基于行为基线的某钢铁行业工业控制系统信息安全解决方案查看源代码讨论查看历史

来自 搜狐网 的图片

基于行为基线的某钢铁行业工业控制系统信息安全解决方案在早期，由于信息化发展水平有限，工业控制系统与信息管理层基本上处于隔离状态。因此，企业的信息化建设首先从信息层开始，经过10多年的建设积累，信息层的信息化建设已经有了较好的基础，涉及到了钢铁、勘探、加工、炼化、化工、储运等诸多工业领域，企业在管理层的指挥、协调和监控能力都有很大提升，提高了生产信息上传下达的实时性、完整性和一致性，相应的网络安全防护也有了较大提高。在信息管理层面，企业在生产领域大量引入IT技术^[1]，同时也包括各种如防火墙、IDS、VPN、防病毒等IT网络安全技术，这些技术主要面向商用网络应用层面，技术应用方面也相对成熟。

关键词：访问控制；行为监测；白名单；行为基线；钢铁；工业控制系统；信息安全

案例背景介绍

1 设计背景

钢铁行业是自动化普及度较高的行业之一，同时也是对工业控制系统的稳定性和控制策略复杂性要求很高的行业。系统一旦出现故障，不仅造成巨大的经济损失和能源安全冲击，还会造成人身安全影响。因此对控制层的网络安全^[2]重视程度最高。

河北某钢铁自动化建设相对完善，但对于其控制系统网络仍处于空白部分，本设计在分析工业控制中心信息安全需求的基础上，通过部署信息安全设备，对工业控制中心信息安全建设提供合理依据。

1.1 设计范围

本设计针对XX钢铁轧钢产线及炼钢产线控制环境信息安全进行设计，按IEC62443的层级划分结构，本设计旨在对L1-L3层级信息安全进行设计。

1.2 设计原则

（1）技术可行性原则

设计过程中采用可落地的信息安全技术应用，确保选择的信息安全手段可发挥既定的作用。

（2）生产可用性优先原则

设计过程需要建立在生产流程的基础上，除非必须场景外，在L1.5层级不采用阻断类的管控手段，从而保障生产过程不受信息安全策略的影响，确保不会造成二次安全威胁。

（3）经济性原则

设计过程中需考虑经济的有效利用，合理应用技术手段，避免资源浪费。

（4）合规性原则

设计过程需依照《工业信息安全防护指南》、《等保2.0工业扩展部分》等国家标准，确保建设过程符合国家相关要求；同时也需参照《IEC62443》《SP800-82》等国际领先标准，依照相关信息安全标准，确保设计的合理性。

（5）生命周期延续原则

设计采用成熟稳定的主流技术手段，保障在业务生命周期内的信息安全防护，在保障期间内，应用技术不处于落后淘汰范围。

参考文献