工控網(wǎng)絡(luò)安全加固示例

2024/1/9 16:54:50 人評(píng)論次瀏覽分類：過程控制文章地址：http://prosperiteweb.com/tech/5326.html

根據(jù)等級(jí)保護(hù)2.0三級(jí)的設(shè)計(jì)要求，昌暉儀表以石油化工行業(yè)的工控系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)加固為例，通過對(duì)石油化工工控系統(tǒng)主機(jī)安全防護(hù)、網(wǎng)絡(luò)安全防護(hù)、綜合審計(jì)運(yùn)維等多方面實(shí)施網(wǎng)絡(luò)安全加固，為石油化工工控系統(tǒng)建立一套基本的工控網(wǎng)絡(luò)安全防護(hù)體系，保障系統(tǒng)穩(wěn)定運(yùn)行。

工控安全設(shè)備的部署方案如圖所示。

①工控安全審計(jì)設(shè)備
部署工控安全審計(jì)設(shè)備后，將各層設(shè)備區(qū)域的核心網(wǎng)絡(luò)交換機(jī)的數(shù)據(jù)鏡像口與工控安全審計(jì)設(shè)備連接，對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行初級(jí)分析與處理，通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)包抓取、協(xié)議分析并按照預(yù)先配置的策略判斷數(shù)據(jù)的合法性，非法數(shù)據(jù)將自動(dòng)報(bào)警。能及時(shí)發(fā)現(xiàn)區(qū)域內(nèi)流量異常的情況，特別是在所有防御手段都失效后，仍可以通過控制審計(jì)設(shè)備進(jìn)行審計(jì)取證，并可通過后期分析發(fā)現(xiàn)整個(gè)事件的發(fā)起、傳播和爆發(fā)的全過程。解決了等級(jí)保護(hù)2.0中安全區(qū)域邊界以及安全計(jì)算環(huán)境對(duì)于邊界防護(hù)等要求。

②工業(yè)防火墻
在各層設(shè)備區(qū)域之間部署“工業(yè)防火墻”;通過工業(yè)防火墻進(jìn)行區(qū)域的邏輯劃分、邊界防護(hù)；確保各級(jí)區(qū)域內(nèi)的自動(dòng)控制系統(tǒng)不受其他級(jí)設(shè)備區(qū)域的干擾，將幾個(gè)區(qū)域的安全風(fēng)險(xiǎn)、交又感染威脅和影響降到最低。

使用工業(yè)防火墻設(shè)備在區(qū)域邊界以白名單形式做出針對(duì)性的訪問控制，防止來自外部系統(tǒng)的風(fēng)險(xiǎn)威脅。對(duì)所有網(wǎng)絡(luò)設(shè)備如交換機(jī)和路由器等進(jìn)行配置，既建立安全的訪問路徑，也避免將重要網(wǎng)段直接連接外部系統(tǒng)，保證網(wǎng)絡(luò)結(jié)構(gòu)安全。高效率、高安全性的工業(yè)防火墻將強(qiáng)大的信息分析功能、高效包過濾功能等多種安全措施綜合運(yùn)用，并根據(jù)系統(tǒng)管理者設(shè)定的安全規(guī)則保護(hù)內(nèi)部網(wǎng)絡(luò)與工控網(wǎng)絡(luò)，提供完善的安全性設(shè)置，通過高性能的網(wǎng)絡(luò)核心進(jìn)行訪問控制。解決了等級(jí)保護(hù)2.0中安全區(qū)域邊界對(duì)于入侵防范等要求。

③工控漏洞掃描平臺(tái)
部署工控漏洞掃描平臺(tái)，發(fā)現(xiàn)系統(tǒng)中的安全漏洞，并進(jìn)行整改，從而保障工控設(shè)施的正常運(yùn)轉(zhuǎn)。工控漏洞掃描平臺(tái)根據(jù)實(shí)際漏洞掃描工作需求，可在不同網(wǎng)段和不同區(qū)域之間進(jìn)行切換，分別對(duì)不同層區(qū)的設(shè)備進(jìn)行掃描。

工控漏洞掃描平臺(tái)根據(jù)工控系統(tǒng)已知的安全漏洞特征對(duì)工控系統(tǒng)中的控制設(shè)備、應(yīng)用或系統(tǒng)進(jìn)行掃描、識(shí)別，檢測(cè)工控系統(tǒng)存在漏洞并生成相應(yīng)的報(bào)告，清晰定性安全風(fēng)險(xiǎn)，給出修復(fù)建議和預(yù)防措施，并對(duì)風(fēng)險(xiǎn)控制策略進(jìn)行有效審核，從而在漏洞全面評(píng)估的基礎(chǔ)上實(shí)現(xiàn)安全自主掌控。解決了等級(jí)保護(hù)2.0中安全運(yùn)維管理對(duì)于漏洞和風(fēng)險(xiǎn)管理的要求。

④工控主機(jī)安全防護(hù)
在各級(jí)區(qū)域的數(shù)據(jù)服務(wù)器、工程師站、操作員站等系統(tǒng)中部署工控主機(jī)安全防護(hù)，通過非法外聯(lián)管理功能，防止設(shè)備非法外聯(lián)，保障企業(yè)核心數(shù)據(jù)安全；通過應(yīng)用程序的黑白名單機(jī)制，阻止惡意代碼入侵系統(tǒng)及工控軟件；同時(shí)通過終端安全的外設(shè)管理功能，實(shí)現(xiàn)對(duì)USB口、手機(jī)、光驅(qū)等相關(guān)外設(shè)設(shè)備的準(zhǔn)入管理，杜絕數(shù)據(jù)外泄和感染病毒的風(fēng)險(xiǎn)，從基礎(chǔ)接入方面杜絕可能產(chǎn)生的安全隱患。解決了等級(jí)保護(hù)2.0中安全區(qū)域邊界對(duì)于訪問控制等要求。

⑤工業(yè)安全管理平臺(tái)
在安全管理中心處部署工業(yè)安全管理平臺(tái)，通過網(wǎng)絡(luò)對(duì)工業(yè)防火墻、工控安全審計(jì)設(shè)備、工業(yè)交換機(jī)以及其他工控設(shè)備實(shí)現(xiàn)集中管控和審計(jì)。實(shí)現(xiàn)工控網(wǎng)絡(luò)環(huán)境下的資產(chǎn)、通信和協(xié)議的可視化。并且提供批量配置和下發(fā)工業(yè)防火墻、工控安全審計(jì)設(shè)備策略的部署方式，同時(shí)提供系統(tǒng)層面的事件收集、審計(jì)和報(bào)警的功能，對(duì)安全問題進(jìn)行全面的分析和診斷。工業(yè)安全管理平臺(tái)可以看到整個(gè)系統(tǒng)的運(yùn)行狀態(tài)，并用一系列措施應(yīng)對(duì)網(wǎng)絡(luò)遇到的威脅。解決了等級(jí)保護(hù)2.0中安全管理中心對(duì)于集中管控等要求。

⑥工業(yè)安全態(tài)勢(shì)感知系統(tǒng)
在安全管理中心處部署工業(yè)安全態(tài)勢(shì)感知系統(tǒng)，實(shí)時(shí)全面感知網(wǎng)絡(luò)空間工控設(shè)備態(tài)勢(shì)情況，獲取聯(lián)網(wǎng)工控系統(tǒng)設(shè)備類型、設(shè)備參數(shù)、運(yùn)行狀態(tài)、地理位置、開放端口及服務(wù)等關(guān)鍵信息。通過關(guān)聯(lián)國家權(quán)威漏洞庫進(jìn)行攻擊威脅和隱患分析，評(píng)估聯(lián)網(wǎng)工控設(shè)備安全風(fēng)險(xiǎn)并及時(shí)預(yù)警。同時(shí)對(duì)重點(diǎn)區(qū)域工控系統(tǒng)安全態(tài)勢(shì)進(jìn)行可視化整體呈現(xiàn)，指導(dǎo)用戶及時(shí)封堵漏洞，有效降低工控系統(tǒng)被攻擊的風(fēng)險(xiǎn)。解決了等級(jí)保護(hù)
2.0中安全管理中心對(duì)于集中管控的要求。

⑦運(yùn)維審計(jì)設(shè)備
在安全管理中心處部署運(yùn)維審計(jì)設(shè)備，針對(duì)運(yùn)維操作，以集中管理為基礎(chǔ)，單點(diǎn)登錄為手段，實(shí)現(xiàn)對(duì)“自然人(操作者)”在“主機(jī)設(shè)備等重要資源(操作對(duì)象)”上的“操作行為(操作內(nèi)容)”的集中管理、集中認(rèn)證、實(shí)時(shí)控制和實(shí)時(shí)審計(jì)，審計(jì)信息不可更改、不可杜撰，最終實(shí)現(xiàn)人為操作風(fēng)險(xiǎn)最小化控制。解決了等級(jí)保護(hù)2.0中安全管理中心對(duì)于系統(tǒng)管理的要求。

⑧日志審計(jì)設(shè)備
在安全管理中心處部署日志審計(jì)設(shè)備，能夠?qū)θW(wǎng)海量的日志數(shù)據(jù)進(jìn)行集中收集，擁有強(qiáng)大的搜索功能，支持精確檢索、范圍搜索、模糊搜索以及組合條件查詢，依靠大數(shù)據(jù)分析技術(shù)，實(shí)現(xiàn)檢索過程的秒級(jí)響應(yīng)。通過時(shí)間、關(guān)鍵字段與復(fù)雜流程拼湊關(guān)聯(lián)事件。解決了等級(jí)保護(hù)2.0中安全管理中心對(duì)于審計(jì)管理的要求。

⑨數(shù)據(jù)庫審計(jì)設(shè)備
在安全管理中心處部署數(shù)據(jù)庫審計(jì)設(shè)備，對(duì)訪問數(shù)據(jù)庫的數(shù)據(jù)流進(jìn)行采集、分析和識(shí)別。實(shí)時(shí)監(jiān)視數(shù)據(jù)庫的運(yùn)行狀態(tài)，記錄多種訪問數(shù)據(jù)庫行為，發(fā)現(xiàn)對(duì)數(shù)據(jù)庫的異常訪問，并對(duì)訪問數(shù)據(jù)庫的相關(guān)行為、發(fā)送和接收的相關(guān)內(nèi)容進(jìn)行存儲(chǔ)、分析、排名和查詢。解決了等級(jí)保護(hù)2.0中安全管理中心對(duì)于審計(jì)管理的要求。

通過上述安全防護(hù)措施，最終實(shí)現(xiàn)：提升、鞏固工控系統(tǒng)基礎(chǔ)計(jì)算環(huán)境(包括操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用軟件等)防護(hù)能力；網(wǎng)絡(luò)安全分域、區(qū)域隔離，保障網(wǎng)絡(luò)邊界安全，將安全事件影響降至最低；同時(shí)實(shí)時(shí)監(jiān)控工控系統(tǒng)網(wǎng)絡(luò)安全運(yùn)行狀態(tài)，及時(shí)處置信息安全事件；構(gòu)建工控系統(tǒng)安全集中管理中心，達(dá)到工控系統(tǒng)網(wǎng)絡(luò)安全事件的集中審計(jì)和分析。

上一篇：工控網(wǎng)絡(luò)安全參考標(biāo)準(zhǔn)和術(shù)語

下一篇：用滿足要求、簡(jiǎn)單高效和規(guī)范標(biāo)準(zhǔn)來評(píng)價(jià)控制方案優(yōu)劣