基於行為基線的某鋼鐵行業工業控制系統信息安全解決方案檢視原始碼討論檢視歷史

來自 搜狐網 的圖片

基於行為基線的某鋼鐵行業工業控制系統信息安全解決方案在早期，由於信息化發展水平有限，工業控制系統與信息管理層基本上處於隔離狀態。因此，企業的信息化建設首先從信息層開始，經過10多年的建設積累，信息層的信息化建設已經有了較好的基礎，涉及到了鋼鐵、勘探、加工、煉化、化工、儲運等諸多工業領域，企業在管理層的指揮、協調和監控能力都有很大提升，提高了生產信息上傳下達的實時性、完整性和一致性，相應的網絡安全防護也有了較大提高。在信息管理層面，企業在生產領域大量引入IT技術^[1]，同時也包括各種如防火牆、IDS、VPN、防病毒等IT網絡安全技術，這些技術主要面向商用網絡應用層面，技術應用方面也相對成熟。

關鍵詞：訪問控制；行為監測；白名單；行為基線；鋼鐵；工業控制系統；信息安全

案例背景介紹

1 設計背景

鋼鐵行業是自動化普及度較高的行業之一，同時也是對工業控制系統的穩定性和控制策略複雜性要求很高的行業。系統一旦出現故障，不僅造成巨大的經濟損失和能源安全衝擊，還會造成人身安全影響。因此對控制層的網絡安全^[2]重視程度最高。

河北某鋼鐵自動化建設相對完善，但對於其控制系統網絡仍處於空白部分，本設計在分析工業控制中心信息安全需求的基礎上，通過部署信息安全設備，對工業控制中心信息安全建設提供合理依據。

1.1 設計範圍

本設計針對XX鋼鐵軋鋼產線及煉鋼產線控制環境信息安全進行設計，按IEC62443的層級劃分結構，本設計旨在對L1-L3層級信息安全進行設計。

1.2 設計原則

（1）技術可行性原則

設計過程中採用可落地的信息安全技術應用，確保選擇的信息安全手段可發揮既定的作用。

（2）生產可用性優先原則

設計過程需要建立在生產流程的基礎上，除非必須場景外，在L1.5層級不採用阻斷類的管控手段，從而保障生產過程不受信息安全策略的影響，確保不會造成二次安全威脅。

（3）經濟性原則

設計過程中需考慮經濟的有效利用，合理應用技術手段，避免資源浪費。

（4）合規性原則

設計過程需依照《工業信息安全防護指南》、《等保2.0工業擴展部分》等國家標準，確保建設過程符合國家相關要求；同時也需參照《IEC62443》《SP800-82》等國際領先標準，依照相關信息安全標準，確保設計的合理性。

（5）生命周期延續原則

設計採用成熟穩定的主流技術手段，保障在業務生命周期內的信息安全防護，在保障期間內，應用技術不處於落後淘汰範圍。

參考文獻