工控網(wǎng)絡(luò)安全加固示例

2024/1/9 16:54:50 人評論次瀏覽分類：過程控制文章地址：http://m.prosperiteweb.com/tech/5326.html

根據(jù)等級保護2.0三級的設(shè)計要求，昌暉儀表以石油化工行業(yè)的工控系統(tǒng)網(wǎng)絡(luò)安全等級保護加固為例，通過對石油化工工控系統(tǒng)主機安全防護、網(wǎng)絡(luò)安全防護、綜合審計運維等多方面實施網(wǎng)絡(luò)安全加固，為石油化工工控系統(tǒng)建立一套基本的工控網(wǎng)絡(luò)安全防護體系，保障系統(tǒng)穩(wěn)定運行。

工控安全設(shè)備的部署方案如圖所示。

①工控安全審計設(shè)備
部署工控安全審計設(shè)備后，將各層設(shè)備區(qū)域的核心網(wǎng)絡(luò)交換機的數(shù)據(jù)鏡像口與工控安全審計設(shè)備連接，對網(wǎng)絡(luò)數(shù)據(jù)進行初級分析與處理，通過對網(wǎng)絡(luò)數(shù)據(jù)包抓取、協(xié)議分析并按照預(yù)先配置的策略判斷數(shù)據(jù)的合法性，非法數(shù)據(jù)將自動報警。能及時發(fā)現(xiàn)區(qū)域內(nèi)流量異常的情況，特別是在所有防御手段都失效后，仍可以通過控制審計設(shè)備進行審計取證，并可通過后期分析發(fā)現(xiàn)整個事件的發(fā)起、傳播和爆發(fā)的全過程。解決了等級保護2.0中安全區(qū)域邊界以及安全計算環(huán)境對于邊界防護等要求。

②工業(yè)防火墻
在各層設(shè)備區(qū)域之間部署“工業(yè)防火墻”;通過工業(yè)防火墻進行區(qū)域的邏輯劃分、邊界防護；確保各級區(qū)域內(nèi)的自動控制系統(tǒng)不受其他級設(shè)備區(qū)域的干擾，將幾個區(qū)域的安全風(fēng)險、交又感染威脅和影響降到最低。

使用工業(yè)防火墻設(shè)備在區(qū)域邊界以白名單形式做出針對性的訪問控制，防止來自外部系統(tǒng)的風(fēng)險威脅。對所有網(wǎng)絡(luò)設(shè)備如交換機和路由器等進行配置，既建立安全的訪問路徑，也避免將重要網(wǎng)段直接連接外部系統(tǒng)，保證網(wǎng)絡(luò)結(jié)構(gòu)安全。高效率、高安全性的工業(yè)防火墻將強大的信息分析功能、高效包過濾功能等多種安全措施綜合運用，并根據(jù)系統(tǒng)管理者設(shè)定的安全規(guī)則保護內(nèi)部網(wǎng)絡(luò)與工控網(wǎng)絡(luò)，提供完善的安全性設(shè)置，通過高性能的網(wǎng)絡(luò)核心進行訪問控制。解決了等級保護2.0中安全區(qū)域邊界對于入侵防范等要求。

③工控漏洞掃描平臺
部署工控漏洞掃描平臺，發(fā)現(xiàn)系統(tǒng)中的安全漏洞，并進行整改，從而保障工控設(shè)施的正常運轉(zhuǎn)。工控漏洞掃描平臺根據(jù)實際漏洞掃描工作需求，可在不同網(wǎng)段和不同區(qū)域之間進行切換，分別對不同層區(qū)的設(shè)備進行掃描。

工控漏洞掃描平臺根據(jù)工控系統(tǒng)已知的安全漏洞特征對工控系統(tǒng)中的控制設(shè)備、應(yīng)用或系統(tǒng)進行掃描、識別，檢測工控系統(tǒng)存在漏洞并生成相應(yīng)的報告，清晰定性安全風(fēng)險，給出修復(fù)建議和預(yù)防措施，并對風(fēng)險控制策略進行有效審核，從而在漏洞全面評估的基礎(chǔ)上實現(xiàn)安全自主掌控。解決了等級保護2.0中安全運維管理對于漏洞和風(fēng)險管理的要求。

④工控主機安全防護
在各級區(qū)域的數(shù)據(jù)服務(wù)器、工程師站、操作員站等系統(tǒng)中部署工控主機安全防護，通過非法外聯(lián)管理功能，防止設(shè)備非法外聯(lián)，保障企業(yè)核心數(shù)據(jù)安全；通過應(yīng)用程序的黑白名單機制，阻止惡意代碼入侵系統(tǒng)及工控軟件；同時通過終端安全的外設(shè)管理功能，實現(xiàn)對USB口、手機、光驅(qū)等相關(guān)外設(shè)設(shè)備的準入管理，杜絕數(shù)據(jù)外泄和感染病毒的風(fēng)險，從基礎(chǔ)接入方面杜絕可能產(chǎn)生的安全隱患。解決了等級保護2.0中安全區(qū)域邊界對于訪問控制等要求。

⑤工業(yè)安全管理平臺
在安全管理中心處部署工業(yè)安全管理平臺，通過網(wǎng)絡(luò)對工業(yè)防火墻、工控安全審計設(shè)備、工業(yè)交換機以及其他工控設(shè)備實現(xiàn)集中管控和審計。實現(xiàn)工控網(wǎng)絡(luò)環(huán)境下的資產(chǎn)、通信和協(xié)議的可視化。并且提供批量配置和下發(fā)工業(yè)防火墻、工控安全審計設(shè)備策略的部署方式，同時提供系統(tǒng)層面的事件收集、審計和報警的功能，對安全問題進行全面的分析和診斷。工業(yè)安全管理平臺可以看到整個系統(tǒng)的運行狀態(tài)，并用一系列措施應(yīng)對網(wǎng)絡(luò)遇到的威脅。解決了等級保護2.0中安全管理中心對于集中管控等要求。

⑥工業(yè)安全態(tài)勢感知系統(tǒng)
在安全管理中心處部署工業(yè)安全態(tài)勢感知系統(tǒng)，實時全面感知網(wǎng)絡(luò)空間工控設(shè)備態(tài)勢情況，獲取聯(lián)網(wǎng)工控系統(tǒng)設(shè)備類型、設(shè)備參數(shù)、運行狀態(tài)、地理位置、開放端口及服務(wù)等關(guān)鍵信息。通過關(guān)聯(lián)國家權(quán)威漏洞庫進行攻擊威脅和隱患分析，評估聯(lián)網(wǎng)工控設(shè)備安全風(fēng)險并及時預(yù)警。同時對重點區(qū)域工控系統(tǒng)安全態(tài)勢進行可視化整體呈現(xiàn)，指導(dǎo)用戶及時封堵漏洞，有效降低工控系統(tǒng)被攻擊的風(fēng)險。解決了等級保護
2.0中安全管理中心對于集中管控的要求。

⑦運維審計設(shè)備
在安全管理中心處部署運維審計設(shè)備，針對運維操作，以集中管理為基礎(chǔ)，單點登錄為手段，實現(xiàn)對“自然人(操作者)”在“主機設(shè)備等重要資源(操作對象)”上的“操作行為(操作內(nèi)容)”的集中管理、集中認證、實時控制和實時審計，審計信息不可更改、不可杜撰，最終實現(xiàn)人為操作風(fēng)險最小化控制。解決了等級保護2.0中安全管理中心對于系統(tǒng)管理的要求。

⑧日志審計設(shè)備
在安全管理中心處部署日志審計設(shè)備，能夠?qū)θW(wǎng)海量的日志數(shù)據(jù)進行集中收集，擁有強大的搜索功能，支持精確檢索、范圍搜索、模糊搜索以及組合條件查詢，依靠大數(shù)據(jù)分析技術(shù)，實現(xiàn)檢索過程的秒級響應(yīng)。通過時間、關(guān)鍵字段與復(fù)雜流程拼湊關(guān)聯(lián)事件。解決了等級保護2.0中安全管理中心對于審計管理的要求。

⑨數(shù)據(jù)庫審計設(shè)備
在安全管理中心處部署數(shù)據(jù)庫審計設(shè)備，對訪問數(shù)據(jù)庫的數(shù)據(jù)流進行采集、分析和識別。實時監(jiān)視數(shù)據(jù)庫的運行狀態(tài)，記錄多種訪問數(shù)據(jù)庫行為，發(fā)現(xiàn)對數(shù)據(jù)庫的異常訪問，并對訪問數(shù)據(jù)庫的相關(guān)行為、發(fā)送和接收的相關(guān)內(nèi)容進行存儲、分析、排名和查詢。解決了等級保護2.0中安全管理中心對于審計管理的要求。

通過上述安全防護措施，最終實現(xiàn)：提升、鞏固工控系統(tǒng)基礎(chǔ)計算環(huán)境(包括操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用軟件等)防護能力；網(wǎng)絡(luò)安全分域、區(qū)域隔離，保障網(wǎng)絡(luò)邊界安全，將安全事件影響降至最低；同時實時監(jiān)控工控系統(tǒng)網(wǎng)絡(luò)安全運行狀態(tài)，及時處置信息安全事件；構(gòu)建工控系統(tǒng)安全集中管理中心，達到工控系統(tǒng)網(wǎng)絡(luò)安全事件的集中審計和分析。

上一篇：工控網(wǎng)絡(luò)安全參考標(biāo)準和術(shù)語

下一篇：用滿足要求、簡單高效和規(guī)范標(biāo)準來評價控制方案優(yōu)劣