背景概述
解決方案
SOLUTION
鋼鐵行業
鋼鐵行業解決方案
——
我國鋼鐵行業工業控制系統PLC控制器、工控軟件等重要設備與技術都還依賴于國外產品,關鍵數據、敏感信息泄漏風險巨大,在從傳統封閉網絡向開放網絡過渡的過程中,將面臨更多的安全攻擊和威脅。鋼鐵行業一直是工業自動化和信息化的先行者,工業控制系統作為生產控制的“大腦”,是行業自動化水平不斷提升的基礎支撐。
解決方案
基于鋼鐵行業自動化控制系統網絡特征和安全現狀,本方案遵循“分層分區”的策略進行總體設計,工控網絡安全按照基礎自動化(L1)、過程自動化(L2)、制造執行系統(L3)進行縱向分層保護,同時按照高爐、煉鋼、軋鋼等工藝單元進行橫向分區域保護。自動化控制系統安全設計要求按照L1、L2、L3、外部網絡進行網絡隔離劃分,做好內部防護的同時,加強邊界攻擊防御。
L1 基礎自動化安全防護
L1 主要通過部署工業防火墻、工業入侵檢測系統硬件產品,以及殺毒軟件、主機安全防護軟件產品,實現安全管控。在PLC與各計算機系統之間部署工業防火墻,管控網絡通信對象,降低計劃外設備非法訪問風險;在L1網絡與上層網絡、其他區域網絡之間部署工業防火墻,實現分層分區安全隔離和管控;在核心交換機旁路部署工業入侵檢測系統,通過捕獲經過交換機的所有數據包,進行基于規則的解析檢測,及時發現異常并報警;在計算機系統中部署主機安全防護軟件和殺毒軟件,殺毒軟件可以發揮基本的病毒防護和清除功能。
L2 過程自動化安全防護
L2 主要通過部署通用防火墻、通用入侵檢測系統硬件產品,以及殺毒軟件、主機安全防護軟件產品,實現安全管控。在L2網絡與上層網絡、其他區域網絡之間部署通用防火墻,提升網絡邊界安全水平,實現分層分區安全隔離和管控;在核心交換機旁路部署通用入侵檢測系統,通過捕獲經過交換機的所有數據包,進行基于規則的解析檢測,完成木馬、蠕蟲、緩沖區溢出攻擊、掃描探測等通用入侵檢測;在計算機系統中部署主機安全防護軟件和殺毒軟件,主機安全防護軟件監控主機運行程序,并且管理和限制外設使用情況,降低安全風險。
L3 制造執行系統安全防護
L3 主要通過部署VPN網關、通用入侵檢測系統、工控漏洞掃描系統、工控安全管理平臺硬件產品,以及殺毒軟件、主機安全防護軟件產品,實現安全管控。在L3網絡與外部網絡、其他區域網絡之間部署VPN網關,保障網絡邊界安全;在核心交換機旁路部署通用入侵檢測系統,實現通用威脅入侵檢測,及時發現異常并報警;部署工控漏洞掃描系統,負責計算機、服務器的系統漏洞掃描,及時發現漏洞并提供分析報告;部署工控安全管理平臺,負責將所有網絡交換機、防火墻、安全檢測設備,以及計算機、服務器等硬件資源的運行信息進行統一收集和綜合分析,形成工業控制系統統一信息安全管理系統,幫助管理和運維人員更加宏觀、全面地了解設備運行情況、安全狀態等信息,及時掌握、報告和發布安全態勢;在計算機系統中部署主機安全防護軟件和殺毒軟件,主機安全防護軟件監控主機運行程序,并且管理和限制外設使用情況,降低安全風險。
架構圖
客戶價值
以分層分區為原則進行工控安全設計,以主動防范、及時發現、快速處理為目標,來提升工控安全防御能力。
各層次、各區域之間有效隔離防護,系統安全漏洞掃描和修復,工控異常監測及網絡流分析診斷,違規操作監測和預防。
關注我們