解决方案
solution
守护工业命脉 保障关键安全
油气田开采 智能制造 石油化工 电力行业 城市轨道交通 煤矿 城市物联网
智能制造
solution
网藤科技,解决方案
安全防护依据
Basis for safety protection

《关于加强工业控制系统信息安全管理的通知》(工信部协〔2010〕451号文)

《工业控制系统系统信息安全防护指南》(工信软函〔2016〕338号)

《工业控制系统信息安全防护能力评估工作管理办法》(工信部信软〔2017〕188号)

《GB/T 22239-2008信息安全等级保护基本要求》

《YC/T 494-2014烟草工业企业生产网与管理网网络互联安全规范》

《YC/T 495-2014烟草行业信息系统安全等级保护实施规范》

安全防护原则
Principles of safety protection
- 安全分区
对于生产网络与办公网络存在共用网络的现象,首先需要进行网络优化,明确生产网络边界,尽量避免多个生产网络边界的现象。
- 安全审计

对生产网络内部的日常操作行为进行基于白名单策略监控,及时发现网络中存在的异常流量、违规操作、非法访问、恶意程序等异常行为,并要求对生产网络的运行日志进行记录保存,至少保留6个月;对于已经发生攻击事件的情况,要求可以对攻击事件进行追踪、溯源,定位网络攻击的位置或具体用户。

- 边界防护

根据业务网络实际情况,在生产网络外部边界处部署工业防火墙或单向隔离网闸设备,保证生产网络向办公网络或其他外部网络数据单向传输。

工业控制系统上位操作主机(操作站、工程师站、服务器)作为生产网络的内部边界,需要对用户登陆、操作、运行等行为进行安全监控与审计,并对通过上位主机外设接口与生产网络进行数据通讯的行为进行授权管理。
- 恶意代码防范
对于以“白名单”防护策略为主的工控安全防护方案,除了对外部网络边界进行有效的访问控制和威胁监测以外,需要对上位主机的USB接口使用过程进行安全有效管理,对于临时接入工控网络的移动存储设备,必须先进行病毒查杀,才可以使用。
典型部署
Typical deployment



汽车制造、烟草、制药等行业作为典型的智能制造控制网络,一般以单个生产车间为单位实现某一个生产工艺,如汽车制造的装配车间、喷涂车间、总装车间等,烟草行业的制丝车间、卷包车间、动力车间等,制药行业的发酵车间、提取车间等,其网络架构类似,一般都有信息管理MES网路对全厂的生产制造进行集中管理。


² 在生产控制网络和管理信息系统之间、生产控制网络和办公网之间部署工业防火墙,进行网络层级间的安全隔离和防护,提高生产控制系统的安全防护能力;


² 将各生产车间作为一个安全域,在各车间控制网络出口位置部署工业防火墙,对外来访问进行严格控制,以实现重要工控装置的单体设备级安全防护。


² 在各车间生产网络的核心交换机通过镜像口旁路部署工控安全审计系统,实现对生产网络中网络威胁、违规操作、异常流程等网络攻击行为的实时监控与分析,并可以与集控中心的工控行为追溯系统共享数据。


² 在集中控制中心部署工控行为追溯系统,该系统可以对已经发生的网络攻击事件进行长时间的攻击溯源,通过对攻击事件的分析,最终定位攻击源、攻击事件、攻击类型,以及对于系统恢复、配置策略升级等多方面的安全加固建议。


² 在生产控制网络和办公网边界部署网御高级威胁检测与预警系统(工业入侵检测系统),采用旁路部署方式,不仅可以实现对来自外部网络的已知威胁进行检测,系统内置的虚拟沙箱模块,还可以实现对网络的未知威胁进行检测与报警、分析。


² 在各生产车间的操作站及集中控制中心部署USB 安全隔离装置,对上位主机的USB接口安全使用进行有效管理,对通过USB接口临时接入生产网络的移动存储设备进行病毒查杀。


² 在集中控制中心部署一套账号集中管理与审计系统(堡垒机),可以对集中控制中心的工控系统运维过程的安全监控与审计,实现对运维过程的用户管理、授权管理、认证管理和综合审计;


在集控中心部署统一安全管理平台,对工控网络中的安全产品进行集中管理、配置和维护,便于综合分析、及时定位问题。


咨询热线
400 670 6183
传真: 010-63743370
邮箱: SUPPORT@WANGTENGTECH.COM
公司地址:北京市丰台科技城海鹰路8号院3号楼A座301
关注我们
follow
扫一扫关注网藤科技