网络边界安全的等级保护
越来越多的智能制造控制系统与企业网中运行的管 理信息系统(如MES、ERP)之间实现了互联、互通、互控,甚至可以通过互联网、移动互联网 等直接或间接地访问,这就导致了从研发端、管理端、消费端、生产端任意一端都有可能实现对 系统的网络攻击或病毒传播,面临的安全风险进一步加大。
制造行业工业控制网络面临诸多安全问题,涉及网络安全和通信层面、设备和计算安全层面、应用和数据安全层面及管理安全方面,主要包括网络非法访问可能导致的敏感信息泄露,非法入侵行为引发的网络阻塞,操 作终端或服务器中毒引发生产中断,以及操作审计措施不到位、管理制度不完善等可能引发的安全隐患等。
总体解决方案的建设重点为解决目前DNC控制系统存在的突出网络安全问题,同时结合《工业控制系统信息 安全防护指南》、《信息安全技术网络安全等级保护基本要求》等政策法规要求及客户实际进行安全建设规划。
具体建设内容如下:
在管理网与MES之间部署工业防火墙,只允许与生产相关的流量通过,在满足生产业务的安全 需求(生产从互联网下订单)的同时,实现管理网与生产网的安全隔离。 在生产网与MES之间部署工业防火墙,按照最小权限原则设置防火墙策略。实现DNC网络的纵 向安全隔离,保证MES系统与生产网之间生产指令及反馈信息的安全可靠。 在生产网内部核心交换机部署工业入侵检测系统和工业安全监测审计系统,及时发现、检测针 对生产网的入侵行为及违规指令等(指令错误、指令篡改等)并告警。 在各个车间出口部署工业防火墙,只允许NC程序传输及生产状态信息回传等流量通过。同时,实现各车间之间的安全隔离,杜绝通过视频监控网络非法侵入生产系统等安全隐患,保护关键生产 指令的合法有效。 对生产网内部无线网络进行安全检测,设置无线准入管理,只允许合法设备接入,预防和杜绝 无线网络入侵行为。
对于重要服务器实施安全加固,加强身份认证、访问控制等安全防护措施,提高服务器安全防 护能力,降低系统被破坏及数据被窃取的风险。 在各工作站和操作员站上部署工业主机安全卫士产品,只允许与生产相关的软件运行,防止僵 木蠕传播。 为关键机床及加工中心配备USB隔离设备,防止随意接入USB口,杜绝病毒、木马等进入机床和 加工中心,防止数据泄露,保证生产安全。
在生产网内部部署安全运维管理系统,基于唯一身份标识的集中账号与访问控制策略,实现集 中精细化运维操作管控与审计,杜绝误操作及违规行为,提高工业控制系统及设备安全维护水平。
部署工业安全管理平台,对于整体工业控制安全状态进行实时监控,及时发现网络攻击、异常 指令、违规外联及漏洞等信息并及时应对。 完善管理制度,包括组织架构完善、内部/外部人员安全管理、信息安全培训在内的人员管理制 度,制定总体网络安全策略、网络/数据/介质管理制度、重大信息安全管理制度等,加强信息安全培 训,定期进行信息安全演练等。
基于用户网络复杂程度、资产数量,将用户企业规模大致分为大、中、小三类。根据等级保护相关要求,推荐相应安全产品。
不同规模企业安全产品推荐清单
| 安全类 | 控制点 | 安全产品 | 小型用户 | 中型用户 | 大型用户 |
| 安全通信网络 | 网络架构 | 负载均衡 | ○ | ● | ● |
| 防火墙 | ● | ● | ● | ||
| 上网行为管理 | ○ | ● | ● | ||
| 通信传输 | Ipsec VPN | ○ | ● | ● | |
| SSL VPN | ○ | ● | ● | ||
| 安全区域边界 | 边界防护 | 下一代防火墙 | ○ | ● | ● |
| 访问控制 | 网闸 | ○ | ● | ||
| 网络准入 | ○ | ● | ● | ||
| 内网安全风险管理与审计系统 | ○ | ● | ● | ||
| 入侵防范 | 入侵检测 | ○ | ● | ● | |
| 入侵防御 | ● | ● | ● | ||
| 抗DDOS | ○ | ● | ● | ||
| APT | ○ | ● | |||
| 入侵分析中心 | ○ | ● | |||
| 恶意代码和垃圾邮件防范 | 防病毒网关 | ● | ● | ● | |
| 垃圾邮件网关 | ○ | ○ | ○ | ||
| 安全审计 | 网络安全审计 | ● | ● | ● | |
| 安全计算环境 | 身份鉴别 | 堡垒机(安全运维) | ○ | ● | ● |
| 弱口令检测 | ○ | ● | |||
| 配置核查 | ○ | ● | |||
| 安全加固服务(服务器安全加固) | ● | ● | ● | ||
| 安全审计 | 数据库审计 | ○ | ● | ● | |
| 业务审计系统 | ○ | ● | ● | ||
| 日志审计 | ○ | ● | ● | ||
| 入侵防范 | 漏洞扫描 | ● | ● | ● | |
| 网页防篡改 | ○ | ● | ● | ||
| WAF | ○ | ● | ● | ||
| 恶意代码检测 | 防病毒软件 | ● | ● | ● | |
| 终端安全管理 | ○ | ● | ● | ||
| 数据保密性/完整性 | DLP | ● | ● | ● | |
| 加密机 | ○ | ○ | ● | ||
| 数据完整性 | VPN | ○ | ● | ● | |
| 数据备份恢复 | 本地备份 | ● | ● | ● | |
| 异地灾备 | ○ | ● | |||
| 增量备份 | ● | ● | ● | ||
| 全量备份 | ○ | ● | |||
| 实时备份 | ○ | ● | |||
| 安全管理中心 | 集中管控 | 统一安全管控平台(4A) | ● | ● | |
| 日志审计 | ○ | ● | ● | ||
| 安全管理平台TSOC | ○ | ● | |||
| 集中监控管理系统 | ○ | ○ | ● | ||
| 态势感知 | ○ | ● |
我们的能力
帮助客户构建“ 一个中心,三重防护”的整体安全防护体系,大大提高客户工业控制网络 抵御网络安全威胁的能力,为安全精益生产保驾护航。
帮助客户建立网络安全防护规范,形成行业示范效应。
提升客户安全运维管理能力,降低后续学习成本和风险发生可能,保障生产系统高效、稳定 运行。