全國
手機版|
關(guān)注公眾號|
下載手機APP 近年來,水利職業(yè)正依照國家關(guān)于網(wǎng)絡強國、數(shù)字我國的整體布置和“十六字”治水方針,堅持網(wǎng)絡安全與數(shù)字化轉(zhuǎn)型是一體雙翼,讓網(wǎng)絡安全始終浸透在整個體系之中,樹立與才智水利發(fā)展相協(xié)調(diào)的全面、體系、自動、智能的才智水利網(wǎng)絡安全體系是大勢所趨和必然要求。
01.背景介紹
某大型泵站為保證城市防洪安全,提高城市防洪減災才能,新建泵站,泵站依照當?shù)胤篮闃藴蕿?00年一遇。
該泵站為遵從國家網(wǎng)絡安全相關(guān)方針標準要求,遵從水利網(wǎng)絡安全整體戰(zhàn)略和規(guī)劃,執(zhí)行網(wǎng)絡安全法、安全等級維護和要害信息根底設施維護相關(guān)要求,樹立和完善以包含縱深防護為根底、監(jiān)測預警為中心、應急響應為抓手的網(wǎng)絡安全防護體系。
泵站自動化體系由計算機自動操控體系、視頻監(jiān)控體系、信息辦理體系及視頻會議體系四個子體系組成,自控體系包含主機組、輔機、配電設備、介質(zhì)監(jiān)測與操控,是保證泵站正常運轉(zhuǎn)的要害。工控體系規(guī)劃初衷是保證其功用安穩(wěn)、可靠,可是安全層面上任何網(wǎng)絡節(jié)點均存在被不合法訪問者侵略的危險,一旦遭受侵略,甚至可造成自控體系的中斷。
02.項目需求
經(jīng)過縱深防護樹立合規(guī)網(wǎng)絡防護根底,提高網(wǎng)絡安全危險威脅的迅速發(fā)現(xiàn)和處置才能。
1、強化工業(yè)主機安全防護
從事件預防的角度開展對工業(yè)主機的安全加固工作,發(fā)現(xiàn)存在的安全危險和防護短板,經(jīng)過安全加固提高表里防護才能。
2、提高操控網(wǎng)絡鴻溝安全
在新建泵站與老泵站自控中心以及新泵站自控中心與信息中心之間進行有用阻隔防護,避免存在被惡意進犯及侵略的或許。尤其是針對PLC操控體系軟硬件縫隙的難以防范的進犯行為。
3、加強操控網(wǎng)絡安全監(jiān)測與審計
加強對工控網(wǎng)絡進行侵略檢測和網(wǎng)絡檢測,便于能夠及時發(fā)現(xiàn)工業(yè)網(wǎng)絡中的反常行為及侵略行為。工業(yè)操控體系的通訊協(xié)議為了保證通訊實時性和可靠性而放棄認證、授權(quán)和加密安全特性和功用,安全危險大。
4、提高運維安全
工控體系調(diào)試運維作業(yè)離不開安全運維渠道,需求有用避免在調(diào)試運維過程將病毒、木馬帶入工控體系。
5、進行一致的安全辦理
工控體系網(wǎng)離不開一致安全辦理渠道。可有用避免項目后期繼續(xù)運維中增加運維成本以及工控體系日志需求聚合、一致存儲,以便溯源。
6、加強縫隙辦理才能
工控體系網(wǎng)需求專用的體系縫隙掃描技能,一旦不法分子利用縫隙進犯工控體系,會損壞出產(chǎn)連續(xù)性。
03.解決計劃
該泵站工控體系網(wǎng)絡安全建造,以適度安全為中心,以重點維護、危險辦理、標準化、一致安全辦理為原則,以AI技能賦能、OT/IT交融安全技能產(chǎn)品為依托。
構(gòu)建專用操控網(wǎng)絡:工業(yè)操控網(wǎng)絡在物理層面上完成操控網(wǎng)與工作信息網(wǎng)的安全阻隔。
構(gòu)建縱深防護體系:該泵站工控體系分別從主機安全、網(wǎng)絡鴻溝安全、安全監(jiān)測與審計3個維度以及一致辦理中心進行安全防護,依托安全產(chǎn)品AI機器學習建模,不斷自我優(yōu)化的才能,完成工控體系事務應用的可用性、完整性和保密性維護的自動防護安全體系,不依賴特征庫的縱深安全防護體系。
構(gòu)建會集管控中心:對布置的安全防護技能手段在體系范圍內(nèi)進行會集管控,將孤立的安全才能整合成協(xié)同工作的安全防護體系。
圖1網(wǎng)絡拓撲圖
1、主機安全防護
在通訊操作站、操作員站、工程師站和數(shù)據(jù)服務器主機安裝終端防護白名單軟件工業(yè)衛(wèi)兵,使主機免受病毒等各種不合法進犯,能夠有用管控主機的USB等外部端口。針對Windows主機,它供給完全適用于工控職業(yè)的安全防護,保證要害事務的運轉(zhuǎn),樹立安穩(wěn)的運轉(zhuǎn)環(huán)境,同時有用遏止至今現(xiàn)已迸發(fā)的工控病毒(如“震網(wǎng)”、Havex、“勒索”等)及其變種的運轉(zhuǎn)。
▲工業(yè)衛(wèi)兵白名單辦理
▲U盤管控
2、操控網(wǎng)絡鴻溝安全防護
自控中心交換機與老泵站操控體系之間布置工業(yè)防火墻,對不同的安全區(qū)之間以及安全區(qū)內(nèi)不同安全域鴻溝進行安全防護,阻撓網(wǎng)絡進犯在不同區(qū)域間浸透,保證要害財物和事務的安全。根據(jù)AI自學習后生成并優(yōu)化的白名單戰(zhàn)略防護,阻撓了不可信的數(shù)據(jù)和操作行為,最大程度地防范不知道威脅。
自控中心交換機與信息中心交換機之間布置工業(yè)網(wǎng)閘,完成表里網(wǎng)絡的安全阻隔,數(shù)據(jù)只能以專有數(shù)據(jù)塊方法靜態(tài)地在表里網(wǎng)絡間進行“擺渡”,然后切斷了表里網(wǎng)絡之間的一切直接銜接。
▲工業(yè)防火墻白名單功用
3、安全監(jiān)測與審計
自控中心交換機旁路布置工業(yè)審計體系,實時檢測出針對工業(yè)協(xié)議的網(wǎng)絡進犯、誤操作、違規(guī)操作、不合法IP或不合法設備接入以及病毒的傳播并實時報警,詳實記載全部網(wǎng)絡通訊行為,包含指令級的工業(yè)操控協(xié)議通訊記載,而且供給回溯功用。
信息中心交換機旁路布置侵略檢測體系,對網(wǎng)絡流量進行實時收集并進行深度剖析,對那些反常的、或許是侵略行為的數(shù)據(jù)進行檢測和報警。
▲工業(yè)審計S7協(xié)議白名單
4、一致辦理中心
構(gòu)建安全辦理中心區(qū)域,該區(qū)域布置監(jiān)管渠道、堡壘機、日志審計體系、工業(yè)漏掃體系。
①監(jiān)管渠道,對網(wǎng)絡安全設備一致辦理、裝備、安全戰(zhàn)略一致布置,提高運維效率,設備狀況監(jiān)控,監(jiān)測網(wǎng)絡的通訊流量與安全事件,并能對網(wǎng)絡內(nèi)的安全威脅進行剖析。
②堡壘機,完成對安全設備、網(wǎng)絡設備、工作站、服務器等設備運轉(zhuǎn)進行會集監(jiān)測和一致辦理;對安全運維審計,保存任何操作行為,供給運維審計報告。
③日志審計體系,完成對安全產(chǎn)品日志的一致收集、剖析、存儲,對安全事件的應急處置、進犯行為的發(fā)現(xiàn)供給技能支撐,以及追尋溯源。
④工業(yè)漏掃供給了縫隙掃描功用、縫隙修復主張、Windows安全加固功用、縫隙工單辦理模塊等,使脆弱性辦理工作構(gòu)成閉環(huán)。
▲監(jiān)管渠道財物大屏
▲監(jiān)管渠道戰(zhàn)略裝備下發(fā)
▲工業(yè)漏掃工控體系掃描
04.客戶價值
1、計劃以OT與IT交融技能(OI/IT一體化防護引擎、一體化知識庫、一體化防護功用)、AI人工智能技能賦能的產(chǎn)品協(xié)助客戶樹立高可信度的縱深防護防護體系,保證泵站工控網(wǎng)絡體系長期安全安穩(wěn)運轉(zhuǎn);
2、順暢經(jīng)過等級維護2.0(三級)測評,為才智水利渠道建造打下堅實根底;
3、結(jié)合現(xiàn)場原有辦理制度,完善成標準化、規(guī)范化、針對性的工控體系網(wǎng)絡安全辦理制度。5e
標簽:
才智水利建造
(免費聲明:
1、本網(wǎng)站中的文章(包含轉(zhuǎn)貼文章)的版權(quán)僅歸原作者一切,若作者有版權(quán)聲明的或文章從其它網(wǎng)站轉(zhuǎn)載而附帶有原一切站的版權(quán)聲明者,其版權(quán)歸屬以附帶聲明為準。
2、本網(wǎng)站轉(zhuǎn)載于網(wǎng)絡的資訊內(nèi)容及文章,咱們會盡或許注明出處,但不掃除來源不明的狀況。如果您覺得侵犯了您的權(quán)益,請告訴咱們更正。若未聲明,則視為默許。由此而導致的任何法律爭議和結(jié)果,本站不承當任何責任。
3、本網(wǎng)站所轉(zhuǎn)載的資訊內(nèi)容,僅代表作者本人的觀念,與本網(wǎng)站態(tài)度無關(guān)。
4、如有問題可聯(lián)系導航網(wǎng)編輯部,電話:010-88376188,電子郵件:bianjibu@okcis.cn)
01.背景介紹
某大型泵站為保證城市防洪安全,提高城市防洪減災才能,新建泵站,泵站依照當?shù)胤篮闃藴蕿?00年一遇。
該泵站為遵從國家網(wǎng)絡安全相關(guān)方針標準要求,遵從水利網(wǎng)絡安全整體戰(zhàn)略和規(guī)劃,執(zhí)行網(wǎng)絡安全法、安全等級維護和要害信息根底設施維護相關(guān)要求,樹立和完善以包含縱深防護為根底、監(jiān)測預警為中心、應急響應為抓手的網(wǎng)絡安全防護體系。
泵站自動化體系由計算機自動操控體系、視頻監(jiān)控體系、信息辦理體系及視頻會議體系四個子體系組成,自控體系包含主機組、輔機、配電設備、介質(zhì)監(jiān)測與操控,是保證泵站正常運轉(zhuǎn)的要害。工控體系規(guī)劃初衷是保證其功用安穩(wěn)、可靠,可是安全層面上任何網(wǎng)絡節(jié)點均存在被不合法訪問者侵略的危險,一旦遭受侵略,甚至可造成自控體系的中斷。
02.項目需求
經(jīng)過縱深防護樹立合規(guī)網(wǎng)絡防護根底,提高網(wǎng)絡安全危險威脅的迅速發(fā)現(xiàn)和處置才能。
1、強化工業(yè)主機安全防護
從事件預防的角度開展對工業(yè)主機的安全加固工作,發(fā)現(xiàn)存在的安全危險和防護短板,經(jīng)過安全加固提高表里防護才能。
2、提高操控網(wǎng)絡鴻溝安全
在新建泵站與老泵站自控中心以及新泵站自控中心與信息中心之間進行有用阻隔防護,避免存在被惡意進犯及侵略的或許。尤其是針對PLC操控體系軟硬件縫隙的難以防范的進犯行為。
3、加強操控網(wǎng)絡安全監(jiān)測與審計
加強對工控網(wǎng)絡進行侵略檢測和網(wǎng)絡檢測,便于能夠及時發(fā)現(xiàn)工業(yè)網(wǎng)絡中的反常行為及侵略行為。工業(yè)操控體系的通訊協(xié)議為了保證通訊實時性和可靠性而放棄認證、授權(quán)和加密安全特性和功用,安全危險大。
4、提高運維安全
工控體系調(diào)試運維作業(yè)離不開安全運維渠道,需求有用避免在調(diào)試運維過程將病毒、木馬帶入工控體系。
5、進行一致的安全辦理
工控體系網(wǎng)離不開一致安全辦理渠道。可有用避免項目后期繼續(xù)運維中增加運維成本以及工控體系日志需求聚合、一致存儲,以便溯源。
6、加強縫隙辦理才能
工控體系網(wǎng)需求專用的體系縫隙掃描技能,一旦不法分子利用縫隙進犯工控體系,會損壞出產(chǎn)連續(xù)性。
03.解決計劃
該泵站工控體系網(wǎng)絡安全建造,以適度安全為中心,以重點維護、危險辦理、標準化、一致安全辦理為原則,以AI技能賦能、OT/IT交融安全技能產(chǎn)品為依托。
構(gòu)建專用操控網(wǎng)絡:工業(yè)操控網(wǎng)絡在物理層面上完成操控網(wǎng)與工作信息網(wǎng)的安全阻隔。
構(gòu)建縱深防護體系:該泵站工控體系分別從主機安全、網(wǎng)絡鴻溝安全、安全監(jiān)測與審計3個維度以及一致辦理中心進行安全防護,依托安全產(chǎn)品AI機器學習建模,不斷自我優(yōu)化的才能,完成工控體系事務應用的可用性、完整性和保密性維護的自動防護安全體系,不依賴特征庫的縱深安全防護體系。
構(gòu)建會集管控中心:對布置的安全防護技能手段在體系范圍內(nèi)進行會集管控,將孤立的安全才能整合成協(xié)同工作的安全防護體系。
圖1網(wǎng)絡拓撲圖
1、主機安全防護
在通訊操作站、操作員站、工程師站和數(shù)據(jù)服務器主機安裝終端防護白名單軟件工業(yè)衛(wèi)兵,使主機免受病毒等各種不合法進犯,能夠有用管控主機的USB等外部端口。針對Windows主機,它供給完全適用于工控職業(yè)的安全防護,保證要害事務的運轉(zhuǎn),樹立安穩(wěn)的運轉(zhuǎn)環(huán)境,同時有用遏止至今現(xiàn)已迸發(fā)的工控病毒(如“震網(wǎng)”、Havex、“勒索”等)及其變種的運轉(zhuǎn)。
▲工業(yè)衛(wèi)兵白名單辦理
▲U盤管控
2、操控網(wǎng)絡鴻溝安全防護
自控中心交換機與老泵站操控體系之間布置工業(yè)防火墻,對不同的安全區(qū)之間以及安全區(qū)內(nèi)不同安全域鴻溝進行安全防護,阻撓網(wǎng)絡進犯在不同區(qū)域間浸透,保證要害財物和事務的安全。根據(jù)AI自學習后生成并優(yōu)化的白名單戰(zhàn)略防護,阻撓了不可信的數(shù)據(jù)和操作行為,最大程度地防范不知道威脅。
自控中心交換機與信息中心交換機之間布置工業(yè)網(wǎng)閘,完成表里網(wǎng)絡的安全阻隔,數(shù)據(jù)只能以專有數(shù)據(jù)塊方法靜態(tài)地在表里網(wǎng)絡間進行“擺渡”,然后切斷了表里網(wǎng)絡之間的一切直接銜接。
▲工業(yè)防火墻白名單功用
3、安全監(jiān)測與審計
自控中心交換機旁路布置工業(yè)審計體系,實時檢測出針對工業(yè)協(xié)議的網(wǎng)絡進犯、誤操作、違規(guī)操作、不合法IP或不合法設備接入以及病毒的傳播并實時報警,詳實記載全部網(wǎng)絡通訊行為,包含指令級的工業(yè)操控協(xié)議通訊記載,而且供給回溯功用。
信息中心交換機旁路布置侵略檢測體系,對網(wǎng)絡流量進行實時收集并進行深度剖析,對那些反常的、或許是侵略行為的數(shù)據(jù)進行檢測和報警。
▲工業(yè)審計S7協(xié)議白名單
4、一致辦理中心
構(gòu)建安全辦理中心區(qū)域,該區(qū)域布置監(jiān)管渠道、堡壘機、日志審計體系、工業(yè)漏掃體系。
①監(jiān)管渠道,對網(wǎng)絡安全設備一致辦理、裝備、安全戰(zhàn)略一致布置,提高運維效率,設備狀況監(jiān)控,監(jiān)測網(wǎng)絡的通訊流量與安全事件,并能對網(wǎng)絡內(nèi)的安全威脅進行剖析。
②堡壘機,完成對安全設備、網(wǎng)絡設備、工作站、服務器等設備運轉(zhuǎn)進行會集監(jiān)測和一致辦理;對安全運維審計,保存任何操作行為,供給運維審計報告。
③日志審計體系,完成對安全產(chǎn)品日志的一致收集、剖析、存儲,對安全事件的應急處置、進犯行為的發(fā)現(xiàn)供給技能支撐,以及追尋溯源。
④工業(yè)漏掃供給了縫隙掃描功用、縫隙修復主張、Windows安全加固功用、縫隙工單辦理模塊等,使脆弱性辦理工作構(gòu)成閉環(huán)。
▲監(jiān)管渠道財物大屏
▲監(jiān)管渠道戰(zhàn)略裝備下發(fā)
▲工業(yè)漏掃工控體系掃描
04.客戶價值
1、計劃以OT與IT交融技能(OI/IT一體化防護引擎、一體化知識庫、一體化防護功用)、AI人工智能技能賦能的產(chǎn)品協(xié)助客戶樹立高可信度的縱深防護防護體系,保證泵站工控網(wǎng)絡體系長期安全安穩(wěn)運轉(zhuǎn);
2、順暢經(jīng)過等級維護2.0(三級)測評,為才智水利渠道建造打下堅實根底;
3、結(jié)合現(xiàn)場原有辦理制度,完善成標準化、規(guī)范化、針對性的工控體系網(wǎng)絡安全辦理制度。5e
標簽:
才智水利建造
(免費聲明:
1、本網(wǎng)站中的文章(包含轉(zhuǎn)貼文章)的版權(quán)僅歸原作者一切,若作者有版權(quán)聲明的或文章從其它網(wǎng)站轉(zhuǎn)載而附帶有原一切站的版權(quán)聲明者,其版權(quán)歸屬以附帶聲明為準。
2、本網(wǎng)站轉(zhuǎn)載于網(wǎng)絡的資訊內(nèi)容及文章,咱們會盡或許注明出處,但不掃除來源不明的狀況。如果您覺得侵犯了您的權(quán)益,請告訴咱們更正。若未聲明,則視為默許。由此而導致的任何法律爭議和結(jié)果,本站不承當任何責任。
3、本網(wǎng)站所轉(zhuǎn)載的資訊內(nèi)容,僅代表作者本人的觀念,與本網(wǎng)站態(tài)度無關(guān)。
4、如有問題可聯(lián)系導航網(wǎng)編輯部,電話:010-88376188,電子郵件:bianjibu@okcis.cn)
