2.解決方案
2.1.技術(shù)框架
匡安網(wǎng)絡(luò)智能制造行業(yè)網(wǎng)絡(luò)安全整體解決方案基于等級保護的基本要求設(shè)計安全防護技術(shù)框架�。
2.2.方案內(nèi)容
按照“縱向分層”的基本思想,通過工業(yè)防護墻對工控網(wǎng)進行區(qū)域劃分�,劃分為管理執(zhí)行層、生產(chǎn)控制層�����、現(xiàn)場設(shè)備層�����。管理執(zhí)行層主要是技術(shù)中心及數(shù)據(jù)庫區(qū),生產(chǎn)控制層主要是本地DNC服務(wù)器����、工程師站及操作員站等�����,現(xiàn)場設(shè)備層主要是設(shè)備區(qū)�。
(一)建立安全管控區(qū)
在生產(chǎn)控制層建立安全管控區(qū),通過部署主站運維網(wǎng)關(guān)或便攜式運維網(wǎng)關(guān)����、設(shè)備接口安全管控系統(tǒng)、工控監(jiān)測與審計系統(tǒng)�����、工業(yè)安全管理平臺實現(xiàn)對生產(chǎn)控制層及現(xiàn)場設(shè)備層的運維管控�����、接口防護��、流量監(jiān)測審計及安全管理等安全防護�����。
(1)運維管控
通過部署主站運維網(wǎng)關(guān)及便攜式運維網(wǎng)關(guān),對現(xiàn)場設(shè)備層����、生產(chǎn)控制層運維資產(chǎn)、運維用戶進行統(tǒng)一管理���、細化運維過程細粒度監(jiān)管����,實現(xiàn)運維事前事中的管控及事后追溯�,保障運維過程安全。
(2)接口防護
通過部署設(shè)備接口安全管控系統(tǒng)����,接入現(xiàn)場設(shè)備層、生產(chǎn)控制層終端主機(工程師站����、操作員站、DNC服務(wù)器等)���、數(shù)控機床����、上位主機部署的USB管控系統(tǒng),并接入局域網(wǎng)各交換機�,實現(xiàn)對USB接口、網(wǎng)絡(luò)接口的統(tǒng)一管控����,從而從根源上解決違規(guī)外聯(lián)���、非授權(quán)接入的問題��。
(3)流量監(jiān)測審計
以鏡像引流方式旁路部署工控監(jiān)測與審計系統(tǒng)���,通過基于工業(yè)協(xié)議深度解析各區(qū)域網(wǎng)絡(luò)流量,智能監(jiān)測和識別網(wǎng)絡(luò)中的入侵攻擊��、異常操作��、生產(chǎn)數(shù)據(jù)���、重要操作等行為��,并進行統(tǒng)計和分析�。
(4)統(tǒng)一安全管理
通過部署匡安工業(yè)安全管理平臺,接入各網(wǎng)絡(luò)安全設(shè)備�����,對設(shè)備進行統(tǒng)一管理�、統(tǒng)一策略調(diào)整下發(fā)、統(tǒng)一日志收集分析�、統(tǒng)一實時的監(jiān)控,極大簡化安全管理流程����。
(二)生產(chǎn)管理層、現(xiàn)場設(shè)備層防護
在現(xiàn)場設(shè)備層測量儀表儀器的上位主機及數(shù)控機床�����、生產(chǎn)管理層服務(wù)器及工作站部署USB接口管控裝置����,并接入設(shè)備接口安全管控系統(tǒng),阻斷違規(guī)外聯(lián)行為����。
(三)區(qū)域邊界防護
在現(xiàn)場設(shè)備層與生產(chǎn)控制層、生產(chǎn)控制層與管理執(zhí)行層之間部署匡安工控防火墻,構(gòu)建縱深防護體系����,保障生產(chǎn)網(wǎng)絡(luò)安全穩(wěn)定運行。防火墻可以通過對工業(yè)專有協(xié)議的深度解析�,阻止來自不同區(qū)域之間的越權(quán)訪問,病毒���、蠕蟲惡意軟件擴散和入侵攻擊���,保護控制系統(tǒng)安全運行��。
(四)主機防護
在現(xiàn)場設(shè)備層與生產(chǎn)控制層中CNC���、DNC系統(tǒng)�、操作員站和工程師站上部署匡安工業(yè)主機衛(wèi)士���,通過掃描上位機程序和進程�,構(gòu)建白名單安全基線��,實現(xiàn)系統(tǒng)安全加固���,有效防范已知未知病毒的入侵和攻擊���。
