根据汽车制造生产控制系统的特点,将汽车厂划分为生产安全域、MES安全域、车间安全域、生产线安全域等,不同安全域之间采用工业防火墙进行逻辑隔离及访问控制,工业防火墙能够根据数据包的源地址、目的地址、传输层协议、应用层协议、端口等信息执行访问控制规则,允许正常业务数据通过,禁止非法的连接请求,以保障不同安全域之间的数据交互安全。
解决方案:
需要在车间接入交换机与汇聚交换机之间、在办公网与生产的边界处部署工业防火墙。
部署示意图:
部署工业防火墙能解决什么问题?
1.访问控制:工业防火墙在工控协议方面进行深度的解析,可以对操作人员和非法访问进行基于IP、MAC、工控协议或任意组合方式的访问进行控制,另外,工业网络中设备类型丰富,多数采用私有协议进行通讯,传统的防火墙针对工控协议的识别相对较弱。通过自主研发的深度数据包解析引擎,工业防火墙能够检测出多种ABB、Siemens、Emerson等主流厂商工控协议和工控设备类型发现,基于协议和设备类型实现工业流量的可视化和资产管理。
2.DOS攻击防护:工控系统对网络的实时性和响应速度有很高的要求,为了保证工控系统的可用性和高效性,在工业防火墙上开启异常报文检测与异常流量检测功能,防止land攻击、Teardrop攻击、Ping of death以及各种Flood攻击导致的网络或工控系统的瘫痪。
3.重点设备的安全防护:通过在重点工控设备前加装工业防火墙,通过工业防火墙的工控协议深度解析及“白名单”安全管理机制,充分保护重要工控设备的信息安全,提升整个工业控制系统的安全防护等级。