e-works数字化企业网  »  文章频道  »  基础信息化  »  网络与安全

工控系统安全在汽车生产制造领域的应用

2017/11/23    来源:e-works    作者:中国网安      
关键字:工控系统安全  汽车生产制造  中国网安  
随着中国汽车行业的发展,汽车的生产规模迅速扩大,使得总线技术、PLC、变频器、数控、机器人等自动化技术与设备在汽车制造行业得到越来越广泛的应用。随后,国内汽车行业用户通过不断引进和改造大批数控设备、加工中心,形成加工中心柔性生产线,为汽车产品的快速更新换代奠定了设备技术基础。
    一、现状与问题
 
    随着中国汽车行业的发展,汽车的生产规模迅速扩大,使得总线技术、PLC、变频器、数控、机器人等自动化技术与设备在汽车制造行业得到越来越广泛的应用。随后,国内汽车行业用户通过不断引进和改造大批数控设备、加工中心,形成加工中心柔性生产线,为汽车产品的快速更新换代奠定了设备技术基础。
 
    目前,汽车行业生产系统主要由生产设备、控制设备、监控设备和调度设备组成。具体包含了MES、工程师站、操作员站、PLC以及变频器、传感器和执行器等。
 
    从网络分层情况来看,该企业生产系统主要分为总线网、工业太以太网和传统以太网。如下图所示:
 
工控系统安全在汽车生产制造领域的应用
 
    1、工艺安全现状
 
    目前,该企业生产线分为冲压、焊装、涂装和装配四大工艺。其工艺过程为:冲压、焊装、涂装和总装。由于自动化技术的高度发达,使得生产线更加智能,生产工艺大部分通过计算机来控制,工艺更加的精确,效率更高。然而,自动化技术发达的同时也带来了一些安全的隐患,计算机控制下的生产工艺易收到外界诸如入侵者、恶意代码、误操作等行为的影响,可能造成控制器的性能受影响,或瘫痪,也可能造成控制策略混乱或输出错误,从而造成生产安全故障。
 
    2、信息安全现状
 
    目前,大部分工控系统由于开发时间较早,且未考虑系统所需安全防护方案。随着工业控制系统的发展,越来越多的生产企业使用通用工业协议和软件,信息化和控制网两网融合的进一步推进,工控系统安全问题越来越突出,主要包含以下几个方面:
 
    (1) 控制网边界无防护措施。
 
    控制网边界无防护措施,来自互联网或信息化网络的威胁易造成控制系统故障或瘫痪。
 
    (2) PLC核心设备无防护措施。
 
    PLC等核心设备无防护措施,操作站、工程师站下达的非正常操作指令,易造成生产设备故障或产品质量问题。
 
    (3) 控制系统无病毒防护措施
 
    控制系统缺乏有效的恶意代码防护机制,一旦发生病毒,就会迅速传播,造成大面积感染,生产安全没有保障。
 
    (4) 网络安全事件无法追踪
 
    对设备非法接入、非授权访问、误操作等安全事件无法监视记录和分析,造成网络安全事件无法快速定位和追溯。
 
    二、需求分析
 
    为了解决汽车行业存在的工控信息安全问题,确保生产工艺准确实施,保障汽车企业生产设备安全和产品质量,提出以下需求:
 
    (1) 控制系统分区分域
 
    对控制系统分区分域管理,通过在关键通道上部署隔离设备,为控制系统和关键生产设备创造了一个相对独立的运行环境。
 
    (2) 通信行为可控
 
    对控制网络而言仅需要保证专有协议数据、生产指令通过即可,对其它通讯一律禁止,创造一个私有通信网络环境。
 
    (3) 事件报警追踪
 
    能及时发现网络中存在的感染及其它问题,发现非法操作和协议,准确找到故障的发生点,把网络安全问题消灭在萌芽中,同时通过对报警事件记录存储,为已发生过的安全事件提供分析依据。
 
    三、解决方案
 
    为了防止该企业工业控制系统在生产过程中遭受非授权访问、误操作以及恶意代码的影响,保障生产安全,我们在本方案中引进中国网安“监”、“评”、“防”、“融”安全防护理念。
 
    “监”、“评”、“防”、“融”工控信息安全防护体系的引入,强调立足工业用户的实际需求,结合工控系统信息安全的现状,以及国家、行业、地方的标准,从关键工艺着手,评估存在的漏洞隐患,分析隐患可能导致的风险后果,将确保控制系统的稳定性视为基础核心要素,对控制系统进行高效安全“加固”。
 
    方案设计具体如下:
 
    (1)区域边界防护
 
    在信息化网络和控制网之间部署工业防火墙,紧允许OPC协议通过,过滤恶意代码及其他通信行为。
 
    (2)关键设备防护
 
    在PLC、操作站前端部署工业防火墙,仅允许正常协议、操作指令通过,过滤其他通信行为和恶意代码。
 
    (3)监视预警
 
    在控制网内部部署工控信息安全监控系统,通过控制网内交换机镜像端口连接至一台监控引擎,在由引擎通过交换机连接到监控中心。引擎负责数据采集、分析、上传报警信息,监控中心管理引擎、接收报警信息和展示。
 
    产品特点如下:
 
    (1)产品自主可控
 
    中国网安工业防火墙和工控信息安全监控系统是中国网安采用国际上先进的网络安全技术,吸取广大用户的宝贵经验,针对工控网络安全的具体应用环境独自开发的安全产品。
 
    (2)实时的监控预警能力
 
    中国网安工控信息安全监控系统强有力的集中监控体系提供给管理员统筹全局的能力,配合高效率的监控引擎,管理员可以在最短时间内对于报警日志进行快速反应。
 
    (3)强大的安全防护能力
 
    在中国网安工业防火墙中使用了动态过滤技术,根据实际应用的需要,为合法的访问连接动态地打开其所需要的端口,在访问结束时自动地将打开的端口关闭。支持数据包深度检查,针对工艺特性设置安全防护策略,为工业控信息安全提供工业级隔离防护解决方案。
 
    (4)产品适应型强
 
    支持OPC、Modbus、DNP3.0、IEC104 等50多种工控协议的监测解析,采用全封闭无风扇的方案,全金属外壳,适应工控环境中多尘、潮湿、温度变化剧烈、电磁环境恶劣等特殊情况,支持宽温。
 
    (5)部署灵活
 
    中国网安工控信息安全监控系统能够灵活部署在工控网络中的任意节点,并且不对网络拓扑、应用服务、运营性能造成任何影响,监控中心支持任意多级部署和分布式部署。
 
    四、部署示意图
 
 
部署示意图
 
    五、方案收益
 
    及时有效的防范了可能突发病毒感染、误操作和恶意入侵行为,使得生产系统信息安全得以保障,有效的避免了因非授权行为带来生产装置停车导致生产事故等诸多隐患问题,确保生产系统能够安全、稳定、高效的运行。
 
责任编辑:李欢
本文为e-works原创投稿文章,未经e-works书面许可,任何人不得复制、转载、摘编等任何方式进行使用。如已是e-works授权合作伙伴,应在授权范围内使用。e-works内容合作伙伴申请热线:editor@e-works.net.cn tel:027-87592219/20/21。
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐