關于利譜
ABOUT TIPTOP
基于等保三級鋪設的工控安全保護網
隨著互聯網技術的加速發展,云計算、5G技術、人工智能等新一代信息技術與制造技術的加速融合,使得工業控制系統正從封閉獨立逐步走向開放互聯。與此同時,工業信息系統普遍存在的網絡安全問題也愈顯突出,如安全管理制度不健全、相關標準規范缺失、技術防護措施不到位、監測與態勢感知能力不足、安全防護能力和應急處置能力不高等等,尤其是工業企業在資產、信息、數據和網絡連接發生數量級增長后,平臺安全、數據安全、應用安全、支付安全、交易安全、物聯網設備安全、控制系統安全成為企業實現一體化、全周期安全運營必須重視和攻克的挑戰。在黨的二十大報告中,習近平總書記著重強調了:“要推進國家安全體系和能力現代化,堅決維護國家安全和社會穩定?!泵鎸@種系統性、全面性問題以及可能產生全局性、災難性的后果和影響,如何有效保障網絡與信息安全,是數字時代的重要課題。
工業控制系統安全建設框架
由于工業控制網絡中多為自動化領域的設備及應用,其在技術執行過程中與傳統信息領域有著較大的差異。故在工業控制系統安全體系設計過程中,需要基于等級保護“一個中心,三重防護”的核心理念,采用面向工業領域的專業安全技術手段,按區域、分層級進行安全防護。
工業安全總體建設設計
工業總體的安全建設包含了安全計算環境防護、安全區域邊界防護、安全通信網絡防護。
安全計算環境
在生產控制層與生產監控層之間部署工控防火墻,,對用戶實施基于角色的訪問控制策略,現場設備收到操作命令后,應檢驗該用戶綁定的角色是否擁有執行該操作的權限
安全通信網絡
在工業控制系統與其它系統之間部署工控網閘,實現單向技術隔離;
在不同安全域邊界部署工控防火墻,實現對通信鏈路的風險管控;
應用工控防火墻的VPN模塊或采用獨立VPN設備對無線傳輸過程進行加密,保證通信過程中數據的完整性、保密性。
安全區域邊界
在工業控制系統與其它系統之間部署工控網閘,實現網絡邊界隔離和訪問控制;
在生產區域內部各安全域間部署工控防火墻,對各安全域之間的訪問行為進行細粒度控制;
部署工控審計、日志審計,對用戶行為和安全事件進行審計和分析;
部署工控入侵檢測與審計系統,對外部或內部發起的網絡攻擊行為進行檢測、分析和預警防范。
具體部署方案如下圖所示:
根據對各個安全系統的詳細設計,已經可以比較清晰的勾畫出工業網絡安全建設的整體全景如下圖所示。
網絡安全審計系統主要用于監視并記錄網絡中的各類操作,偵察系統中存在的現有和潛在的威脅,實時地綜合分析出網絡中發生的安全事件,包括各種外部事件和內部事件。
在交換機處并接部署網絡行為監控與審計系統,形成對全網網絡數據的流量監測并進行相應安全審計,同時和其它網絡安全設備共同為集中安全管理提供監控數據用于分析及檢測。
網絡行為監控和審計系統將獨立的網絡傳感器硬件組件連接到網絡中的數據會聚點設備上,對網絡中的數據包進行分析、匹配、統計,通過特定的協議算法,從而實現入侵檢測、信息還原等網絡審計功能,根據記錄生成詳細的審計報表。
網絡行為監控和審計系統采用旁路技術,不用在目標主機中安裝任何組件。同時網絡審計系統可以與其它網絡安全設備進行聯動,將各自的監控記錄送往安全管理安全域中的安全管理服務器,集中對網絡異常、攻擊和病毒進行分析和檢測。
通過對工業網絡的邊界風險與需求分析,在網絡層進行訪問控制需部署防火墻產品,可以對所有流經防火墻的數據包按照嚴格的安全規則進行過濾,將所有不安全的或不符合安全規則的數據包屏蔽,杜絕越權訪問,防止各類非法攻擊行為。同時可以和內網安全管理系統、網絡入侵檢測系統等進行安全聯動,為網絡創造全面縱深的安全防御體系。
根據工業控制網絡內部網絡不同區域、工業控制網絡與互聯網邊界的互聯互通。對這些訪問行為,需要對數據交換、傳輸協議、傳輸內容、安全決策等進行嚴格的檢查,以防止有互聯網引入風險。防火墻進行嚴格的訪問控制的設定,確保訪問身份的合法性。
但是,防火墻無法高度保證傳輸內容、協議、數據的安全性。同時,需要對互聯網業務對工業控制內網數據庫的訪問進行嚴格的管理控制,不允許互聯網用戶訪問到工業控制網絡相關系統。
可以通過在互聯網安全域與工業控制網絡的安全邊界上、在工業控制網絡與現場設備層之間部署安全隔離網閘,對各部門的數據庫實現按需數據同步。
通過這種方式,可以為訪問提供更高的安全性保障。安全隔離網閘兩側網絡之間所有的TCP/IP連接在其主機系統上都要進行完全的應用協議還原,還原后的應用層信息根據用戶的策略進行強制檢查后,以格式化數據塊的方式通過隔離交換矩陣進行單向交換,在另外一端的主機系統上通過自身建立的安全會話進行最終的數據通信,即實現“協議落地、內容檢測”。這樣,既從物理上隔離、阻斷了具有潛在攻擊可能的一切連接,又進行了強制內容檢測,從而實現最高級別的安全。
在各區域邊界,防火墻起到了協議過濾的主要作用,根據安全策略在偏重在網絡層判斷數據包的合法流動。但面對越來越廣泛的基于應用層內容的攻擊行為,防火墻并不擅長處理應用層數據。
在工業控制系統網絡邊界和主要服務器區安全域均已經設計部署了防火墻,對每個安全域進行嚴格的訪問控制。鑒于以上對防火墻核心作用的分析,需要其他具備檢測新型的混合攻擊和防護的能力的設備和防火墻配合,共同防御來自應用層到網絡層的多種攻擊類型,建立一整套的安全防護體系,進行多層次、多手段的檢測和防護。入侵防護系統(IPS)就是安全防護體系中重要的一環,它能夠及時識別網絡中發生的入侵行為并實時報警并且進行有效攔截防護。
客戶價值
深圳利譜基于安全等級保護2.0的工業信息安全解決方案針對客戶工業控制系統網絡存在的安全風險,從安全防護、安全檢測等不同維度構建縱深防御體系,保障生產網絡安全的同時也為客戶帶來以下具體收益:
深圳利譜工業安全等級保護安全解決方案基于業務行為基線的安全技術手段,構建生產網絡“白環境”,可制定訪問控制、外設管理、基線模型等多種細粒度安全策略,最大程度實現生產業務零影響,保障生產業務可靠運行;
借助深圳利譜工業安全防護、工業安全審計產品等,建立符合等級保護標準要求的控制領域全方位安全防控體系,從而全面提升客戶信息化安全防護水平;
為客戶生產運營提供過程的可用性、完整性和保密性保護,并在此基礎上實現綜合集中安全管理,構建縱深的安全防御體系,提升工業控制系統整體安全能力。
加入我們
Copyright ? 2000-2023 深圳市利譜信息技術有限公司 版權所有. 粵ICP備11081537號