近年來,水利職業(yè)正依照國家關(guān)于網(wǎng)絡(luò)強(qiáng)國、數(shù)字我國的整體布置和“十六字”治水方針,堅(jiān)持網(wǎng)絡(luò)安全與數(shù)字化轉(zhuǎn)型是一體雙翼,讓網(wǎng)絡(luò)安全始終浸透在整個(gè)體系之中,樹立與才智水利發(fā)展相協(xié)調(diào)的全面、體系、自動(dòng)、智能的才智水利網(wǎng)絡(luò)安全體系是大勢(shì)所趨和必然要求。
01.背景介紹
某大型泵站為保證城市防洪安全,提高城市防洪減災(zāi)才能,新建泵站,泵站依照當(dāng)?shù)胤篮闃?biāo)準(zhǔn)為100年一遇。
該泵站為遵從國家網(wǎng)絡(luò)安全相關(guān)方針標(biāo)準(zhǔn)要求,遵從水利網(wǎng)絡(luò)安全整體戰(zhàn)略和規(guī)劃,執(zhí)行網(wǎng)絡(luò)安全法、安全等級(jí)維護(hù)和要害信息根底設(shè)施維護(hù)相關(guān)要求,樹立和完善以包含縱深防護(hù)為根底、監(jiān)測(cè)預(yù)警為中心、應(yīng)急響應(yīng)為抓手的網(wǎng)絡(luò)安全防護(hù)體系。
泵站自動(dòng)化體系由計(jì)算機(jī)自動(dòng)操控體系、視頻監(jiān)控體系、信息辦理體系及視頻會(huì)議體系四個(gè)子體系組成,自控體系包含主機(jī)組、輔機(jī)、配電設(shè)備、介質(zhì)監(jiān)測(cè)與操控,是保證泵站正常運(yùn)轉(zhuǎn)的要害。工控體系規(guī)劃初衷是保證其功用安穩(wěn)、可靠,可是安全層面上任何網(wǎng)絡(luò)節(jié)點(diǎn)均存在被不合法訪問者侵略的危險(xiǎn),一旦遭受侵略,甚至可造成自控體系的中斷。
02.項(xiàng)目需求
經(jīng)過縱深防護(hù)樹立合規(guī)網(wǎng)絡(luò)防護(hù)根底,提高網(wǎng)絡(luò)安全危險(xiǎn)威脅的迅速發(fā)現(xiàn)和處置才能。
1、強(qiáng)化工業(yè)主機(jī)安全防護(hù)
從事件預(yù)防的角度開展對(duì)工業(yè)主機(jī)的安全加固工作,發(fā)現(xiàn)存在的安全危險(xiǎn)和防護(hù)短板,經(jīng)過安全加固提高表里防護(hù)才能。
2、提高操控網(wǎng)絡(luò)鴻溝安全
在新建泵站與老泵站自控中心以及新泵站自控中心與信息中心之間進(jìn)行有用阻隔防護(hù),避免存在被惡意進(jìn)犯及侵略的或許。尤其是針對(duì)PLC操控體系軟硬件縫隙的難以防范的進(jìn)犯行為。
3、加強(qiáng)操控網(wǎng)絡(luò)安全監(jiān)測(cè)與審計(jì)
加強(qiáng)對(duì)工控網(wǎng)絡(luò)進(jìn)行侵略檢測(cè)和網(wǎng)絡(luò)檢測(cè),便于能夠及時(shí)發(fā)現(xiàn)工業(yè)網(wǎng)絡(luò)中的反常行為及侵略行為。工業(yè)操控體系的通訊協(xié)議為了保證通訊實(shí)時(shí)性和可靠性而放棄認(rèn)證、授權(quán)和加密安全特性和功用,安全危險(xiǎn)大。
4、提高運(yùn)維安全
工控體系調(diào)試運(yùn)維作業(yè)離不開安全運(yùn)維渠道,需求有用避免在調(diào)試運(yùn)維過程將病毒、木馬帶入工控體系。
5、進(jìn)行一致的安全辦理
工控體系網(wǎng)離不開一致安全辦理渠道。可有用避免項(xiàng)目后期繼續(xù)運(yùn)維中增加運(yùn)維成本以及工控體系日志需求聚合、一致存儲(chǔ),以便溯源。
6、加強(qiáng)縫隙辦理才能
工控體系網(wǎng)需求專用的體系縫隙掃描技能,一旦不法分子利用縫隙進(jìn)犯工控體系,會(huì)損壞出產(chǎn)連續(xù)性。
03.解決計(jì)劃
該泵站工控體系網(wǎng)絡(luò)安全建造,以適度安全為中心,以重點(diǎn)維護(hù)、危險(xiǎn)辦理、標(biāo)準(zhǔn)化、一致安全辦理為原則,以AI技能賦能、OT/IT交融安全技能產(chǎn)品為依托。
構(gòu)建專用操控網(wǎng)絡(luò):工業(yè)操控網(wǎng)絡(luò)在物理層面上完成操控網(wǎng)與工作信息網(wǎng)的安全阻隔。
構(gòu)建縱深防護(hù)體系:該泵站工控體系分別從主機(jī)安全、網(wǎng)絡(luò)鴻溝安全、安全監(jiān)測(cè)與審計(jì)3個(gè)維度以及一致辦理中心進(jìn)行安全防護(hù),依托安全產(chǎn)品AI機(jī)器學(xué)習(xí)建模,不斷自我優(yōu)化的才能,完成工控體系事務(wù)應(yīng)用的可用性、完整性和保密性維護(hù)的自動(dòng)防護(hù)安全體系,不依賴特征庫的縱深安全防護(hù)體系。
構(gòu)建會(huì)集管控中心:對(duì)布置的安全防護(hù)技能手段在體系范圍內(nèi)進(jìn)行會(huì)集管控,將孤立的安全才能整合成協(xié)同工作的安全防護(hù)體系。
圖1網(wǎng)絡(luò)拓?fù)鋱D
1、主機(jī)安全防護(hù)
在通訊操作站、操作員站、工程師站和數(shù)據(jù)服務(wù)器主機(jī)安裝終端防護(hù)白名單軟件工業(yè)衛(wèi)兵,使主機(jī)免受病毒等各種不合法進(jìn)犯,能夠有用管控主機(jī)的USB等外部端口。針對(duì)Windows主機(jī),它供給完全適用于工控職業(yè)的安全防護(hù),保證要害事務(wù)的運(yùn)轉(zhuǎn),樹立安穩(wěn)的運(yùn)轉(zhuǎn)環(huán)境,同時(shí)有用遏止至今現(xiàn)已迸發(fā)的工控病毒(如“震網(wǎng)”、Havex、“勒索”等)及其變種的運(yùn)轉(zhuǎn)。
▲工業(yè)衛(wèi)兵白名單辦理
▲U盤管控
2、操控網(wǎng)絡(luò)鴻溝安全防護(hù)
自控中心交換機(jī)與老泵站操控體系之間布置工業(yè)防火墻,對(duì)不同的安全區(qū)之間以及安全區(qū)內(nèi)不同安全域鴻溝進(jìn)行安全防護(hù),阻撓網(wǎng)絡(luò)進(jìn)犯在不同區(qū)域間浸透,保證要害財(cái)物和事務(wù)的安全。根據(jù)AI自學(xué)習(xí)后生成并優(yōu)化的白名單戰(zhàn)略防護(hù),阻撓了不可信的數(shù)據(jù)和操作行為,最大程度地防范不知道威脅。
自控中心交換機(jī)與信息中心交換機(jī)之間布置工業(yè)網(wǎng)閘,完成表里網(wǎng)絡(luò)的安全阻隔,數(shù)據(jù)只能以專有數(shù)據(jù)塊方法靜態(tài)地在表里網(wǎng)絡(luò)間進(jìn)行“擺渡”,然后切斷了表里網(wǎng)絡(luò)之間的一切直接銜接。
▲工業(yè)防火墻白名單功用
3、安全監(jiān)測(cè)與審計(jì)
自控中心交換機(jī)旁路布置工業(yè)審計(jì)體系,實(shí)時(shí)檢測(cè)出針對(duì)工業(yè)協(xié)議的網(wǎng)絡(luò)進(jìn)犯、誤操作、違規(guī)操作、不合法IP或不合法設(shè)備接入以及病毒的傳播并實(shí)時(shí)報(bào)警,詳實(shí)記載全部網(wǎng)絡(luò)通訊行為,包含指令級(jí)的工業(yè)操控協(xié)議通訊記載,而且供給回溯功用。
信息中心交換機(jī)旁路布置侵略檢測(cè)體系,對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)收集并進(jìn)行深度剖析,對(duì)那些反常的、或許是侵略行為的數(shù)據(jù)進(jìn)行檢測(cè)和報(bào)警。
▲工業(yè)審計(jì)S7協(xié)議白名單
4、一致辦理中心
構(gòu)建安全辦理中心區(qū)域,該區(qū)域布置監(jiān)管渠道、堡壘機(jī)、日志審計(jì)體系、工業(yè)漏掃體系。
①監(jiān)管渠道,對(duì)網(wǎng)絡(luò)安全設(shè)備一致辦理、裝備、安全戰(zhàn)略一致布置,提高運(yùn)維效率,設(shè)備狀況監(jiān)控,監(jiān)測(cè)網(wǎng)絡(luò)的通訊流量與安全事件,并能對(duì)網(wǎng)絡(luò)內(nèi)的安全威脅進(jìn)行剖析。
②堡壘機(jī),完成對(duì)安全設(shè)備、網(wǎng)絡(luò)設(shè)備、工作站、服務(wù)器等設(shè)備運(yùn)轉(zhuǎn)進(jìn)行會(huì)集監(jiān)測(cè)和一致辦理;對(duì)安全運(yùn)維審計(jì),保存任何操作行為,供給運(yùn)維審計(jì)報(bào)告。
③日志審計(jì)體系,完成對(duì)安全產(chǎn)品日志的一致收集、剖析、存儲(chǔ),對(duì)安全事件的應(yīng)急處置、進(jìn)犯行為的發(fā)現(xiàn)供給技能支撐,以及追尋溯源。
④工業(yè)漏掃供給了縫隙掃描功用、縫隙修復(fù)主張、Windows安全加固功用、縫隙工單辦理模塊等,使脆弱性辦理工作構(gòu)成閉環(huán)。
▲監(jiān)管渠道財(cái)物大屏
▲監(jiān)管渠道戰(zhàn)略裝備下發(fā)
▲工業(yè)漏掃工控體系掃描
04.客戶價(jià)值
1、計(jì)劃以O(shè)T與IT交融技能(OI/IT一體化防護(hù)引擎、一體化知識(shí)庫、一體化防護(hù)功用)、AI人工智能技能賦能的產(chǎn)品協(xié)助客戶樹立高可信度的縱深防護(hù)防護(hù)體系,保證泵站工控網(wǎng)絡(luò)體系長期安全安穩(wěn)運(yùn)轉(zhuǎn);
2、順暢經(jīng)過等級(jí)維護(hù)2.0(三級(jí))測(cè)評(píng),為才智水利渠道建造打下堅(jiān)實(shí)根底;
3、結(jié)合現(xiàn)場(chǎng)原有辦理制度,完善成標(biāo)準(zhǔn)化、規(guī)范化、針對(duì)性的工控體系網(wǎng)絡(luò)安全辦理制度。5e
標(biāo)簽:
才智水利建造
(免費(fèi)聲明:
1、本網(wǎng)站中的文章(包含轉(zhuǎn)貼文章)的版權(quán)僅歸原作者一切,若作者有版權(quán)聲明的或文章從其它網(wǎng)站轉(zhuǎn)載而附帶有原一切站的版權(quán)聲明者,其版權(quán)歸屬以附帶聲明為準(zhǔn)。
2、本網(wǎng)站轉(zhuǎn)載于網(wǎng)絡(luò)的資訊內(nèi)容及文章,咱們會(huì)盡或許注明出處,但不掃除來源不明的狀況。如果您覺得侵犯了您的權(quán)益,請(qǐng)告訴咱們更正。若未聲明,則視為默許。由此而導(dǎo)致的任何法律爭(zhēng)議和結(jié)果,本站不承當(dāng)任何責(zé)任。
3、本網(wǎng)站所轉(zhuǎn)載的資訊內(nèi)容,僅代表作者本人的觀念,與本網(wǎng)站態(tài)度無關(guān)。
4、如有問題可聯(lián)系導(dǎo)航網(wǎng)編輯部,電話:010-88376188,電子郵件:bianjibu@okcis.cn)
01.背景介紹
某大型泵站為保證城市防洪安全,提高城市防洪減災(zāi)才能,新建泵站,泵站依照當(dāng)?shù)胤篮闃?biāo)準(zhǔn)為100年一遇。
該泵站為遵從國家網(wǎng)絡(luò)安全相關(guān)方針標(biāo)準(zhǔn)要求,遵從水利網(wǎng)絡(luò)安全整體戰(zhàn)略和規(guī)劃,執(zhí)行網(wǎng)絡(luò)安全法、安全等級(jí)維護(hù)和要害信息根底設(shè)施維護(hù)相關(guān)要求,樹立和完善以包含縱深防護(hù)為根底、監(jiān)測(cè)預(yù)警為中心、應(yīng)急響應(yīng)為抓手的網(wǎng)絡(luò)安全防護(hù)體系。
泵站自動(dòng)化體系由計(jì)算機(jī)自動(dòng)操控體系、視頻監(jiān)控體系、信息辦理體系及視頻會(huì)議體系四個(gè)子體系組成,自控體系包含主機(jī)組、輔機(jī)、配電設(shè)備、介質(zhì)監(jiān)測(cè)與操控,是保證泵站正常運(yùn)轉(zhuǎn)的要害。工控體系規(guī)劃初衷是保證其功用安穩(wěn)、可靠,可是安全層面上任何網(wǎng)絡(luò)節(jié)點(diǎn)均存在被不合法訪問者侵略的危險(xiǎn),一旦遭受侵略,甚至可造成自控體系的中斷。
02.項(xiàng)目需求
經(jīng)過縱深防護(hù)樹立合規(guī)網(wǎng)絡(luò)防護(hù)根底,提高網(wǎng)絡(luò)安全危險(xiǎn)威脅的迅速發(fā)現(xiàn)和處置才能。
1、強(qiáng)化工業(yè)主機(jī)安全防護(hù)
從事件預(yù)防的角度開展對(duì)工業(yè)主機(jī)的安全加固工作,發(fā)現(xiàn)存在的安全危險(xiǎn)和防護(hù)短板,經(jīng)過安全加固提高表里防護(hù)才能。
2、提高操控網(wǎng)絡(luò)鴻溝安全
在新建泵站與老泵站自控中心以及新泵站自控中心與信息中心之間進(jìn)行有用阻隔防護(hù),避免存在被惡意進(jìn)犯及侵略的或許。尤其是針對(duì)PLC操控體系軟硬件縫隙的難以防范的進(jìn)犯行為。
3、加強(qiáng)操控網(wǎng)絡(luò)安全監(jiān)測(cè)與審計(jì)
加強(qiáng)對(duì)工控網(wǎng)絡(luò)進(jìn)行侵略檢測(cè)和網(wǎng)絡(luò)檢測(cè),便于能夠及時(shí)發(fā)現(xiàn)工業(yè)網(wǎng)絡(luò)中的反常行為及侵略行為。工業(yè)操控體系的通訊協(xié)議為了保證通訊實(shí)時(shí)性和可靠性而放棄認(rèn)證、授權(quán)和加密安全特性和功用,安全危險(xiǎn)大。
4、提高運(yùn)維安全
工控體系調(diào)試運(yùn)維作業(yè)離不開安全運(yùn)維渠道,需求有用避免在調(diào)試運(yùn)維過程將病毒、木馬帶入工控體系。
5、進(jìn)行一致的安全辦理
工控體系網(wǎng)離不開一致安全辦理渠道。可有用避免項(xiàng)目后期繼續(xù)運(yùn)維中增加運(yùn)維成本以及工控體系日志需求聚合、一致存儲(chǔ),以便溯源。
6、加強(qiáng)縫隙辦理才能
工控體系網(wǎng)需求專用的體系縫隙掃描技能,一旦不法分子利用縫隙進(jìn)犯工控體系,會(huì)損壞出產(chǎn)連續(xù)性。
03.解決計(jì)劃
該泵站工控體系網(wǎng)絡(luò)安全建造,以適度安全為中心,以重點(diǎn)維護(hù)、危險(xiǎn)辦理、標(biāo)準(zhǔn)化、一致安全辦理為原則,以AI技能賦能、OT/IT交融安全技能產(chǎn)品為依托。
構(gòu)建專用操控網(wǎng)絡(luò):工業(yè)操控網(wǎng)絡(luò)在物理層面上完成操控網(wǎng)與工作信息網(wǎng)的安全阻隔。
構(gòu)建縱深防護(hù)體系:該泵站工控體系分別從主機(jī)安全、網(wǎng)絡(luò)鴻溝安全、安全監(jiān)測(cè)與審計(jì)3個(gè)維度以及一致辦理中心進(jìn)行安全防護(hù),依托安全產(chǎn)品AI機(jī)器學(xué)習(xí)建模,不斷自我優(yōu)化的才能,完成工控體系事務(wù)應(yīng)用的可用性、完整性和保密性維護(hù)的自動(dòng)防護(hù)安全體系,不依賴特征庫的縱深安全防護(hù)體系。
構(gòu)建會(huì)集管控中心:對(duì)布置的安全防護(hù)技能手段在體系范圍內(nèi)進(jìn)行會(huì)集管控,將孤立的安全才能整合成協(xié)同工作的安全防護(hù)體系。
圖1網(wǎng)絡(luò)拓?fù)鋱D
1、主機(jī)安全防護(hù)
在通訊操作站、操作員站、工程師站和數(shù)據(jù)服務(wù)器主機(jī)安裝終端防護(hù)白名單軟件工業(yè)衛(wèi)兵,使主機(jī)免受病毒等各種不合法進(jìn)犯,能夠有用管控主機(jī)的USB等外部端口。針對(duì)Windows主機(jī),它供給完全適用于工控職業(yè)的安全防護(hù),保證要害事務(wù)的運(yùn)轉(zhuǎn),樹立安穩(wěn)的運(yùn)轉(zhuǎn)環(huán)境,同時(shí)有用遏止至今現(xiàn)已迸發(fā)的工控病毒(如“震網(wǎng)”、Havex、“勒索”等)及其變種的運(yùn)轉(zhuǎn)。
▲工業(yè)衛(wèi)兵白名單辦理
▲U盤管控
2、操控網(wǎng)絡(luò)鴻溝安全防護(hù)
自控中心交換機(jī)與老泵站操控體系之間布置工業(yè)防火墻,對(duì)不同的安全區(qū)之間以及安全區(qū)內(nèi)不同安全域鴻溝進(jìn)行安全防護(hù),阻撓網(wǎng)絡(luò)進(jìn)犯在不同區(qū)域間浸透,保證要害財(cái)物和事務(wù)的安全。根據(jù)AI自學(xué)習(xí)后生成并優(yōu)化的白名單戰(zhàn)略防護(hù),阻撓了不可信的數(shù)據(jù)和操作行為,最大程度地防范不知道威脅。
自控中心交換機(jī)與信息中心交換機(jī)之間布置工業(yè)網(wǎng)閘,完成表里網(wǎng)絡(luò)的安全阻隔,數(shù)據(jù)只能以專有數(shù)據(jù)塊方法靜態(tài)地在表里網(wǎng)絡(luò)間進(jìn)行“擺渡”,然后切斷了表里網(wǎng)絡(luò)之間的一切直接銜接。
▲工業(yè)防火墻白名單功用
3、安全監(jiān)測(cè)與審計(jì)
自控中心交換機(jī)旁路布置工業(yè)審計(jì)體系,實(shí)時(shí)檢測(cè)出針對(duì)工業(yè)協(xié)議的網(wǎng)絡(luò)進(jìn)犯、誤操作、違規(guī)操作、不合法IP或不合法設(shè)備接入以及病毒的傳播并實(shí)時(shí)報(bào)警,詳實(shí)記載全部網(wǎng)絡(luò)通訊行為,包含指令級(jí)的工業(yè)操控協(xié)議通訊記載,而且供給回溯功用。
信息中心交換機(jī)旁路布置侵略檢測(cè)體系,對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)收集并進(jìn)行深度剖析,對(duì)那些反常的、或許是侵略行為的數(shù)據(jù)進(jìn)行檢測(cè)和報(bào)警。
▲工業(yè)審計(jì)S7協(xié)議白名單
4、一致辦理中心
構(gòu)建安全辦理中心區(qū)域,該區(qū)域布置監(jiān)管渠道、堡壘機(jī)、日志審計(jì)體系、工業(yè)漏掃體系。
①監(jiān)管渠道,對(duì)網(wǎng)絡(luò)安全設(shè)備一致辦理、裝備、安全戰(zhàn)略一致布置,提高運(yùn)維效率,設(shè)備狀況監(jiān)控,監(jiān)測(cè)網(wǎng)絡(luò)的通訊流量與安全事件,并能對(duì)網(wǎng)絡(luò)內(nèi)的安全威脅進(jìn)行剖析。
②堡壘機(jī),完成對(duì)安全設(shè)備、網(wǎng)絡(luò)設(shè)備、工作站、服務(wù)器等設(shè)備運(yùn)轉(zhuǎn)進(jìn)行會(huì)集監(jiān)測(cè)和一致辦理;對(duì)安全運(yùn)維審計(jì),保存任何操作行為,供給運(yùn)維審計(jì)報(bào)告。
③日志審計(jì)體系,完成對(duì)安全產(chǎn)品日志的一致收集、剖析、存儲(chǔ),對(duì)安全事件的應(yīng)急處置、進(jìn)犯行為的發(fā)現(xiàn)供給技能支撐,以及追尋溯源。
④工業(yè)漏掃供給了縫隙掃描功用、縫隙修復(fù)主張、Windows安全加固功用、縫隙工單辦理模塊等,使脆弱性辦理工作構(gòu)成閉環(huán)。
▲監(jiān)管渠道財(cái)物大屏
▲監(jiān)管渠道戰(zhàn)略裝備下發(fā)
▲工業(yè)漏掃工控體系掃描
04.客戶價(jià)值
1、計(jì)劃以O(shè)T與IT交融技能(OI/IT一體化防護(hù)引擎、一體化知識(shí)庫、一體化防護(hù)功用)、AI人工智能技能賦能的產(chǎn)品協(xié)助客戶樹立高可信度的縱深防護(hù)防護(hù)體系,保證泵站工控網(wǎng)絡(luò)體系長期安全安穩(wěn)運(yùn)轉(zhuǎn);
2、順暢經(jīng)過等級(jí)維護(hù)2.0(三級(jí))測(cè)評(píng),為才智水利渠道建造打下堅(jiān)實(shí)根底;
3、結(jié)合現(xiàn)場(chǎng)原有辦理制度,完善成標(biāo)準(zhǔn)化、規(guī)范化、針對(duì)性的工控體系網(wǎng)絡(luò)安全辦理制度。5e
標(biāo)簽:
才智水利建造
(免費(fèi)聲明:
1、本網(wǎng)站中的文章(包含轉(zhuǎn)貼文章)的版權(quán)僅歸原作者一切,若作者有版權(quán)聲明的或文章從其它網(wǎng)站轉(zhuǎn)載而附帶有原一切站的版權(quán)聲明者,其版權(quán)歸屬以附帶聲明為準(zhǔn)。
2、本網(wǎng)站轉(zhuǎn)載于網(wǎng)絡(luò)的資訊內(nèi)容及文章,咱們會(huì)盡或許注明出處,但不掃除來源不明的狀況。如果您覺得侵犯了您的權(quán)益,請(qǐng)告訴咱們更正。若未聲明,則視為默許。由此而導(dǎo)致的任何法律爭(zhēng)議和結(jié)果,本站不承當(dāng)任何責(zé)任。
3、本網(wǎng)站所轉(zhuǎn)載的資訊內(nèi)容,僅代表作者本人的觀念,與本網(wǎng)站態(tài)度無關(guān)。
4、如有問題可聯(lián)系導(dǎo)航網(wǎng)編輯部,電話:010-88376188,電子郵件:bianjibu@okcis.cn)