工控安全設備的部署方案如圖所示。
①工控安全審計設備
部署工控安全審計設備后,將各層設備區域的核心網絡交換機的數據鏡像口與工控安全審計設備連接,對網絡數據進行初級分析與處理,通過對網絡數據包抓取、協議分析并按照預先配置的策略判斷數據的合法性,非法數據將自動報警。能及時發現區域內流量異常的情況,特別是在所有防御手段都失效后,仍可以通過控制審計設備進行審計取證,并可通過后期分析發現整個事件的發起、傳播和爆發的全過程。解決了等級保護2.0中安全區域邊界以及安全計算環境對于邊界防護等要求。
②工業防火墻
在各層設備區域之間部署“工業防火墻”;通過工業防火墻進行區域的邏輯劃分、邊界防護;確保各級區域內的自動控制系統不受其他級設備區域的干擾,將幾個區域的安全風險、交又感染威脅和影響降到最低。
使用工業防火墻設備在區域邊界以白名單形式做出針對性的訪問控制,防止來自外部系統的風險威脅。對所有網絡設備如交換機和路由器等進行配置,既建立安全的訪問路徑,也避免將重要網段直接連接外部系統,保證網絡結構安全。高效率、高安全性的工業防火墻將強大的信息分析功能、高效包過濾功能等多種安全措施綜合運用,并根據系統管理者設定的安全規則保護內部網絡與工控網絡,提供完善的安全性設置,通過高性能的網絡核心進行訪問控制。解決了等級保護2.0中安全區域邊界對于入侵防范等要求。
③工控漏洞掃描平臺
部署工控漏洞掃描平臺,發現系統中的安全漏洞,并進行整改,從而保障工控設施的正常運轉。工控漏洞掃描平臺根據實際漏洞掃描工作需求,可在不同網段和不同區域之間進行切換,分別對不同層區的設備進行掃描。
工控漏洞掃描平臺根據工控系統已知的安全漏洞特征對工控系統中的控制設備、應用或系統進行掃描、識別,檢測工控系統存在漏洞并生成相應的報告,清晰定性安全風險,給出修復建議和預防措施,并對風險控制策略進行有效審核,從而在漏洞全面評估的基礎上實現安全自主掌控。解決了等級保護2.0中安全運維管理對于漏洞和風險管理的要求。
④工控主機安全防護
在各級區域的數據服務器、工程師站、操作員站等系統中部署工控主機安全防護,通過非法外聯管理功能,防止設備非法外聯,保障企業核心數據安全;通過應用程序的黑白名單機制,阻止惡意代碼入侵系統及工控軟件;同時通過終端安全的外設管理功能,實現對USB口、手機、光驅等相關外設設備的準入管理,杜絕數據外泄和感染病毒的風險,從基礎接入方面杜絕可能產生的安全隱患。解決了等級保護2.0中安全區域邊界對于訪問控制等要求。
⑤工業安全管理平臺
在安全管理中心處部署工業安全管理平臺,通過網絡對工業防火墻、工控安全審計設備、工業交換機以及其他工控設備實現集中管控和審計。實現工控網絡環境下的資產、通信和協議的可視化。并且提供批量配置和下發工業防火墻、工控安全審計設備策略的部署方式,同時提供系統層面的事件收集、審計和報警的功能,對安全問題進行全面的分析和診斷。工業安全管理平臺可以看到整個系統的運行狀態,并用一系列措施應對網絡遇到的威脅。解決了等級保護2.0中安全管理中心對于集中管控等要求。
⑥工業安全態勢感知系統
在安全管理中心處部署工業安全態勢感知系統,實時全面感知網絡空間工控設備態勢情況,獲取聯網工控系統設備類型、設備參數、運行狀態、地理位置、開放端口及服務等關鍵信息。通過關聯國家權威漏洞庫進行攻擊威脅和隱患分析,評估聯網工控設備安全風險并及時預警。同時對重點區域工控系統安全態勢進行可視化整體呈現,指導用戶及時封堵漏洞,有效降低工控系統被攻擊的風險。解決了等級保護
2.0中安全管理中心對于集中管控的要求。
⑦運維審計設備
在安全管理中心處部署運維審計設備,針對運維操作,以集中管理為基礎,單點登錄為手段,實現對“自然人(操作者)”在“主機設備等重要資源(操作對象)”上的“操作行為(操作內容)”的集中管理、集中認證、實時控制和實時審計,審計信息不可更改、不可杜撰,最終實現人為操作風險最小化控制。解決了等級保護2.0中安全管理中心對于系統管理的要求。
⑧日志審計設備
在安全管理中心處部署日志審計設備,能夠對全網海量的日志數據進行集中收集,擁有強大的搜索功能,支持精確檢索、范圍搜索、模糊搜索以及組合條件查詢,依靠大數據分析技術,實現檢索過程的秒級響應。通過時間、關鍵字段與復雜流程拼湊關聯事件。解決了等級保護2.0中安全管理中心對于審計管理的要求。
⑨數據庫審計設備
在安全管理中心處部署數據庫審計設備,對訪問數據庫的數據流進行采集、分析和識別。實時監視數據庫的運行狀態,記錄多種訪問數據庫行為,發現對數據庫的異常訪問,并對訪問數據庫的相關行為、發送和接收的相關內容進行存儲、分析、排名和查詢。解決了等級保護2.0中安全管理中心對于審計管理的要求。
通過上述安全防護措施,最終實現:提升、鞏固工控系統基礎計算環境(包括操作系統、數據庫、應用軟件等)防護能力;網絡安全分域、區域隔離,保障網絡邊界安全,將安全事件影響降至最低;同時實時監控工控系統網絡安全運行狀態,及時處置信息安全事件;構建工控系統安全集中管理中心,達到工控系統網絡安全事件的集中審計和分析。
