息系统业务流程和功能模块，以及确定信息系统的等级，为下一步安全域设计、安全保障体系框架设计、安全要求选择以及安全措施选择提供依据。 2. 安全域设计：根据第一步的结果，通过分析信息系统业务流程、功能模块，根据安全域划分原则设计信息系统安全域架构。通过安全域设计将信息系统分解为多个层次，为下一步安全保障体系框架设计提供基础框架。 3. 确定安全域安全要求：参照国家相关等级保护安全要求，设计不同安全域的安全要求。通过安全域适用安全等级选择方法确定信息系统各区域等级，明确各安全域所需采用的安全指标。 4. 评估现状：根据各等级的安全要求确定各等级的评估内容，根据国家相关风险评估方法，对信息系统各层次安全域进行有针对性的等级风险评估。并找出信息系统安全现状与等级要求的差距，形成完整准确的按需防御的安全需求。通过等级风险评估，可以明确各层次安全域相应等级的安全差距，为下一步安全技术解决方案设计和安全管理建设提供依据。 5. 安全保障体系方案设计：根据安全域框架，设计信息系统各个层次的安全保障体系框架以及具体方案。包括：各层次的安全保障体系框架形成信息系统整体的安全保障体系框架；详细安全技术设计、安全管理设计。 6. 安全建设：根据方案设计内容逐步进行安全建设，满足方案设计做要符合的安全需求，满足等级保护相应等级的基本要求，实现按需防御。 通过如上步骤，信息系统可以形成整体的等级化的安全保障体系，同时根据安全术建设和安全管理建设，保障信息系统整体的安全。而应该特别注意的是：等级保护不是一个项目，它应该是一个不断循环的过程，所以通过整个安全项目、安全服务的实施，来保证用户等级保护的建设能够持续的运行，能够使整个信息系统随着环境的变化达到持续的安全。 本方案设计的安全保障方案仅涉及技术部分。 法律依据 1994年《中华人民共和国计算机信息系统安全保护条例》（国务院令第147号）第九条明确