案例概述
某车辆制造集团在国家工信部451号文的指导下高度重视工业控制系统清静�,�,,�,在2012年印发了《工业控制系统信息清静治理步伐(试行)》�。�。�。�。�。�。
下属某公司为提高重大产品的工艺立异能力、缩短产品研制周期、提高市场应变能力一直接纳先进的协同设计与历程控制应用�,�,,�,凭证信息清静同步建设、同步妄想的头脑�,�,,�,需要在使用先进的协同设计与历程控制应用时�,�,,�,从订单、设计、工艺、生产各环节中同步包管其信息清静�。�。�。�。�。�。
作为国家主要的大型装备制造企业�,�,,�,该某公司不但肩负着国家机车车辆制造的使命�,�,,�,为自身创立利润�,�,,�,也为国家的机车车辆走向天下支付起劲�,�,,�,需要一直提高生产力�,�,,�,优化生产结构�,�,,�,以是必需“两化融合”且依赖先进的信息化手段�。�。�。�。�。�。近年来引进了大批的外洋的先进数控机床及手艺�,�,,�,并且公司也在开展DNC网络的建设�,�,,�,生产网的互联性已有大幅提高�。�。�。�。�。�。随着手艺生长也引入了一些清静隐患:
通过建设切合某公司工控系统的信息清静治理系统、信息清静手艺防护系统、信息清静运行系统�,�,,�,并将三个系统与IT清静现有系统融合�,�,,�,形成“三个系统�,�,,�,一其中心”的信息清静包管系统框架�,�,,�,实现办公网和生产网信息清静一体化治理和监控�,�,,�,支持XX公司智能制造生产和应用�。�。�。�。�。�。
典范清静危害
先进制造工控系统中大宗使用数控机床�,�,,�,一样平常有铣床、磨床、洗床、加工中心等�,�,,�,主体品牌有西门子、法兰克、马扎克等外洋品牌,以及海天龙门、永进等海内品牌�。�。�。�。�。�。通常装备接口有RS232、RJ45两种�。�。�。�。�。�。工控网络的生产与治理网的治理关系如下图所示:
古板车间里的机床装备基本都是通过串口毗连�,�,,�,保存大宗串网转换装置�,�,,�,如下图示意:
为提升机床效率和使用率�,�,,�,逐步建设DNC网络�,�,,�,可实现统一的机床治理和实时监测�,�,,�,同时使设计和生产直接毗连�,�,,�,DNC通常外洋使用的品牌有Cimco和Predator�。�。�。�。�。�。海内提供DNC网络的主要是数码大方和蓝光�,�,,�,DNC传输主要是基于TCP/IP协议�,�,,�,DNC的收罗是通过OPC、MODBUS及厂家自身协议等�。�。�。�。�。�。数控系统的治理流程如下图所示:
该类系统清静面临的危害主要有如下:
(1) 大多CNC装备接纳外洋品牌�,�,,�,面临着外洋厂商运维时主要数据如生产数目、NC文件泄露的危害�。�。�。�。�。�。
(2) 工控网络与治理网中的DNC效劳器毗连时�,�,,�,在提高效率的同时也面临着被熏染病毒、恶性攻击的危害�。�。�。�。�。�。
(3) 诸多工厂通过使用U盘将NC文件传入高精类数控装备或连入网络传输数据�,�,,�,可能会被熏染病毒或恶意代码�,�,,�,进而严重影响生产的产量、质量及效率�。�。�。�。�。�。
(4) 第三方职员(尤其是远程的外洋职员)在远程维护高精类机床装备时可能会有相关生产数据的信息泄密�,�,,�,直接影响着企业声誉、国家命脉�。�。�。�。�。�。
(5) 未对操作站主机及效劳器端举行须要的清静设置�,�,,�,使得一旦能接触会见到该主机则被攻击的乐成时机很高�。�。�。�。�。�。
(6) 无线客户端和接入点的认证步伐缺乏�,�,,�,使得很容易在车间中被人偷取或滥用�。�。�。�。�。�。
除此之外�,�,,�,也保存治理方面的缺乏响应的信息清静责任人、供应商治理不严酷、清静培训意识缺乏等问题�。�。�。�。�。�。
清静解决计划
在包管系统可用性条件下�,�,,�,对工业控制系统举行防护�,�,,�,实现“笔直分层�,�,,�,水中分区�。�。�。�。�。�。界线控制�,�,,�,内部监测”�。�。�。�。�。�。
“笔直分层、水中分区”即对工业控制系统笔直偏向化分为四层:现场装备层、现场控制层、监视控制层、生产治理层�。�。�。�。�。�。水中分区指各工业控制系统之间应该从网络上隔脱离�,�,,�,处于差别的清静区�。�。�。�。�。�。
“界线控制�,�,,�,内部监测”即对系统界线即各操作站、工业控制辖档同接处、无线网络等要举行界线防护和准入控制等�。�。�。�。�。�。对工业控制系统内部要监测网络流量数据以发明入侵、营业异常、会见关系异常和流量异常等问题�。�。�。�。�。�。
系统面临的主要清静威胁来自于黑客攻击、恶意代码(病毒蠕虫)、越权会见(非授权接入、移动介质、弱口令、操作系统误差、误操作和营业异常等�,�,,�,因此�,�,,�,其清静防护应在以下方面予以重点完善和强化�,�,,�,详细如下:
(1) 在CAM终端、工艺终端上装置防病毒软件配合终端清静治理系统�,�,,�,可实现CAM终端、工艺终端的USB、光驱、无线等接口举行严酷外设控制�;�;�;�;�;
(2) 对工业控制网络举行清静设置核查审计�,�,,�,关于清静设置较差的装备在包管生产的条件下举行清静设置修改�,�,,�,实现对工控网络装备清静设置举行审计与完善�;�;�;�;�;
(3) 凭证数据转达偏向在生产治理网与治理网间安排网闸或工业防火墙�,�,,�,在机床前安排CNC防护装置�,�,,�,实现了阻断来自治理网的不法行为和对机床的不法行为的会见控制�;�;�;�;�;
(4) 在生产车间安排工控异常监测系统�,�,,�,实时监测针对工控系统入侵行为及异常行为�。�。�。�。�。�。
(5) 在机床前端安排适用于工业现场的专用防火墙�,�,,�,对工控异常会见行为及违法操作举行清静防护�。�。�。�。�。�。
(6) 安排工控信息清静统一治理平台�,�,,�,用于对工业控制情形的统一清静治理�,�,,�,在实现网络举行可用性与性能的监控、事务的剖析审计预警、危害与态势的怀抱与评估、盛行为的合规剖析的同时�,�,,�,还承载着对工控清静装备统一治理的职能�,�,,�,是工业控制网络信息清静治理的统一平台�。�。�。�。�。�。
本次项目规模涉及该公司生产网、治理网和工控DNC网络三大清静区域的加工终端、设计终端、工艺终端、CAM终端等工控系统的用户终端�,�,,�,含有PDM、MES、CAM等类型的DNC系统以及机床装置和机械人装置等智能装置�。�。�。�。�。�。项目蓝图如下:
项目蓝图
建设内容包括如下几方面:
(1) 建设一套基于最新协同设计与历程控制的从研发产品设计、工艺体例、后置处置惩罚、数控加工代码天生、仿真及代码传输、加工等全生命周期的信息清静包管系统�。�。�。�。�。�。
(2) 建设一套清静区域清晰、手艺清静防护步伐到位的、统一治理的工控清静网络�,�,,�,针对现场装备层、生产控制层建设完整的界线防护、恶意代码防护、异常检测、机床装备运维审计、无线清静防护等信息清静防护系统�,�,,�,并形成公司信息清静手艺规范�。�。�。�。�。�。
(3) 在公司现有的信息清静治理和运维系统支持平台上扩充工业控制信息清静治理功效�,�,,�,规范生产系统运维事情和流程�,�,,�,明确工控系统运营各方的清静职责、事情要求、评价步伐、审核标准�,�,,�,通过常态化的检查实现评估�,�,,�,并实现KPI审核�,�,,�,刷新在生产清静中一直完善生长信息清静,并形成公司工控系统信息清静治理规范�。�。�。�。�。�。
(4) 在全厂信息清静统一平台上实现生产网、办公网的信息清静统一监控�,�,,�,网络的信息包括种种信息清静装备日志和报警、系统清静日志、行业预警信息等�,�,,�,实现监测预防、应急响应、监视落实、优化刷新等闭环的信息清静事情流程�。�。�。�。�。�。
小结
某先进制造公司通过对其生产网络及工控系统举行清静建设�,�,,�,有用的镌汰了由于工控网内部病毒木马造成的工业数据丧失、泄密以及停车危害�,�,,�,大大提高了工控系统生产效率�。�。�。�。�。�。
京公网安备11010802024551号