1、背景與挑戰(zhàn)
在“兩化”融合的行業(yè)發(fā)展需求下�����,為了提高工業(yè)生產(chǎn)運(yùn)行�����、管理效率���,國內(nèi)眾多行業(yè)大力推進(jìn)工業(yè)控制系統(tǒng)自身的集成化,集中化管理����,推進(jìn)工控系統(tǒng)及現(xiàn)場設(shè)備聯(lián)網(wǎng)化,在提高生產(chǎn)效率的同時,也使固有的工業(yè)控制系統(tǒng)及網(wǎng)絡(luò)信息安全風(fēng)險凸顯����、放大。國內(nèi)外近些年針對工業(yè)控制系統(tǒng)及網(wǎng)絡(luò)的攻擊���、安全漏洞�����、安全事件層出不窮���,“震網(wǎng)”病毒事件為全球工業(yè)控制系統(tǒng)安全問題敲響了警鐘,促使國家和社會開始關(guān)注工業(yè)控制系統(tǒng)的信息安全問題���。軍工行業(yè)作為國家關(guān)鍵的工業(yè)生產(chǎn)支柱型行業(yè)���,關(guān)系著國計民生及國防安全,更為重中之重����,容不得半分懈怠?���?上驳氖?��,軍工企業(yè)近幾年也開始高度重視工業(yè)控制系統(tǒng)安全,但由于涉密行業(yè)整體工控安全標(biāo)準(zhǔn)的缺失�����,軍工行業(yè)用戶在工業(yè)控制系統(tǒng)安全體系建設(shè)中不可避免的存在滯后性����,無法滿足工業(yè)系統(tǒng)及網(wǎng)絡(luò)建設(shè)中對整體安全防護(hù)能力的實(shí)際需求,暴露出了眾多的信息安全問題�����,諸如:
(1)缺乏現(xiàn)場運(yùn)維審計手段����,面臨著第三方運(yùn)維人員運(yùn)維時無法監(jiān)管的問題,存在著較大的泄密及安全事故風(fēng)險����;
(2)工控生產(chǎn)網(wǎng)絡(luò)與涉密辦公網(wǎng)連接時�����,在提高效率的同時也面臨著被感染病毒、惡性攻擊的風(fēng)險���;
(3)工控網(wǎng)絡(luò)內(nèi)沒有有效的終端管理�����、私接����、移動介質(zhì)管理手段���,容易造成泄密事件�,也無法控制木馬等惡意程序的私自或無意中植入��;
(4)工控網(wǎng)絡(luò)內(nèi)部安全防護(hù)�����、檢測����、審計等手段的缺失�,造成無法有效的防御外部威脅�����、內(nèi)部違規(guī)操作�����,無法進(jìn)行有效的審計和追溯���;
(5)工控安全管理制度缺失�����,側(cè)重于對生產(chǎn)流程的管理���,缺乏安全檢測、脆弱性評估����、移動介質(zhì)管理、終端管控���、密碼策略�����、備份與恢復(fù)等方面的管理規(guī)程等等����。
廣聚安全非常重視工業(yè)控制系統(tǒng)信息安全問題����,目前已參與了多個國家及行業(yè)工控安全標(biāo)準(zhǔn)的制訂工作,并研發(fā)了工業(yè)控制信息安全管理管理系統(tǒng)�、工業(yè)防火墻、工控漏洞掃描系統(tǒng)���、現(xiàn)場運(yùn)維審計與管理系統(tǒng)���、工控異常監(jiān)測系統(tǒng)等多款工業(yè)控制系統(tǒng)信息安全產(chǎn)品,并可以提供包括工控網(wǎng)絡(luò)風(fēng)險評估���、安全建設(shè)咨詢��、安全培訓(xùn)等多類型的工控安全專業(yè)服務(wù)���,可有效支持軍工行業(yè)客戶的工控安全體系建設(shè)需求����。
2�����、安全解決方案
2.1思路
廣聚安全基于對軍工行業(yè)工控安全建設(shè)的深度理解���,建議在保證系統(tǒng)可用性前提下�,通過對工業(yè)控制系統(tǒng)進(jìn)行分層分級防護(hù)�����,實(shí)現(xiàn)“垂直分層���,水平分區(qū)��。邊界控制���,內(nèi)部監(jiān)測”。
“垂直分層��、水平分區(qū)”即對工業(yè)控制系統(tǒng)垂直方向化分為四層:現(xiàn)場設(shè)備層、現(xiàn)場控制層�、監(jiān)督控制層、生產(chǎn)管理層���。水平分區(qū)指各工業(yè)控制系統(tǒng)之間應(yīng)該從網(wǎng)絡(luò)上隔離開�,處于不同的安全區(qū)�。
“邊界控制����,內(nèi)部監(jiān)測”即對系統(tǒng)邊界即各操作站、工業(yè)控制系統(tǒng)連接處��、無線網(wǎng)絡(luò)等要進(jìn)行邊界防護(hù)和準(zhǔn)入控制等�����。對工業(yè)控制系統(tǒng)內(nèi)部要監(jiān)測網(wǎng)絡(luò)流量數(shù)據(jù)以發(fā)現(xiàn)入侵��、業(yè)務(wù)異常��、訪問關(guān)系異常和流量異常等問題���。
2.2安全設(shè)計
軍工行業(yè)對工控安全的需求主要存在于工控網(wǎng)絡(luò)內(nèi)部合規(guī)安全建設(shè)����,工控生產(chǎn)網(wǎng)與涉密管理網(wǎng)的網(wǎng)間安全數(shù)據(jù)交換兩個方面,具體安全建設(shè)設(shè)計如下:
工控網(wǎng)內(nèi)安全體系建設(shè)
軍工行業(yè)工控網(wǎng)內(nèi)面臨的主要安全威脅來自于黑客攻擊����、惡意代碼(病毒蠕蟲)、越權(quán)訪問(非授權(quán)接入����、移動介質(zhì)、弱口令�、操作系統(tǒng)漏洞、誤操作和業(yè)務(wù)異常�、第三方廠家運(yùn)維監(jiān)管空白等,因此�����,其安全體系建設(shè)應(yīng)在以下方面予以重點(diǎn)完善和強(qiáng)化:
-入侵檢測及防御�;
-惡意代碼防護(hù);
-內(nèi)部網(wǎng)絡(luò)異常行為的檢測����;
-邊界訪問控制和系統(tǒng)訪問控制策略;
-身份認(rèn)證和行為審計�����;
-號唯一性和口令安全,尤其是管理員賬號和口令的管理�;
-操作站操作系統(tǒng)安全;
-移動存儲介質(zhì)的標(biāo)記�、權(quán)限控制和審計;
-設(shè)備物理安全���。
-現(xiàn)場運(yùn)維審計
-適應(yīng)工控生產(chǎn)安全需要的配套管理制度�、人員組織等
廣聚安全現(xiàn)有的工業(yè)控制信息安全產(chǎn)品體系�,以工業(yè)控制信息安全管理系統(tǒng)為核心�����,以旁路檢測��、串聯(lián)防護(hù)��、現(xiàn)場防護(hù)三大引擎為支撐��,全面實(shí)現(xiàn)全網(wǎng)工控設(shè)備的統(tǒng)一安全監(jiān)測和防護(hù)����,安全風(fēng)險集中分析和展現(xiàn)����。輔助以貫穿工業(yè)控制系統(tǒng)需求���、設(shè)計��、建設(shè)����、運(yùn)營�、廢除全生命周期的工控安全風(fēng)險評估平臺,可以有效覆蓋軍工行業(yè)用戶的上述安全能力需求�,提供整體性的工業(yè)系統(tǒng)安全保障能力。
工控網(wǎng)與管理網(wǎng)安全數(shù)據(jù)交換
為滿足網(wǎng)間數(shù)據(jù)交換的的絕對單向傳輸要求���,建議采用專業(yè)的物理單向工業(yè)網(wǎng)閘系統(tǒng)�����,在滿足必要的數(shù)據(jù)傳輸能力的同時�����,需具備物理單向無反饋��、多協(xié)議支持特別是主流工業(yè)控制協(xié)議支持�、全程監(jiān)控與審計、病毒木馬防護(hù)能力等功能要求���。
同時由于跨網(wǎng)絡(luò)開展請求服務(wù)是網(wǎng)間交換請求的必然選擇�����,但是絕大部分的應(yīng)用系統(tǒng)所采用的請求服務(wù)方式是通過協(xié)議來完成�����,而這些協(xié)議在不同網(wǎng)絡(luò)之間是禁止連通的��,單向網(wǎng)閘系統(tǒng)僅能實(shí)現(xiàn)文件的傳輸而無法實(shí)現(xiàn)協(xié)議的穿透����,為了滿足工控網(wǎng)絡(luò)內(nèi)應(yīng)用系統(tǒng)跨網(wǎng)絡(luò)請求服務(wù)的需求���,同時盡可能實(shí)現(xiàn)各種業(yè)務(wù)系統(tǒng)無縫接入,無需修改其應(yīng)用程序��,需要使用安全請求服務(wù)系統(tǒng)配合單向工業(yè)網(wǎng)閘系統(tǒng)實(shí)現(xiàn)絕對物理單向的數(shù)據(jù)傳輸能力��,避免泄密可能。
通過安全請求服務(wù)系統(tǒng)配合單向工業(yè)網(wǎng)閘系統(tǒng)最終實(shí)現(xiàn)絕對物理單向的數(shù)據(jù)傳輸能力�����,同時滿足工控網(wǎng)和涉密管理網(wǎng)內(nèi)各類數(shù)據(jù)及請求交換的需求���。
3���、方案價值
-滿足軍工行業(yè)用戶工控網(wǎng)絡(luò)內(nèi)部安全能力建設(shè)需求
-滿足軍工行業(yè)用戶工控生產(chǎn)網(wǎng)和涉密管理網(wǎng)安全數(shù)據(jù)交換及工控協(xié)議通訊的需求;
-滿足軍工行業(yè)工控網(wǎng)絡(luò)內(nèi)部操作員站�����、工程師站及移動介質(zhì)管理的普遍性核心訴求�����;
-解決軍工行業(yè)用戶無法有效監(jiān)管第三方運(yùn)維人員針對工控系統(tǒng)及現(xiàn)場設(shè)備運(yùn)維行為的問題�,做到全程可監(jiān)管、全程可控制��、全程可審計�,避免數(shù)據(jù)泄密及木馬植入風(fēng)險,并可追溯追責(zé)��;
-可有效指導(dǎo)軍工行業(yè)用戶直面工控網(wǎng)絡(luò)內(nèi)外部安全威脅并進(jìn)行針對性的安全建設(shè),逐步建立有效的工控安全管理制度體系��、工控安全運(yùn)維支撐體系���。
400-001-9776
