热线电话:
400-0351-366
解决方案
SOLUTION
煤矿行业工业控制系统安全防护解决方案
一、背景情况
煤炭工业控制系统是整个煤炭企业安全生产监控系统信息的集成,它需要一个快速、安全、可靠的网络平台为大量的信息流动提供支撑,同时要有一个功能******的安全生产信息应用系统为矿井安全生产提供科学调度、决策的依据。做好煤炭企业工控安全建设是实现生产安全的必要保障。
综合自动化系统是指在工业生产、管理、经营过程中,通过信息基础设施,在集成平台上,实现信息的采集、信息的传输、信息的处理以及信息的综合利用等。将先进和自动控制、通讯、信息技术和现化管理技术结合,将企业的生产过程控制、运行与管理作为一个整体进行控制与管理,提供整体解决方案,以实现企业的优化运行、控制和管理。
二、安全分析
(1)缺乏整体信息安全规划;
(2)缺乏工控安全管理制度、应急预案、培训与意识培养;
(3)调度人员有时通过连通互联网的手机在调度室主机U口上充电,导致生产网络通过手机被打通,造成边界模糊。
(4)主机操作系统老旧,从不升级,极易出现安全漏洞和缺陷;新建系统主机虽然会安装杀毒软件,但是为保障生产运行,杀毒软件一般处于关闭状态,这些都存在安全隐患,无法防御“0-DAY”病毒和******病毒。
(5)调度人员或运维人员使用带有病毒的U盘插入主机中,造成整个网络感染病毒。
(6)煤炭生产现场PLC多为西门子或AB的产品,而PLC本身存在漏洞,西门子和AB近些年被曝出存在高危漏洞,攻击者可以利用漏洞控制现场设备,执行错误命令,严重影响安全生产。
(7)黑客也可通过技术手段潜入生产网络,获取关键生产数据,牟取利益。
三、煤矿行业工控系统安全防护解决方案
安全防护原则
(1)安全分区
对于生产网络与办公网络、企业集团内网存在互联互通的现象,首先需要进行网络优化,明确生产网络边界,尽量避免多个生产网络边界的现象。
(2)安全审计
对生产网络内部的日常操作行为进行基于白名单策略监控,及时发现网络中存在的异常流量、违规操作、非法访问、恶意程序等异常行为,并要求对生产网络的运行日志进行记录保存,至少保留6个月;对于已经发生攻击事件的情况,要求可以对攻击事件进行追踪、溯源,定位网络攻击的位置或具体用户。
(3)边界防护
根据业务网络实际情况,在生产网络外部边界处部署工业防火墙或单向隔离网闸设备,保证生产网络向办公网络或其他外部网络数据单向传输。工业控制系统上位操作主机(操作站、工程师站、服务器)作为生产网络的内部边界,需要对用户登陆、操作、运行等行为进行安全监控与审计,并对通过上位主机外设接口与生产网络进行数据通讯的行为进行授权管理。
(4)恶意代码防范
对于以“白名单”防护策略为主的工控安全防护方案,除了对外部网络边界进行有效的访问控制和威胁监测以外,需要对上位主机的USB接口使用过程进行安全有效管理,对于临时接入工控网络的移动存储设备,必须先进行病毒查杀,才可以使用。
具体方案
Ø 部署工控安全综合监管平台、工业安全防火墙,深度解析工控协议,防范非法访问,迅速检测异常网络节点,及时预警,并监控工业防火墙运行状态,实时获取工控网安全事件日志和报警任务;
Ø 在操作员站和工程师站部署工控主机安全防护系统,防范非法程序和应用以及未经授权的任何行为;
Ø 部署堡垒机及工控安全综合审计系统,对违规操作行为进行控制和审计,保障网络和数据不受外部和内部用户的入侵和破坏;
Ø 采用工控安全隔离网闸设备,物理隔离煤矿办公网和生产网,提供两网数据交换安全通道,阻止来自上层网络的非法访问以及病毒和恶意代码的传播。
焦化工业控制系统安全防护解决方案
一、背景情况
焦化企业普遍采用基于信息网、管理网和控制网三层架构的的管控一体化信息模型,焦化企业是典型的资金和技术密集型企业,生产的连续性很强,装置和重要设备的意外停产都会导致巨大的经济损失,因此生产过程控制大多采用DCS等先进的控制系统,且以国外厂商为主。经过多年的发展,焦化行业信息化建设已经有了较好的基础,企业在管理层的指挥、协调和监控能力在实时性、完整性和一致性上都有了很大的提升,相应的网络安全防护也有了较大提高。随着焦化企业管控一体化的实现,越来越多的控制网络系统通过信息网络连接到互联上,潜在的威胁就越来越大。
二、安全分析
(1)控制网络与管理网络互联,存在来自上层网络的安全威胁存在。
(2)存在来自工作站(接入U盘、便携设备等)的病毒传染隐患。
(3)网络中没有设置安全监控平台,无法对网络安全事故进行预警和分析,影响问题识别和系统修复效率。
(4)控制系统缺少分级、分区的安全防护,容易受到信息网络及相邻系统的潜在威胁。
(5)对违规操作缺乏控制和审计。
三、焦化行业工控系统安全防护解决方案
防护原则
(1)安全分区
对于生产网络与办公网络、企业集团内网存在互联互通的现象,首先需要进行网络优化,明确生产网络边界,尽量避免多个生产网络边界的现象。
(2)安全审计
对生产网络内部的日常操作行为进行基于白名单策略监控,及时发现网络中存在的异常流量、违规操作、非法访问、恶意程序等异常行为,并要求对生产网络的运行日志进行记录保存,至少保留6个月;对于已经发生攻击事件的情况,要求可以对攻击事件进行追踪、溯源,定位网络攻击的位置或具体用户。
(3)边界防护
根据业务网络实际情况,在生产网络外部边界处部署工业防火墙或单向隔离网闸设备,保证生产网络向办公网络或其他外部网络数据单向传输。工业控制系统上位操作主机(操作站、工程师站、服务器)作为生产网络的内部边界,需要对用户登陆、操作、运行等行为进行安全监控与审计,并对通过上位主机外设接口与生产网络进行数据通讯的行为进行授权管理。
(4)恶意代码防范
对于以“白名单”防护策略为主的工控安全防护方案,除了对外部网络边界进行有效的访问控制和威胁监测以外,需要对上位主机的USB接口使用过程进行安全有效管理,对于临时接入工控网络的移动存储设备,必须先进行病毒查杀,才可以使用。
具体方案
(1)根据焦化行业的网络拓扑图,结合相关标准及技术规范与要求,将整个网络划分为操作管理层、现场监控层、生产控制层和生产执行层四个区域。
(2)在现有网络架构下,协同部署工控系统安全防护产品,******防护包括OPC数据采集、控制设备和工程师工作站的安全。
(3)采用工控网络隔离网关设备隔离内外网,提供内外网数据交换安全通道,阻止来自上层网络的非法访问、病毒及恶意代码的传播。
(4)部署分布式工业防火墙和工控安全监控平台,深度解析多种工控协议,防范非法访问,迅速检测异常网络节点,及时预警,并监控工业防火墙工作状态,实时获取工控网络安全事件日志和报警任务。
(5)在工作站应用工控安全主机防护系统,防范非法程序、应用以及未经授权的任何行为,给予终端计算机全生命周期的安全防护。
(6)在操作管理层部署审计平台和堡垒机,对违规操作行为进行控制和审计,保障网络和数据不受外部和内部用户的入侵和破坏。
冶金钢铁工业控制系统安全防护解决方案
一、背景情况
冶金钢铁行业工业以太网一般采用环网结构,为实时控制网,负责控制器、操作站和工程师站之间过程控制数据实时通讯,网络上所有操作站、数采机和PLC都采用以太网接口,网络中远距离传输介质为光缆,本地传输介质为网线(如PLC与操作站之间)。生产监控主机利用双网卡结构与管理网互联。
二、安全分析
(1)钢铁冶金企业没有对其内部生产控制系统及网络进行分区、分层,无法将恶意软件、黑客攻击、非法操作等行为控制在特定区域内,易发生全局性网络安全风险。
(2)分厂控制网络采用同网段组网,PLC、DCS等重要控制系统缺乏安全防护和访问控制措施。
(3)各分厂控制网与骨干环网之间无隔离防护措施。
(4)钢铁冶金企业办公网和生产监控网之间无物理隔离措施,导致病毒、木马、黑客攻击等极易以办公网为跳板对生产控制系统发起攻击。
(5)由于钢铁冶金企业控制流程复杂、设备种类繁多、通信协议多样,导致采集数据安全性无法得到保障。
(6)钢铁冶金企业内部控制系统及网络缺乏安全监测与审计措施,无法及时发现非法访问、非法操作、恶意攻击等行为。
(7)钢铁冶金企业内部缺乏统一的安全管理平台。
三、冶金钢铁行业工控系统安全防护解决方案
防护原则
(1)安全分区
对于生产网络与办公网络、企业集团内网存在互联互通的现象,首先需要进行网络优化,明确生产网络边界,尽量避免多个生产网络边界的现象。
(2)安全审计
对生产网络内部的日常操作行为进行基于白名单策略监控,及时发现网络中存在的异常流量、违规操作、非法访问、恶意程序等异常行为,并要求对生产网络的运行日志进行记录保存,至少保留6个月;对于已经发生攻击事件的情况,要求可以对攻击事件进行追踪、溯源,定位网络攻击的位置或具体用户。
(3)边界防护
根据业务网络实际情况,在生产网络外部边界处部署工业防火墙或单向隔离网闸设备,保证生产网络向办公网络或其他外部网络数据单向传输。工业控制系统上位操作主机(操作站、工程师站、服务器)作为生产网络的内部边界,需要对用户登陆、操作、运行等行为进行安全监控与审计,并对通过上位主机外设接口与生产网络进行数据通讯的行为进行授权管理。
(4)恶意代码防范
对于以“白名单”防护策略为主的工控安全防护方案,除了对外部网络边界进行有效的访问控制和威胁监测以外,需要对上位主机的USB接口使用过程进行安全有效管理,对于临时接入工控网络的移动存储设备,必须先进行病毒查杀,才可以使用。
具体方案
(1)部署工控安全监控系统和工业防火墙,对工控协议深度解析,防范非法访问,迅速检测异常网络节点,及时预警,并监控工业防火墙工作状态,实时获取工控网安全事件日志和报警任务,保障PLC设备和各服务器安全。
(2)在各高炉操作站和工程师站应用工控安全主机防护系统,防范非法程序和应用以及未经授权的任何行为。
(3)部署堡垒机及工控安全综合审计系统,对违规操作行为进行控制和审计,保障网络和数据不受外部和内部用户的入侵和破坏。
(4)采用工控网络隔离网关设备隔离生产控制网和控制子站环网,提供两网数据交换安全通道,阻止来自上层网络的非法访问以及病毒和恶意代码的传播。
火力发电工业控制系统安全防护解决方案
一、背景情况
火电厂工控系统主要由*控制室和各配电室、电子间等子站组成,系统中布置有数千个开关、数百个模拟测量点以及数个PID调节回路的控制对象。其中,*控制室设备通常包括建立在以太网连接上的操作员站、工程师站、数据采集服务器、报表打印设备等。*控制网络与各子站控制系统采用光纤为通信链路,各子站配有光纤收发器和工业交换机。
二、安全分析
(1)*控制网络与各控制子站网络互联,存在来自上层网络的安全威胁,缺少重点边界、区域的安全防护手段;
(2)工控系统及网络缺乏监测手段,无法感知未知设备、非法应用和软件的入侵,无法对网络中传输的未知异常流量进行监测;
(3)工控系统缺乏对用户操作行为的监控和审计,针对用户操作行为缺乏有效可靠的审计手段;
(4)工业控制系统缺乏分区边界防护,容易受到来自信息网络和相邻系统的安全影响。
三、火力发电行业工控系统安全防护解决方案
安全防护原则
(1)安全分区
按照《电力监控系统安全防护规定》,原则上将基于计算机及网络技术的业务系统划分为生产控制大区和管理信息大区,并根据业务系统的重要性和对一次系统的影响程度将生产控制大区划分为控制区(安全区Ⅰ)及非控制区(安全区Ⅱ),重点保护生产控制以及直接影响电力生产(机组运行)的系统。
(2)网络专用
电力调度数据网是与生产控制大区相连接的专用网络,承载电力实时控制、在线交易等业务。生产控制大区的电力调度数据网应当在专用通道上使用独立的网络设备组网,在物理层面上实现与电力企业其他数据网及外部公共信息网的安全隔离。生产控制大区的电力调度数据网应当划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区。
(3)横向隔离 纵向认证
横向隔离是电力监控系统安全防护体系的横向防线。应当采用不同强度的安全设备隔离各安全区,在生产控制大区与管理信息大区之间必须部署经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应当接近或达到物理隔离。生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、安全可靠的硬件防火墙或者相当功能的设施,实现逻辑隔离。防火墙的功能性能电磁兼容性必须经过国家相关部门的认证和测试。
纵向加密认证是电力监控系统安全防护体系的纵向防线。生产控制大区与调度数据网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置,实现双向身份认证、数据加密和访问控制。
(4)综合防护
综合防护是结合国家信息安全等级保护工作的相关要求对电力监控系统从主机、网络设备、恶意代码防范、应用安全控制、审计、备份及容灾等多个层面进行信息安全防护的过程。
生产控制大区可以统一部署一套网络入侵检测系统,应当合理设置检测规则,检测发现隐藏于流经网络边界正常信息流中的入侵行为,分析潜在威胁并进行安全审计。
非控制区的网络设备与安全设备应当进行身份鉴别、访问权限控制、会话控制等安全配置加固。可以应用电力调度输子证书,在网络设备和安全设备实现支持HTTPS的纵向安全WEB服务,能够对浏览器客户端访问进行身份认证及加密传输。
生产控制大区的监控系统应当具备安全审计功能,能能够对操作系统、数据库、业务应用的重要操作尽心记录、分析,及时发现各种违规行为以及病毒和黑客的攻击行为。对于远程用户登陆到本地系统中的操作行为,应当进行严格的安全审计。
具体方案
部署工控安全综合监管平台、工业安全防火墙,深度解析工控协议,防范非法访问,迅速检测异常网络节点,及时预警,并监控工业防火墙运行状态,实时获取工控网安全事件日志和报警任务;
在操作员站和工程师站部署工控主机安全防护系统,防范非法程序和应用以及未经授权的任何行为;
部署堡垒机及工控安全综合审计系统,对违规操作行为进行控制和审计,保障网络和数据不受外部和内部用户的入侵和破坏;
采用工控安全隔离网闸设备,物理隔离*控制室和各子站网,提供两网数据交换安全通道,阻止来自上层网络的非法访问以及病毒和恶意代码的传播。
1-智慧城市数据溯源保密安全解决方案
根据智慧城市数据交换平台的需求情况,提出采用自主可控数据共享与溯源综合管理平台(以下简称数据溯源系统)来实现智慧城市信息数据交换共享中的数据******及溯源追踪保密安全的痛点问题。
系统部署于智慧城市数据交换共享中心内部网络当中(不同安全域之间),当智慧城市数据共享交换系统通过RestAPI获取到DB数据提供者提供的相关数据后,该系统会将这些数据及其相应的数据属性信息提交到数据交换安全处理中心,该中心安全域内部署了两种数据安全处理系统,一为数据******系统,第二为数据溯源交换系统。在该安全处理中心会对相关的数据进行数据******操作和数据溯源标识操作。
1) 数据溯源种子植入。该操作步骤会按照溯源种子植入策略进行敏感数据的溯源种子植入,处理完成后的数据将提交给智慧城市数据共享交换系统转发给具体的数据使用者。
2) 数据溯源标识。相应的DB数据提供者的数据将会被打上知识产权标签,相关的宿主属性会无缝地嵌入到现有的数据之上,并且不改变现有数据的任何结构,当这种数据进入数据使用者的时候,不会影响数据使用者的使用,但是如果数据使用者将该数据泄露给其他公司或个人,智慧城市交换中心可以借助于该溯源追踪平台进行审计和跟踪,从而实现数据的非授权扩散监管问题。
2-大数据安全******系统解决方案
数据安全******系统采用大数据分析技术来实现隐私数据发现、数据提取、数据漂白、测试数据管理、数据装载等功能于一体的高性能数据******设备。系统采用专用的******处理算法对敏感数据进行变形、屏蔽、替换、加密(格式保留加密处理和高强度加密处理),将敏感数据进行处理后屏蔽了原有数据的敏感性,实现了数据的隐私性保护。同时******后的数据保留了原有数据的数据结构和数据的业务逻辑一致,也能维持******前后的数据******性,如:身份证、银行卡、手机号、IMSI等。使得上层应用无需改变相应的业务逻辑。
系统具有流程化、自动化和作业复用等特点。作为软硬一体化的设备,它拥有强大的功能、易于部署和使用等特点,开箱即用式的优势能够极大减轻工作人员的工作强度以及项目周期。
系统对主流数据类型均能友好支持。包括支持国产关系型主流数据库系统Oracle、Informix、SQL Server、DB2、MySQL。国产主流数据库南大通用GBase、人大金仓、虚谷等、非关系型主流数据库Hive、MongoDB、Redis、Hbase等。
3-数据库保密检查解决方案
1. 需求
需要用新的技术手段实现对数据库进行******涉密数据检查。具体需求如下。
1)检查范围广。包括结构化数据库、非结构化数据库、云计算的虚拟机和压缩文件、大数据集群系统、服务器系统等
2)检查效率高。需要快速对高达100T的数据库进行保密检查,检查效率是传统方式的100-1000倍
3)检查类型多。需要对数据库中涉及到的多种文本文件(Word、PDF等)、图片文件中的数据进行数据敏感性检查
4)检查精度高。需要能在海量数据库内容中精准定位涉密信息或数据,误报率低
5)多种检查方法。需要提供多种检查算法,能从多维度定位目标数据系统。
2. 功能概述
系统采用大数据技术创新性地用于数据库涉密信息检查,能有效达到以下目标。
1)******采集。大数据Sqoop技术实现数据的分布式采集。
2)******分析。大数据MapReduce技术实现对数据库内容的快速分析和检查
3)精准定位。结合检查专家库,快速对*务敏感信息定位,并能生成详尽的分析报告
数据库保密检查系统安装部署方便,只需要保证与被检查数据库网络可达即可;出于检查效率的考虑,建议采用千兆及以上网络环境。
资料更新中...
一、背景情况
校园网络是学校为教职员工和学生提供网络接入,满足教学、科研、管理服务需求的信息化基础设施,包括有线宽带网络、无线局域网络和移动通信网络,因此提高高等学校网络管理和服务质量,提升校园网络用户上网体验,保障校园网络安全是当前教育行业的重要工作。对于学校而言,维护校园网络安全,是保障教育教学正常开展的基础性工作,也是构建新时代育人环境的重要工作。
二、安全分析
1.校园各类信息服务系统的数据安全。由于校园内各种二级、三级域名系统管理相对分散,针对各类漏洞风险可能会存在安全维护不及时等问题。这会导致部分网站或信息系统存在被拖库、窜改等风险,从而导致师生的各类敏感信息泄露。
2.校园网络、移动通信网无线接入安全。由于校园网络中WiFi(行动热点)接入点众多且大多采用802.1x(一种访问控制和认证协议)方式,人员密集使其成为具有较高价值的攻击目标,因此存在大量的伪热点、基站试图窃取用户敏感账号信息,进行钓鱼欺诈等。
3.校园信息系统中舆情内容安全(不良信息及言论的传播)。由于大学生初步掌握了各种获取信息的工具,可以轻易接触到色情、******、******等不良信息,这会影响其人生观、******观的形成和发展。
4.学校网络安全管理制度存在不足。学校内计算机和网络已经普及,需要学校对网络安全加以重视,并建立完善的管理制度。但是,学校还没有认识到网络安全的重要性,且考虑不******,建立的管理制度存在不足;同时,没有对管理人员进行专业技术和职业素养方面的培训,影响网络安全管理效率与质量。
三、教育行业系统安全防护解决方案
网络层面:关注安全域划分、访问控制、抗拒绝服务攻击,针对区域边界采取隔离手段,并在隔离后的各个安全区域边界执行严格的访问控制,防止非法访问,利用漏洞管理系统、网络安全审计等网络安全产品,为客户构建严密、专业的网络安全保障体系。
应用层面:WEB应用防火墙能够对WEB应用漏洞进行预先扫描,同时具备对SQL注入、跨站脚本等通过应用层的入侵动作实时阻断,并结合网页防篡改子系统,真正达到双重层面的“网页防篡改”效果。
数据层面:数据库将被隐藏在安全区域,同时通过专业的安全加固服务对数据库进行安全评估和配置,对数据库的访问权限进行严格设定,******限度保证数据库安全。同时,有效保护重要数据信息的健康度。
一、背景情况
医疗卫生行业的健康发展,直接关系到民生问题。随着医院信息化建设的逐步深入,网上业务由单一到多元化,各类应用系统数十个,信息系统承受的压力日益增长,医院信息系统已经成为医院正常运行不可或缺的支撑环境和工作平台。医院业务系统作为我国重要的关键信息基础设施,是黑客的重点攻击对象,医疗行业网络攻击事件层出不穷。因此,建设完善的网络安全防御体系,落实医院网络安全等级化建设工作势在必行。
二、安全分析
近年来,各类******病毒、挖矿病毒、黑客木马等自动化攻击程序的出现和持续增加,如何快速有效的解决医院资产全生命周期闭环管理,完成安全合规的落地化工作并尽量少地影响医院核心临床应用,也成为当前医院面临的严峻安全挑战之一。
三、医疗行业安全防护解决方案
●安全物理环境
依据《信息安全技术-网络安全等级保护基本要求》中的“安全物理环境”要求对对机房进行整改建设。
●安全通信网络
安全通信网络从网络架构、通信传输和可信验证三个方面进行设计和安全防护。
保证网络设备的业务处理能力满足业务高峰期需要;
关键业务区和管理区采取可靠的技术手段与其他区域进行隔离;
重要数据的通信传输采取加密措施;
●安全区边界
根据业务网络实际情况,在内网区和外网区的边界部署安全隔离设备,保证HIS、LIS等系统面临的APT攻击、非法外联/违规接入网络等安全威胁进行有针对性的安全控制。
针对数据的传输、使用和存储等过程,使用数据加密传输、数据******等措施,保护医院重要数据资产的安全。
●安全计算环境
安全计算环境防护建设主要通过主机加固、入侵防范、************、恶意代码防护等多种安全机制实现。
解决方案
SOLUTION
煤矿行业工业控制系统安全防护解决方案
一、背景情况
煤炭工业控制系统是整个煤炭企业安全生产监控系统信息的集成,它需要一个快速、安全、可靠的网络平台为大量的信息流动提供支撑,同时要有一个功能******的安全生产信息应用系统为矿井安全生产提供科学调度、决策的依据。做好煤炭企业工控安全建设是实现生产安全的必要保障。
综合自动化系统是指在工业生产、管理、经营过程中,通过信息基础设施,在集成平台上,实现信息的采集、信息的传输、信息的处理以及信息的综合利用等。将先进和自动控制、通讯、信息技术和现化管理技术结合,将企业的生产过程控制、运行与管理作为一个整体进行控制与管理,提供整体解决方案,以实现企业的优化运行、控制和管理。
二、安全分析
(1)缺乏整体信息安全规划;
(2)缺乏工控安全管理制度、应急预案、培训与意识培养;
(3)调度人员有时通过连通互联网的手机在调度室主机U口上充电,导致生产网络通过手机被打通,造成边界模糊。
(4)主机操作系统老旧,从不升级,极易出现安全漏洞和缺陷;新建系统主机虽然会安装杀毒软件,但是为保障生产运行,杀毒软件一般处于关闭状态,这些都存在安全隐患,无法防御“0-DAY”病毒和******病毒。
(5)调度人员或运维人员使用带有病毒的U盘插入主机中,造成整个网络感染病毒。
(6)煤炭生产现场PLC多为西门子或AB的产品,而PLC本身存在漏洞,西门子和AB近些年被曝出存在高危漏洞,攻击者可以利用漏洞控制现场设备,执行错误命令,严重影响安全生产。
(7)黑客也可通过技术手段潜入生产网络,获取关键生产数据,牟取利益。
三、煤矿行业工控系统安全防护解决方案
安全防护原则
(1)安全分区
对于生产网络与办公网络、企业集团内网存在互联互通的现象,首先需要进行网络优化,明确生产网络边界,尽量避免多个生产网络边界的现象。
(2)安全审计
对生产网络内部的日常操作行为进行基于白名单策略监控,及时发现网络中存在的异常流量、违规操作、非法访问、恶意程序等异常行为,并要求对生产网络的运行日志进行记录保存,至少保留6个月;对于已经发生攻击事件的情况,要求可以对攻击事件进行追踪、溯源,定位网络攻击的位置或具体用户。
(3)边界防护
根据业务网络实际情况,在生产网络外部边界处部署工业防火墙或单向隔离网闸设备,保证生产网络向办公网络或其他外部网络数据单向传输。工业控制系统上位操作主机(操作站、工程师站、服务器)作为生产网络的内部边界,需要对用户登陆、操作、运行等行为进行安全监控与审计,并对通过上位主机外设接口与生产网络进行数据通讯的行为进行授权管理。
(4)恶意代码防范
对于以“白名单”防护策略为主的工控安全防护方案,除了对外部网络边界进行有效的访问控制和威胁监测以外,需要对上位主机的USB接口使用过程进行安全有效管理,对于临时接入工控网络的移动存储设备,必须先进行病毒查杀,才可以使用。
具体方案
Ø 部署工控安全综合监管平台、工业安全防火墙,深度解析工控协议,防范非法访问,迅速检测异常网络节点,及时预警,并监控工业防火墙运行状态,实时获取工控网安全事件日志和报警任务;
Ø 在操作员站和工程师站部署工控主机安全防护系统,防范非法程序和应用以及未经授权的任何行为;
Ø 部署堡垒机及工控安全综合审计系统,对违规操作行为进行控制和审计,保障网络和数据不受外部和内部用户的入侵和破坏;
Ø 采用工控安全隔离网闸设备,物理隔离煤矿办公网和生产网,提供两网数据交换安全通道,阻止来自上层网络的非法访问以及病毒和恶意代码的传播。
焦化工业控制系统安全防护解决方案
一、背景情况
焦化企业普遍采用基于信息网、管理网和控制网三层架构的的管控一体化信息模型,焦化企业是典型的资金和技术密集型企业,生产的连续性很强,装置和重要设备的意外停产都会导致巨大的经济损失,因此生产过程控制大多采用DCS等先进的控制系统,且以国外厂商为主。经过多年的发展,焦化行业信息化建设已经有了较好的基础,企业在管理层的指挥、协调和监控能力在实时性、完整性和一致性上都有了很大的提升,相应的网络安全防护也有了较大提高。随着焦化企业管控一体化的实现,越来越多的控制网络系统通过信息网络连接到互联上,潜在的威胁就越来越大。
二、安全分析
(1)控制网络与管理网络互联,存在来自上层网络的安全威胁存在。
(2)存在来自工作站(接入U盘、便携设备等)的病毒传染隐患。
(3)网络中没有设置安全监控平台,无法对网络安全事故进行预警和分析,影响问题识别和系统修复效率。
(4)控制系统缺少分级、分区的安全防护,容易受到信息网络及相邻系统的潜在威胁。
(5)对违规操作缺乏控制和审计。
三、焦化行业工控系统安全防护解决方案
防护原则
(1)安全分区
对于生产网络与办公网络、企业集团内网存在互联互通的现象,首先需要进行网络优化,明确生产网络边界,尽量避免多个生产网络边界的现象。
(2)安全审计
对生产网络内部的日常操作行为进行基于白名单策略监控,及时发现网络中存在的异常流量、违规操作、非法访问、恶意程序等异常行为,并要求对生产网络的运行日志进行记录保存,至少保留6个月;对于已经发生攻击事件的情况,要求可以对攻击事件进行追踪、溯源,定位网络攻击的位置或具体用户。
(3)边界防护
根据业务网络实际情况,在生产网络外部边界处部署工业防火墙或单向隔离网闸设备,保证生产网络向办公网络或其他外部网络数据单向传输。工业控制系统上位操作主机(操作站、工程师站、服务器)作为生产网络的内部边界,需要对用户登陆、操作、运行等行为进行安全监控与审计,并对通过上位主机外设接口与生产网络进行数据通讯的行为进行授权管理。
(4)恶意代码防范
对于以“白名单”防护策略为主的工控安全防护方案,除了对外部网络边界进行有效的访问控制和威胁监测以外,需要对上位主机的USB接口使用过程进行安全有效管理,对于临时接入工控网络的移动存储设备,必须先进行病毒查杀,才可以使用。
具体方案
(1)根据焦化行业的网络拓扑图,结合相关标准及技术规范与要求,将整个网络划分为操作管理层、现场监控层、生产控制层和生产执行层四个区域。
(2)在现有网络架构下,协同部署工控系统安全防护产品,******防护包括OPC数据采集、控制设备和工程师工作站的安全。
(3)采用工控网络隔离网关设备隔离内外网,提供内外网数据交换安全通道,阻止来自上层网络的非法访问、病毒及恶意代码的传播。
(4)部署分布式工业防火墙和工控安全监控平台,深度解析多种工控协议,防范非法访问,迅速检测异常网络节点,及时预警,并监控工业防火墙工作状态,实时获取工控网络安全事件日志和报警任务。
(5)在工作站应用工控安全主机防护系统,防范非法程序、应用以及未经授权的任何行为,给予终端计算机全生命周期的安全防护。
(6)在操作管理层部署审计平台和堡垒机,对违规操作行为进行控制和审计,保障网络和数据不受外部和内部用户的入侵和破坏。
冶金钢铁工业控制系统安全防护解决方案
一、背景情况
冶金钢铁行业工业以太网一般采用环网结构,为实时控制网,负责控制器、操作站和工程师站之间过程控制数据实时通讯,网络上所有操作站、数采机和PLC都采用以太网接口,网络中远距离传输介质为光缆,本地传输介质为网线(如PLC与操作站之间)。生产监控主机利用双网卡结构与管理网互联。
二、安全分析
(1)钢铁冶金企业没有对其内部生产控制系统及网络进行分区、分层,无法将恶意软件、黑客攻击、非法操作等行为控制在特定区域内,易发生全局性网络安全风险。
(2)分厂控制网络采用同网段组网,PLC、DCS等重要控制系统缺乏安全防护和访问控制措施。
(3)各分厂控制网与骨干环网之间无隔离防护措施。
(4)钢铁冶金企业办公网和生产监控网之间无物理隔离措施,导致病毒、木马、黑客攻击等极易以办公网为跳板对生产控制系统发起攻击。
(5)由于钢铁冶金企业控制流程复杂、设备种类繁多、通信协议多样,导致采集数据安全性无法得到保障。
(6)钢铁冶金企业内部控制系统及网络缺乏安全监测与审计措施,无法及时发现非法访问、非法操作、恶意攻击等行为。
(7)钢铁冶金企业内部缺乏统一的安全管理平台。
三、冶金钢铁行业工控系统安全防护解决方案
防护原则
(1)安全分区
对于生产网络与办公网络、企业集团内网存在互联互通的现象,首先需要进行网络优化,明确生产网络边界,尽量避免多个生产网络边界的现象。
(2)安全审计
对生产网络内部的日常操作行为进行基于白名单策略监控,及时发现网络中存在的异常流量、违规操作、非法访问、恶意程序等异常行为,并要求对生产网络的运行日志进行记录保存,至少保留6个月;对于已经发生攻击事件的情况,要求可以对攻击事件进行追踪、溯源,定位网络攻击的位置或具体用户。
(3)边界防护
根据业务网络实际情况,在生产网络外部边界处部署工业防火墙或单向隔离网闸设备,保证生产网络向办公网络或其他外部网络数据单向传输。工业控制系统上位操作主机(操作站、工程师站、服务器)作为生产网络的内部边界,需要对用户登陆、操作、运行等行为进行安全监控与审计,并对通过上位主机外设接口与生产网络进行数据通讯的行为进行授权管理。
(4)恶意代码防范
对于以“白名单”防护策略为主的工控安全防护方案,除了对外部网络边界进行有效的访问控制和威胁监测以外,需要对上位主机的USB接口使用过程进行安全有效管理,对于临时接入工控网络的移动存储设备,必须先进行病毒查杀,才可以使用。
具体方案
(1)部署工控安全监控系统和工业防火墙,对工控协议深度解析,防范非法访问,迅速检测异常网络节点,及时预警,并监控工业防火墙工作状态,实时获取工控网安全事件日志和报警任务,保障PLC设备和各服务器安全。
(2)在各高炉操作站和工程师站应用工控安全主机防护系统,防范非法程序和应用以及未经授权的任何行为。
(3)部署堡垒机及工控安全综合审计系统,对违规操作行为进行控制和审计,保障网络和数据不受外部和内部用户的入侵和破坏。
(4)采用工控网络隔离网关设备隔离生产控制网和控制子站环网,提供两网数据交换安全通道,阻止来自上层网络的非法访问以及病毒和恶意代码的传播。
火力发电工业控制系统安全防护解决方案
一、背景情况
火电厂工控系统主要由*控制室和各配电室、电子间等子站组成,系统中布置有数千个开关、数百个模拟测量点以及数个PID调节回路的控制对象。其中,*控制室设备通常包括建立在以太网连接上的操作员站、工程师站、数据采集服务器、报表打印设备等。*控制网络与各子站控制系统采用光纤为通信链路,各子站配有光纤收发器和工业交换机。
二、安全分析
(1)*控制网络与各控制子站网络互联,存在来自上层网络的安全威胁,缺少重点边界、区域的安全防护手段;
(2)工控系统及网络缺乏监测手段,无法感知未知设备、非法应用和软件的入侵,无法对网络中传输的未知异常流量进行监测;
(3)工控系统缺乏对用户操作行为的监控和审计,针对用户操作行为缺乏有效可靠的审计手段;
(4)工业控制系统缺乏分区边界防护,容易受到来自信息网络和相邻系统的安全影响。
三、火力发电行业工控系统安全防护解决方案
安全防护原则
(1)安全分区
按照《电力监控系统安全防护规定》,原则上将基于计算机及网络技术的业务系统划分为生产控制大区和管理信息大区,并根据业务系统的重要性和对一次系统的影响程度将生产控制大区划分为控制区(安全区Ⅰ)及非控制区(安全区Ⅱ),重点保护生产控制以及直接影响电力生产(机组运行)的系统。
(2)网络专用
电力调度数据网是与生产控制大区相连接的专用网络,承载电力实时控制、在线交易等业务。生产控制大区的电力调度数据网应当在专用通道上使用独立的网络设备组网,在物理层面上实现与电力企业其他数据网及外部公共信息网的安全隔离。生产控制大区的电力调度数据网应当划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区。
(3)横向隔离 纵向认证
横向隔离是电力监控系统安全防护体系的横向防线。应当采用不同强度的安全设备隔离各安全区,在生产控制大区与管理信息大区之间必须部署经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应当接近或达到物理隔离。生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、安全可靠的硬件防火墙或者相当功能的设施,实现逻辑隔离。防火墙的功能性能电磁兼容性必须经过国家相关部门的认证和测试。
纵向加密认证是电力监控系统安全防护体系的纵向防线。生产控制大区与调度数据网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置,实现双向身份认证、数据加密和访问控制。
(4)综合防护
综合防护是结合国家信息安全等级保护工作的相关要求对电力监控系统从主机、网络设备、恶意代码防范、应用安全控制、审计、备份及容灾等多个层面进行信息安全防护的过程。
生产控制大区可以统一部署一套网络入侵检测系统,应当合理设置检测规则,检测发现隐藏于流经网络边界正常信息流中的入侵行为,分析潜在威胁并进行安全审计。
非控制区的网络设备与安全设备应当进行身份鉴别、访问权限控制、会话控制等安全配置加固。可以应用电力调度输子证书,在网络设备和安全设备实现支持HTTPS的纵向安全WEB服务,能够对浏览器客户端访问进行身份认证及加密传输。
生产控制大区的监控系统应当具备安全审计功能,能能够对操作系统、数据库、业务应用的重要操作尽心记录、分析,及时发现各种违规行为以及病毒和黑客的攻击行为。对于远程用户登陆到本地系统中的操作行为,应当进行严格的安全审计。
具体方案
部署工控安全综合监管平台、工业安全防火墙,深度解析工控协议,防范非法访问,迅速检测异常网络节点,及时预警,并监控工业防火墙运行状态,实时获取工控网安全事件日志和报警任务;
在操作员站和工程师站部署工控主机安全防护系统,防范非法程序和应用以及未经授权的任何行为;
部署堡垒机及工控安全综合审计系统,对违规操作行为进行控制和审计,保障网络和数据不受外部和内部用户的入侵和破坏;
采用工控安全隔离网闸设备,物理隔离*控制室和各子站网,提供两网数据交换安全通道,阻止来自上层网络的非法访问以及病毒和恶意代码的传播。
1-智慧城市数据溯源保密安全解决方案
根据智慧城市数据交换平台的需求情况,提出采用自主可控数据共享与溯源综合管理平台(以下简称数据溯源系统)来实现智慧城市信息数据交换共享中的数据******及溯源追踪保密安全的痛点问题。
系统部署于智慧城市数据交换共享中心内部网络当中(不同安全域之间),当智慧城市数据共享交换系统通过RestAPI获取到DB数据提供者提供的相关数据后,该系统会将这些数据及其相应的数据属性信息提交到数据交换安全处理中心,该中心安全域内部署了两种数据安全处理系统,一为数据******系统,第二为数据溯源交换系统。在该安全处理中心会对相关的数据进行数据******操作和数据溯源标识操作。
1) 数据溯源种子植入。该操作步骤会按照溯源种子植入策略进行敏感数据的溯源种子植入,处理完成后的数据将提交给智慧城市数据共享交换系统转发给具体的数据使用者。
2) 数据溯源标识。相应的DB数据提供者的数据将会被打上知识产权标签,相关的宿主属性会无缝地嵌入到现有的数据之上,并且不改变现有数据的任何结构,当这种数据进入数据使用者的时候,不会影响数据使用者的使用,但是如果数据使用者将该数据泄露给其他公司或个人,智慧城市交换中心可以借助于该溯源追踪平台进行审计和跟踪,从而实现数据的非授权扩散监管问题。
2-大数据安全******系统解决方案
数据安全******系统采用大数据分析技术来实现隐私数据发现、数据提取、数据漂白、测试数据管理、数据装载等功能于一体的高性能数据******设备。系统采用专用的******处理算法对敏感数据进行变形、屏蔽、替换、加密(格式保留加密处理和高强度加密处理),将敏感数据进行处理后屏蔽了原有数据的敏感性,实现了数据的隐私性保护。同时******后的数据保留了原有数据的数据结构和数据的业务逻辑一致,也能维持******前后的数据******性,如:身份证、银行卡、手机号、IMSI等。使得上层应用无需改变相应的业务逻辑。
系统具有流程化、自动化和作业复用等特点。作为软硬一体化的设备,它拥有强大的功能、易于部署和使用等特点,开箱即用式的优势能够极大减轻工作人员的工作强度以及项目周期。
系统对主流数据类型均能友好支持。包括支持国产关系型主流数据库系统Oracle、Informix、SQL Server、DB2、MySQL。国产主流数据库南大通用GBase、人大金仓、虚谷等、非关系型主流数据库Hive、MongoDB、Redis、Hbase等。
3-数据库保密检查解决方案
1. 需求
需要用新的技术手段实现对数据库进行******涉密数据检查。具体需求如下。
1)检查范围广。包括结构化数据库、非结构化数据库、云计算的虚拟机和压缩文件、大数据集群系统、服务器系统等
2)检查效率高。需要快速对高达100T的数据库进行保密检查,检查效率是传统方式的100-1000倍
3)检查类型多。需要对数据库中涉及到的多种文本文件(Word、PDF等)、图片文件中的数据进行数据敏感性检查
4)检查精度高。需要能在海量数据库内容中精准定位涉密信息或数据,误报率低
5)多种检查方法。需要提供多种检查算法,能从多维度定位目标数据系统。
2. 功能概述
系统采用大数据技术创新性地用于数据库涉密信息检查,能有效达到以下目标。
1)******采集。大数据Sqoop技术实现数据的分布式采集。
2)******分析。大数据MapReduce技术实现对数据库内容的快速分析和检查
3)精准定位。结合检查专家库,快速对*务敏感信息定位,并能生成详尽的分析报告
数据库保密检查系统安装部署方便,只需要保证与被检查数据库网络可达即可;出于检查效率的考虑,建议采用千兆及以上网络环境。
资料更新中...