01.背景介绍
某大型泵站为保证城市防洪安全,提高城市防洪减灾才能,新建泵站,泵站依照当地防洪标准为100年一遇。
该泵站为遵从国家网络安全相关方针标准要求,遵从水利网络安全整体战略和规划,执行网络安全法、安全等级维护和要害信息根底设施维护相关要求,树立和完善以包含纵深防护为根底、监测预警为中心、应急响应为抓手的网络安全防护体系。
泵站自动化体系由计算机自动操控体系、视频监控体系、信息办理体系及视频会议体系四个子体系组成,自控体系包含主机组、辅机、配电设备、介质监测与操控,是保证泵站正常运转的要害。工控体系规划初衷是保证其功用安稳、可靠,可是安全层面上任何网络节点均存在被不合法访问者侵略的危险,一旦遭受侵略,甚至可造成自控体系的中断。
02.项目需求
经过纵深防护树立合规网络防护根底,提高网络安全危险威胁的迅速发现和处置才能。
1、强化工业主机安全防护
从事件预防的角度开展对工业主机的安全加固工作,发现存在的安全危险和防护短板,经过安全加固提高表里防护才能。
2、提高操控网络鸿沟安全
在新建泵站与老泵站自控中心以及新泵站自控中心与信息中心之间进行有用阻隔防护,避免存在被恶意进犯及侵略的或许。尤其是针对PLC操控体系软硬件缝隙的难以防范的进犯行为。
3、加强操控网络安全监测与审计
加强对工控网络进行侵略检测和网络检测,便于能够及时发现工业网络中的反常行为及侵略行为。工业操控体系的通讯协议为了保证通讯实时性和可靠性而放弃认证、授权和加密安全特性和功用,安全危险大。
4、提高运维安全
工控体系调试运维作业离不开安全运维渠道,需求有用避免在调试运维过程将病毒、木马带入工控体系。
5、进行一致的安全办理
工控体系网离不开一致安全办理渠道。可有用避免项目后期继续运维中增加运维成本以及工控体系日志需求聚合、一致存储,以便溯源。
6、加强缝隙办理才能
工控体系网需求专用的体系缝隙扫描技能,一旦不法分子利用缝隙进犯工控体系,会损坏出产连续性。
03.解决计划
该泵站工控体系网络安全建造,以适度安全为中心,以重点维护、危险办理、标准化、一致安全办理为原则,以AI技能赋能、OT/IT交融安全技能产品为依托。
构建专用操控网络:工业操控网络在物理层面上完成操控网与工作信息网的安全阻隔。
构建纵深防护体系:该泵站工控体系分别从主机安全、网络鸿沟安全、安全监测与审计3个维度以及一致办理中心进行安全防护,依托安全产品AI机器学习建模,不断自我优化的才能,完成工控体系事务应用的可用性、完整性和保密性维护的自动防护安全体系,不依赖特征库的纵深安全防护体系。
构建会集管控中心:对布置的安全防护技能手段在体系范围内进行会集管控,将孤立的安全才能整合成协同工作的安全防护体系。
图1网络拓扑图
1、主机安全防护
在通讯操作站、操作员站、工程师站和数据服务器主机安装终端防护白名单软件工业卫兵,使主机免受病毒等各种不合法进犯,能够有用管控主机的USB等外部端口。针对Windows主机,它供给完全适用于工控职业的安全防护,保证要害事务的运转,树立安稳的运转环境,同时有用遏止至今现已迸发的工控病毒(如“震网”、Havex、“勒索”等)及其变种的运转。
▲工业卫兵白名单办理
▲U盘管控
2、操控网络鸿沟安全防护
自控中心交换机与老泵站操控体系之间布置工业防火墙,对不同的安全区之间以及安全区内不同安全域鸿沟进行安全防护,阻挠网络进犯在不同区域间浸透,保证要害财物和事务的安全。根据AI自学习后生成并优化的白名单战略防护,阻挠了不可信的数据和操作行为,最大程度地防范不知道威胁。
自控中心交换机与信息中心交换机之间布置工业网闸,完成表里网络的安全阻隔,数据只能以专有数据块方法静态地在表里网络间进行“摆渡”,然后切断了表里网络之间的一切直接衔接。
▲工业防火墙白名单功用
3、安全监测与审计
自控中心交换机旁路布置工业审计体系,实时检测出针对工业协议的网络进犯、误操作、违规操作、不合法IP或不合法设备接入以及病毒的传播并实时报警,详实记载全部网络通讯行为,包含指令级的工业操控协议通讯记载,而且供给回溯功用。
信息中心交换机旁路布置侵略检测体系,对网络流量进行实时收集并进行深度剖析,对那些反常的、或许是侵略行为的数据进行检测和报警。
▲工业审计S7协议白名单
4、一致办理中心
构建安全办理中心区域,该区域布置监管渠道、堡垒机、日志审计体系、工业漏扫体系。
①监管渠道,对网络安全设备一致办理、装备、安全战略一致布置,提高运维效率,设备状况监控,监测网络的通讯流量与安全事件,并能对网络内的安全威胁进行剖析。
②堡垒机,完成对安全设备、网络设备、工作站、服务器等设备运转进行会集监测和一致办理;对安全运维审计,保存任何操作行为,供给运维审计报告。
③日志审计体系,完成对安全产品日志的一致收集、剖析、存储,对安全事件的应急处置、进犯行为的发现供给技能支撑,以及追寻溯源。
④工业漏扫供给了缝隙扫描功用、缝隙修复主张、Windows安全加固功用、缝隙工单办理模块等,使脆弱性办理工作构成闭环。
▲监管渠道财物大屏
▲监管渠道战略装备下发
▲工业漏扫工控体系扫描
04.客户价值
1、计划以OT与IT交融技能(OI/IT一体化防护引擎、一体化知识库、一体化防护功用)、AI人工智能技能赋能的产品协助客户树立高可信度的纵深防护防护体系,保证泵站工控网络体系长期安全安稳运转;
2、顺畅经过等级维护2.0(三级)测评,为才智水利渠道建造打下坚实根底;
3、结合现场原有办理制度,完善成标准化、规范化、针对性的工控体系网络安全办理制度。5e
标签:
才智水利建造
(免费声明:
1、本网站中的文章(包含转贴文章)的版权仅归原作者一切,若作者有版权声明的或文章从其它网站转载而附带有原一切站的版权声明者,其版权归属以附带声明为准。
2、本网站转载于网络的资讯内容及文章,咱们会尽或许注明出处,但不扫除来源不明的状况。如果您觉得侵犯了您的权益,请告诉咱们更正。若未声明,则视为默许。由此而导致的任何法律争议和结果,本站不承当任何责任。
3、本网站所转载的资讯内容,仅代表作者本人的观念,与本网站态度无关。
4、如有问题可联系导航网编辑部,电话:010-88376188,电子邮件:bianjibu@okcis.cn)
