「化纤行业工控安全解决方案」修訂間的差異檢視原始碼討論檢視歷史
| 行 1: | 行 1: | ||
| − | '''化纤行业工控安全解决方案'''近年来,工业控制系统信息安全事件不断发生,“震网”、“火焰”、“毒区”、“Havex”等恶意软件严重影响了关键工业基础设施的稳定运行,充分反映了工业控制系统信息安全面临的严峻形势。 | + | '''化纤行业工控安全解决方案'''近年来,[[ 工业]] 控制系统信息安全事件不断发生,“震网”、“火焰”、“毒区”、“Havex”等恶意软件严重影响了关键工业基础设施的稳定运行,充分反映了工业控制系统信息安全面临的严峻形势。 |
==一、案例简介== | ==一、案例简介== | ||
| − | 各个工业行业频发的信息安全事故表明,一直以来被认为相对安全、相对封闭的工业控制系统已经成为不法组织和黑客的攻击目标,黑客攻击正在从开放的互联网<ref>[https://www.sohu.com/a/366988143_120531585 互联网的特点有哪些,优势是什么?],搜狐,2020-01-15 </ref>向封闭的工控网蔓延。在电力、化工、煤炭、交通、冶金等行业均遭受到了严峻的工业控制网络安全威胁,急需加大在工业控制网络安全方面的投入,防止工业企业受到针对工业控制系统的网络攻击行为。 | + | 各个工业行业频发的[[ 信息]] 安全事故表明,一直以来被认为相对安全、相对封闭的工业控制系统已经成为不法组织和黑客的攻击目标,黑客攻击正在从开放的互联网<ref>[https://www.sohu.com/a/366988143_120531585 互联网的特点有哪些,优势是什么?],搜狐,2020-01-15 </ref>向封闭的工控网蔓延。在电力、化工、煤炭、交通、冶金等行业均遭受到了严峻的工业控制[[ 网络]] 安全威胁,急需加大在工业控制网络安全方面的投入,防止工业企业受到针对工业控制系统的网络攻击行为。 |
| − | 由于起步较晚,我国工业控制系统信息安全保障能力方面存在较大不足。当前我国工业控制系统核心软硬件设备的自主可控水平严重低下,基本的安全防护严重不足,网络接入控制混乱,外包维护管理缺乏,有很多工控系统需要依赖厂商才能维护,在培训教育和应急响应方面的力度也相当有限。面对复杂的工控安全形势,我国加强工业控制系统信息安全的保障工作迫在眉捷。 | + | 由于起步较晚,我国工业控制系统信息安全保障能力方面存在较大不足。当前我国工业控制系统核心软硬件设备的自主可控水平严重低下,基本的安全防护严重不足,网络接入控制混乱,外包维护管理缺乏,有很多工控系统需要依赖厂商才能维护,在培训[[ 教育]] 和应急响应方面的力度也相当有限。面对复杂的工控安全形势,我国加强工业控制系统信息安全的保障工作迫在眉捷。 |
| − | 港虹公司工控网络安全<ref>[https://it.sohu.com/a/580038722_120803970 什么是网络安全,常用的安全措施有那些] ,搜狐,2022-08-26 </ref>建设项目能够全面提升企业生产网络的整体安全,确保设备、系统、网络的可靠性、稳定性,减少人员的工作量,提高安全生产管理水平、工作效率和管理效率。 | + | 港虹公司工控网络安全<ref>[https://it.sohu.com/a/580038722_120803970 什么是网络安全,常用的安全措施有那些] ,搜狐,2022-08-26 </ref>建设项目能够全面提升企业生产网络的整体安全,确保设备、系统、网络的可靠性、稳定性,减少人员的工作量,提高安全生产管理水平、工作效率和[[ 管理]] 效率。 |
==二、案例背景介绍== | ==二、案例背景介绍== | ||
| 行 17: | 行 17: | ||
===1、 工控网络存在一定的脆弱性=== | ===1、 工控网络存在一定的脆弱性=== | ||
| − | (1)存在后门:已建项目主要软硬件多为进口,可能存有后门; | + | (1)存在后门:已建[[ 项目]] 主要软硬件多为进口,可能存有后门; |
| − | (2)易被攻击:广泛使用无线通信,易被监听、窃密和干扰; | + | (2)易被攻击:广泛使用无线[[ 通信]] ,易被监听、窃密和干扰; |
(3)接入风险:部分网络借用公共电信网络和互联网组网,增加了网络接入风险。 | (3)接入风险:部分网络借用公共电信网络和互联网组网,增加了网络接入风险。 | ||
| 行 25: | 行 25: | ||
===2、 工控网络面临着现实和潜在的威胁=== | ===2、 工控网络面临着现实和潜在的威胁=== | ||
| − | (1)现实威胁:U盘滥用、病毒肆虐、软件乱装、违规操作、缺少有效的访问控制手; | + | (1)现实威胁:U盘滥用、病毒肆虐、[[ 软件]] 乱装、违规操作、缺少有效的访问控制手; |
(2)潜在威胁:攻击化纤行业工控系统技术门槛越来越低,易被信息战攻击。 | (2)潜在威胁:攻击化纤行业工控系统技术门槛越来越低,易被信息战攻击。 | ||
| 行 33: | 行 33: | ||
(1)资产混乱:关键资产底数不清楚; | (1)资产混乱:关键资产底数不清楚; | ||
| − | (2)维护不当:严重漏洞难以及时处理,系统软件补丁管理困难,难以应对APT攻击; | + | (2)维护不当:严重漏洞难以及时处理,[[ 系统]] 软件补丁管理困难,难以应对APT攻击; |
| − | (3)风险增加:工业化程度的深入推进加速了网络安全风险的暴露。 | + | (3)风险增加:工业化程度的深入推进加速了网络[[ 安全]] 风险的暴露。 |
==三、案例应用详情== | ==三、案例应用详情== | ||
| 行 43: | 行 43: | ||
====(1)安全区域边界==== | ====(1)安全区域边界==== | ||
| − | 工业防火墙可以采用黑、白名单的安全策略,过滤一切非授权访问,保证只有可信任的数据才允许通过,为控制网与管理信息网的连接、控制网内部各区域的连接提供安全保障。本次工控防火墙部署在各个生产车间接入交换机出口处以及关键设备前端,根据区域边界数据交换规则通过检查数据包的源地址、目的地址、传输层协议和请求的服务的基础上,经过工控协议深度检查,防病毒检测、确定是否允许该数据包通过该区域边界;根据区域边界安全控制策略,通过检查数据包的源地址、目的地址、传输层协议、请求的服务等,确定是否允许该数据包进出受保护的区域边界,以防范来自边界的攻击行为,当检测到攻击行为时采取相应动作并通知安全管理中心。 | + | 工业防火墙可以采用黑、白名单的安全策略,过滤一切非授权访问,保证只有可信任的数据才允许通过,为控制网与管理信息网的连接、控制网内部各区域的连接提供安全保障。本次工控[[ 防火墙]] 部署在各个生产车间接入交换机出口处以及关键设备前端,根据区域边界数据交换规则通过检查数据包的源地址、目的地址、传输层协议和请求的服务的基础上,经过工控协议深度检查,防病毒检测、确定是否允许该数据包通过该区域边界;根据区域边界安全控制策略,通过检查数据包的源地址、目的地址、传输层协议、请求的[[ 服务]] 等,确定是否允许该数据包进出受保护的区域边界,以防范来自边界的攻击行为,当检测到攻击行为时采取相应动作并通知安全管理中心。 |
| − | 在(港虹公司)管理信息网与生产控制网之间部署工业安全网闸实现逻辑隔离与数据的安全传输,系统采用专用信息摆渡机制,解决了由于网络隔离引起的数据交换问题,既保持了网络之间隔离的特性,同时又提供了一种安全、有效的数据传输途径,采用非标准协议构成安全隧道,保障了数据传输的安全性,彻底杜绝了因办公网络的接入使业务系统感染病毒、木马的可能,消除了安全隐患。 | + | 在(港虹公司)管理信息网与生产控制网之间部署工业安全网闸实现逻辑隔离与数据的安全传输,系统采用专用[[ 信息]] 摆渡机制,解决了由于网络隔离引起的数据交换问题,既保持了网络之间隔离的特性,同时又提供了一种安全、有效的数据传输途径,采用非标准协议构成安全隧道,保障了数据传输的安全性,彻底杜绝了因办公网络的接入使业务系统感染[[ 病毒]] 、木马的可能,消除了安全隐患。 |
==工控安全监测审计系统== | ==工控安全监测审计系统== | ||
| − | 工控安全监测审计系统是针对工业控制网络数据通信进行安全审计的平台。本次部署在汇聚层的三层交换机节点上,抓取网络中的所有数据,通过实时动态分析、数据流监控、网络行为审计等技术,快速识别工业控制网络中存在的异常行为,对异常流量及时发出告警。 | + | 工控安全监测审计系统是针对工业控制网络数据通信进行安全[[ 审计]] 的平台。本次部署在汇聚层的三层交换机节点上,抓取网络中的所有数据,通过实时动态分析、数据流监控、网络行为审计等技术,快速识别工业控制网络中存在的异常行为,对异常流量及时发出告警。 |
==参考文献== | ==参考文献== | ||
[[Category:500 社會科學類]] | [[Category:500 社會科學類]] | ||
於 2023年9月25日 (一) 04:49 的修訂
化纖行業工控安全解決方案近年來,工業控制系統信息安全事件不斷發生,「震網」、「火焰」、「毒區」、「Havex」等惡意軟件嚴重影響了關鍵工業基礎設施的穩定運行,充分反映了工業控制系統信息安全面臨的嚴峻形勢。
目錄
一、案例簡介
各個工業行業頻發的信息安全事故表明,一直以來被認為相對安全、相對封閉的工業控制系統已經成為不法組織和黑客的攻擊目標,黑客攻擊正在從開放的互聯網[1]向封閉的工控網蔓延。在電力、化工、煤炭、交通、冶金等行業均遭受到了嚴峻的工業控制網絡安全威脅,急需加大在工業控制網絡安全方面的投入,防止工業企業受到針對工業控制系統的網絡攻擊行為。
由於起步較晚,我國工業控制系統信息安全保障能力方面存在較大不足。當前我國工業控制系統核心軟硬件設備的自主可控水平嚴重低下,基本的安全防護嚴重不足,網絡接入控制混亂,外包維護管理缺乏,有很多工控系統需要依賴廠商才能維護,在培訓教育和應急響應方面的力度也相當有限。面對複雜的工控安全形勢,我國加強工業控制系統信息安全的保障工作迫在眉捷。
港虹公司工控網絡安全[2]建設項目能夠全面提升企業生產網絡的整體安全,確保設備、系統、網絡的可靠性、穩定性,減少人員的工作量,提高安全生產管理水平、工作效率和管理效率。
二、案例背景介紹
典型安全問題包括以下方面。
1、 工控網絡存在一定的脆弱性
(1)存在後門:已建項目主要軟硬件多為進口,可能存有後門;
(2)易被攻擊:廣泛使用無線通信,易被監聽、竊密和干擾;
(3)接入風險:部分網絡借用公共電信網絡和互聯網組網,增加了網絡接入風險。
2、 工控網絡面臨着現實和潛在的威脅
(1)現實威脅:U盤濫用、病毒肆虐、軟件亂裝、違規操作、缺少有效的訪問控制手;
(2)潛在威脅:攻擊化纖行業工控系統技術門檻越來越低,易被信息戰攻擊。
3、 工控網絡安全防護體系尚未形成
(1)資產混亂:關鍵資產底數不清楚;
(2)維護不當:嚴重漏洞難以及時處理,系統軟件補丁管理困難,難以應對APT攻擊;
(3)風險增加:工業化程度的深入推進加速了網絡安全風險的暴露。
三、案例應用詳情
1、 安全解決方案體系設計
(1)安全區域邊界
工業防火牆可以採用黑、白名單的安全策略,過濾一切非授權訪問,保證只有可信任的數據才允許通過,為控制網與管理信息網的連接、控制網內部各區域的連接提供安全保障。本次工控防火牆部署在各個生產車間接入交換機出口處以及關鍵設備前端,根據區域邊界數據交換規則通過檢查數據包的源地址、目的地址、傳輸層協議和請求的服務的基礎上,經過工控協議深度檢查,防病毒檢測、確定是否允許該數據包通過該區域邊界;根據區域邊界安全控制策略,通過檢查數據包的源地址、目的地址、傳輸層協議、請求的服務等,確定是否允許該數據包進出受保護的區域邊界,以防範來自邊界的攻擊行為,當檢測到攻擊行為時採取相應動作並通知安全管理中心。
在(港虹公司)管理信息網與生產控制網之間部署工業安全網閘實現邏輯隔離與數據的安全傳輸,系統採用專用信息擺渡機制,解決了由於網絡隔離引起的數據交換問題,既保持了網絡之間隔離的特性,同時又提供了一種安全、有效的數據傳輸途徑,採用非標準協議構成安全隧道,保障了數據傳輸的安全性,徹底杜絕了因辦公網絡的接入使業務系統感染病毒、木馬的可能,消除了安全隱患。
工控安全監測審計系統
工控安全監測審計系統是針對工業控制網絡數據通信進行安全審計的平台。本次部署在匯聚層的三層交換機節點上,抓取網絡中的所有數據,通過實時動態分析、數據流監控、網絡行為審計等技術,快速識別工業控制網絡中存在的異常行為,對異常流量及時發出告警。
參考文獻
- ↑ 互聯網的特點有哪些,優勢是什麼?,搜狐,2020-01-15
- ↑ 什麼是網絡安全,常用的安全措施有那些 ,搜狐,2022-08-26