边界安全防护方案

news2024/11/18 12:34:08

汽车制造业

MES系统 DNC系统 生产 安全域1
管理层
工控安全隔离装置
交换机 安全配置核查系统 HMI 历史数据库 运行监控系统 实时数据库 打印机
过程 安全域2
监控层 工控漏洞扫描系统
安全交换机
工控安全审计系统 工控入侵检测系统工程师站 A 操作员站 A 实时数据库A 操作员站 B 工程师站 B 工程师站 C 终端管控系统 操作员站 C 实时数据库C
现场
控制层 工控安全网关 CNC 工控安全网关 工控安全网关 安全域3 安全域4 安全域53
现场
设备层 CNC-MT 仪表装置 三坐标测量仪
图 4.12 车厂安全防护图

  • 外部边界隔离和监测。外部边界为 ICS区域与 IT区域的边界,即安全域划分示意图中安全域 1 与安全域 2 之间的边界,部署工控安全网关,作为外部威胁进入 ICS环境的第一道边界防护;
  • 工控环境中的细分安全域边界之间部署工控安全网关,形成纵深防御的结构,对通信行为进行 严格控制。对应图中的安全域 3、安全域 4、安全域 5 与安全域 2 之间的边界分别部署控制设备;
  • 在安全域 2 中部署工控安全审计系统,对流量和操作进行审计,并对工控环境中分布式部署的 所有工控设备的运行状态和日志进行集中监控;
  • 在安全域 2 中部署工控漏洞扫描和工控安全配置核查系统,辅助运维过程中的脆弱性管理;
  • 在工控环境中所有安全域中的 IT服务器和 PC 设备部署终端管控系统,实施外设管控、进程管 控和恶意代码防范;
  • 如果在工业网中存在自动化设备厂商远程运维的情况,需要在网络中部署 VPN或者 CA认证系 统,用以识别远程运维人员的身份,提高工业网远程接入的可信化认证能力。

市政工控典型安全解决方案

水务场景

4.3.1.1 水务 SCADA系统架构
水务的 SCADA系统主要由操作员站,工程师站,取水泵房 SCADA系统,加药间 SCADA系统,反 冲洗 SCADA系统,送水泵房 SCADA系统,脱水泵房 SCADA系统等构成。其具体的结构图如图所示。
操作员站1 操作员站2 数据库服务器 视频服务器 WEB服务器
交换机
人机界面 人机界面 人机界面 人机界面 人机界面
取水泵房PLC 加药间PLC 返冲洗PLC 送水泵房PLC 脱水泵房PLC
图 4.13 自来水厂安全防护图
2. 安全需求分析

  1. 门户网站安全分析
    水务系统门户网站可以从外网直接访问,因此访问群体较复杂,聚集了大量的国内外访问流量,也 容易引起黑客的关注。其所面临的安全威胁主要有:
  • 黑客通过 SQL注入、跨站脚本等攻击方式,可以轻的拿到门户网站的管理权限,进而篡改网 页代码;攻击者有可能将门户网站替换成钓鱼网站或者黄色网站,或者在主页上发布敏感言论, 对企业造成极其恶劣的负面影响。
  • 入侵者成功获取 WEB服务器的控制权限后,可以以该服务器为跳板,对内网进行渗透、探测扫描, 发起攻击,对企业内部敏感数据造成威胁。而从当前主机安全评估结果来看,黑客进入内网后, 可以轻而易举攻陷其他服务器。
    传统的边界防护设备,如防火墙和入侵防护系统,作为整体安全策略中不可缺少的重要模块,局限 于自身的产品定位和防护深度,不能有效的针对 Web 应用攻击提供完善的防御能力。因此,有必要采 用专业的 WEB防护系统,有效防护各类攻击、降低网站安全风险。
  1. 网络边界安全分析
    计算机网络本身具有一定的脆弱性,随时都有可能遭受来自各方面的袭击和破坏,有些甚至是毁灭 性的。网络不安全的主要因素如下:
  • 网络协议的自身并不安全。网络是一个开放式的信息系统,可以与 Internet 相联,与网络中任 何一台计算机进行信息交互。由于 TCP/IP 协议自身存在脆弱性,网络处于危险之中。
  • 病毒蠕虫的快速传播。水务系统内网一旦遭受了病毒和蠕虫的侵袭,不仅会造成网络和系统处 理性能的下降,同时也会对核心敏感的数据造成严重的威胁,甚至造成网络的拥塞,导致业务 的中断。
  • 现有防火墙解决方案的不足。在网络应用层出不穷、新型威胁不断涌现的背景下,无论是传统 防火墙、统一威胁管理设备(UTM)还是“下一代防火墙(NF)”,均已远远不能满足用户对 自身网络的安全防护诉求,主要体现在传统防火墙不能对网络应用、用户进行有效识别和控制, 现有的基于 IP 地址的访问控制已经不可靠。
    3 业务系统安全分析
    随着网络环境的不断发展和完善,水务系统中不仅各项业务工作如订单管理、文件分发等由计算机 替代,而且信息存储及信息提供也转变为数字方式。业务系统不安全的主要因素如下:
  • 系统漏洞给业务系统造成极大的威胁。恶意入侵者可以利用系统的漏洞,通过发起恶意扫描和 远程溢出等攻击,进入业务系统后台,获取、篡改甚至破坏敏感的数据,乃至破坏整个网络的 正常运行。
  • 网络安全审计问题尤为突出。防火墙、入侵检测等传统网络安全手段可实现对网络异常行为的 管理和监测,如控制网络连接和访问的合法性、监测网络攻击事件等,但是不能监控网络内容 和已经授权的正常内部网络访问的行为,因此对由于正常网络访问行为导致的信息泄漏事件、 网络资源滥用行为(即时通讯、论坛、在线频、 P2P 下载、网络游戏等)无能为力,也难以 实现针对内容、行为的监控管理及安全事件的追查取证。因此,迫切需要一种安全手段对上述 问题进行有效监控和管理。因此对于任何一个安全体系来说,审计追查手段都是必不可少的。
  • 人为失误及业务权限管理问题,如弱口令,不正确的共享、应用系统的错误使用等,内部人员 对业务应用系统的越权访问、违规操作,或者操作人员直接的错误输入导致系统宕机等。
  1. 安全解决方案
  2. 门户网站防护
    采用 web 应用防护系统来确保 web 应用系统安全。 提供事前预防、事中防护、事后补偿的整体解决方案。作为 用防护系统可以避免 web 服务器直接暴露于互联网上,监控 Server/Application 层双向数据实施检测和保护,可以降低 宽及资源耗尽型拒绝服务攻击。
    Web 应用防护系统需要具备针对“攻击事件” web 客户端和服务器端的中间人,Web 应
    HTTP/HTTPS 双向流量,对网络层、Web web 站点的安全风险,并需要能够护各类带
  3. 网络边界防护
    采用网络入侵防护系统实现网络边界的安全防护。网络边界的安全防护系统具有智能协议识别和分 析,协议异常检测,流量异常检测的功能,有效发现绑定在任意端口的各种木马、后门,发现未知的溢 出攻击、零日攻击以及拒绝服务攻击,并可以有效抵御分布式拒绝服务攻击 (DDOS)、未知的蠕虫、流 氓流量的攻击。
  4. 网络安全审计
    水务系统中需要部署安全审计设备,主要完成以下功能:
  • 内容审计。提供深入的内容审计功能,可对网站访问、邮件收发、远程终端访问、数据库访问、 数据传输、文件共享等提供完整的内容检测、信息还原功能;并可自定义关键字库,进行细粒 度的审计追踪。
  • 行为审计。提供全面的网络行为审计功能,根据设定的行为审计策略,对网站访问、邮件收发、 数据库访问、远程终端访问、文件上传下载、即时通讯、论坛、移动应用、在线视频、P2P 下载、 网络游戏等网络应用行为进行监测,对符合行为策略的事件实时告警并记录。
  • 流量审计。提供基于协议识别的流量分析功能,实时统计出当前网络中的各种报文流量,进行 综合流量分析,为流量管理策略的制定提供可靠支持。

城市燃气系统安全解决方案

4.3.2.1 总体概述
城市燃气系统 SCADA系统主要由调度控制中心、储配站门站、输配站、无人站、重要用户监测点 等组成。SCADA 系统主要由调度控制中心、站控系统及数据传输通讯系统三大部分组成。其特点为调 度中心和子站相互配合的方式。其具体的架构如图所示。
GPS时钟 SCADA实时、 GIS服务器 仿真服务器 生产调度应用 服务器 历史服务器 服务器
交换机
防火墙
工程师站 操作员站
交换机
通信运营商汇聚 通信运营商汇聚
大屏幕系统
防火墙 防火墙
路由器 光纤
热备冗余
操作员站 无线 无线 路由器 路由器
热备冗余 操作员站
工业 工业 因特网 内网 交换机 交换机
热备冗余 网络摄像头
操作员站
冗余
Web浏览 Web浏览 Web浏览
移动终端 移动终端 PC 大宗用户 网络摄像头 储配站/门站 输配站 无人站 /CNG/
调压柜 压力监测点
图 4.14 城市燃气安全防护图
调度控制中心:根据 SCADA系统规模大小分为总调度控制中心、备用调度控制中心和区域调度控 制中心,完成对城市高中压燃气管网各重要站场、远控截断阀室的监控,同时完成对中压管网监测点的 监视,实现管网运行优化、制定输送计划、计量管理等一系列任务。
站控系统:根据管网站场分布,在门站、输配站、调压站、压力监测点等设置不同规模的站控系统。 站控系统是 SCADA系统的远程监控站,它们执行主调度控制中心指令,实现站内数据采集及处理、联 锁保护、连续控制及对工艺设备运行状态的监视,并向主调度控制中心上传所采集的各种数据与信息。
4.3.2.2 安全防护方案

  1. 边界安全防护方案
    在每个站控系统 PLC/RTU 和工业交换机之间部署工业安全网关,防止恶意流量或攻击通过门站直 接进入现场站。
    在 SCADA服务器,工程师站,操作员站的网络前段部署工业防火墙,将所有流向服务器的数据进 行深度解析,保护该服务器免受异常操作、非法指令恶意控制、病毒攻击等行为干扰和破坏。
  2. 综合安全防护方案
  • 安全区域划分。对整个燃气网络系统进行安全区域划分,实现对业务系统区、访问用户、互联 网出口、核心交换区之间的相互访问进行权限控制,同时 SCADA工控系统区域也进行划分。 通过安全区域划分为提升整个安全防护水准提供基础。
  • 提升网络安全防护可靠性。对核心交换区、移动用户接入区、敏感数据接入区关键节点设备进 行冗余架构设计,实现双机热备,保证整个安全防护体系设备的高可靠性。
  • 部署数据库审计系统,数据访问职责划分清晰。通过在敏感数据区部署数据库审计系统,能够 实时审计用户对数据库的操作,包括建立表格、删除、修改等行为。
  • 数据保护得到加强。部署数据防泄密系统,保证单位保密数据在生产、传输、存储等环节不会 被泄密,即使数据被拷贝走,也无法打开。
  • 部署安全统一管理区。整个网络系统各个安全防护措施部署后,需要进行有效的管理与运维。 通过部署威胁分析系统、漏洞扫描系统、堡机等设备,有效完成安全的统一管理;在 SCADA 中心区域部署工控漏洞扫描系统、工控安全审计、工控入侵检测系统等设备来进行整个 SCADA 工控系统的安全管理。

参考资料

绿盟 2019工业控制系统信息安全保障框架

友情链接

GB-T 22081-2008 信息技术 安全技术 信息安全管理实用规则

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/82510.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

测试员做外包能转正吗?外包员工能变正式员工吗?

外包员工能变正式员工吗?这里辟谣一波,许多外包都说有转正机会。实际情况是几乎等于零。其中,三方外包更是可以直接和零划等号。三方外包的转正,往往就是给个内推机会,然后和面试官会熟悉一些。 然而这些都没什么价值…

简述基于JavaEE企业级开发技术(Spring)

一、绪论 1、学习内容 javaEE企业开发技术概述javaEE容器——SpringORM数据层——MyBatis/JPAWeb层——Spring MVC展现层——JSP/Thymeleaf整合框架——SSM/SSH用户模块分析用户模块功能模块设计 前端框架:Bootstrap,NodeJS,Vue/React/Ang…

聊一聊世界杯的半自动越位技术

一、前言 11 月 22 日,在卡塔尔卢赛尔球场进行的 2022 卡塔尔世界杯足球赛 C 组比赛中,阿根廷队以 1 比 2 不敌沙特阿拉伯队,我相信哥很多人都不敢相信,阿根廷居然又输了,而沙特取得亚洲球队在本届世界杯的首场胜利。…

【Pytorch】第 9 章 :Capstone 项目——用 DQN 玩 Flappy Bird

🔎大家好,我是Sonhhxg_柒,希望你看完之后,能对你有所帮助,不足请指正!共同学习交流🔎 📝个人主页-Sonhhxg_柒的博客_CSDN博客 📃 🎁欢迎各位→点赞…

一文了解瀑布式项目管理和敏捷项目管理的区别!

众所周知,项目管理起源于软件开发行业,而目前已广泛应用于各行各业,完整的项目管理包含五个部分,分别是:项目启动、项目规划、项目执行、项目监控、项目收尾。随着行业的发展,传统的瀑布式项目管理模式&…

海外跨境电商5大关键趋势,Starday带你先发制人

受新冠疫情的影响,海外市场需求总体而言有所下降,然而随着我国跨境出口产品向更大出口量级、更多出口品类以及更高客单价的趋势发展,跨境出口电商行业却有着快速发展,基于主流跨境电商平台相关数据和中国卖家调研,报告…

卓越工程之单元测试在行权鉴权中的实践

前言 在去年的时候就读过《重构:改善既有代码的设计》这本在代码重构领域里的经典,当时在读的时候就苦于有这么两点导致只停留在了“读”上面,而缺少实践。 1.全书内容比较枯燥乏味,虽然有部分代码示例,但是语言并不…

新能源车的火烧到了二手车市场

今年以来,新能源二手车市场有明显回暖的迹象。据中国汽车流通协会数据显示,今年上半年,新能源二手车交易量达15.6万辆,同比增长36.4%,比传统燃油车增速高出24.5个百分点。另据瓜子二手车大数据显示&#xf…

Android平台GB28181设备接入端预置位查询(PresetQuery)探讨和技术实现

之前blog介绍了GB28181云台控制(PTZCmd)相关,本文主要是介绍下GB28181预置位查询。 预置位这块,在处理带云台的设备非常必要,我们主要是做Android平台的GB28181的设备接入端,也可以转发RTSP摄像头接入到国…

F3--FPGA读写EEPROM实例2022-12-12

1.EEPROM简介 EEPROM (Electrically Erasable Programmable read only memory)是指带电可擦可编程只读存储器。是一种掉电后数据不丢失的存储芯片。在嵌入式控制系统中常常用来保存设备初始化所需数据。发展过程:ROM – > PROM –> EPROM –> EEPROM&…

移动Web基础知识点大全

移动Web基础知识点大全移动Web1、字体图标2、平面转换3、渐变4、空间转换5、动画6、移动端特点7、百分比布局8、Flex布局9、移动适配9.1 rem9.2 less9.3 vw/vh10、媒体查询11、BootStrap移动Web 1、字体图标 目标:使用字体图标实现网页中简洁的图标效果字体图标 字…

数据技术篇之实时技术

第5章 实时技术 在大数据系统中,离线批处理技术可以满足非常多的数据使用场景需求,但在 DT 时代, 每天面对的信息是瞬息万变的,越来越多的应用场景对数据的时效性提出了更高的要求。数据价值是具有时效性的,在一条数据…

霸榜,这本《程序员如何向架构师转型》在Github已持续置顶两月

前言 企业架构在过去十年中取得了长足的进步。随着越来越多新技术出现,充分利用这些因素来将企业架构创建得更好十分重要。通过将新技术集成到企业架构中,即使在困难时期,也能取得丰硕的成果。 现代企业架构师的 5 个特征: 1. …

移动端插件-IScroll列表滑动、区块滑动

iScrol l是一个高性能,资源占用少,无依赖,多平台的javascript滚动插件(4kb)。 官方: iScroll 访问不了 (iscrolljs.com) iScroll github (https://github.com/cubiq/iscroll) -> build 文件夹 包含各个版本 iScroll 中文…

国内智能手表行业数据浅析

大家好,这里是小安说网控。 智能手表,作为智能穿戴的一种,大大方便了人们的生活。 2022年9月份,我国智能手表产量当期值695.6万个,同比增长21.4%;10月份当期值为552.6万个,同比下滑16.5%。1-10月…

宝塔面板打不开怎么登录进入宝塔页面

浏览器新建标签页,输入服务器公网地址ip,后面加:8888,例如 1.2.3.4:8888 (服务器公网地址IP可在云服务器 → 实例→公网IP 查看) 删除默认用户名,创建设置你的用户名和密码,确定,登陆…

基于不可否认技术的珍贵古籍线上交易系统设计与实现(JavaWeb的图书商城系统)

目 录 摘 要 I ABSTRACT I 引言 1 1 绪论 1 1.1 课题背景与意义 1 1.2 本文的总体结构 1 2 开发工具及技术 2 2.1 开发工具 2 2.1.1 前台使用技术 2 2.1.2 后台使用技术 2 2.1.3 后端使用技术 3 2.2 B/S架构 3 2.3 软硬件需求 3 3 系统的需求分析和概要设计 3 3.1 可行性分析 3…

IPv6升级转换最新消息,全在这一篇了!-中科三方

工信部部长苗圩:加快“双千兆”建设,提升IPv6网络服务能力 工信部部长苗圩在第19届中国互联网大会上指出,过去一年,互联网行业扎实推进各项工作,在基础设施建设、产业实力提升、融合应用深化等方面不断取得新的…

JavaSE03

Idea中自动生成构造器和get,set的快捷键:altinsert 关于继承的访问: this和super的用法: 子类中的所有构造方法默认都会访问父类中无参构造方法 重写: 重写注意:1.父类中的私有方法,子类不能重写。2.子…

火遍全网的chatGPT(文末有彩蛋)

最近网上非常火爆的CHATGPT,它是OpenAI开发的一款开源的自然语言处理 (NLP) 模型,用于实现对话生成和语言模型预测。CHATGPT 模型基于 GPT-3 (Generative Pretrained Transformer 3) 模型构建,拥有语言理解和文本生成能力。CHATGPT 模型可以用…