日本在线www-日本在线播放一区-日本在线不卡免费视频一区-日本在线不卡视频-成人影院久久久久久影院-成人影院一区二区三区

隨著“工業(yè)4.0”、“中國制造2025”“互聯(lián)網(wǎng)+”行動計劃等戰(zhàn)略的實施，網(wǎng)絡(luò)經(jīng)濟的發(fā)展和智能社會快速推進，各種新業(yè)務(wù)形態(tài)大量涌現(xiàn)，中國制造業(yè)也在兩化深度融合的基礎(chǔ)上不斷進行產(chǎn)業(yè)結(jié)構(gòu)調(diào)整和升級轉(zhuǎn)型，在給人們的生產(chǎn)生活帶來了巨大變化的同時，其開放性、隱蔽性、跨地域性等特性，也使得網(wǎng)絡(luò)空間存在巨大的安全隱患，安全問題日益突現(xiàn)、迅速放大，其一旦受到網(wǎng)絡(luò)攻擊，將會造成巨大經(jīng)濟損失和社會影響。加強工業(yè)互聯(lián)網(wǎng)安全防護不僅涉及企業(yè)自身利益，更是確保工業(yè)互聯(lián)網(wǎng)在各領(lǐng)域能夠落地實施的前提，也是產(chǎn)業(yè)安全和國家安全的重要基礎(chǔ)和保障。

本方案立足石油石化現(xiàn)狀，以某油庫工控安全加固建設(shè)為例，參考企業(yè)信息化建設(shè)實踐經(jīng)驗，結(jié)合新技術(shù)發(fā)展，制定具備戰(zhàn)略性、前瞻性、可落地性的工控系統(tǒng)安全防護方案。該方案可廣泛應(yīng)用于智能制造、能源、水利、醫(yī)療、電力等領(lǐng)域。本案中某油庫通過工業(yè)互聯(lián)網(wǎng)建設(shè)，實現(xiàn)了數(shù)字油庫工控系統(tǒng)構(gòu)建，最終建成了自動化、信息化、智能化的智慧能源運營體系。通過本方案實施，最終實現(xiàn)了某油庫工控安全防護體系的整體建設(shè)。

本方案詳細方案設(shè)計包括工控系統(tǒng)網(wǎng)絡(luò)安全防護設(shè)計、工控系統(tǒng)主機防護與預(yù)警設(shè)計、服務(wù)器終端監(jiān)測與響應(yīng)（EDR）、身份認證系統(tǒng)設(shè)計。

1.工控系統(tǒng)網(wǎng)絡(luò)安全防護設(shè)計

本方案針對某油庫系統(tǒng)的特點，由內(nèi)而外設(shè)計，與工控廠商結(jié)合，著眼于茁壯性的機制，從控制系統(tǒng)“自生長”出來的保護方案。具體如下所示：

安全覆蓋該系統(tǒng)整個生命周期解決方案；

通過多種手段提高該系統(tǒng)的整體安全性；

源自該系統(tǒng)內(nèi)部，并非外部補償性措施；

監(jiān)測與防御相結(jié)合，產(chǎn)品與服務(wù)相補充；

總體防護設(shè)計：

本方案為某油庫工業(yè)控制網(wǎng)絡(luò)提供了全方位的綜合防御與保護，并且完整覆蓋了工業(yè)控制系統(tǒng)整個生命周期。

在軟件層面上, 該平臺建立在機器智能學習引擎、深度數(shù)據(jù)包解析引擎和開放式特征匹配三大功能引擎之上，支持工控協(xié)議和工業(yè)以太網(wǎng)協(xié)議，同時適用于PLC、DCS、SCADA等現(xiàn)場環(huán)境，不僅具備多種工控網(wǎng)絡(luò)協(xié)議數(shù)據(jù)的檢查、過濾、報警、阻斷功能，同時擁有基于工業(yè)漏洞庫的黑名單入侵防御功能，和基于機器智能學習引擎的白名單主動防御功能、以及大規(guī)模分布式實時網(wǎng)絡(luò)部署和更新等功能，并提供高度開放的平臺開發(fā)工具包。

硬件層面上，該平臺具有全封閉、無風扇、多電源冗余、硬件加密等特點，確保達到苛刻的可靠性和穩(wěn)定性要求。

智能保護系統(tǒng)能夠識別出網(wǎng)絡(luò)中由于惡意入侵、系統(tǒng)故障、人員誤操作所引起的異常控制行為和非法數(shù)據(jù)包，及時對其進行告警和阻斷，并能為后續(xù)的安全威脅排查提供依據(jù)。

根據(jù)上述情況總體防護拓撲如下：

圖：總防護示意圖

區(qū)域安全隔離設(shè)計：

區(qū)域隔離：智能工業(yè)防火墻可以根據(jù)工業(yè)網(wǎng)絡(luò)的區(qū)域劃分，對每個區(qū)域進行數(shù)據(jù)保護，做到橫向隔離，縱向保護的安全數(shù)據(jù)過濾隔離。通過訪問控制實現(xiàn)網(wǎng)絡(luò)的結(jié)構(gòu)安全性，滿足實際應(yīng)用需求。支持Modbus/TCP，OPC，IEC104，DNP3，Profinet，MMS等眾多工業(yè)協(xié)議深度包檢測和智能白名單學習及規(guī)則部署。

智能工業(yè)防火墻除了支持自身安全管理外，同時支持安全監(jiān)管平臺的集中管理，形成“近可分流，遠可聯(lián)動”的整體工控網(wǎng)絡(luò)安全解決方案，全方位保護工控網(wǎng)絡(luò)安全，充分保障客戶安全投入的價值。

圖區(qū)域安全隔離部署示意圖

1.1 網(wǎng)絡(luò)監(jiān)測審計

監(jiān)測審計：采用監(jiān)測審計系統(tǒng)對工業(yè)控制網(wǎng)絡(luò)實現(xiàn)實時告警系統(tǒng)，通過特定的安全策略，快速識別出系統(tǒng)中存在的非法操作、異常事件、外部攻擊并實時告警，提高了整個系統(tǒng)的監(jiān)測預(yù)警能力有利于對每個目標的安全防護。

圖監(jiān)測審計部署示意圖

1.2 控制器保護

控制器終端保護：保護系統(tǒng)為工業(yè)控制網(wǎng)絡(luò)提供了底層及終端設(shè)備全方位的綜合防御與保護，保護系統(tǒng)能夠識別出網(wǎng)絡(luò)中由于惡意入侵、系統(tǒng)故障、人員誤操作所引起的異?？刂菩袨楹头欠〝?shù)據(jù)包，及時對其進行告警和阻斷，并能為后續(xù)的安全威脅排查提供依據(jù)。

圖控制器智能保護部署示意圖

2.工控系統(tǒng)主機防護與預(yù)警設(shè)計

2.1總體設(shè)計思路

工控系統(tǒng)主機防護與預(yù)警設(shè)計包括三方面的內(nèi)容：檢測與預(yù)警、控制、管理。

監(jiān)測與預(yù)警

通過工控上位機攻擊行為跟蹤分析、工控異常行為審計、工控安全態(tài)勢感知及預(yù)計等功能實現(xiàn)工業(yè)控制系統(tǒng)的安全檢測與預(yù)警，全天候全方位感知工控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢。掌握攻擊發(fā)起的時間、地點、攻擊方式、攻擊路徑和攻擊目的/目標。

控制及防御

通過主動防御系統(tǒng)ICS-PDS對已知和未知威脅進行感知、跟蹤、識別、控制和處理（清除惡意程序），使進入工業(yè)控制網(wǎng)絡(luò)上位機的惡意程序得到清除處理，守住工業(yè)控制系統(tǒng)安全防御的最后一道防線。

管理

通過工業(yè)控制系統(tǒng)安全管理平臺，對工業(yè)控制系統(tǒng)所部署的安全系統(tǒng)及所產(chǎn)生安全事件進行集中統(tǒng)一管理，建立集中統(tǒng)一安全管理策略及安全事件應(yīng)急處置機制和流程。

2.2功能設(shè)計

2.2功能設(shè)計

主動防御系統(tǒng)由三大防御體系構(gòu)成

圖主動防御體系構(gòu)成

對建立的事前、事中、事后防御體系的安全事件及攻擊行為進行關(guān)聯(lián)分析

具有六大子防御系統(tǒng)構(gòu)成上位機防御體系

圖主動防御安全保護模型

部署在上位機的ICS-PDS的防御引擎具備對未知和已知攻擊進行實時對抗的能力；

主動防御系統(tǒng)具有安全檢測及安全加固功能；

對惡意代碼或惡意程序的處理提供系統(tǒng)自動處理與人工干預(yù)處理（即手動處理）兩種模式。

3.0服務(wù)器終端檢測與響應(yīng)（EDR）

為保證終端計算機的安全，禁用所有USB設(shè)備，只允許使用鼠標鍵盤設(shè)備。

3.1端安全加固

對終端計算機的安全加固，可采取的措施有：補丁管理、防病毒軟件監(jiān)測、主機防火墻，上述措施均增強了終端計算機的安全性和健壯性。

3.2行為監(jiān)控

對用戶行為的監(jiān)控，包括用戶網(wǎng)絡(luò)資源的進程監(jiān)控、上網(wǎng)控制。

3.3終端配置管理

配置管理主要完成終端計算機的各種信息的收集和系統(tǒng)參數(shù)的配置。通過配置管理，IT管理人員可以準確掌握每臺終端計算機的配置狀況和運行參數(shù)，并批量地對終端計算機的運行參數(shù)進行遠程修改。

3.4遠程維護管理

遠程維護就是依靠技術(shù)手段和工具，遠程對終端計算機進行故障診斷、系統(tǒng)修復和日常維護等。

3.5軟件分發(fā)管理

軟件分發(fā)，支持分發(fā)任意類型軟件，包括：程序生成安裝包、MSI安裝包、獨立軟件安裝包、各類腳本、文檔。同時還需支持在登錄用戶是普通用戶權(quán)限（無安裝權(quán)限）情況下，進行軟件自動分發(fā)、安裝。

3.6資產(chǎn)管理

系統(tǒng)自動登記終端計算機的硬件配置（包括CPU類型、主頻、內(nèi)存、硬盤、顯示卡、網(wǎng)卡等等），并自動將終端計算機的操作系統(tǒng)、安裝的軟件、運行的程序和服務(wù)、系統(tǒng)日志、共享資源以及補丁、端口等信息統(tǒng)計匯總，可以按設(shè)備類型、部門等方法對設(shè)備進行分類管理，使得系統(tǒng)管理員能夠輕松自如地管理著整個網(wǎng)絡(luò)的硬件、軟件資源，及時洞察系統(tǒng)配置的變動。

3.7網(wǎng)絡(luò)管理

系統(tǒng)自動發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)所有網(wǎng)絡(luò)設(shè)備（設(shè)備的IP地址），通過系統(tǒng)提供的智能學習功能，自動識別網(wǎng)絡(luò)的物理拓撲結(jié)構(gòu)，生成網(wǎng)絡(luò)物理連接拓撲圖。

3.8設(shè)備監(jiān)控管理

系統(tǒng)自動登記受控終端的硬件配置（包括CPU、內(nèi)存、硬盤、顯示卡、網(wǎng)卡等等），當受控終端的硬件發(fā)生變動時能自動向安全管理核心系統(tǒng)發(fā)出報警信息；

 4.身份認證系統(tǒng)設(shè)計

身份管理平臺包括統(tǒng)一身份管理、統(tǒng)一應(yīng)用管理、集中賬號管理、身份庫查詢API、身份庫管理API、統(tǒng)一身份認證、統(tǒng)一權(quán)限管理、分級管理、安全審計與用戶行為分析、分布式認證部署、系統(tǒng)自身安全保障。

通過與統(tǒng)一身份認證系統(tǒng)的集成，可以實現(xiàn)以下使用效果：

提高用戶身份管理、應(yīng)用系統(tǒng)帳號的管理效率，管理員可以在統(tǒng)一身份認證平臺上對所有的應(yīng)用系統(tǒng)進行集中的帳號管理。

通過與HR信息聯(lián)動的用戶全生命周期管理，從人員入職帳號自動開通到離職時自動注銷及帳號的歸檔管理。

通過與應(yīng)用系統(tǒng)的統(tǒng)一認證集成，用戶使用手機安全令或UKey等強認證方式登錄應(yīng)用系統(tǒng)，整體上提升應(yīng)用系統(tǒng)訪問的安全性，最大程度降低用戶名口令方式帶來的安全隱患。

對于不同安全級別的應(yīng)用系統(tǒng)及同一應(yīng)用系統(tǒng)中的關(guān)鍵操作可以通過策略配置進行二次認證，保證系統(tǒng)訪問的安全。

用戶在所有平臺的訪問及關(guān)鍵操作都將被審計平臺全部進行基于自然人的審計，并形成圖形化展示報表。

可以快速的實現(xiàn)與其他應(yīng)用系統(tǒng)的集成，更大范圍內(nèi)保護應(yīng)用系統(tǒng)的使用安全。

統(tǒng)一身份認證管理平臺的應(yīng)用構(gòu)架方案適用于企業(yè)多個應(yīng)用系統(tǒng)的集中管理需求，可以真正實現(xiàn)一個實名用戶永遠只在企業(yè)中有一個唯一的身份及一套證明其身份的認證方式。采用此方案，真正的將原有對賬戶資源基本的管理及認證改變?yōu)橐宰匀蝗藶橹黧w的安全認證管理模式。讓用戶無論是在互聯(lián)網(wǎng)訪問企業(yè)的郵件系統(tǒng)，或通過企業(yè)辦公網(wǎng)絡(luò)訪問OA系統(tǒng)都采用相同的身份及認證方式。

5.結(jié)論

通過對于某油庫的工控系統(tǒng)網(wǎng)絡(luò)安全防護設(shè)計、工控系統(tǒng)主機防護與預(yù)警設(shè)計、服務(wù)器終端監(jiān)測與響應(yīng)（EDR）、身份認證系統(tǒng)設(shè)計，最終完成油庫工控系統(tǒng)網(wǎng)絡(luò)安全防護體系和應(yīng)用系統(tǒng)宗盛防御體系建設(shè)。新建立的信息安全保障體系，可以為針對信息系統(tǒng)的各種攻擊行為建立完善的防御和監(jiān)管措施。其部署實施具有極有具有重要的意義和價值：

1.滿足安全合規(guī)要求

使企業(yè)工控系統(tǒng)符合國家安全性政策法規(guī)，滿足其工業(yè)網(wǎng)絡(luò)安全的剛性需求。

2.提高油庫安全防護性

為企業(yè)工控網(wǎng)絡(luò)安全穩(wěn)定運行提供了基礎(chǔ)保障，實現(xiàn)病毒、木馬等惡意程序的防護，可防范內(nèi)外部人員攻擊、軟件后門利用等多種威脅，顯著加強企業(yè)自身工控系統(tǒng)防范和預(yù)警感知能力，有效保障企業(yè)及國民經(jīng)濟的穩(wěn)定發(fā)展。

3.優(yōu)化資源配置

在滿足合規(guī)要求的同時，利用業(yè)主本身現(xiàn)有資源，在有限資源條件下最大限度的提升安全防護水平。

4.樹立標桿形成示范

針對工控系統(tǒng)的技術(shù)特點以及企業(yè)自身的業(yè)務(wù)特點，實現(xiàn)從管理到技術(shù)的完整覆蓋，充分滿足監(jiān)管及未來業(yè)務(wù)發(fā)展需要，為能源類企業(yè)工控安全防護積累經(jīng)驗，起到良好的示范作用。

本方案可推廣適用于SCADA、DCS、PCS、PLC等工業(yè)控制系統(tǒng)，可廣泛應(yīng)用于石油石化、天然氣、電力、智能制造、水利、鐵路、城市軌道交通、城市供水供氣供熱等工業(yè)控制系統(tǒng)中。本方案的布局實施，將為我國工業(yè)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護能力的全面提升提供助力，為國家關(guān)鍵基礎(chǔ)設(shè)施防護和網(wǎng)絡(luò)安全防護體系建設(shè)貢獻力量。