网络边界安全的等级保护

  越来越多的智能制造控制系统与企业网中运行的管 理信息系统(如MES、ERP)之间实现了互联、互通、互控,甚至可以通过互联网、移动互联网 等直接或间接地访问,这就导致了从研发端、管理端、消费端、生产端任意一端都有可能实现对 系统的网络攻击或病毒传播,面临的安全风险进一步加大。

制造行业工业控制网络面临诸多安全问题,涉及网络安全和通信层面、设备和计算安全层面、应用和数据安全层面及管理安全方面,主要包括网络非法访问可能导致的敏感信息泄露,非法入侵行为引发的网络阻塞,操 作终端或服务器中毒引发生产中断,以及操作审计措施不到位、管理制度不完善等可能引发的安全隐患等。

总体解决方案的建设重点为解决目前DNC控制系统存在的突出网络安全问题,同时结合《工业控制系统信息 安全防护指南》、《信息安全技术网络安全等级保护基本要求》等政策法规要求及客户实际进行安全建设规划。

具体建设内容如下:

1、网络和通信安全

在管理网与MES之间部署工业防火墙,只允许与生产相关的流量通过,在满足生产业务的安全 需求(生产从互联网下订单)的同时,实现管理网与生产网的安全隔离。 在生产网与MES之间部署工业防火墙,按照最小权限原则设置防火墙策略。实现DNC网络的纵 向安全隔离,保证MES系统与生产网之间生产指令及反馈信息的安全可靠。 在生产网内部核心交换机部署工业入侵检测系统和工业安全监测审计系统,及时发现、检测针 对生产网的入侵行为及违规指令等(指令错误、指令篡改等)并告警。 在各个车间出口部署工业防火墙,只允许NC程序传输及生产状态信息回传等流量通过。同时,实现各车间之间的安全隔离,杜绝通过视频监控网络非法侵入生产系统等安全隐患,保护关键生产 指令的合法有效。 对生产网内部无线网络进行安全检测,设置无线准入管理,只允许合法设备接入,预防和杜绝 无线网络入侵行为。

2、设备和计算安全

对于重要服务器实施安全加固,加强身份认证、访问控制等安全防护措施,提高服务器安全防 护能力,降低系统被破坏及数据被窃取的风险。 在各工作站和操作员站上部署工业主机安全卫士产品,只允许与生产相关的软件运行,防止僵 木蠕传播。 为关键机床及加工中心配备USB隔离设备,防止随意接入USB口,杜绝病毒、木马等进入机床和 加工中心,防止数据泄露,保证生产安全。

3、应用和数据安全

在生产网内部部署安全运维管理系统,基于唯一身份标识的集中账号与访问控制策略,实现集 中精细化运维操作管控与审计,杜绝误操作及违规行为,提高工业控制系统及设备安全维护水平。

4、管理安全

部署工业安全管理平台,对于整体工业控制安全状态进行实时监控,及时发现网络攻击、异常 指令、违规外联及漏洞等信息并及时应对。 完善管理制度,包括组织架构完善、内部/外部人员安全管理、信息安全培训在内的人员管理制 度,制定总体网络安全策略、网络/数据/介质管理制度、重大信息安全管理制度等,加强信息安全培 训,定期进行信息安全演练等。

智能车间部署图



                        基于用户网络复杂程度、资产数量,将用户企业规模大致分为大、中、小三类。根据等级保护相关要求,推荐相应安全产品。

                    

不同规模企业安全产品推荐清单


安全类控制点安全产品小型用户中型用户大型用户
安全通信网络网络架构负载均衡
防火墙
上网行为管理
通信传输Ipsec VPN
SSL VPN
安全区域边界边界防护下一代防火墙
访问控制网闸

网络准入

内网安全风险管理与审计系统
入侵防范入侵检测
入侵防御
抗DDOS
APT
入侵分析中心
恶意代码和垃圾邮件防范防病毒网关
垃圾邮件网关
安全审计网络安全审计
安全计算环境身份鉴别堡垒机(安全运维)
弱口令检测
配置核查
安全加固服务(服务器安全加固)
安全审计数据库审计
业务审计系统
日志审计
入侵防范漏洞扫描
网页防篡改
WAF
恶意代码检测防病毒软件
终端安全管理
数据保密性/完整性DLP
加密机
数据完整性VPN
数据备份恢复本地备份
异地灾备
增量备份
全量备份
实时备份
安全管理中心集中管控 统一安全管控平台(4A)
日志审计
安全管理平台TSOC
集中监控管理系统
态势感知


我们的能力

  • 上邦|企业数字化转型与数据安全管理服务商.

    帮助客户构建“ 一个中心,三重防护”的整体安全防护体系,大大提高客户工业控制网络 抵御网络安全威胁的能力,为安全精益生产保驾护航。

  • 上邦|企业数字化转型与数据安全管理服务商.

    帮助客户建立网络安全防护规范,形成行业示范效应。

  • 上邦|企业数字化转型与数据安全管理服务商.

    提升客户安全运维管理能力,降低后续学习成本和风险发生可能,保障生产系统高效、稳定 运行。


免费体验