工业互联网安全专题 > 案例分析

某集团车辆制造厂先进制造试点项目介绍

作者:启明星辰 2020-10-30

项目背景需求

某集团车辆制造厂作为国家重要的大型装备制造企业,不仅承担着国家机车车辆制造的任务,为自身创造利润,也为国家的机车车辆走向世界付出努力,需要不断提高生产力,优化生产结构,所以必须“两化融合”且依赖先进的信息化手段,近年来引进了大批的国外的先进数控机床及技术。该厂共有20多个生产车间,涉及车床设备4000余台套,其中数控设备有200多台套,主体品牌有国外的、也有国内的,国外的如德国西门子、日本发那科、马扎克等,国内的如海天龙门、永进等。在对工控生产网络进行信息化建设时,暴露出了一些信息安全问题,比如:

(1)大多CNC设备采用国外品牌,面临着国外厂商运维时重要数据泄露的风险。

(2)工控网络与管理网或与DNC服务器连接时,在提高效率的同时也面临着被感染病毒、恶性攻击的风险。

(3)整体安全管理策略缺失,如编程工作站、机床的漏洞、人员的操作流程等方面。

防护方案及涉及安全产品

首先对该机车厂生产网络进行了整体的安全风险评估,针对该厂生产网络的现状给出了一整套的工控信息安全防护方案。防护部署示意图如下:

1.png

本项目中防护方案中涉及安全产品如下表:

产品名称

数量

工业防火墙

2

机床防护装置(导轨式工业防火墙)

28

工控异常监测系统

1

工控信息安全管理平台

1

工控漏洞扫描系统

1

工控安全基线检查系统

1

机床运维审计系统

2

这个项目整体分为两期进行实施,一期先针对现场进行安全防护,二期针对上层进行安全防护、审计监测等。项目周期预算为1年。

项目效果

(1)全面建成了针对DNC工业网络的信息安全保障体系, 达到等保二级网络安全的技术要求。减少企业的信息安全事件,保障商业秘密不外泄。

(2)采用安全可控的信息安全技术和产品,对工控网进行安全区域划分并进行安全防护,对于存在安全隐患的国外数控机床通过借助第三方信息安全产品的监测,弥补短时期内不能替换为国内工控设备问题和风险,逐步过渡到自主可控。
完成至少100个加工、设计、工艺及CAM等用户终端的安全防护,保证终端不被恶意代码侵害,在不影响正常使用的情况下补丁齐全。
完成涉及发动机生产线10多种工艺的30台机床的联网及2种类型DNC系统的防护,实现从设计源头开始的数据能够审计其流向,一旦发现异常进行报警。

实现对西门子、马扎克、发那科数控机床系统进行防护审计,远程运维时进行加密传输,并对其连接时有访问控制策略,实现运维人员对机床参数、配置等关键信息的安全审计,提高公司关键装备的自主运维水平。

(3)建立了工控信息安全管理平台,对95%的信息安全防护设备以及网络交换机、DNCpro客户端、编程工作站、DNC/N监控机、PDM、CAPP、DNC服务器的设备,并实时收集信息安全相关信息,可扩展管理800个设备。建立涉及10多种工艺的30台数控机床,100个加工、设计、工艺及CAM等用户终端的基于网络的业务访问关系,形成业务访问规则100条,包括:网络访问路径、业务流量基线、业务安全指令集、漏洞库、资产库等元素。并且系统支持规则自学习功能,可扩展支持5000条规则的定义和管理。

上一篇

服务热线

400-624-3900

客服电话:400-624-3900

周一至周五 9:00-17:30