近年來,水利職業(yè)正依照國家關(guān)于網(wǎng)絡(luò)強國、數(shù)字我國的整體布置和“十六字”治水政策,堅持網(wǎng)絡(luò)安全與數(shù)字化轉(zhuǎn)型是一體雙翼,讓網(wǎng)絡(luò)安全始終浸透在整個系統(tǒng)之中,樹立與才智水利發(fā)展相協(xié)調(diào)的全面、系統(tǒng)、自動、智能的才智水利網(wǎng)絡(luò)安全系統(tǒng)是大勢所趨和必然要求。
01.背景介紹
某大型泵站為保證城市防洪安全,提高城市防洪減災(zāi)才能,新建泵站,泵站依照當(dāng)?shù)胤篮橐?guī)范為100年一遇。
該泵站為遵從國家網(wǎng)絡(luò)安全相關(guān)政策規(guī)范要求,遵從水利網(wǎng)絡(luò)安全整體戰(zhàn)略和規(guī)劃,落實網(wǎng)絡(luò)安全法、安全等級維護和要害信息根底設(shè)施維護相關(guān)要求,樹立和完善以包含縱深防護為根底、監(jiān)測預(yù)警為中心、應(yīng)急響應(yīng)為抓手的網(wǎng)絡(luò)安全防護系統(tǒng)。
泵站自動化系統(tǒng)由計算機自動操控系統(tǒng)、視頻監(jiān)控系統(tǒng)、信息辦理系統(tǒng)及視頻會議系統(tǒng)四個子系統(tǒng)組成,自控系統(tǒng)包含主機組、輔機、配電設(shè)備、介質(zhì)監(jiān)測與操控,是保證泵站正常運轉(zhuǎn)的要害。工控系統(tǒng)規(guī)劃初衷是保證其功用安穩(wěn)、可靠,可是安全層面上任何網(wǎng)絡(luò)節(jié)點均存在被不合法訪問者侵略的危險,一旦遭受侵略,乃至可造成自控系統(tǒng)的中止。
02.項目需求
經(jīng)過縱深防護樹立合規(guī)網(wǎng)絡(luò)防護根底,提高網(wǎng)絡(luò)安全危險要挾的迅速發(fā)現(xiàn)和處置才能。
1、強化工業(yè)主機安全防護
從事情預(yù)防的視點開展對工業(yè)主機的安全加固作業(yè),發(fā)現(xiàn)存在的安全危險和防護短板,經(jīng)過安全加固提高表里防護才能。
2、提高操控網(wǎng)絡(luò)鴻溝安全
在新建泵站與老泵站自控中心以及新泵站自控中心與信息中心之間進行有用阻隔防護,防止存在被歹意進犯及侵略的或許。尤其是針對PLC操控系統(tǒng)軟硬件縫隙的難以防范的進犯行為。
3、加強操控網(wǎng)絡(luò)安全監(jiān)測與審計
加強對工控網(wǎng)絡(luò)進行侵略檢測和網(wǎng)絡(luò)檢測,便于可以及時發(fā)現(xiàn)工業(yè)網(wǎng)絡(luò)中的反常行為及侵略行為。工業(yè)操控系統(tǒng)的通訊協(xié)議為了保證通訊實時性和可靠性而放棄認證、授權(quán)和加密安全特性和功用,安全危險大。
4、提高運維安全
工控系統(tǒng)調(diào)試運維作業(yè)離不開安全運維渠道,需要有用防止在調(diào)試運維進程將病毒、木馬帶入工控系統(tǒng)。
5、進行一致的安全辦理
工控系統(tǒng)網(wǎng)離不開一致安全辦理渠道。可有用防止項目后期繼續(xù)運維中增加運維本錢以及工控系統(tǒng)日志需要聚合、一致存儲,以便溯源。
6、加強縫隙辦理才能
工控系統(tǒng)網(wǎng)需要專用的系統(tǒng)縫隙掃描技能,一旦不法分子利用縫隙進犯工控系統(tǒng),會損壞出產(chǎn)連續(xù)性。
03.解決方案
該泵站工控系統(tǒng)網(wǎng)絡(luò)安全建造,以適度安全為中心,以重點維護、危險辦理、規(guī)范化、一致安全辦理為準(zhǔn)則,以AI技能賦能、OT/IT交融安全技能產(chǎn)品為依托。
構(gòu)建專用操控網(wǎng)絡(luò):工業(yè)操控網(wǎng)絡(luò)在物理層面上完成操控網(wǎng)與辦公信息網(wǎng)的安全阻隔。
構(gòu)建縱深防護系統(tǒng):該泵站工控系統(tǒng)分別從主機安全、網(wǎng)絡(luò)鴻溝安全、安全監(jiān)測與審計3個維度以及一致辦理中心進行安全防護,依托安全產(chǎn)品AI機器學(xué)習(xí)建模,不斷自我優(yōu)化的才能,完成工控系統(tǒng)事務(wù)應(yīng)用的可用性、完整性和保密性維護的自動防護安全系統(tǒng),不依賴特征庫的縱深安全防護系統(tǒng)。
構(gòu)建會集管控中心:對布置的安全防護技能手段在系統(tǒng)范圍內(nèi)進行會集管控,將孤立的安全才能整合成協(xié)同作業(yè)的安全防護系統(tǒng)。
圖1網(wǎng)絡(luò)拓撲圖
1、主機安全防護
在通訊操作站、操作員站、工程師站和數(shù)據(jù)服務(wù)器主機安裝終端防護白名單軟件工業(yè)衛(wèi)士,使主機免受病毒等各種不合法進犯,可以有用管控主機的USB等外部端口。針對Windows主機,它供給徹底適用于工控職業(yè)的安全防護,保證要害事務(wù)的運轉(zhuǎn),樹立安穩(wěn)的運轉(zhuǎn)環(huán)境,一起有用遏止至今已經(jīng)爆發(fā)的工控病毒(如“震網(wǎng)”、Havex、“勒索”等)及其變種的運轉(zhuǎn)。
▲工業(yè)衛(wèi)士白名單辦理
▲U盤管控
2、操控網(wǎng)絡(luò)鴻溝安全防護
自控中心交換機與老泵站操控系統(tǒng)之間布置工業(yè)防火墻,對不同的安全區(qū)之間以及安全區(qū)內(nèi)不同安全域鴻溝進行安全防護,阻撓網(wǎng)絡(luò)進犯在不同區(qū)域間浸透,保證要害財物和事務(wù)的安全。根據(jù)AI自學(xué)習(xí)后生成并優(yōu)化的白名單戰(zhàn)略防護,阻撓了不可信的數(shù)據(jù)和操作行為,最大程度地防范不知道要挾。
自控中心交換機與信息中心交換機之間布置工業(yè)網(wǎng)閘,完成表里網(wǎng)絡(luò)的安全阻隔,數(shù)據(jù)只能以專有數(shù)據(jù)塊方式靜態(tài)地在表里網(wǎng)絡(luò)間進行“擺渡”,然后切斷了表里網(wǎng)絡(luò)之間的全部直接銜接。
▲工業(yè)防火墻白名單功用
3、安全監(jiān)測與審計
自控中心交換機旁路布置工業(yè)審計系統(tǒng),實時檢測出針對工業(yè)協(xié)議的網(wǎng)絡(luò)進犯、誤操作、違規(guī)操作、不合法IP或不合法設(shè)備接入以及病毒的傳播并實時報警,詳實記載全部網(wǎng)絡(luò)通訊行為,包含指令級的工業(yè)操控協(xié)議通訊記載,而且供給回溯功用。
信息中心交換機旁路布置侵略檢測系統(tǒng),對網(wǎng)絡(luò)流量進行實時采集并進行深度分析,對那些反常的、或許是侵略行為的數(shù)據(jù)進行檢測和報警。
▲工業(yè)審計S7協(xié)議白名單
4、一致辦理中心
構(gòu)建安全辦理中心區(qū)域,該區(qū)域布置監(jiān)管渠道、堡壘機、日志審計系統(tǒng)、工業(yè)漏掃系統(tǒng)。
①監(jiān)管渠道,對網(wǎng)絡(luò)安全設(shè)備一致辦理、配置、安全戰(zhàn)略一致布置,提高運維功率,設(shè)備狀況監(jiān)控,監(jiān)測網(wǎng)絡(luò)的通訊流量與安全事情,并能對網(wǎng)絡(luò)內(nèi)的安全要挾進行分析。
②堡壘機,完成對安全設(shè)備、網(wǎng)絡(luò)設(shè)備、作業(yè)站、服務(wù)器等設(shè)備運轉(zhuǎn)進行會集監(jiān)測和一致辦理;對安全運維審計,保存任何操作行為,供給運維審計報告。
③日志審計系統(tǒng),完成對安全產(chǎn)品日志的一致采集、分析、存儲,對安全事情的應(yīng)急處置、進犯行為的發(fā)現(xiàn)供給技能支撐,以及追蹤溯源。
④工業(yè)漏掃供給了縫隙掃描功用、縫隙修復(fù)建議、Windows安全加固功用、縫隙工單辦理模塊等,使脆弱性辦理作業(yè)形成閉環(huán)。
▲監(jiān)管渠道財物大屏
▲監(jiān)管渠道戰(zhàn)略配置下發(fā)
▲工業(yè)漏掃工控系統(tǒng)掃描
04.客戶價值
1、方案以O(shè)T與IT交融技能(OI/IT一體化防護引擎、一體化知識庫、一體化防護功用)、AI人工智能技能賦能的產(chǎn)品幫助客戶樹立高可信度的縱深防護防護系統(tǒng),確保泵站工控網(wǎng)絡(luò)系統(tǒng)長時間安全安穩(wěn)運轉(zhuǎn);
2、順暢經(jīng)過等級維護2.0(三級)測評,為才智水利渠道建造打下堅實根底;
3、結(jié)合現(xiàn)場原有辦理制度,完善成規(guī)范化、規(guī)范化、針對性的工控系統(tǒng)網(wǎng)絡(luò)安全辦理制度。5e
標(biāo)簽:
才智水利建造
(免費聲明:
1、本網(wǎng)站中的文章(包含轉(zhuǎn)貼文章)的版權(quán)僅歸原作者全部,若作者有版權(quán)聲明的或文章從其它網(wǎng)站轉(zhuǎn)載而順便有原全部站的版權(quán)聲明者,其版權(quán)歸屬以順便聲明為準(zhǔn)。
2、本網(wǎng)站轉(zhuǎn)載于網(wǎng)絡(luò)的資訊內(nèi)容及文章,咱們會盡或許注明出處,但不掃除來源不明的情況。如果您覺得侵犯了您的權(quán)益,請告訴咱們更正。若未聲明,則視為默許。由此而導(dǎo)致的任何法令爭議和后果,本站不承擔(dān)任何職責(zé)。
3、本網(wǎng)站所轉(zhuǎn)載的資訊內(nèi)容,僅代表作者本人的觀念,與本網(wǎng)站立場無關(guān)。
4、如有問題可聯(lián)系導(dǎo)航網(wǎng)編輯部,電話:010-88376188,電子郵件:bianjibu@okcis.cn)
01.背景介紹
某大型泵站為保證城市防洪安全,提高城市防洪減災(zāi)才能,新建泵站,泵站依照當(dāng)?shù)胤篮橐?guī)范為100年一遇。
該泵站為遵從國家網(wǎng)絡(luò)安全相關(guān)政策規(guī)范要求,遵從水利網(wǎng)絡(luò)安全整體戰(zhàn)略和規(guī)劃,落實網(wǎng)絡(luò)安全法、安全等級維護和要害信息根底設(shè)施維護相關(guān)要求,樹立和完善以包含縱深防護為根底、監(jiān)測預(yù)警為中心、應(yīng)急響應(yīng)為抓手的網(wǎng)絡(luò)安全防護系統(tǒng)。
泵站自動化系統(tǒng)由計算機自動操控系統(tǒng)、視頻監(jiān)控系統(tǒng)、信息辦理系統(tǒng)及視頻會議系統(tǒng)四個子系統(tǒng)組成,自控系統(tǒng)包含主機組、輔機、配電設(shè)備、介質(zhì)監(jiān)測與操控,是保證泵站正常運轉(zhuǎn)的要害。工控系統(tǒng)規(guī)劃初衷是保證其功用安穩(wěn)、可靠,可是安全層面上任何網(wǎng)絡(luò)節(jié)點均存在被不合法訪問者侵略的危險,一旦遭受侵略,乃至可造成自控系統(tǒng)的中止。
02.項目需求
經(jīng)過縱深防護樹立合規(guī)網(wǎng)絡(luò)防護根底,提高網(wǎng)絡(luò)安全危險要挾的迅速發(fā)現(xiàn)和處置才能。
1、強化工業(yè)主機安全防護
從事情預(yù)防的視點開展對工業(yè)主機的安全加固作業(yè),發(fā)現(xiàn)存在的安全危險和防護短板,經(jīng)過安全加固提高表里防護才能。
2、提高操控網(wǎng)絡(luò)鴻溝安全
在新建泵站與老泵站自控中心以及新泵站自控中心與信息中心之間進行有用阻隔防護,防止存在被歹意進犯及侵略的或許。尤其是針對PLC操控系統(tǒng)軟硬件縫隙的難以防范的進犯行為。
3、加強操控網(wǎng)絡(luò)安全監(jiān)測與審計
加強對工控網(wǎng)絡(luò)進行侵略檢測和網(wǎng)絡(luò)檢測,便于可以及時發(fā)現(xiàn)工業(yè)網(wǎng)絡(luò)中的反常行為及侵略行為。工業(yè)操控系統(tǒng)的通訊協(xié)議為了保證通訊實時性和可靠性而放棄認證、授權(quán)和加密安全特性和功用,安全危險大。
4、提高運維安全
工控系統(tǒng)調(diào)試運維作業(yè)離不開安全運維渠道,需要有用防止在調(diào)試運維進程將病毒、木馬帶入工控系統(tǒng)。
5、進行一致的安全辦理
工控系統(tǒng)網(wǎng)離不開一致安全辦理渠道。可有用防止項目后期繼續(xù)運維中增加運維本錢以及工控系統(tǒng)日志需要聚合、一致存儲,以便溯源。
6、加強縫隙辦理才能
工控系統(tǒng)網(wǎng)需要專用的系統(tǒng)縫隙掃描技能,一旦不法分子利用縫隙進犯工控系統(tǒng),會損壞出產(chǎn)連續(xù)性。
03.解決方案
該泵站工控系統(tǒng)網(wǎng)絡(luò)安全建造,以適度安全為中心,以重點維護、危險辦理、規(guī)范化、一致安全辦理為準(zhǔn)則,以AI技能賦能、OT/IT交融安全技能產(chǎn)品為依托。
構(gòu)建專用操控網(wǎng)絡(luò):工業(yè)操控網(wǎng)絡(luò)在物理層面上完成操控網(wǎng)與辦公信息網(wǎng)的安全阻隔。
構(gòu)建縱深防護系統(tǒng):該泵站工控系統(tǒng)分別從主機安全、網(wǎng)絡(luò)鴻溝安全、安全監(jiān)測與審計3個維度以及一致辦理中心進行安全防護,依托安全產(chǎn)品AI機器學(xué)習(xí)建模,不斷自我優(yōu)化的才能,完成工控系統(tǒng)事務(wù)應(yīng)用的可用性、完整性和保密性維護的自動防護安全系統(tǒng),不依賴特征庫的縱深安全防護系統(tǒng)。
構(gòu)建會集管控中心:對布置的安全防護技能手段在系統(tǒng)范圍內(nèi)進行會集管控,將孤立的安全才能整合成協(xié)同作業(yè)的安全防護系統(tǒng)。
圖1網(wǎng)絡(luò)拓撲圖
1、主機安全防護
在通訊操作站、操作員站、工程師站和數(shù)據(jù)服務(wù)器主機安裝終端防護白名單軟件工業(yè)衛(wèi)士,使主機免受病毒等各種不合法進犯,可以有用管控主機的USB等外部端口。針對Windows主機,它供給徹底適用于工控職業(yè)的安全防護,保證要害事務(wù)的運轉(zhuǎn),樹立安穩(wěn)的運轉(zhuǎn)環(huán)境,一起有用遏止至今已經(jīng)爆發(fā)的工控病毒(如“震網(wǎng)”、Havex、“勒索”等)及其變種的運轉(zhuǎn)。
▲工業(yè)衛(wèi)士白名單辦理
▲U盤管控
2、操控網(wǎng)絡(luò)鴻溝安全防護
自控中心交換機與老泵站操控系統(tǒng)之間布置工業(yè)防火墻,對不同的安全區(qū)之間以及安全區(qū)內(nèi)不同安全域鴻溝進行安全防護,阻撓網(wǎng)絡(luò)進犯在不同區(qū)域間浸透,保證要害財物和事務(wù)的安全。根據(jù)AI自學(xué)習(xí)后生成并優(yōu)化的白名單戰(zhàn)略防護,阻撓了不可信的數(shù)據(jù)和操作行為,最大程度地防范不知道要挾。
自控中心交換機與信息中心交換機之間布置工業(yè)網(wǎng)閘,完成表里網(wǎng)絡(luò)的安全阻隔,數(shù)據(jù)只能以專有數(shù)據(jù)塊方式靜態(tài)地在表里網(wǎng)絡(luò)間進行“擺渡”,然后切斷了表里網(wǎng)絡(luò)之間的全部直接銜接。
▲工業(yè)防火墻白名單功用
3、安全監(jiān)測與審計
自控中心交換機旁路布置工業(yè)審計系統(tǒng),實時檢測出針對工業(yè)協(xié)議的網(wǎng)絡(luò)進犯、誤操作、違規(guī)操作、不合法IP或不合法設(shè)備接入以及病毒的傳播并實時報警,詳實記載全部網(wǎng)絡(luò)通訊行為,包含指令級的工業(yè)操控協(xié)議通訊記載,而且供給回溯功用。
信息中心交換機旁路布置侵略檢測系統(tǒng),對網(wǎng)絡(luò)流量進行實時采集并進行深度分析,對那些反常的、或許是侵略行為的數(shù)據(jù)進行檢測和報警。
▲工業(yè)審計S7協(xié)議白名單
4、一致辦理中心
構(gòu)建安全辦理中心區(qū)域,該區(qū)域布置監(jiān)管渠道、堡壘機、日志審計系統(tǒng)、工業(yè)漏掃系統(tǒng)。
①監(jiān)管渠道,對網(wǎng)絡(luò)安全設(shè)備一致辦理、配置、安全戰(zhàn)略一致布置,提高運維功率,設(shè)備狀況監(jiān)控,監(jiān)測網(wǎng)絡(luò)的通訊流量與安全事情,并能對網(wǎng)絡(luò)內(nèi)的安全要挾進行分析。
②堡壘機,完成對安全設(shè)備、網(wǎng)絡(luò)設(shè)備、作業(yè)站、服務(wù)器等設(shè)備運轉(zhuǎn)進行會集監(jiān)測和一致辦理;對安全運維審計,保存任何操作行為,供給運維審計報告。
③日志審計系統(tǒng),完成對安全產(chǎn)品日志的一致采集、分析、存儲,對安全事情的應(yīng)急處置、進犯行為的發(fā)現(xiàn)供給技能支撐,以及追蹤溯源。
④工業(yè)漏掃供給了縫隙掃描功用、縫隙修復(fù)建議、Windows安全加固功用、縫隙工單辦理模塊等,使脆弱性辦理作業(yè)形成閉環(huán)。
▲監(jiān)管渠道財物大屏
▲監(jiān)管渠道戰(zhàn)略配置下發(fā)
▲工業(yè)漏掃工控系統(tǒng)掃描
04.客戶價值
1、方案以O(shè)T與IT交融技能(OI/IT一體化防護引擎、一體化知識庫、一體化防護功用)、AI人工智能技能賦能的產(chǎn)品幫助客戶樹立高可信度的縱深防護防護系統(tǒng),確保泵站工控網(wǎng)絡(luò)系統(tǒng)長時間安全安穩(wěn)運轉(zhuǎn);
2、順暢經(jīng)過等級維護2.0(三級)測評,為才智水利渠道建造打下堅實根底;
3、結(jié)合現(xiàn)場原有辦理制度,完善成規(guī)范化、規(guī)范化、針對性的工控系統(tǒng)網(wǎng)絡(luò)安全辦理制度。5e
標(biāo)簽:
才智水利建造
(免費聲明:
1、本網(wǎng)站中的文章(包含轉(zhuǎn)貼文章)的版權(quán)僅歸原作者全部,若作者有版權(quán)聲明的或文章從其它網(wǎng)站轉(zhuǎn)載而順便有原全部站的版權(quán)聲明者,其版權(quán)歸屬以順便聲明為準(zhǔn)。
2、本網(wǎng)站轉(zhuǎn)載于網(wǎng)絡(luò)的資訊內(nèi)容及文章,咱們會盡或許注明出處,但不掃除來源不明的情況。如果您覺得侵犯了您的權(quán)益,請告訴咱們更正。若未聲明,則視為默許。由此而導(dǎo)致的任何法令爭議和后果,本站不承擔(dān)任何職責(zé)。
3、本網(wǎng)站所轉(zhuǎn)載的資訊內(nèi)容,僅代表作者本人的觀念,與本網(wǎng)站立場無關(guān)。
4、如有問題可聯(lián)系導(dǎo)航網(wǎng)編輯部,電話:010-88376188,電子郵件:bianjibu@okcis.cn)