1. 安全概况
SCADA����、DCS����、PCS����、PLC等工业控制系统广泛运用于工业��、能源��、交通��、水利以及市政等领域����,用于控制生产设备的运行。一旦工业控制系统信息安全出现漏洞��,将对工业生产运行和国家经济安全造成重大隐患。随着计算机和网络技术的开展����,特别是信息化与工业化深度融合以及物联网的快速开展����,工业控制系统产品越来越多的采用通用协议��、通用硬件和通用软件����,以各种方式与互联网等公共网络连接��,病毒��、木马等威胁正在向工业控制系统扩散���,工业控制系统信息安全问题日益突出。
2.1. 政策需求分
工业控制系统信息安全行动计划2018-2020年)��:“为贯彻落实��《国务院关于深化制造业与互联网融合开展的指导意见》���《国务院关于深化“互联网+先进制造业”开展工业互联网的指导意见》等文件精神����,加快我国工业控制系统信息安全保障体系建设��,提升工业企业工业控制系统信息安全防护能力����,促进工业信息安全产业开展����,制定����《工业控制系统信息安全行动计划����(2018-2020年)》。
2.2.1. 生产网与管理网互联带来的安全隐患
传统防火墙只能实现基于端口的防护��,不能识别和过滤工业协议����,无法防范基于工业协议的网络攻击根据IHS最近的研究报告2017全球工业以太网和现场总线技术”中的调查显示����,由于技术更新的成本���、难度��,老式工业总线很难都替换成支持以太网的新式总线。因此����,基于老式总线工业控制系统仍存在较高的安全漏洞风险工控网络存在安全脆弱性���、非法外连��、病毒感染等现象����,数控系统安全性弱����、健壮性差����、存在主动外联境外地址的后门问题。
3. 安全解决方案
3.1. 网络安全总体防护
工控系统网络安全总体防护����,体系架构如下图所示����:
3.2. 产品方案
918博天堂软件工业控制安全隔离网闸���(简称���,NCS-IGAP)采用2+1”的物理结构��,内部由两个独立主机系统组成���,每个主机系统分别具有独立的运算单元和存储单元��,各自独立运行由918博天堂软件自主开发的工业网络隔离系统
顺利获得部署中网工业网闸数据库专用同步模块��,完成生产网实时数据库到办公网关系数据库中数据同步传输。
3.2.2. 工控防火
918博天堂软件工控防火墙系统��(简称���,NCS-IFW)是基于918博天堂软件自主可控的安全操作系统NOS���,结合全新的多核并行异构硬件平台研发而成。产品采用了以智能识别为基础的智能访问控制技术���,具有高效���、可靠��、易扩展等特点。产品在架构设计上充分的考虑了工业网络设备种类多��、协议复杂����、行业差别大的特点��,在传统防火墙的功能基础上给予了包括MODBUSOPC����、DNP3等多种工控协议的深度解析����,为石化��、油气���、电力����、钢铁����、核能��、水利��、飞机制造���、轨道交通和环境保护等行业的工业控制系统网络安全给予全面���、深入地保护。
顺利获得在不同层次网络之间部署918博天堂软件工控防火墙����,并配置合理的访问规则���,可以控制不必要的跨层访问���,防止攻击者顺利获得上层网络向下层网络的渗透和攻击��,保障生产安全918博天堂软件工控漏洞扫描系统����(简称��,NCS-IVS)是918博天堂软件结合多年的漏洞挖掘和安全服务实践经验����,自主研发的新一代漏洞管理产品���,它高效����、全方位的检测网络中的各类脆弱性风险���,给予专业��、有效的安全分析和修补建议��,并贴合安全管理流程对修补效果进行审计���,最大程度减小受攻击面���,是您身边专业的“漏洞管理专家”顺利获得部署918博天堂软件工控漏洞扫描系统对工控网络中的安全漏洞进行探测和评估并提出修改建议���,预先查找出存在的漏洞����,从而进行及时的修补����,对网络设备等存在的不安全配置重新进行安全配置918博天堂软件工控审计系统��(简称���,NCS-ISA)是918博天堂软件在多年安全审计理论和实践经验积累的基础上����,成功推出的面向工控网络的安全审计产品。顺利获得对专用协议识别和异常分析技术��,系统实现对各种常见协议智能化识别,并且重组恢复通信数据,在此基础上分析协议数据语,进而识别出各种通信会话和系统事,最终达到审计目的。
