制造业主机安全防疫方案
政策合规需求

随着《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》等法律法规的实施,制造业作为国家经济命脉的关键领域,面临着严格的网络安全监管要求。《工业控制系统信息安全防护指南》《智能制造能力成熟度模型》等标准明确要求制造业企业必须加强工业主机的安全防护能力,确保生产系统的安全稳定运行。企业需要满足从一级到五级的信息安全要求,包括但不限于制定信息安全管理规范、定期开展风险评估、部署安全防护设备等,以符合国家对关键信息基础设施的保护要求。

业务安全需求
1)主机病毒防护
制造业中的工业主机通常运行在相对封闭的工业网络环境中,面临着传统防病毒软件不适用、病毒库更新困难、恶意代码防护能力不足等问题。这导致主机容易受到病毒和恶意软件的攻击,且存在误杀正常程序的风险。
2)主机管理和维护
制造业中的工业主机多为老旧设备,网络封闭,系统补丁更新困难,且更新系统补丁可能对工业程序产生不可预估的影响,导致程序损坏。此外,工业主机数量众多,人工加固和维护成本高,缺乏有效的手段对高危端口和基线策略进行调整。
3)外设接口和程序运行安全
在生产过程中,U盘等外设的使用不可避免,这为病毒传播提供了途径。同时,工业主机上独立开发的程序(如工业控制程序、DNC、MDC等)对环境依赖度高,易受外界环境影响,导致程序中断。此外,企业还面临着外设接口管控困难和程序稳定运行的挑战。
方案部署
工业控制网络
· 工业主机部署工控主机安全卫士,解决工业控制网络中的主机安全问题;
· 交换机旁部署USB安全隔离装置,解决U盘管控问题。

安全管理中心
· 部署安全管理平台,解决客户端集中管理问题。
生产车间
· 工业主机上部署工控主机安全卫士,解决生产车间的工业主机安全问题;
· 产线接入交换机旁部署USB安全隔离装置,解决车间工业主机的U盘管控问题。
方案价值
· 基于“白名单”防御机制
采用基于“白名单”的防御机制,通过扫描主机可执行文件并生成数字签名,创建程序白名单。这种机制能够识别并阻止任何不在白名单中的程序运行,从而有效隔离病毒、木马和恶意软件的传播。
· 兼容性与适配性
兼容市面常见Linux和Windows操作系统,同时具备银河麒麟、凝思等国产系统兼容性适配认证。
兼容制造业多种组态应用程序。
· 数据保护
采用前沿的加密算法融合的先进数据加密技术,针对工业主机内诸如生产流程参数、设备运行状态等核心重要数据,进行全流程加密。通过构建多层级、高强度的数据防护体系,可高效抵御外部窃取与内部违规访问,有力防止数据泄露,全方位保障工业主机数据安全。
· 工业软件安全防疫
可对工业内部软件进行有效识别,并对配置非法篡改、内存非法嗅探、文件非法修改、程序非法终止等恶意攻击行为进行内置化一键防疫。从业务系统层面阻止病毒传播,进一步增强了工控主机的安全防护能力。
· 专杀攻击与主动防御能力
通过内置针对特定病毒(如“永恒之蓝”蠕虫病毒)的专杀工具,能够有效预防和控制这类病毒对工控主机的侵害。提升工控主机的主动防御能力,为系统提供从启动、加载到持续运行过程的全生命周期安全保障。
· 完善的外设监管
对允许的主机移动存储介质进行使用授权,确保只有经过认证的介质才能在工业现场主机上使用。能够实时监控工业现场主机移动存储介质的敏感操作,并智能告警。设备的联动机制为场景赋能。