Image
   熱線電話:

? ??400-0351-366

Image

解決方案

Image

SOLUTION

                                                                                                          煤礦行業(yè)工業(yè)控制系統(tǒng)安全防護解決方案  

一、背景情況  
       煤炭工業(yè)控制系統(tǒng)是整個煤炭企業(yè)安全生產(chǎn)監(jiān)控系統(tǒng)信息的集成,它需要一個快速、安全、可靠的網(wǎng)絡(luò)平臺為大量的信息流動提供支撐,同時要有一個功能全面的安全生產(chǎn)信息應用系統(tǒng)為礦井安全生產(chǎn)提供科學調(diào)度、決策的依據(jù)。做好煤炭企業(yè)工控安全建設(shè)是實現(xiàn)生產(chǎn)安全的必要保障。  

       綜合自動化系統(tǒng)是指在工業(yè)生產(chǎn)、管理、經(jīng)營過程中,通過信息基礎(chǔ)設(shè)施,在集成平臺上,實現(xiàn)信息的采集、信息的傳輸、信息的處理以及信息的綜合利用等。將先進和自動控制、通訊、信息技術(shù)和現(xiàn)化管理技術(shù)結(jié)合,將企業(yè)的生產(chǎn)過程控制、運行與管理作為一個整體進行控制與管理,提供整體解決方案,以實現(xiàn)企業(yè)的優(yōu)化運行、控制和管理。  

二、安全分析  

(1)缺乏整體信息安全規(guī)劃;  

(2)缺乏工控安全管理制度、應急預案、培訓與意識培養(yǎng);  

(3)調(diào)度人員有時通過連通互聯(lián)網(wǎng)的手機在調(diào)度室主機U口上充電,導致生產(chǎn)網(wǎng)絡(luò)通過手機被打通,造成邊界模糊。  

(4)主機操作系統(tǒng)老舊,從不升級,極易出現(xiàn)安全漏洞和缺陷;新建系統(tǒng)主機雖然會安裝殺毒軟件,但是為保障生產(chǎn)運行,殺毒軟件一般處于關(guān)閉狀態(tài),這些都存在安全隱患,無法防御“0-DAY”病毒和勒索病毒。  

(5)調(diào)度人員或運維人員使用帶有病毒的U盤插入主機中,造成整個網(wǎng)絡(luò)感染病毒。  

(6)煤炭生產(chǎn)現(xiàn)場PLC多為西門子或AB的產(chǎn)品,而PLC本身存在漏洞,西門子和AB近些年被曝出存在高危漏洞,攻擊者可以利用漏洞控制現(xiàn)場設(shè)備,執(zhí)行錯誤命令,嚴重影響安全生產(chǎn)。  

(7)黑客也可通過技術(shù)手段潛入生產(chǎn)網(wǎng)絡(luò),獲取關(guān)鍵生產(chǎn)數(shù)據(jù),牟取利益。  



三、煤礦行業(yè)工控系統(tǒng)安全防護解決方案  

安全防護原則  

(1)安全分區(qū)  

       對于生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)、企業(yè)集團內(nèi)網(wǎng)存在互聯(lián)互通的現(xiàn)象,首先需要進行網(wǎng)絡(luò)優(yōu)化,明確生產(chǎn)網(wǎng)絡(luò)邊界,盡量避免多個生產(chǎn)網(wǎng)絡(luò)邊界的現(xiàn)象。  

(2)安全審計  

       對生產(chǎn)網(wǎng)絡(luò)內(nèi)部的日常操作行為進行基于白名單策略監(jiān)控,及時發(fā)現(xiàn)網(wǎng)絡(luò)中存在的異常流量、違規(guī)操作、非法訪問、惡意程序等異常行為,并要求對生產(chǎn)網(wǎng)絡(luò)的運行日志進行記錄保存,至少保留6個月;對于已經(jīng)發(fā)生攻擊事件的情況,要求可以對攻擊事件進行追蹤、溯源,定位網(wǎng)絡(luò)攻擊的位置或具體用戶。  

(3)邊界防護  

       根據(jù)業(yè)務網(wǎng)絡(luò)實際情況,在生產(chǎn)網(wǎng)絡(luò)外部邊界處部署工業(yè)防火墻或單向隔離網(wǎng)閘設(shè)備,保證生產(chǎn)網(wǎng)絡(luò)向辦公網(wǎng)絡(luò)或其他外部網(wǎng)絡(luò)數(shù)據(jù)單向傳輸。工業(yè)控制系統(tǒng)上位操作主機(操作站、工程師站、服務器)作為生產(chǎn)網(wǎng)絡(luò)的內(nèi)部邊界,需要對用戶登陸、操作、運行等行為進行安全監(jiān)控與審計,并對通過上位主機外設(shè)接口與生產(chǎn)網(wǎng)絡(luò)進行數(shù)據(jù)通訊的行為進行授權(quán)管理。  

(4)惡意代碼防范  

       對于以“白名單”防護策略為主的工控安全防護方案,除了對外部網(wǎng)絡(luò)邊界進行有效的訪問控制和威脅監(jiān)測以外,需要對上位主機的USB接口使用過程進行安全有效管理,對于臨時接入工控網(wǎng)絡(luò)的移動存儲設(shè)備,必須先進行病毒查殺,才可以使用。  

具體方案  

?    部署工控安全綜合監(jiān)管平臺、工業(yè)安全防火墻,深度解析工控協(xié)議,防范非法訪問,迅速檢測異常網(wǎng)絡(luò)節(jié)點,及時預警,并監(jiān)控工業(yè)防火墻運行狀態(tài),實時獲取工控網(wǎng)安全事件日志和報警任務;  

?    在操作員站和工程師站部署工控主機安全防護系統(tǒng),防范非法程序和應用以及未經(jīng)授權(quán)的任何行為;  

?    部署堡壘機及工控安全綜合審計系統(tǒng),對違規(guī)操作行為進行控制和審計,保障網(wǎng)絡(luò)和數(shù)據(jù)不受外部和內(nèi)部用戶的入侵和破壞;  

?    采用工控安全隔離網(wǎng)閘設(shè)備,物理隔離煤礦辦公網(wǎng)和生產(chǎn)網(wǎng),提供兩網(wǎng)數(shù)據(jù)交換安全通道,阻止來自上層網(wǎng)絡(luò)的非法訪問以及病毒和惡意代碼的傳播。

                                                                                                                    焦化工業(yè)控制系統(tǒng)安全防護解決方案  

一、背景情況  
       焦化企業(yè)普遍采用基于信息網(wǎng)、管理網(wǎng)和控制網(wǎng)三層架構(gòu)的的管控一體化信息模型,焦化企業(yè)是典型的資金和技術(shù)密集型企業(yè),生產(chǎn)的連續(xù)性很強,裝置和重要設(shè)備的意外停產(chǎn)都會導致巨大的經(jīng)濟損失,因此生產(chǎn)過程控制大多采用DCS等先進的控制系統(tǒng),且以國外廠商為主。經(jīng)過多年的發(fā)展,焦化行業(yè)信息化建設(shè)已經(jīng)有了較好的基礎(chǔ),企業(yè)在管理層的指揮、協(xié)調(diào)和監(jiān)控能力在實時性、完整性和一致性上都有了很大的提升,相應的網(wǎng)絡(luò)安全防護也有了較大提高。隨著焦化企業(yè)管控一體化的實現(xiàn),越來越多的控制網(wǎng)絡(luò)系統(tǒng)通過信息網(wǎng)絡(luò)連接到互聯(lián)上,潛在的威脅就越來越大。  

二、安全分析  
(1)控制網(wǎng)絡(luò)與管理網(wǎng)絡(luò)互聯(lián),存在來自上層網(wǎng)絡(luò)的安全威脅存在。  

(2)存在來自工作站(接入U盤、便攜設(shè)備等)的病毒傳染隱患。  

(3)網(wǎng)絡(luò)中沒有設(shè)置安全監(jiān)控平臺,無法對網(wǎng)絡(luò)安全事故進行預警和分析,影響問題識別和系統(tǒng)修復效率。  

(4)控制系統(tǒng)缺少分級、分區(qū)的安全防護,容易受到信息網(wǎng)絡(luò)及相鄰系統(tǒng)的潛在威脅。  

(5)對違規(guī)操作缺乏控制和審計。  

三、焦化行業(yè)工控系統(tǒng)安全防護解決方案  
防護原則  

(1)安全分區(qū)  

對于生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)、企業(yè)集團內(nèi)網(wǎng)存在互聯(lián)互通的現(xiàn)象,首先需要進行網(wǎng)絡(luò)優(yōu)化,明確生產(chǎn)網(wǎng)絡(luò)邊界,盡量避免多個生產(chǎn)網(wǎng)絡(luò)邊界的現(xiàn)象。  

(2)安全審計  

對生產(chǎn)網(wǎng)絡(luò)內(nèi)部的日常操作行為進行基于白名單策略監(jiān)控,及時發(fā)現(xiàn)網(wǎng)絡(luò)中存在的異常流量、違規(guī)操作、非法訪問、惡意程序等異常行為,并要求對生產(chǎn)網(wǎng)絡(luò)的運行日志進行記錄保存,至少保留6個月;對于已經(jīng)發(fā)生攻擊事件的情況,要求可以對攻擊事件進行追蹤、溯源,定位網(wǎng)絡(luò)攻擊的位置或具體用戶。  

(3)邊界防護  

根據(jù)業(yè)務網(wǎng)絡(luò)實際情況,在生產(chǎn)網(wǎng)絡(luò)外部邊界處部署工業(yè)防火墻或單向隔離網(wǎng)閘設(shè)備,保證生產(chǎn)網(wǎng)絡(luò)向辦公網(wǎng)絡(luò)或其他外部網(wǎng)絡(luò)數(shù)據(jù)單向傳輸。工業(yè)控制系統(tǒng)上位操作主機(操作站、工程師站、服務器)作為生產(chǎn)網(wǎng)絡(luò)的內(nèi)部邊界,需要對用戶登陸、操作、運行等行為進行安全監(jiān)控與審計,并對通過上位主機外設(shè)接口與生產(chǎn)網(wǎng)絡(luò)進行數(shù)據(jù)通訊的行為進行授權(quán)管理。  

(4)惡意代碼防范  

對于以“白名單”防護策略為主的工控安全防護方案,除了對外部網(wǎng)絡(luò)邊界進行有效的訪問控制和威脅監(jiān)測以外,需要對上位主機的USB接口使用過程進行安全有效管理,對于臨時接入工控網(wǎng)絡(luò)的移動存儲設(shè)備,必須先進行病毒查殺,才可以使用。  

具體方案  

(1)根據(jù)焦化行業(yè)的網(wǎng)絡(luò)拓撲圖,結(jié)合相關(guān)標準及技術(shù)規(guī)范與要求,將整個網(wǎng)絡(luò)劃分為操作管理層、現(xiàn)場監(jiān)控層、生產(chǎn)控制層和生產(chǎn)執(zhí)行層四個區(qū)域。  

(2)在現(xiàn)有網(wǎng)絡(luò)架構(gòu)下,協(xié)同部署工控系統(tǒng)安全防護產(chǎn)品,全面防護包括OPC數(shù)據(jù)采集、控制設(shè)備和工程師工作站的安全。  

(3)采用工控網(wǎng)絡(luò)隔離網(wǎng)關(guān)設(shè)備隔離內(nèi)外網(wǎng),提供內(nèi)外網(wǎng)數(shù)據(jù)交換安全通道,阻止來自上層網(wǎng)絡(luò)的非法訪問、病毒及惡意代碼的傳播。  

(4)部署分布式工業(yè)防火墻和工控安全監(jiān)控平臺,深度解析多種工控協(xié)議,防范非法訪問,迅速檢測異常網(wǎng)絡(luò)節(jié)點,及時預警,并監(jiān)控工業(yè)防火墻工作狀態(tài),實時獲取工控網(wǎng)絡(luò)安全事件日志和報警任務。  

(5)在工作站應用工控安全主機防護系統(tǒng),防范非法程序、應用以及未經(jīng)授權(quán)的任何行為,給予終端計算機全生命周期的安全防護。  

(6)在操作管理層部署審計平臺和堡壘機,對違規(guī)操作行為進行控制和審計,保障網(wǎng)絡(luò)和數(shù)據(jù)不受外部和內(nèi)部用戶的入侵和破壞。

                                                                                                                 冶金鋼鐵工業(yè)控制系統(tǒng)安全防護解決方案  

一、背景情況  
       冶金鋼鐵行業(yè)工業(yè)以太網(wǎng)一般采用環(huán)網(wǎng)結(jié)構(gòu),為實時控制網(wǎng),負責控制器、操作站和工程師站之間過程控制數(shù)據(jù)實時通訊,網(wǎng)絡(luò)上所有操作站、數(shù)采機和PLC都采用以太網(wǎng)接口,網(wǎng)絡(luò)中遠距離傳輸介質(zhì)為光纜,本地傳輸介質(zhì)為網(wǎng)線(如PLC與操作站之間)。生產(chǎn)監(jiān)控主機利用雙網(wǎng)卡結(jié)構(gòu)與管理網(wǎng)互聯(lián)。  

二、安全分析  
(1)鋼鐵冶金企業(yè)沒有對其內(nèi)部生產(chǎn)控制系統(tǒng)及網(wǎng)絡(luò)進行分區(qū)、分層,無法將惡意軟件、黑客攻擊、非法操作等行為控制在特定區(qū)域內(nèi),易發(fā)生全局性網(wǎng)絡(luò)安全風險。  

(2)分廠控制網(wǎng)絡(luò)采用同網(wǎng)段組網(wǎng),PLC、DCS等重要控制系統(tǒng)缺乏安全防護和訪問控制措施。  

(3)各分廠控制網(wǎng)與骨干環(huán)網(wǎng)之間無隔離防護措施。  

(4)鋼鐵冶金企業(yè)辦公網(wǎng)和生產(chǎn)監(jiān)控網(wǎng)之間無物理隔離措施,導致病毒、木馬、黑客攻擊等極易以辦公網(wǎng)為跳板對生產(chǎn)控制系統(tǒng)發(fā)起攻擊。  

(5)由于鋼鐵冶金企業(yè)控制流程復雜、設(shè)備種類繁多、通信協(xié)議多樣,導致采集數(shù)據(jù)安全性無法得到保障。  

(6)鋼鐵冶金企業(yè)內(nèi)部控制系統(tǒng)及網(wǎng)絡(luò)缺乏安全監(jiān)測與審計措施,無法及時發(fā)現(xiàn)非法訪問、非法操作、惡意攻擊等行為。  

(7)鋼鐵冶金企業(yè)內(nèi)部缺乏統(tǒng)一的安全管理平臺。  

三、冶金鋼鐵行業(yè)工控系統(tǒng)安全防護解決方案  
防護原則  

(1)安全分區(qū)  

       對于生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)、企業(yè)集團內(nèi)網(wǎng)存在互聯(lián)互通的現(xiàn)象,首先需要進行網(wǎng)絡(luò)優(yōu)化,明確生產(chǎn)網(wǎng)絡(luò)邊界,盡量避免多個生產(chǎn)網(wǎng)絡(luò)邊界的現(xiàn)象。  

(2)安全審計  

       對生產(chǎn)網(wǎng)絡(luò)內(nèi)部的日常操作行為進行基于白名單策略監(jiān)控,及時發(fā)現(xiàn)網(wǎng)絡(luò)中存在的異常流量、違規(guī)操作、非法訪問、惡意程序等異常行為,并要求對生產(chǎn)網(wǎng)絡(luò)的運行日志進行記錄保存,至少保留6個月;對于已經(jīng)發(fā)生攻擊事件的情況,要求可以對攻擊事件進行追蹤、溯源,定位網(wǎng)絡(luò)攻擊的位置或具體用戶。  

(3)邊界防護  

       根據(jù)業(yè)務網(wǎng)絡(luò)實際情況,在生產(chǎn)網(wǎng)絡(luò)外部邊界處部署工業(yè)防火墻或單向隔離網(wǎng)閘設(shè)備,保證生產(chǎn)網(wǎng)絡(luò)向辦公網(wǎng)絡(luò)或其他外部網(wǎng)絡(luò)數(shù)據(jù)單向傳輸。工業(yè)控制系統(tǒng)上位操作主機(操作站、工程師站、服務器)作為生產(chǎn)網(wǎng)絡(luò)的內(nèi)部邊界,需要對用戶登陸、操作、運行等行為進行安全監(jiān)控與審計,并對通過上位主機外設(shè)接口與生產(chǎn)網(wǎng)絡(luò)進行數(shù)據(jù)通訊的行為進行授權(quán)管理。  

(4)惡意代碼防范  

       對于以“白名單”防護策略為主的工控安全防護方案,除了對外部網(wǎng)絡(luò)邊界進行有效的訪問控制和威脅監(jiān)測以外,需要對上位主機的USB接口使用過程進行安全有效管理,對于臨時接入工控網(wǎng)絡(luò)的移動存儲設(shè)備,必須先進行病毒查殺,才可以使用。  

具體方案  

(1)部署工控安全監(jiān)控系統(tǒng)和工業(yè)防火墻,對工控協(xié)議深度解析,防范非法訪問,迅速檢測異常網(wǎng)絡(luò)節(jié)點,及時預警,并監(jiān)控工業(yè)防火墻工作狀態(tài),實時獲取工控網(wǎng)安全事件日志和報警任務,保障PLC設(shè)備和各服務器安全。  

(2)在各高爐操作站和工程師站應用工控安全主機防護系統(tǒng),防范非法程序和應用以及未經(jīng)授權(quán)的任何行為。  

(3)部署堡壘機及工控安全綜合審計系統(tǒng),對違規(guī)操作行為進行控制和審計,保障網(wǎng)絡(luò)和數(shù)據(jù)不受外部和內(nèi)部用戶的入侵和破壞。  

(4)采用工控網(wǎng)絡(luò)隔離網(wǎng)關(guān)設(shè)備隔離生產(chǎn)控制網(wǎng)和控制子站環(huán)網(wǎng),提供兩網(wǎng)數(shù)據(jù)交換安全通道,阻止來自上層網(wǎng)絡(luò)的非法訪問以及病毒和惡意代碼的傳播。

                                                                                                 火力發(fā)電工業(yè)控制系統(tǒng)安全防護解決方案  

一、背景情況  

       火電廠工控系統(tǒng)主要由中央控制室和各配電室、電子間等子站組成,系統(tǒng)中布置有數(shù)千個開關(guān)、數(shù)百個模擬測量點以及數(shù)個PID調(diào)節(jié)回路的控制對象。其中,中央控制室設(shè)備通常包括建立在以太網(wǎng)連接上的操作員站、工程師站、數(shù)據(jù)采集服務器、報表打印設(shè)備等。中央控制網(wǎng)絡(luò)與各子站控制系統(tǒng)采用光纖為通信鏈路,各子站配有光纖收發(fā)器和工業(yè)交換機。  

二、安全分析  

(1)中央控制網(wǎng)絡(luò)與各控制子站網(wǎng)絡(luò)互聯(lián),存在來自上層網(wǎng)絡(luò)的安全威脅,缺少重點邊界、區(qū)域的安全防護手段;  

(2)工控系統(tǒng)及網(wǎng)絡(luò)缺乏監(jiān)測手段,無法感知未知設(shè)備、非法應用和軟件的入侵,無法對網(wǎng)絡(luò)中傳輸?shù)奈粗惓A髁窟M行監(jiān)測;  

(3)工控系統(tǒng)缺乏對用戶操作行為的監(jiān)控和審計,針對用戶操作行為缺乏有效可靠的審計手段;  

(4)工業(yè)控制系統(tǒng)缺乏分區(qū)邊界防護,容易受到來自信息網(wǎng)絡(luò)和相鄰系統(tǒng)的安全影響。  

三、火力發(fā)電行業(yè)工控系統(tǒng)安全防護解決方案  

安全防護原則  

(1)安全分區(qū)  

       按照《電力監(jiān)控系統(tǒng)安全防護規(guī)定》,原則上將基于計算機及網(wǎng)絡(luò)技術(shù)的業(yè)務系統(tǒng)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū),并根據(jù)業(yè)務系統(tǒng)的重要性和對一次系統(tǒng)的影響程度將生產(chǎn)控制大區(qū)劃分為控制區(qū)(安全區(qū)Ⅰ)及非控制區(qū)(安全區(qū)Ⅱ),重點保護生產(chǎn)控制以及直接影響電力生產(chǎn)(機組運行)的系統(tǒng)。  

(2)網(wǎng)絡(luò)專用  

       電力調(diào)度數(shù)據(jù)網(wǎng)是與生產(chǎn)控制大區(qū)相連接的專用網(wǎng)絡(luò),承載電力實時控制、在線交易等業(yè)務。生產(chǎn)控制大區(qū)的電力調(diào)度數(shù)據(jù)網(wǎng)應當在專用通道上使用獨立的網(wǎng)絡(luò)設(shè)備組網(wǎng),在物理層面上實現(xiàn)與電力企業(yè)其他數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。生產(chǎn)控制大區(qū)的電力調(diào)度數(shù)據(jù)網(wǎng)應當劃分為邏輯隔離的實時子網(wǎng)和非實時子網(wǎng),分別連接控制區(qū)和非控制區(qū)。  

(3)橫向隔離 縱向認證  

       橫向隔離是電力監(jiān)控系統(tǒng)安全防護體系的橫向防線。應當采用不同強度的安全設(shè)備隔離各安全區(qū),在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須部署經(jīng)國家指定部門檢測認證的電力專用橫向單向安全隔離裝置,隔離強度應當接近或達到物理隔離。生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應當采用具有訪問控制功能的網(wǎng)絡(luò)設(shè)備、安全可靠的硬件防火墻或者相當功能的設(shè)施,實現(xiàn)邏輯隔離。防火墻的功能性能電磁兼容性必須經(jīng)過國家相關(guān)部門的認證和測試。  

       縱向加密認證是電力監(jiān)控系統(tǒng)安全防護體系的縱向防線。生產(chǎn)控制大區(qū)與調(diào)度數(shù)據(jù)網(wǎng)的縱向連接處應當設(shè)置經(jīng)過國家指定部門檢測認證的電力專用縱向加密認證裝置,實現(xiàn)雙向身份認證、數(shù)據(jù)加密和訪問控制。  

(4)綜合防護  

       綜合防護是結(jié)合國家信息安全等級保護工作的相關(guān)要求對電力監(jiān)控系統(tǒng)從主機、網(wǎng)絡(luò)設(shè)備、惡意代碼防范、應用安全控制、審計、備份及容災等多個層面進行信息安全防護的過程。  

       生產(chǎn)控制大區(qū)可以統(tǒng)一部署一套網(wǎng)絡(luò)入侵檢測系統(tǒng),應當合理設(shè)置檢測規(guī)則,檢測發(fā)現(xiàn)隱藏于流經(jīng)網(wǎng)絡(luò)邊界正常信息流中的入侵行為,分析潛在威脅并進行安全審計。  

       非控制區(qū)的網(wǎng)絡(luò)設(shè)備與安全設(shè)備應當進行身份鑒別、訪問權(quán)限控制、會話控制等安全配置加固??梢詰秒娏φ{(diào)度輸子證書,在網(wǎng)絡(luò)設(shè)備和安全設(shè)備實現(xiàn)支持HTTPS的縱向安全WEB服務,能夠?qū)g覽器客戶端訪問進行身份認證及加密傳輸。  

       生產(chǎn)控制大區(qū)的監(jiān)控系統(tǒng)應當具備安全審計功能,能能夠?qū)Σ僮飨到y(tǒng)、數(shù)據(jù)庫、業(yè)務應用的重要操作盡心記錄、分析,及時發(fā)現(xiàn)各種違規(guī)行為以及病毒和黑客的攻擊行為。對于遠程用戶登陸到本地系統(tǒng)中的操作行為,應當進行嚴格的安全審計。  

具體方案  

部署工控安全綜合監(jiān)管平臺、工業(yè)安全防火墻,深度解析工控協(xié)議,防范非法訪問,迅速檢測異常網(wǎng)絡(luò)節(jié)點,及時預警,并監(jiān)控工業(yè)防火墻運行狀態(tài),實時獲取工控網(wǎng)安全事件日志和報警任務;

在操作員站和工程師站部署工控主機安全防護系統(tǒng),防范非法程序和應用以及未經(jīng)授權(quán)的任何行為;

部署堡壘機及工控安全綜合審計系統(tǒng),對違規(guī)操作行為進行控制和審計,保障網(wǎng)絡(luò)和數(shù)據(jù)不受外部和內(nèi)部用戶的入侵和破壞;

采用工控安全隔離網(wǎng)閘設(shè)備,物理隔離中央控制室和各子站網(wǎng),提供兩網(wǎng)數(shù)據(jù)交換安全通道,阻止來自上層網(wǎng)絡(luò)的非法訪問以及病毒和惡意代碼的傳播。

    1-智慧城市數(shù)據(jù)溯源保密安全解決方案

    根據(jù)智慧城市數(shù)據(jù)交換平臺的需求情況,提出采用自主可控數(shù)據(jù)共享與溯源綜合管理平臺(以下簡稱數(shù)據(jù)溯源系統(tǒng))來實現(xiàn)智慧城市信息數(shù)據(jù)交換共享中的數(shù)據(jù)脫敏及溯源追蹤保密安全的痛點問題。

系統(tǒng)部署于智慧城市數(shù)據(jù)交換共享中心內(nèi)部網(wǎng)絡(luò)當中(不同安全域之間),當智慧城市數(shù)據(jù)共享交換系統(tǒng)通過RestAPI獲取到DB數(shù)據(jù)提供者提供的相關(guān)數(shù)據(jù)后,該系統(tǒng)會將這些數(shù)據(jù)及其相應的數(shù)據(jù)屬性信息提交到數(shù)據(jù)交換安全處理中心,該中心安全域內(nèi)部署了兩種數(shù)據(jù)安全處理系統(tǒng),一為數(shù)據(jù)脫敏系統(tǒng),第二為數(shù)據(jù)溯源交換系統(tǒng)。在該安全處理中心會對相關(guān)的數(shù)據(jù)進行數(shù)據(jù)脫敏操作和數(shù)據(jù)溯源標識操作。

1)  數(shù)據(jù)溯源種子植入。該操作步驟會按照溯源種子植入策略進行敏感數(shù)據(jù)的溯源種子植入,處理完成后的數(shù)據(jù)將提交給智慧城市數(shù)據(jù)共享交換系統(tǒng)轉(zhuǎn)發(fā)給具體的數(shù)據(jù)使用者。

2)  數(shù)據(jù)溯源標識。相應的DB數(shù)據(jù)提供者的數(shù)據(jù)將會被打上知識產(chǎn)權(quán)標簽,相關(guān)的宿主屬性會無縫地嵌入到現(xiàn)有的數(shù)據(jù)之上,并且不改變現(xiàn)有數(shù)據(jù)的任何結(jié)構(gòu),當這種數(shù)據(jù)進入數(shù)據(jù)使用者的時候,不會影響數(shù)據(jù)使用者的使用,但是如果數(shù)據(jù)使用者將該數(shù)據(jù)泄露給其他公司或個人,智慧城市交換中心可以借助于該溯源追蹤平臺進行審計和跟蹤,從而實現(xiàn)數(shù)據(jù)的非授權(quán)擴散監(jiān)管問題。

   

    2-大數(shù)據(jù)安全脫敏系統(tǒng)解決方案

    數(shù)據(jù)安全脫敏系統(tǒng)采用大數(shù)據(jù)分析技術(shù)來實現(xiàn)隱私數(shù)據(jù)發(fā)現(xiàn)、數(shù)據(jù)提取、數(shù)據(jù)漂白、測試數(shù)據(jù)管理、數(shù)據(jù)裝載等功能于一體的高性能數(shù)據(jù)脫敏設(shè)備。系統(tǒng)采用專用的脫敏處理算法對敏感數(shù)據(jù)進行變形、屏蔽、替換、加密(格式保留加密處理和高強度加密處理),將敏感數(shù)據(jù)進行處理后屏蔽了原有數(shù)據(jù)的敏感性,實現(xiàn)了數(shù)據(jù)的隱私性保護。同時脫敏后的數(shù)據(jù)保留了原有數(shù)據(jù)的數(shù)據(jù)結(jié)構(gòu)和數(shù)據(jù)的業(yè)務邏輯一致,也能維持脫敏前后的數(shù)據(jù)唯一性,如:身份證、銀行卡、手機號、IMSI等。使得上層應用無需改變相應的業(yè)務邏輯。

系統(tǒng)具有流程化、自動化和作業(yè)復用等特點。作為軟硬一體化的設(shè)備,它擁有強大的功能、易于部署和使用等特點,開箱即用式的優(yōu)勢能夠極大減輕工作人員的工作強度以及項目周期。

系統(tǒng)對主流數(shù)據(jù)類型均能友好支持。包括支持國產(chǎn)關(guān)系型主流數(shù)據(jù)庫系統(tǒng)Oracle、Informix、SQL Server、DB2、MySQL。國產(chǎn)主流數(shù)據(jù)庫南大通用GBase、人大金倉、虛谷等、非關(guān)系型主流數(shù)據(jù)庫Hive、MongoDB、Redis、Hbase等。

   

    3-數(shù)據(jù)庫保密檢查解決方案

    1. 需求

需要用新的技術(shù)手段實現(xiàn)對數(shù)據(jù)庫進行高效涉密數(shù)據(jù)檢查。具體需求如下。

1)檢查范圍廣。包括結(jié)構(gòu)化數(shù)據(jù)庫、非結(jié)構(gòu)化數(shù)據(jù)庫、云計算的虛擬機和壓縮文件、大數(shù)據(jù)集群系統(tǒng)、服務器系統(tǒng)等

2)檢查效率高。需要快速對高達100T的數(shù)據(jù)庫進行保密檢查,檢查效率是傳統(tǒng)方式的100-1000倍

3)檢查類型多。需要對數(shù)據(jù)庫中涉及到的多種文本文件(Word、PDF等)、圖片文件中的數(shù)據(jù)進行數(shù)據(jù)敏感性檢查

4)檢查精度高。需要能在海量數(shù)據(jù)庫內(nèi)容中精準定位涉密信息或數(shù)據(jù),誤報率低

5)多種檢查方法。需要提供多種檢查算法,能從多維度定位目標數(shù)據(jù)系統(tǒng)。

2. 功能概述

系統(tǒng)采用大數(shù)據(jù)技術(shù)創(chuàng)新性地用于數(shù)據(jù)庫涉密信息檢查,能有效達到以下目標。

1)高效采集。大數(shù)據(jù)Sqoop技術(shù)實現(xiàn)數(shù)據(jù)的分布式采集。

2)高效分析。大數(shù)據(jù)MapReduce技術(shù)實現(xiàn)對數(shù)據(jù)庫內(nèi)容的快速分析和檢查

3)精準定位。結(jié)合檢查專家?guī)欤焖賹φ彰舾行畔⒍ㄎ?,并能生成詳盡的分析報告

數(shù)據(jù)庫保密檢查系統(tǒng)安裝部署方便,只需要保證與被檢查數(shù)據(jù)庫網(wǎng)絡(luò)可達即可;出于檢查效率的考慮,建議采用千兆及以上網(wǎng)絡(luò)環(huán)境。


資料更新中...

一、背景情況
       校園網(wǎng)絡(luò)是學校為教職員工和學生提供網(wǎng)絡(luò)接入,滿足教學、科研、管理服務需求的信息化基礎(chǔ)設(shè)施,包括有線寬帶網(wǎng)絡(luò)、無線局域網(wǎng)絡(luò)和移動通信網(wǎng)絡(luò),因此提高高等學校網(wǎng)絡(luò)管理和服務質(zhì)量,提升校園網(wǎng)絡(luò)用戶上網(wǎng)體驗,保障校園網(wǎng)絡(luò)安全是當前教育行業(yè)的重要工作。對于學校而言,維護校園網(wǎng)絡(luò)安全,是保障教育教學正常開展的基礎(chǔ)性工作,也是構(gòu)建新時代育人環(huán)境的重要工作。


二、安全分析
1.校園各類信息服務系統(tǒng)的數(shù)據(jù)安全。由于校園內(nèi)各種二級、三級域名系統(tǒng)管理相對分散,針對各類漏洞風險可能會存在安全維護不及時等問題。這會導致部分網(wǎng)站或信息系統(tǒng)存在被拖庫、竄改等風險,從而導致師生的各類敏感信息泄露。
2.校園網(wǎng)絡(luò)、移動通信網(wǎng)無線接入安全。由于校園網(wǎng)絡(luò)中WiFi(行動熱點)接入點眾多且大多采用802.1x(一種訪問控制和認證協(xié)議)方式,人員密集使其成為具有較高價值的攻擊目標,因此存在大量的偽熱點、基站試圖竊取用戶敏感賬號信息,進行釣魚欺詐等。
3.校園信息系統(tǒng)中輿情內(nèi)容安全(不良信息及言論的傳播)。由于大學生初步掌握了各種獲取信息的工具,可以輕易接觸到色情、暴力、反動等不良信息,這會影響其人生觀、世界觀的形成和發(fā)展。
4.學校網(wǎng)絡(luò)安全管理制度存在不足。學校內(nèi)計算機和網(wǎng)絡(luò)已經(jīng)普及,需要學校對網(wǎng)絡(luò)安全加以重視,并建立完善的管理制度。但是,學校還沒有認識到網(wǎng)絡(luò)安全的重要性,且考慮不全面,建立的管理制度存在不足;同時,沒有對管理人員進行專業(yè)技術(shù)和職業(yè)素養(yǎng)方面的培訓,影響網(wǎng)絡(luò)安全管理效率與質(zhì)量。


三、教育行業(yè)系統(tǒng)安全防護解決方案
網(wǎng)絡(luò)層面:關(guān)注安全域劃分、訪問控制、抗拒絕服務攻擊,針對區(qū)域邊界采取隔離手段,并在隔離后的各個安全區(qū)域邊界執(zhí)行嚴格的訪問控制,防止非法訪問,利用漏洞管理系統(tǒng)、網(wǎng)絡(luò)安全審計等網(wǎng)絡(luò)安全產(chǎn)品,為客戶構(gòu)建嚴密、專業(yè)的網(wǎng)絡(luò)安全保障體系。
應用層面:WEB應用防火墻能夠?qū)EB應用漏洞進行預先掃描,同時具備對SQL注入、跨站腳本等通過應用層的入侵動作實時阻斷,并結(jié)合網(wǎng)頁防篡改子系統(tǒng),真正達到雙重層面的“網(wǎng)頁防篡改”效果。
數(shù)據(jù)層面:數(shù)據(jù)庫將被隱藏在安全區(qū)域,同時通過專業(yè)的安全加固服務對數(shù)據(jù)庫進行安全評估和配置,對數(shù)據(jù)庫的訪問權(quán)限進行嚴格設(shè)定,最大限度保證數(shù)據(jù)庫安全。同時,有效保護重要數(shù)據(jù)信息的健康度。

一、背景情況
       醫(yī)療衛(wèi)生行業(yè)的健康發(fā)展,直接關(guān)系到民生問題。隨著醫(yī)院信息化建設(shè)的逐步深入,網(wǎng)上業(yè)務由單一到多元化,各類應用系統(tǒng)數(shù)十個,信息系統(tǒng)承受的壓力日益增長,醫(yī)院信息系統(tǒng)已經(jīng)成為醫(yī)院正常運行不可或缺的支撐環(huán)境和工作平臺。醫(yī)院業(yè)務系統(tǒng)作為我國重要的關(guān)鍵信息基礎(chǔ)設(shè)施,是黑客的重點攻擊對象,醫(yī)療行業(yè)網(wǎng)絡(luò)攻擊事件層出不窮。因此,建設(shè)完善的網(wǎng)絡(luò)安全防御體系,落實醫(yī)院網(wǎng)絡(luò)安全等級化建設(shè)工作勢在必行。


二、安全分析
       近年來,各類勒索病毒、挖礦病毒、黑客木馬等自動化攻擊程序的出現(xiàn)和持續(xù)增加,如何快速有效的解決醫(yī)院資產(chǎn)全生命周期閉環(huán)管理,完成安全合規(guī)的落地化工作并盡量少地影響醫(yī)院核心臨床應用,也成為當前醫(yī)院面臨的嚴峻安全挑戰(zhàn)之一。

三、醫(yī)療行業(yè)安全防護解決方案
●安全物理環(huán)境
依據(jù)《信息安全技術(shù)-網(wǎng)絡(luò)安全等級保護基本要求》中的“安全物理環(huán)境”要求對對機房進行整改建設(shè)。
●安全通信網(wǎng)絡(luò)
安全通信網(wǎng)絡(luò)從網(wǎng)絡(luò)架構(gòu)、通信傳輸和可信驗證三個方面進行設(shè)計和安全防護。
保證網(wǎng)絡(luò)設(shè)備的業(yè)務處理能力滿足業(yè)務高峰期需要;
關(guān)鍵業(yè)務區(qū)和管理區(qū)采取可靠的技術(shù)手段與其他區(qū)域進行隔離;
重要數(shù)據(jù)的通信傳輸采取加密措施;
●安全區(qū)邊界
根據(jù)業(yè)務網(wǎng)絡(luò)實際情況,在內(nèi)網(wǎng)區(qū)和外網(wǎng)區(qū)的邊界部署安全隔離設(shè)備,保證HIS、LIS等系統(tǒng)面臨的APT攻擊、非法外聯(lián)/違規(guī)接入網(wǎng)絡(luò)等安全威脅進行有針對性的安全控制。
針對數(shù)據(jù)的傳輸、使用和存儲等過程,使用數(shù)據(jù)加密傳輸、數(shù)據(jù)脫敏等措施,保護醫(yī)院重要數(shù)據(jù)資產(chǎn)的安全。
●安全計算環(huán)境
安全計算環(huán)境防護建設(shè)主要通過主機加固、入侵防范、漏洞掃描、惡意代碼防護等多種安全機制實現(xiàn)。

解決方案

Image

SOLUTION

                                                                                                          煤礦行業(yè)工業(yè)控制系統(tǒng)安全防護解決方案  

一、背景情況  
       煤炭工業(yè)控制系統(tǒng)是整個煤炭企業(yè)安全生產(chǎn)監(jiān)控系統(tǒng)信息的集成,它需要一個快速、安全、可靠的網(wǎng)絡(luò)平臺為大量的信息流動提供支撐,同時要有一個功能全面的安全生產(chǎn)信息應用系統(tǒng)為礦井安全生產(chǎn)提供科學調(diào)度、決策的依據(jù)。做好煤炭企業(yè)工控安全建設(shè)是實現(xiàn)生產(chǎn)安全的必要保障。  

       綜合自動化系統(tǒng)是指在工業(yè)生產(chǎn)、管理、經(jīng)營過程中,通過信息基礎(chǔ)設(shè)施,在集成平臺上,實現(xiàn)信息的采集、信息的傳輸、信息的處理以及信息的綜合利用等。將先進和自動控制、通訊、信息技術(shù)和現(xiàn)化管理技術(shù)結(jié)合,將企業(yè)的生產(chǎn)過程控制、運行與管理作為一個整體進行控制與管理,提供整體解決方案,以實現(xiàn)企業(yè)的優(yōu)化運行、控制和管理。  

二、安全分析  

(1)缺乏整體信息安全規(guī)劃;  

(2)缺乏工控安全管理制度、應急預案、培訓與意識培養(yǎng);  

(3)調(diào)度人員有時通過連通互聯(lián)網(wǎng)的手機在調(diào)度室主機U口上充電,導致生產(chǎn)網(wǎng)絡(luò)通過手機被打通,造成邊界模糊。  

(4)主機操作系統(tǒng)老舊,從不升級,極易出現(xiàn)安全漏洞和缺陷;新建系統(tǒng)主機雖然會安裝殺毒軟件,但是為保障生產(chǎn)運行,殺毒軟件一般處于關(guān)閉狀態(tài),這些都存在安全隱患,無法防御“0-DAY”病毒和勒索病毒。  

(5)調(diào)度人員或運維人員使用帶有病毒的U盤插入主機中,造成整個網(wǎng)絡(luò)感染病毒。  

(6)煤炭生產(chǎn)現(xiàn)場PLC多為西門子或AB的產(chǎn)品,而PLC本身存在漏洞,西門子和AB近些年被曝出存在高危漏洞,攻擊者可以利用漏洞控制現(xiàn)場設(shè)備,執(zhí)行錯誤命令,嚴重影響安全生產(chǎn)。  

(7)黑客也可通過技術(shù)手段潛入生產(chǎn)網(wǎng)絡(luò),獲取關(guān)鍵生產(chǎn)數(shù)據(jù),牟取利益。  



三、煤礦行業(yè)工控系統(tǒng)安全防護解決方案  

安全防護原則  

(1)安全分區(qū)  

       對于生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)、企業(yè)集團內(nèi)網(wǎng)存在互聯(lián)互通的現(xiàn)象,首先需要進行網(wǎng)絡(luò)優(yōu)化,明確生產(chǎn)網(wǎng)絡(luò)邊界,盡量避免多個生產(chǎn)網(wǎng)絡(luò)邊界的現(xiàn)象。  

(2)安全審計  

       對生產(chǎn)網(wǎng)絡(luò)內(nèi)部的日常操作行為進行基于白名單策略監(jiān)控,及時發(fā)現(xiàn)網(wǎng)絡(luò)中存在的異常流量、違規(guī)操作、非法訪問、惡意程序等異常行為,并要求對生產(chǎn)網(wǎng)絡(luò)的運行日志進行記錄保存,至少保留6個月;對于已經(jīng)發(fā)生攻擊事件的情況,要求可以對攻擊事件進行追蹤、溯源,定位網(wǎng)絡(luò)攻擊的位置或具體用戶。  

(3)邊界防護  

       根據(jù)業(yè)務網(wǎng)絡(luò)實際情況,在生產(chǎn)網(wǎng)絡(luò)外部邊界處部署工業(yè)防火墻或單向隔離網(wǎng)閘設(shè)備,保證生產(chǎn)網(wǎng)絡(luò)向辦公網(wǎng)絡(luò)或其他外部網(wǎng)絡(luò)數(shù)據(jù)單向傳輸。工業(yè)控制系統(tǒng)上位操作主機(操作站、工程師站、服務器)作為生產(chǎn)網(wǎng)絡(luò)的內(nèi)部邊界,需要對用戶登陸、操作、運行等行為進行安全監(jiān)控與審計,并對通過上位主機外設(shè)接口與生產(chǎn)網(wǎng)絡(luò)進行數(shù)據(jù)通訊的行為進行授權(quán)管理。  

(4)惡意代碼防范  

       對于以“白名單”防護策略為主的工控安全防護方案,除了對外部網(wǎng)絡(luò)邊界進行有效的訪問控制和威脅監(jiān)測以外,需要對上位主機的USB接口使用過程進行安全有效管理,對于臨時接入工控網(wǎng)絡(luò)的移動存儲設(shè)備,必須先進行病毒查殺,才可以使用。  

具體方案  

?    部署工控安全綜合監(jiān)管平臺、工業(yè)安全防火墻,深度解析工控協(xié)議,防范非法訪問,迅速檢測異常網(wǎng)絡(luò)節(jié)點,及時預警,并監(jiān)控工業(yè)防火墻運行狀態(tài),實時獲取工控網(wǎng)安全事件日志和報警任務;  

?    在操作員站和工程師站部署工控主機安全防護系統(tǒng),防范非法程序和應用以及未經(jīng)授權(quán)的任何行為;  

?    部署堡壘機及工控安全綜合審計系統(tǒng),對違規(guī)操作行為進行控制和審計,保障網(wǎng)絡(luò)和數(shù)據(jù)不受外部和內(nèi)部用戶的入侵和破壞;  

?    采用工控安全隔離網(wǎng)閘設(shè)備,物理隔離煤礦辦公網(wǎng)和生產(chǎn)網(wǎng),提供兩網(wǎng)數(shù)據(jù)交換安全通道,阻止來自上層網(wǎng)絡(luò)的非法訪問以及病毒和惡意代碼的傳播。

                                                                                                                    焦化工業(yè)控制系統(tǒng)安全防護解決方案  

一、背景情況  
       焦化企業(yè)普遍采用基于信息網(wǎng)、管理網(wǎng)和控制網(wǎng)三層架構(gòu)的的管控一體化信息模型,焦化企業(yè)是典型的資金和技術(shù)密集型企業(yè),生產(chǎn)的連續(xù)性很強,裝置和重要設(shè)備的意外停產(chǎn)都會導致巨大的經(jīng)濟損失,因此生產(chǎn)過程控制大多采用DCS等先進的控制系統(tǒng),且以國外廠商為主。經(jīng)過多年的發(fā)展,焦化行業(yè)信息化建設(shè)已經(jīng)有了較好的基礎(chǔ),企業(yè)在管理層的指揮、協(xié)調(diào)和監(jiān)控能力在實時性、完整性和一致性上都有了很大的提升,相應的網(wǎng)絡(luò)安全防護也有了較大提高。隨著焦化企業(yè)管控一體化的實現(xiàn),越來越多的控制網(wǎng)絡(luò)系統(tǒng)通過信息網(wǎng)絡(luò)連接到互聯(lián)上,潛在的威脅就越來越大。  

二、安全分析  
(1)控制網(wǎng)絡(luò)與管理網(wǎng)絡(luò)互聯(lián),存在來自上層網(wǎng)絡(luò)的安全威脅存在。  

(2)存在來自工作站(接入U盤、便攜設(shè)備等)的病毒傳染隱患。  

(3)網(wǎng)絡(luò)中沒有設(shè)置安全監(jiān)控平臺,無法對網(wǎng)絡(luò)安全事故進行預警和分析,影響問題識別和系統(tǒng)修復效率。  

(4)控制系統(tǒng)缺少分級、分區(qū)的安全防護,容易受到信息網(wǎng)絡(luò)及相鄰系統(tǒng)的潛在威脅。  

(5)對違規(guī)操作缺乏控制和審計。  

三、焦化行業(yè)工控系統(tǒng)安全防護解決方案  
防護原則  

(1)安全分區(qū)  

對于生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)、企業(yè)集團內(nèi)網(wǎng)存在互聯(lián)互通的現(xiàn)象,首先需要進行網(wǎng)絡(luò)優(yōu)化,明確生產(chǎn)網(wǎng)絡(luò)邊界,盡量避免多個生產(chǎn)網(wǎng)絡(luò)邊界的現(xiàn)象。  

(2)安全審計  

對生產(chǎn)網(wǎng)絡(luò)內(nèi)部的日常操作行為進行基于白名單策略監(jiān)控,及時發(fā)現(xiàn)網(wǎng)絡(luò)中存在的異常流量、違規(guī)操作、非法訪問、惡意程序等異常行為,并要求對生產(chǎn)網(wǎng)絡(luò)的運行日志進行記錄保存,至少保留6個月;對于已經(jīng)發(fā)生攻擊事件的情況,要求可以對攻擊事件進行追蹤、溯源,定位網(wǎng)絡(luò)攻擊的位置或具體用戶。  

(3)邊界防護  

根據(jù)業(yè)務網(wǎng)絡(luò)實際情況,在生產(chǎn)網(wǎng)絡(luò)外部邊界處部署工業(yè)防火墻或單向隔離網(wǎng)閘設(shè)備,保證生產(chǎn)網(wǎng)絡(luò)向辦公網(wǎng)絡(luò)或其他外部網(wǎng)絡(luò)數(shù)據(jù)單向傳輸。工業(yè)控制系統(tǒng)上位操作主機(操作站、工程師站、服務器)作為生產(chǎn)網(wǎng)絡(luò)的內(nèi)部邊界,需要對用戶登陸、操作、運行等行為進行安全監(jiān)控與審計,并對通過上位主機外設(shè)接口與生產(chǎn)網(wǎng)絡(luò)進行數(shù)據(jù)通訊的行為進行授權(quán)管理。  

(4)惡意代碼防范  

對于以“白名單”防護策略為主的工控安全防護方案,除了對外部網(wǎng)絡(luò)邊界進行有效的訪問控制和威脅監(jiān)測以外,需要對上位主機的USB接口使用過程進行安全有效管理,對于臨時接入工控網(wǎng)絡(luò)的移動存儲設(shè)備,必須先進行病毒查殺,才可以使用。  

具體方案  

(1)根據(jù)焦化行業(yè)的網(wǎng)絡(luò)拓撲圖,結(jié)合相關(guān)標準及技術(shù)規(guī)范與要求,將整個網(wǎng)絡(luò)劃分為操作管理層、現(xiàn)場監(jiān)控層、生產(chǎn)控制層和生產(chǎn)執(zhí)行層四個區(qū)域。  

(2)在現(xiàn)有網(wǎng)絡(luò)架構(gòu)下,協(xié)同部署工控系統(tǒng)安全防護產(chǎn)品,全面防護包括OPC數(shù)據(jù)采集、控制設(shè)備和工程師工作站的安全。  

(3)采用工控網(wǎng)絡(luò)隔離網(wǎng)關(guān)設(shè)備隔離內(nèi)外網(wǎng),提供內(nèi)外網(wǎng)數(shù)據(jù)交換安全通道,阻止來自上層網(wǎng)絡(luò)的非法訪問、病毒及惡意代碼的傳播。  

(4)部署分布式工業(yè)防火墻和工控安全監(jiān)控平臺,深度解析多種工控協(xié)議,防范非法訪問,迅速檢測異常網(wǎng)絡(luò)節(jié)點,及時預警,并監(jiān)控工業(yè)防火墻工作狀態(tài),實時獲取工控網(wǎng)絡(luò)安全事件日志和報警任務。  

(5)在工作站應用工控安全主機防護系統(tǒng),防范非法程序、應用以及未經(jīng)授權(quán)的任何行為,給予終端計算機全生命周期的安全防護。  

(6)在操作管理層部署審計平臺和堡壘機,對違規(guī)操作行為進行控制和審計,保障網(wǎng)絡(luò)和數(shù)據(jù)不受外部和內(nèi)部用戶的入侵和破壞。

                                                                                                                 冶金鋼鐵工業(yè)控制系統(tǒng)安全防護解決方案  

一、背景情況  
       冶金鋼鐵行業(yè)工業(yè)以太網(wǎng)一般采用環(huán)網(wǎng)結(jié)構(gòu),為實時控制網(wǎng),負責控制器、操作站和工程師站之間過程控制數(shù)據(jù)實時通訊,網(wǎng)絡(luò)上所有操作站、數(shù)采機和PLC都采用以太網(wǎng)接口,網(wǎng)絡(luò)中遠距離傳輸介質(zhì)為光纜,本地傳輸介質(zhì)為網(wǎng)線(如PLC與操作站之間)。生產(chǎn)監(jiān)控主機利用雙網(wǎng)卡結(jié)構(gòu)與管理網(wǎng)互聯(lián)。  

二、安全分析  
(1)鋼鐵冶金企業(yè)沒有對其內(nèi)部生產(chǎn)控制系統(tǒng)及網(wǎng)絡(luò)進行分區(qū)、分層,無法將惡意軟件、黑客攻擊、非法操作等行為控制在特定區(qū)域內(nèi),易發(fā)生全局性網(wǎng)絡(luò)安全風險。  

(2)分廠控制網(wǎng)絡(luò)采用同網(wǎng)段組網(wǎng),PLC、DCS等重要控制系統(tǒng)缺乏安全防護和訪問控制措施。  

(3)各分廠控制網(wǎng)與骨干環(huán)網(wǎng)之間無隔離防護措施。  

(4)鋼鐵冶金企業(yè)辦公網(wǎng)和生產(chǎn)監(jiān)控網(wǎng)之間無物理隔離措施,導致病毒、木馬、黑客攻擊等極易以辦公網(wǎng)為跳板對生產(chǎn)控制系統(tǒng)發(fā)起攻擊。  

(5)由于鋼鐵冶金企業(yè)控制流程復雜、設(shè)備種類繁多、通信協(xié)議多樣,導致采集數(shù)據(jù)安全性無法得到保障。  

(6)鋼鐵冶金企業(yè)內(nèi)部控制系統(tǒng)及網(wǎng)絡(luò)缺乏安全監(jiān)測與審計措施,無法及時發(fā)現(xiàn)非法訪問、非法操作、惡意攻擊等行為。  

(7)鋼鐵冶金企業(yè)內(nèi)部缺乏統(tǒng)一的安全管理平臺。  

三、冶金鋼鐵行業(yè)工控系統(tǒng)安全防護解決方案  
防護原則  

(1)安全分區(qū)  

       對于生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)、企業(yè)集團內(nèi)網(wǎng)存在互聯(lián)互通的現(xiàn)象,首先需要進行網(wǎng)絡(luò)優(yōu)化,明確生產(chǎn)網(wǎng)絡(luò)邊界,盡量避免多個生產(chǎn)網(wǎng)絡(luò)邊界的現(xiàn)象。  

(2)安全審計  

       對生產(chǎn)網(wǎng)絡(luò)內(nèi)部的日常操作行為進行基于白名單策略監(jiān)控,及時發(fā)現(xiàn)網(wǎng)絡(luò)中存在的異常流量、違規(guī)操作、非法訪問、惡意程序等異常行為,并要求對生產(chǎn)網(wǎng)絡(luò)的運行日志進行記錄保存,至少保留6個月;對于已經(jīng)發(fā)生攻擊事件的情況,要求可以對攻擊事件進行追蹤、溯源,定位網(wǎng)絡(luò)攻擊的位置或具體用戶。  

(3)邊界防護  

       根據(jù)業(yè)務網(wǎng)絡(luò)實際情況,在生產(chǎn)網(wǎng)絡(luò)外部邊界處部署工業(yè)防火墻或單向隔離網(wǎng)閘設(shè)備,保證生產(chǎn)網(wǎng)絡(luò)向辦公網(wǎng)絡(luò)或其他外部網(wǎng)絡(luò)數(shù)據(jù)單向傳輸。工業(yè)控制系統(tǒng)上位操作主機(操作站、工程師站、服務器)作為生產(chǎn)網(wǎng)絡(luò)的內(nèi)部邊界,需要對用戶登陸、操作、運行等行為進行安全監(jiān)控與審計,并對通過上位主機外設(shè)接口與生產(chǎn)網(wǎng)絡(luò)進行數(shù)據(jù)通訊的行為進行授權(quán)管理。  

(4)惡意代碼防范  

       對于以“白名單”防護策略為主的工控安全防護方案,除了對外部網(wǎng)絡(luò)邊界進行有效的訪問控制和威脅監(jiān)測以外,需要對上位主機的USB接口使用過程進行安全有效管理,對于臨時接入工控網(wǎng)絡(luò)的移動存儲設(shè)備,必須先進行病毒查殺,才可以使用。  

具體方案  

(1)部署工控安全監(jiān)控系統(tǒng)和工業(yè)防火墻,對工控協(xié)議深度解析,防范非法訪問,迅速檢測異常網(wǎng)絡(luò)節(jié)點,及時預警,并監(jiān)控工業(yè)防火墻工作狀態(tài),實時獲取工控網(wǎng)安全事件日志和報警任務,保障PLC設(shè)備和各服務器安全。  

(2)在各高爐操作站和工程師站應用工控安全主機防護系統(tǒng),防范非法程序和應用以及未經(jīng)授權(quán)的任何行為。  

(3)部署堡壘機及工控安全綜合審計系統(tǒng),對違規(guī)操作行為進行控制和審計,保障網(wǎng)絡(luò)和數(shù)據(jù)不受外部和內(nèi)部用戶的入侵和破壞。  

(4)采用工控網(wǎng)絡(luò)隔離網(wǎng)關(guān)設(shè)備隔離生產(chǎn)控制網(wǎng)和控制子站環(huán)網(wǎng),提供兩網(wǎng)數(shù)據(jù)交換安全通道,阻止來自上層網(wǎng)絡(luò)的非法訪問以及病毒和惡意代碼的傳播。

                                                                                                 火力發(fā)電工業(yè)控制系統(tǒng)安全防護解決方案  

一、背景情況  

       火電廠工控系統(tǒng)主要由中央控制室和各配電室、電子間等子站組成,系統(tǒng)中布置有數(shù)千個開關(guān)、數(shù)百個模擬測量點以及數(shù)個PID調(diào)節(jié)回路的控制對象。其中,中央控制室設(shè)備通常包括建立在以太網(wǎng)連接上的操作員站、工程師站、數(shù)據(jù)采集服務器、報表打印設(shè)備等。中央控制網(wǎng)絡(luò)與各子站控制系統(tǒng)采用光纖為通信鏈路,各子站配有光纖收發(fā)器和工業(yè)交換機。  

二、安全分析  

(1)中央控制網(wǎng)絡(luò)與各控制子站網(wǎng)絡(luò)互聯(lián),存在來自上層網(wǎng)絡(luò)的安全威脅,缺少重點邊界、區(qū)域的安全防護手段;  

(2)工控系統(tǒng)及網(wǎng)絡(luò)缺乏監(jiān)測手段,無法感知未知設(shè)備、非法應用和軟件的入侵,無法對網(wǎng)絡(luò)中傳輸?shù)奈粗惓A髁窟M行監(jiān)測;  

(3)工控系統(tǒng)缺乏對用戶操作行為的監(jiān)控和審計,針對用戶操作行為缺乏有效可靠的審計手段;  

(4)工業(yè)控制系統(tǒng)缺乏分區(qū)邊界防護,容易受到來自信息網(wǎng)絡(luò)和相鄰系統(tǒng)的安全影響。  

三、火力發(fā)電行業(yè)工控系統(tǒng)安全防護解決方案  

安全防護原則  

(1)安全分區(qū)  

       按照《電力監(jiān)控系統(tǒng)安全防護規(guī)定》,原則上將基于計算機及網(wǎng)絡(luò)技術(shù)的業(yè)務系統(tǒng)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū),并根據(jù)業(yè)務系統(tǒng)的重要性和對一次系統(tǒng)的影響程度將生產(chǎn)控制大區(qū)劃分為控制區(qū)(安全區(qū)Ⅰ)及非控制區(qū)(安全區(qū)Ⅱ),重點保護生產(chǎn)控制以及直接影響電力生產(chǎn)(機組運行)的系統(tǒng)。  

(2)網(wǎng)絡(luò)專用  

       電力調(diào)度數(shù)據(jù)網(wǎng)是與生產(chǎn)控制大區(qū)相連接的專用網(wǎng)絡(luò),承載電力實時控制、在線交易等業(yè)務。生產(chǎn)控制大區(qū)的電力調(diào)度數(shù)據(jù)網(wǎng)應當在專用通道上使用獨立的網(wǎng)絡(luò)設(shè)備組網(wǎng),在物理層面上實現(xiàn)與電力企業(yè)其他數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。生產(chǎn)控制大區(qū)的電力調(diào)度數(shù)據(jù)網(wǎng)應當劃分為邏輯隔離的實時子網(wǎng)和非實時子網(wǎng),分別連接控制區(qū)和非控制區(qū)。  

(3)橫向隔離 縱向認證  

       橫向隔離是電力監(jiān)控系統(tǒng)安全防護體系的橫向防線。應當采用不同強度的安全設(shè)備隔離各安全區(qū),在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須部署經(jīng)國家指定部門檢測認證的電力專用橫向單向安全隔離裝置,隔離強度應當接近或達到物理隔離。生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應當采用具有訪問控制功能的網(wǎng)絡(luò)設(shè)備、安全可靠的硬件防火墻或者相當功能的設(shè)施,實現(xiàn)邏輯隔離。防火墻的功能性能電磁兼容性必須經(jīng)過國家相關(guān)部門的認證和測試。  

       縱向加密認證是電力監(jiān)控系統(tǒng)安全防護體系的縱向防線。生產(chǎn)控制大區(qū)與調(diào)度數(shù)據(jù)網(wǎng)的縱向連接處應當設(shè)置經(jīng)過國家指定部門檢測認證的電力專用縱向加密認證裝置,實現(xiàn)雙向身份認證、數(shù)據(jù)加密和訪問控制。  

(4)綜合防護  

       綜合防護是結(jié)合國家信息安全等級保護工作的相關(guān)要求對電力監(jiān)控系統(tǒng)從主機、網(wǎng)絡(luò)設(shè)備、惡意代碼防范、應用安全控制、審計、備份及容災等多個層面進行信息安全防護的過程。  

       生產(chǎn)控制大區(qū)可以統(tǒng)一部署一套網(wǎng)絡(luò)入侵檢測系統(tǒng),應當合理設(shè)置檢測規(guī)則,檢測發(fā)現(xiàn)隱藏于流經(jīng)網(wǎng)絡(luò)邊界正常信息流中的入侵行為,分析潛在威脅并進行安全審計。  

       非控制區(qū)的網(wǎng)絡(luò)設(shè)備與安全設(shè)備應當進行身份鑒別、訪問權(quán)限控制、會話控制等安全配置加固??梢詰秒娏φ{(diào)度輸子證書,在網(wǎng)絡(luò)設(shè)備和安全設(shè)備實現(xiàn)支持HTTPS的縱向安全WEB服務,能夠?qū)g覽器客戶端訪問進行身份認證及加密傳輸。  

       生產(chǎn)控制大區(qū)的監(jiān)控系統(tǒng)應當具備安全審計功能,能能夠?qū)Σ僮飨到y(tǒng)、數(shù)據(jù)庫、業(yè)務應用的重要操作盡心記錄、分析,及時發(fā)現(xiàn)各種違規(guī)行為以及病毒和黑客的攻擊行為。對于遠程用戶登陸到本地系統(tǒng)中的操作行為,應當進行嚴格的安全審計。  

具體方案  

部署工控安全綜合監(jiān)管平臺、工業(yè)安全防火墻,深度解析工控協(xié)議,防范非法訪問,迅速檢測異常網(wǎng)絡(luò)節(jié)點,及時預警,并監(jiān)控工業(yè)防火墻運行狀態(tài),實時獲取工控網(wǎng)安全事件日志和報警任務;

在操作員站和工程師站部署工控主機安全防護系統(tǒng),防范非法程序和應用以及未經(jīng)授權(quán)的任何行為;

部署堡壘機及工控安全綜合審計系統(tǒng),對違規(guī)操作行為進行控制和審計,保障網(wǎng)絡(luò)和數(shù)據(jù)不受外部和內(nèi)部用戶的入侵和破壞;

采用工控安全隔離網(wǎng)閘設(shè)備,物理隔離中央控制室和各子站網(wǎng),提供兩網(wǎng)數(shù)據(jù)交換安全通道,阻止來自上層網(wǎng)絡(luò)的非法訪問以及病毒和惡意代碼的傳播。

    1-智慧城市數(shù)據(jù)溯源保密安全解決方案

    根據(jù)智慧城市數(shù)據(jù)交換平臺的需求情況,提出采用自主可控數(shù)據(jù)共享與溯源綜合管理平臺(以下簡稱數(shù)據(jù)溯源系統(tǒng))來實現(xiàn)智慧城市信息數(shù)據(jù)交換共享中的數(shù)據(jù)脫敏及溯源追蹤保密安全的痛點問題。

系統(tǒng)部署于智慧城市數(shù)據(jù)交換共享中心內(nèi)部網(wǎng)絡(luò)當中(不同安全域之間),當智慧城市數(shù)據(jù)共享交換系統(tǒng)通過RestAPI獲取到DB數(shù)據(jù)提供者提供的相關(guān)數(shù)據(jù)后,該系統(tǒng)會將這些數(shù)據(jù)及其相應的數(shù)據(jù)屬性信息提交到數(shù)據(jù)交換安全處理中心,該中心安全域內(nèi)部署了兩種數(shù)據(jù)安全處理系統(tǒng),一為數(shù)據(jù)脫敏系統(tǒng),第二為數(shù)據(jù)溯源交換系統(tǒng)。在該安全處理中心會對相關(guān)的數(shù)據(jù)進行數(shù)據(jù)脫敏操作和數(shù)據(jù)溯源標識操作。

1)  數(shù)據(jù)溯源種子植入。該操作步驟會按照溯源種子植入策略進行敏感數(shù)據(jù)的溯源種子植入,處理完成后的數(shù)據(jù)將提交給智慧城市數(shù)據(jù)共享交換系統(tǒng)轉(zhuǎn)發(fā)給具體的數(shù)據(jù)使用者。

2)  數(shù)據(jù)溯源標識。相應的DB數(shù)據(jù)提供者的數(shù)據(jù)將會被打上知識產(chǎn)權(quán)標簽,相關(guān)的宿主屬性會無縫地嵌入到現(xiàn)有的數(shù)據(jù)之上,并且不改變現(xiàn)有數(shù)據(jù)的任何結(jié)構(gòu),當這種數(shù)據(jù)進入數(shù)據(jù)使用者的時候,不會影響數(shù)據(jù)使用者的使用,但是如果數(shù)據(jù)使用者將該數(shù)據(jù)泄露給其他公司或個人,智慧城市交換中心可以借助于該溯源追蹤平臺進行審計和跟蹤,從而實現(xiàn)數(shù)據(jù)的非授權(quán)擴散監(jiān)管問題。

   

    2-大數(shù)據(jù)安全脫敏系統(tǒng)解決方案

    數(shù)據(jù)安全脫敏系統(tǒng)采用大數(shù)據(jù)分析技術(shù)來實現(xiàn)隱私數(shù)據(jù)發(fā)現(xiàn)、數(shù)據(jù)提取、數(shù)據(jù)漂白、測試數(shù)據(jù)管理、數(shù)據(jù)裝載等功能于一體的高性能數(shù)據(jù)脫敏設(shè)備。系統(tǒng)采用專用的脫敏處理算法對敏感數(shù)據(jù)進行變形、屏蔽、替換、加密(格式保留加密處理和高強度加密處理),將敏感數(shù)據(jù)進行處理后屏蔽了原有數(shù)據(jù)的敏感性,實現(xiàn)了數(shù)據(jù)的隱私性保護。同時脫敏后的數(shù)據(jù)保留了原有數(shù)據(jù)的數(shù)據(jù)結(jié)構(gòu)和數(shù)據(jù)的業(yè)務邏輯一致,也能維持脫敏前后的數(shù)據(jù)唯一性,如:身份證、銀行卡、手機號、IMSI等。使得上層應用無需改變相應的業(yè)務邏輯。

系統(tǒng)具有流程化、自動化和作業(yè)復用等特點。作為軟硬一體化的設(shè)備,它擁有強大的功能、易于部署和使用等特點,開箱即用式的優(yōu)勢能夠極大減輕工作人員的工作強度以及項目周期。

系統(tǒng)對主流數(shù)據(jù)類型均能友好支持。包括支持國產(chǎn)關(guān)系型主流數(shù)據(jù)庫系統(tǒng)Oracle、Informix、SQL Server、DB2、MySQL。國產(chǎn)主流數(shù)據(jù)庫南大通用GBase、人大金倉、虛谷等、非關(guān)系型主流數(shù)據(jù)庫Hive、MongoDB、Redis、Hbase等。

   

    3-數(shù)據(jù)庫保密檢查解決方案

    1. 需求

需要用新的技術(shù)手段實現(xiàn)對數(shù)據(jù)庫進行高效涉密數(shù)據(jù)檢查。具體需求如下。

1)檢查范圍廣。包括結(jié)構(gòu)化數(shù)據(jù)庫、非結(jié)構(gòu)化數(shù)據(jù)庫、云計算的虛擬機和壓縮文件、大數(shù)據(jù)集群系統(tǒng)、服務器系統(tǒng)等

2)檢查效率高。需要快速對高達100T的數(shù)據(jù)庫進行保密檢查,檢查效率是傳統(tǒng)方式的100-1000倍

3)檢查類型多。需要對數(shù)據(jù)庫中涉及到的多種文本文件(Word、PDF等)、圖片文件中的數(shù)據(jù)進行數(shù)據(jù)敏感性檢查

4)檢查精度高。需要能在海量數(shù)據(jù)庫內(nèi)容中精準定位涉密信息或數(shù)據(jù),誤報率低

5)多種檢查方法。需要提供多種檢查算法,能從多維度定位目標數(shù)據(jù)系統(tǒng)。

2. 功能概述

系統(tǒng)采用大數(shù)據(jù)技術(shù)創(chuàng)新性地用于數(shù)據(jù)庫涉密信息檢查,能有效達到以下目標。

1)高效采集。大數(shù)據(jù)Sqoop技術(shù)實現(xiàn)數(shù)據(jù)的分布式采集。

2)高效分析。大數(shù)據(jù)MapReduce技術(shù)實現(xiàn)對數(shù)據(jù)庫內(nèi)容的快速分析和檢查

3)精準定位。結(jié)合檢查專家?guī)?,快速對政務敏感信息定位,并能生成詳盡的分析報告

數(shù)據(jù)庫保密檢查系統(tǒng)安裝部署方便,只需要保證與被檢查數(shù)據(jù)庫網(wǎng)絡(luò)可達即可;出于檢查效率的考慮,建議采用千兆及以上網(wǎng)絡(luò)環(huán)境。


資料更新中...

山西天科信息安全科技有限公司
Image

聯(lián)系地址:山西省太原市綜改示范區(qū)學府園區(qū)長治路227號高新國際B座

郵編:030006

企業(yè)郵箱:sxtk_mail@163.com

電話:400-0351-366    18903512955

版權(quán)所有:山西天科信息安全科技有限公司  備案號:晉ICP備18011408號-1