<address id="n1rrn"><pre id="n1rrn"><ruby id="n1rrn"></ruby></pre></address>

          厚積薄發  安全賦能

          依托過去在工控安全的技術積累,厚積薄發,推出適用于不同工業場景的解決方案,
          賦能工控系統安全。


          鋼鐵行業信息安全方案

          概述:隨著國家戰略部署高效推進,工業控制系統網絡安全已成為國家安全重要組成部分,針對工業控制系統嚴峻的安全形勢,國家對工業控制系統網絡安全高度重視,習近平總書記在2018年4月20日全國網絡安全和信息化工作會議上再次強調:“沒有網絡安全,就沒有國家安全,就沒有經濟社會穩定運行,廣大人民群眾利益也難以得到保障”。

          鋼鐵制造行業數字化、智能化、網絡化是工業化和信息化深度融合的必然結果,已成為各國占領制造技術制高點的重點領域。在新基建提速工業互聯網的大背景下,工業數字化、網絡化、智能化必將在鋼鐵制造行業加快發展,新形勢下工業控制系統網絡安全工作的重要性和緊迫性更加凸顯。

          需求分析

          隨著信息化的推動和工業化進程的加速,鋼鐵企業越來越多的計算機和網絡技術應用于工業控制系統。為了提升生產效能和管理效率,鋼鐵企業大力推進生產系統自身的自動化、集中化管理,但是,智能制造系統的互聯互通的同時,并沒有充分考慮互聯互通所帶來的安全風險,安全保護水平長期以來沒有得到足夠關注,例如系統平臺的安全防護弱點,系統配置和軟件的安全漏洞、工業協議(包括私有協議)的安全問題、控制系統隱藏的后門和未知漏洞等。鋼鐵企業的網絡安全風險也日益突出,主要涉及到:功能安全、數據安全(企業信息保護和個人隱私保護)、信息泄密等。


          1、網絡安全風險

          企業生產管理系統、DCS系統、PLC系統處于同一網絡平面,由遠程操作管理行為帶入的入侵或病毒很容易對DCS系統與PLC系統造成危害,來自于管理網的網絡風暴、ARP攻擊、拒絕式服務攻擊很容易消耗DCS、PLC系統的資源,使得DCS、PLC系統無法正常工作;

          工業網絡空間下缺乏手段可以宏觀的檢測、探測網絡的安全威脅,存在APT等隱藏式攻擊、病毒木馬攻擊風險。

          2、終端安全風險

          生產網中的工程師站、工業計算機、服務器系統、控制系統的升級、設備維護等需要U盤的接入,攜帶的病毒容易在控制網絡中傳播,造成PLC、DCS自動化終端設備被攻擊;

          生產網中的工程師站、工業計算機、服務器系統、控制系統進行人工維護時缺乏技術手段對系統運行的軟件進行嚴格控制,運維人員可隨意使用未經允許的軟件,為工業生產環境帶來安全風險。

          3、數據安全風險

          鋼鐵企業使用的主流控制系統不排除是國外品牌,如Siemens、GE等,核心技術國內未掌握,一旦某些較嚴重的漏洞被攻擊者發現,就有可能被其利用,在未授權的情況下訪問或破壞控制系統;

          當針對老的設備系統進行軟件升級時缺乏技術手段針對新的應用軟件安全漏洞檢測,一旦制造廠商刻意攜帶木馬后門或存在潛在安全漏洞則會埋下安全隱患。

          4、運維安全風險

          設備由廠商提供遠程維護升級或者留有后門,可能導致生產數據、工藝數據及配方等機密信息的泄露,從而影響到企業商業利益,乃至鋼鐵企業戰略的安全。


          可編程邏輯控制器(PLC)、上位機、服務器、工業控制協議等組成了以生產工藝為單位的工業控制系統,典型的包括煉化工藝、高爐工藝、熱軋工藝等,從上往下主要包含5個層級,依次是L4企業管理級、L3生產控制級、L2過程控制級、L1基礎自動化級、L0底層傳動級。L4企業管理級主要部署ERP、生產計劃等業務;L3生產控制級主要部署MES系統功能單元,用于對生產過程進行管理;L2過程控制級主要部署操作員站、工程師站以及監控服務器功能單元,用于對生產過程數據進行采集與監控;L1基礎自動化級主要包括各類控制器單元,如PLC、DCS控制單元等,用于對各執行設備進行控制和各類傳感設備進行感知;L0底層傳動級主要包含傳動(電機控制)和儀表。

          解決方案

          安全區域邊界

          安全邊界防護

          根據安全分區的指導原則,工業控制系統的內部業務系統和網絡結構,需要根據參與工業生產作業的控制和管理,劃分為了五大層級,分別是L4企業管理級、L3生產控制級、L2過程控制級、L1基礎自動化級、L0底層傳動級。在L2過程控制級與L3生產控制級網絡邊界部署工業隔離網閘,進行網絡物理隔離,保障生產網絡安全。

          安全區域劃分

          信息系統邊界是安全域劃分和明確安全控制單元的體現。在煉化工藝、高爐工藝、熱軋工藝等出口邊界即L1基礎自動化級與L2過程控制級網絡邊界部署工業防火墻,杜絕越權訪問,防止各類非法攻擊行為,基于工業控制系統協議及應用內容進行訪問控制。

          安全通信網絡

          安全審計

          在L2過程控制級各工藝監控中心匯聚交換機和核心交換機旁路部署工業監測審計系統,實現對網絡流量、異常事件、操作行為和數據內容等安全審計,對異常行為進行實時警報,并提供追蹤溯源。

          入侵檢測

          在L2過程控制級各工藝監控中心匯聚交換機和核心交換機旁路部署工業入侵檢測系統,在L1基礎自動化工作站和PLC控制器網絡關鍵節點交換機部署工業入侵檢測系統,實現發現網絡中的入侵行為,并分析潛在威脅,提供安全報警,協助解決安全威脅。

          安全計算環境

          主機安全防護

          主機安全防護主要在鋼鐵工業控制系統的上位機、服務器進行防護,以白名單的技術方式監控工控主機的進程狀態、網絡端口狀態、USB 端口狀態,全方位地保護主機的資源使用。

          USB安全防護

          外設USB端口接入防護主要通過對鋼鐵工業控制系工程師站、操作員站和數據服務器部署主機外設管理設備(USB安全防御系統)進行防護,利用文件過濾技術,根據用戶系統特點及相應配置,過濾所有可疑文件,切斷病毒傳播途徑。

          安全管理中心

          日志集中審計

          在鋼鐵工業控制系統L3生產控制級安全管理中心部署工業日志審計系統,

          現針對鋼鐵工業控制系統網絡設備、安全事件、日志信息的收集和集

          析,并提供日志查詢、歷史日志查詢和事件告警功能,能夠及時了解網絡

          設備運行狀態和識別存在的安全事件,提高系統安全防護能力。

          安全運維管理

          在鋼鐵工業控制系統L3生產控制級安全管理中心部署運維審計與管理設備(堡壘機),

          實現對設備的集中管控,限制設備的遠程登錄地址,對用戶的操作權限以及操作行為進

          行審計記錄。

          集中管控

          在鋼鐵工業控制系統L3生產控制級安全管理中心部署工業安全統一監管

          平臺,對網絡安全設備的統一安全管控、安全設備的狀態監控、審計管

          理和安全策略管理等集中管控,實現對網絡中發生的各類安全事件進行

          識別、報警和分析,構筑安全管理中心平臺,提升整體網絡安全防護和

          運維管控水平。

          部署說明

          增強防護,保障安全生產

          通過采取安全隔離、安全審計、入侵檢測以及主機加固等一系列技術措施,能夠彌補現有生產系統網絡安全建設層面的空白,提高現有生產系統網絡安全防護水平,降低生產系統遭受攻擊破壞的風險,保障生產系統網絡的安全穩定運行,助力企業安全生產。

          實時監測,構建主動防御體系

          遵循最小化影響原則,采取“白名單”為主“黑名單”為輔的措施,對網絡行為進行監測、控制和預警,實現“事前監控、事中控制”,靜態和動態的主動防御體系對保障生產控制系統的安全穩定運行起到至關重要的作用。

          網絡可視化,助于安全管控

          智能學習,構建可視化工控網絡拓撲,使工控網絡“看得見,摸得著”,幫助管理人員輕松掌握網絡安全狀況,提高運維工作效率。

          cao死你狠狠cao弄

                <address id="n1rrn"><pre id="n1rrn"><ruby id="n1rrn"></ruby></pre></address>