邊界安全
關(guān)于利譜
ABOUT TIPTOP
基于等保三級鋪設(shè)的工控安全保護網(wǎng)
隨著互聯(lián)網(wǎng)技術(shù)的加速發(fā)展,云計算、5G技術(shù)、人工智能等新一代信息技術(shù)與制造技術(shù)的加速融合,使得工業(yè)控制系統(tǒng)正從封閉獨立逐步走向開放互聯(lián)。與此同時,工業(yè)信息系統(tǒng)普遍存在的網(wǎng)絡(luò)安全問題也愈顯突出,如安全管理制度不健全、相關(guān)標(biāo)準(zhǔn)規(guī)范缺失、技術(shù)防護措施不到位、監(jiān)測與態(tài)勢感知能力不足、安全防護能力和應(yīng)急處置能力不高等等,尤其是工業(yè)企業(yè)在資產(chǎn)、信息、數(shù)據(jù)和網(wǎng)絡(luò)連接發(fā)生數(shù)量級增長后,平臺安全、數(shù)據(jù)安全、應(yīng)用安全、支付安全、交易安全、物聯(lián)網(wǎng)設(shè)備安全、控制系統(tǒng)安全成為企業(yè)實現(xiàn)一體化、全周期安全運營必須重視和攻克的挑戰(zhàn)。在黨的二十大報告中,習(xí)近平總書記著重強調(diào)了:“要推進國家安全體系和能力現(xiàn)代化,堅決維護國家安全和社會穩(wěn)定。”面對這種系統(tǒng)性、全面性問題以及可能產(chǎn)生全局性、災(zāi)難性的后果和影響,如何有效保障網(wǎng)絡(luò)與信息安全,是數(shù)字時代的重要課題。
工業(yè)控制系統(tǒng)安全建設(shè)框架
由于工業(yè)控制網(wǎng)絡(luò)中多為自動化領(lǐng)域的設(shè)備及應(yīng)用,其在技術(shù)執(zhí)行過程中與傳統(tǒng)信息領(lǐng)域有著較大的差異。故在工業(yè)控制系統(tǒng)安全體系設(shè)計過程中,需要基于等級保護“一個中心,三重防護”的核心理念,采用面向工業(yè)領(lǐng)域的專業(yè)安全技術(shù)手段,按區(qū)域、分層級進行安全防護。
工業(yè)安全總體建設(shè)設(shè)計
工業(yè)總體的安全建設(shè)包含了安全計算環(huán)境防護、安全區(qū)域邊界防護、安全通信網(wǎng)絡(luò)防護。
安全計算環(huán)境
在生產(chǎn)控制層與生產(chǎn)監(jiān)控層之間部署工控防火墻,,對用戶實施基于角色的訪問控制策略,現(xiàn)場設(shè)備收到操作命令后,應(yīng)檢驗該用戶綁定的角色是否擁有執(zhí)行該操作的權(quán)限
安全通信網(wǎng)絡(luò)
在工業(yè)控制系統(tǒng)與其它系統(tǒng)之間部署工控網(wǎng)閘,實現(xiàn)單向技術(shù)隔離;
在不同安全域邊界部署工控防火墻,實現(xiàn)對通信鏈路的風(fēng)險管控;
應(yīng)用工控防火墻的VPN模塊或采用獨立VPN設(shè)備對無線傳輸過程進行加密,保證通信過程中數(shù)據(jù)的完整性、保密性。
安全區(qū)域邊界
在工業(yè)控制系統(tǒng)與其它系統(tǒng)之間部署工控網(wǎng)閘,實現(xiàn)網(wǎng)絡(luò)邊界隔離和訪問控制;
在生產(chǎn)區(qū)域內(nèi)部各安全域間部署工控防火墻,對各安全域之間的訪問行為進行細粒度控制;
部署工控審計、日志審計,對用戶行為和安全事件進行審計和分析;
部署工控入侵檢測與審計系統(tǒng),對外部或內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為進行檢測、分析和預(yù)警防范。
具體部署方案如下圖所示:
根據(jù)對各個安全系統(tǒng)的詳細設(shè)計,已經(jīng)可以比較清晰的勾畫出工業(yè)網(wǎng)絡(luò)安全建設(shè)的整體全景如下圖所示。
網(wǎng)絡(luò)安全審計系統(tǒng)主要用于監(jiān)視并記錄網(wǎng)絡(luò)中的各類操作,偵察系統(tǒng)中存在的現(xiàn)有和潛在的威脅,實時地綜合分析出網(wǎng)絡(luò)中發(fā)生的安全事件,包括各種外部事件和內(nèi)部事件。
在交換機處并接部署網(wǎng)絡(luò)行為監(jiān)控與審計系統(tǒng),形成對全網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)的流量監(jiān)測并進行相應(yīng)安全審計,同時和其它網(wǎng)絡(luò)安全設(shè)備共同為集中安全管理提供監(jiān)控數(shù)據(jù)用于分析及檢測。
網(wǎng)絡(luò)行為監(jiān)控和審計系統(tǒng)將獨立的網(wǎng)絡(luò)傳感器硬件組件連接到網(wǎng)絡(luò)中的數(shù)據(jù)會聚點設(shè)備上,對網(wǎng)絡(luò)中的數(shù)據(jù)包進行分析、匹配、統(tǒng)計,通過特定的協(xié)議算法,從而實現(xiàn)入侵檢測、信息還原等網(wǎng)絡(luò)審計功能,根據(jù)記錄生成詳細的審計報表。
網(wǎng)絡(luò)行為監(jiān)控和審計系統(tǒng)采用旁路技術(shù),不用在目標(biāo)主機中安裝任何組件。同時網(wǎng)絡(luò)審計系統(tǒng)可以與其它網(wǎng)絡(luò)安全設(shè)備進行聯(lián)動,將各自的監(jiān)控記錄送往安全管理安全域中的安全管理服務(wù)器,集中對網(wǎng)絡(luò)異常、攻擊和病毒進行分析和檢測。
通過對工業(yè)網(wǎng)絡(luò)的邊界風(fēng)險與需求分析,在網(wǎng)絡(luò)層進行訪問控制需部署防火墻產(chǎn)品,可以對所有流經(jīng)防火墻的數(shù)據(jù)包按照嚴(yán)格的安全規(guī)則進行過濾,將所有不安全的或不符合安全規(guī)則的數(shù)據(jù)包屏蔽,杜絕越權(quán)訪問,防止各類非法攻擊行為。同時可以和內(nèi)網(wǎng)安全管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測系統(tǒng)等進行安全聯(lián)動,為網(wǎng)絡(luò)創(chuàng)造全面縱深的安全防御體系。
根據(jù)工業(yè)控制網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)不同區(qū)域、工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)邊界的互聯(lián)互通。對這些訪問行為,需要對數(shù)據(jù)交換、傳輸協(xié)議、傳輸內(nèi)容、安全決策等進行嚴(yán)格的檢查,以防止有互聯(lián)網(wǎng)引入風(fēng)險。防火墻進行嚴(yán)格的訪問控制的設(shè)定,確保訪問身份的合法性。
但是,防火墻無法高度保證傳輸內(nèi)容、協(xié)議、數(shù)據(jù)的安全性。同時,需要對互聯(lián)網(wǎng)業(yè)務(wù)對工業(yè)控制內(nèi)網(wǎng)數(shù)據(jù)庫的訪問進行嚴(yán)格的管理控制,不允許互聯(lián)網(wǎng)用戶訪問到工業(yè)控制網(wǎng)絡(luò)相關(guān)系統(tǒng)。
可以通過在互聯(lián)網(wǎng)安全域與工業(yè)控制網(wǎng)絡(luò)的安全邊界上、在工業(yè)控制網(wǎng)絡(luò)與現(xiàn)場設(shè)備層之間部署安全隔離網(wǎng)閘,對各部門的數(shù)據(jù)庫實現(xiàn)按需數(shù)據(jù)同步。
通過這種方式,可以為訪問提供更高的安全性保障。安全隔離網(wǎng)閘兩側(cè)網(wǎng)絡(luò)之間所有的TCP/IP連接在其主機系統(tǒng)上都要進行完全的應(yīng)用協(xié)議還原,還原后的應(yīng)用層信息根據(jù)用戶的策略進行強制檢查后,以格式化數(shù)據(jù)塊的方式通過隔離交換矩陣進行單向交換,在另外一端的主機系統(tǒng)上通過自身建立的安全會話進行最終的數(shù)據(jù)通信,即實現(xiàn)“協(xié)議落地、內(nèi)容檢測”。這樣,既從物理上隔離、阻斷了具有潛在攻擊可能的一切連接,又進行了強制內(nèi)容檢測,從而實現(xiàn)最高級別的安全。
在各區(qū)域邊界,防火墻起到了協(xié)議過濾的主要作用,根據(jù)安全策略在偏重在網(wǎng)絡(luò)層判斷數(shù)據(jù)包的合法流動。但面對越來越廣泛的基于應(yīng)用層內(nèi)容的攻擊行為,防火墻并不擅長處理應(yīng)用層數(shù)據(jù)。
在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)邊界和主要服務(wù)器區(qū)安全域均已經(jīng)設(shè)計部署了防火墻,對每個安全域進行嚴(yán)格的訪問控制。鑒于以上對防火墻核心作用的分析,需要其他具備檢測新型的混合攻擊和防護的能力的設(shè)備和防火墻配合,共同防御來自應(yīng)用層到網(wǎng)絡(luò)層的多種攻擊類型,建立一整套的安全防護體系,進行多層次、多手段的檢測和防護。入侵防護系統(tǒng)(IPS)就是安全防護體系中重要的一環(huán),它能夠及時識別網(wǎng)絡(luò)中發(fā)生的入侵行為并實時報警并且進行有效攔截防護。
客戶價值
深圳利譜基于安全等級保護2.0的工業(yè)信息安全解決方案針對客戶工業(yè)控制系統(tǒng)網(wǎng)絡(luò)存在的安全風(fēng)險,從安全防護、安全檢測等不同維度構(gòu)建縱深防御體系,保障生產(chǎn)網(wǎng)絡(luò)安全的同時也為客戶帶來以下具體收益:
深圳利譜工業(yè)安全等級保護安全解決方案基于業(yè)務(wù)行為基線的安全技術(shù)手段,構(gòu)建生產(chǎn)網(wǎng)絡(luò)“白環(huán)境”,可制定訪問控制、外設(shè)管理、基線模型等多種細粒度安全策略,最大程度實現(xiàn)生產(chǎn)業(yè)務(wù)零影響,保障生產(chǎn)業(yè)務(wù)可靠運行;
借助深圳利譜工業(yè)安全防護、工業(yè)安全審計產(chǎn)品等,建立符合等級保護標(biāo)準(zhǔn)要求的控制領(lǐng)域全方位安全防控體系,從而全面提升客戶信息化安全防護水平;
為客戶生產(chǎn)運營提供過程的可用性、完整性和保密性保護,并在此基礎(chǔ)上實現(xiàn)綜合集中安全管理,構(gòu)建縱深的安全防御體系,提升工業(yè)控制系統(tǒng)整體安全能力。
技術(shù)支持
服務(wù)專區(qū)
關(guān)于利譜
Copyright ? 2000-2023 深圳市利譜信息技術(shù)有限公司 版權(quán)所有. 粵ICP備11081537號
保密安全
工業(yè)安全
安全服務(wù)
隔離網(wǎng)閘方案
單向光閘方案
數(shù)據(jù)安全交換平臺
工業(yè)安全解決方案
技術(shù)支持熱線
下載中心
常見問題
生命周期管理
關(guān)于利譜
新聞報道
企業(yè)文化
資質(zhì)證書
代理加盟
公司榮譽
典型用戶
聯(lián)系我們
社會招聘
技術(shù)咨詢