某集團車輛制造廠先進制造試點項目介紹
作者:啟明星辰
2020-10-30
項目背景需求
某集團車輛制造廠作為國家重要的大型裝備制造企業�����,不僅承擔著國家機車車輛制造的任務��,為自身創造利潤���,也為國家的機車車輛走向世界付出努力���,需要不斷提高生產力�,優化生產結構����,所以必須“兩化融合”且依賴先進的信息化手段���,近年來引進了大批的國外的先進數控機床及技術�����。該廠共有20多個生產車間���,涉及車床設備4000余臺套��,其中數控設備有200多臺套����,主體品牌有國外的��、也有國內的�,國外的如德國西門子�、日本發那科���、馬扎克等,國內的如海天龍門�、永進等����。在對工控生產網絡進行信息化建設時��,暴露出了一些信息安全問題�����,比如:
(1)大多CNC設備采用國外品牌���,面臨著國外廠商運維時重要數據泄露的風險�����。
(2)工控網絡與管理網或與DNC服務器連接時����,在提高效率的同時也面臨著被感染病毒����、惡性攻擊的風險�����。
(3)整體安全管理策略缺失�,如編程工作站��、機床的漏洞�、人員的操作流程等方面����。
防護方案及涉及安全產品
首先對該機車廠生產網絡進行了整體的安全風險評估����,針對該廠生產網絡的現狀給出了一整套的工控信息安全防護方案����。防護部署示意圖如下:
本項目中防護方案中涉及安全產品如下表:
產品名稱 | 數量 |
工業防火墻 | 2臺 |
機床防護裝置(導軌式工業防火墻) | 28臺 |
工控異常監測系統 | 1臺 |
工控信息安全管理平臺 | 1套 |
工控漏洞掃描系統 | 1套 |
工控安全基線檢查系統 | 1臺 |
機床運維審計系統 | 2臺 |
這個項目整體分為兩期進行實施��,一期先針對現場進行安全防護���,二期針對上層進行安全防護��、審計監測等����。項目周期預算為1年�����。
項目效果
(1)全面建成了針對DNC工業網絡的信息安全保障體系�����, 達到等保二級網絡安全的技術要求���。減少企業的信息安全事件�����,保障商業秘密不外泄�����。
(2)采用安全可控的信息安全技術和產品���,對工控網進行安全區域劃分并進行安全防護��,對于存在安全隱患的國外數控機床通過借助第三方信息安全產品的監測�����,彌補短時期內不能替換為國內工控設備問題和風險�����,逐步過渡到自主可控�。
完成至少100個加工����、設計���、工藝及CAM等用戶終端的安全防護�,保證終端不被惡意代碼侵害��,在不影響正常使用的情況下補丁齊全��。
完成涉及發動機生產線10多種工藝的30臺機床的聯網及2種類型DNC系統的防護��,實現從設計源頭開始的數據能夠審計其流向�,一旦發現異常進行報警��。
實現對西門子���、馬扎克��、發那科數控機床系統進行防護審計���,遠程運維時進行加密傳輸��,并對其連接時有訪問控制策略����,實現運維人員對機床參數��、配置等關鍵信息的安全審計�,提高公司關鍵裝備的自主運維水平����。
(3)建立了工控信息安全管理平臺�����,對95%的信息安全防護設備以及網絡交換機��、DNCpro客戶端�����、編程工作站��、DNC/N監控機�����、PDM�、CAPP�����、DNC服務器的設備���,并實時收集信息安全相關信息�����,可擴展管理800個設備�。建立涉及10多種工藝的30臺數控機床��,100個加工����、設計����、工藝及CAM等用戶終端的基于網絡的業務訪問關系��,形成業務訪問規則100條��,包括:網絡訪問路徑��、業務流量基線����、業務安全指令集�、漏洞庫��、資產庫等元素�。并且系統支持規則自學習功能�����,可擴展支持5000條規則的定義和管理����。
快速鏈接
京公網安備11010802024551號