股票代码:688225
打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
立即咨询
行业背景
随着“中国制造2025”、“两化融合”等国家战略的快速推进,工业控制系统已经普遍应用于能源、钢铁、制造、轨交、烟草等行业,为企业降本增效的同时,工业控制信息系统安全问题日益凸显,遭受网络攻击引起的工业控制系统衍生性危害巨大,轻则设备损坏、停工停产;重则人员伤亡,甚至对国家安全造成严重损害,不断发生的针对工业控制系统的网络安全事件时有发生。
为保障工业控制系统安全稳定运行,须根据《GB/T22239-2019信息安全技术网络安全等级保护基本要求》,为工业控制系统提供满足实时性、稳定性要求为前提的等级保护安全解决方案。
安全问题
为满足企业数字化转型,工业控制系统逐步打破了原始信息孤岛的形式,工业控制系统采用私有的工业通讯协议与软硬件系统,将生产单元区、企业办公区、工业安全区甚至企业安全区打通,进行数据共享,为工业生产带来极大推动作用的同时,也带来了诸多工控系统的安全问题。
以往的IT网络安全防护技术不能适应现有的工业控制系统安全防护需求(如无法实现OPC动态端口协议以及其他工业协议深度解析的安全防护需求),可见工业控制系统安全任重道远,刻不容缓!
网络安全风险和漏洞常见问题
-
网络边界模糊 -
工业协议自身安全问题 -
工控机系统漏洞 -
工业病毒攻击 -
非法网络嗅探 -
APT攻击 -
工业组态软件与控制器漏洞 -
勒索病毒 -
未经授权访问
解决方案
根据等保2.0中对要求,对于工业控制系统的等级保护方案应遵循“一个中心,三重防护”的防护原则。
一个中心
- 安全管理中心设计
- 通过安全管理平台对工控网络系统内部安全探针实现安全设备集中状态监控、日志收集、策略下发等通过安全管理中心实现对整个工控系统网络安全威胁的集中管控与展示。部署日志审计系统,实现日志留存、审计分析,为安全专员提供有效技术手段通过工业堡垒机进行认证管理、账号管理、权限管理、操作审计等策略,实现运维操作的准入、控制以及审计。
三重防护
- 安全区域边界设计
- 通过工控网闸实现工业控制系统与非工控网络之间的边界安全隔离与访问控制;通过工控防火墙系统实现控制系统内部协议传输过程中的工业协议深度解析与访问控制;通过工业全流量检测审计与溯源系统、工业网络监测审计系统实时监测来自边界处的入侵、病毒、木马等攻击行为,对攻击行为和关键事件及时告警与拦截。为纵深安全防御体系建设打下坚实基础。
- 安全通信网络设计
- 通过工业网闸数据单向摆渡的机制,对工业数据进行单向传输,杜绝任何来自除工控网络以外其他系统的网络威胁。通过在工业控制系统内部部署工控防火墙实现上位机之间、上位机与下位机之间的安全工业数据通信链路,对于使用互联网传输的工业数据可利用虚拟专用网络技术(VPN)防止工业数据传输过程中被窃听、篡改、冒充。
- 安全计算环境设计
- 通过在生产控制区域内的工程师站、操作员站部署工业主机白名单产品,对工控主机系统、工控软件、接入设备等计算环境进行安全加固与白名单管理。实现主机恶意代码防范,提升主机本体防御能力。同时可规划工控审计类、入侵检测类组成安全的计算环境检测体系,实时监控工控网络环境,发现异常及时告警。
工业安全产品族
工业安全引领者
-
- 控制
- 工业生产设备
-
- 执行
- 防范风险产生
-
- 管理
- 安全合规生产
-
- 决策
- 规避潜在问题
亚信工业控制系统等级保护解决方案拓扑图
工业控制系统网络架构应遵循IEC62264工业控制系统普渡模型,但随着信息物理系统的发展,已不能完全适用,
因此对于不同的行业企业实际发展情况,允许部分层级合并。
因此对于不同的行业企业实际发展情况,允许部分层级合并。
