安全防护依据

● 《关于加强工业控制系统信息安全管理的通知》(工信部协〔2010〕451号文)

● 《工业控制系统系统信息安全防护指南》(工信软函〔2016〕338号)

● 《工业控制系统信息安全防护能力评估工作管理办法》(工信部信软〔2017〕188号)

● GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》

● GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》

● Q/SY 10556.2-2022《工业控制系统网络安全技术规范 第2部分:成品油库及加油加气站》

安全防护原则
典型部署

● 在实时库服务器、历史库服务器与办公网络连接的边界处,储运、消防、安防区域与生产网核心区域部署工业防火墙,实现不同安全域之间的安全隔离;

● 在储运、消防区域交换机通过镜像口旁路部署工控安全审计系统,实现对生产网络内部的非法入侵、非授权访问、违规操作、异常流量等行为的实时监控;

● 在生产网核心区域部署日志审计,能够实时控制网络中网络设备、安全设备、服务器、数据库系统的日志信息,进行统一地收集、处理和关联分析;

● 在生产网核心区域核心交换机镜像口旁路部署入侵检测系统,实现对来自外部网络的入侵行为、恶意代码等威胁的检测分析功能;

● 在生产网核心区域部署账号集中管理与审计系统,可以对网络中所有用户的账号进行集中管理、运维操作的身份鉴别,以及对运维过程的全程监控与审计功能;

● 在储运、消防、安防区域分别部署USB安全隔离装置,实现对上位主机USB接口使用过程的授权管理,对临时接入工控网络的移动介质进行病毒查杀;

● 在各主机终端部署主机防护系统,实现终端进程的可信管理,只允许需要的业务软件运行,其他病毒、恶意程序,以及与业务无关的软件都无法运行,提供极高的安全性;

●在生产网核心区域部署漏洞扫描,对工业控制系统快速、精确、高效的进行网络安全风险合规巡检;

● 生产网核心区域部署工控安全管理平台对安全设备的分析数据进行集中展示与预警。