工業(yè)互聯(lián)網(wǎng)基礎(chǔ) 課件 5.3 工業(yè)互聯(lián)網(wǎng)安全案例_第1頁
工業(yè)互聯(lián)網(wǎng)基礎(chǔ) 課件 5.3 工業(yè)互聯(lián)網(wǎng)安全案例_第2頁
工業(yè)互聯(lián)網(wǎng)基礎(chǔ) 課件 5.3 工業(yè)互聯(lián)網(wǎng)安全案例_第3頁
工業(yè)互聯(lián)網(wǎng)基礎(chǔ) 課件 5.3 工業(yè)互聯(lián)網(wǎng)安全案例_第4頁
工業(yè)互聯(lián)網(wǎng)基礎(chǔ) 課件 5.3 工業(yè)互聯(lián)網(wǎng)安全案例_第5頁
已閱讀5頁,還剩16頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

第五章工業(yè)互聯(lián)網(wǎng)安全《工業(yè)互聯(lián)網(wǎng)基礎(chǔ)》/工業(yè)互聯(lián)網(wǎng)系列課程5.3工業(yè)互聯(lián)網(wǎng)安全案例>>《工業(yè)互聯(lián)網(wǎng)基礎(chǔ)》目錄解決方案02工業(yè)互聯(lián)網(wǎng)安全案例01部署方式03《工業(yè)互聯(lián)網(wǎng)基礎(chǔ)》/工業(yè)互聯(lián)網(wǎng)系列課程效果價(jià)值04結(jié)合本章情景描述中集團(tuán)安全現(xiàn)狀,及工業(yè)控制系統(tǒng)自身特點(diǎn),建設(shè)包含安全防護(hù)檢測體系、安全態(tài)勢分析體系以及安全服務(wù)響應(yīng)體系在內(nèi)的動(dòng)態(tài)閉環(huán)防護(hù)體系。安全防護(hù)檢測體系在防護(hù)檢測工業(yè)控制系統(tǒng)的同時(shí)向其他兩大體系提供安全數(shù)據(jù)信息;安全態(tài)勢分析體系結(jié)合安全防護(hù)檢測數(shù)據(jù)及安全服務(wù)事件信息反饋,同步向安全防護(hù)檢測體系實(shí)時(shí)動(dòng)態(tài)下發(fā)安全策略與向安全服務(wù)響應(yīng)體系歸納上報(bào)安全事件分析結(jié)果;安全服務(wù)響應(yīng)體系根據(jù)安全態(tài)勢分析結(jié)果有效對安全防護(hù)檢測賦能支撐,如下圖5.1所示。工業(yè)互聯(lián)網(wǎng)安全案例圖5.1某集團(tuán)網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)圖安全防護(hù)檢測體系基于行為基線為中心建設(shè)基礎(chǔ)安全防護(hù)能力,包括訪問控制管控、工業(yè)行為分析、主機(jī)白名單技術(shù)、工業(yè)信息安全集中管理等。安全防護(hù)檢測體系包含網(wǎng)絡(luò)中所有安全防護(hù)設(shè)備,防護(hù)范圍覆蓋整個(gè)工控網(wǎng)絡(luò)。安全防護(hù)體系作為安全數(shù)據(jù)來源,將各個(gè)節(jié)點(diǎn)的安全數(shù)據(jù)、異常數(shù)據(jù)等上報(bào)至安全態(tài)勢分析體系,用作安全環(huán)境、安全基線的分析,并執(zhí)行分析的結(jié)果。同時(shí),將生產(chǎn)網(wǎng)絡(luò)、應(yīng)用系統(tǒng)運(yùn)行狀態(tài)傳遞至安全服務(wù)響應(yīng)體系進(jìn)行統(tǒng)一的運(yùn)維監(jiān)控。工業(yè)互聯(lián)網(wǎng)安全案例圖5.1某集團(tuán)網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)圖安全態(tài)勢分析體系作為工業(yè)企業(yè)控制系統(tǒng)安全防護(hù)體系的安全中樞,承擔(dān)安全數(shù)據(jù)的分析存儲(chǔ)、業(yè)務(wù)應(yīng)用及集中展示功能。安全態(tài)勢分析主要作用于安全數(shù)據(jù)的統(tǒng)計(jì)與分析,通過多樣探針及大數(shù)據(jù)存儲(chǔ)分析等技術(shù)手段對網(wǎng)絡(luò)的安全事件、未知威脅等信息以時(shí)間、資產(chǎn)等維度進(jìn)行統(tǒng)計(jì)。在統(tǒng)計(jì)數(shù)據(jù)的基礎(chǔ)上,構(gòu)建威脅安全業(yè)務(wù)模型,分析工業(yè)控制系統(tǒng)中所存在的脆弱性、威脅源導(dǎo)致安全事件發(fā)生的可能性,以及由此產(chǎn)生的后果和影響。構(gòu)建安全事件自動(dòng)處置能力,動(dòng)態(tài)管控安全檢測防控策略。工業(yè)互聯(lián)網(wǎng)安全案例圖5.1某集團(tuán)網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)圖目錄解決方案02工業(yè)互聯(lián)網(wǎng)安全案例01部署方式03《工業(yè)互聯(lián)網(wǎng)基礎(chǔ)》/工業(yè)互聯(lián)網(wǎng)系列課程效果價(jià)值04安全區(qū)域的設(shè)計(jì)劃分首先要充分結(jié)合該集團(tuán)網(wǎng)絡(luò)結(jié)構(gòu)現(xiàn)狀以及業(yè)務(wù)特點(diǎn),第一步依照通訊網(wǎng)絡(luò)基礎(chǔ)情況劃分出企業(yè)外部網(wǎng)絡(luò)以及企業(yè)內(nèi)部網(wǎng)絡(luò)兩部分,企業(yè)外部網(wǎng)絡(luò)利用互聯(lián)網(wǎng)、移動(dòng)網(wǎng)、專線等網(wǎng)絡(luò)基礎(chǔ)設(shè)施承載外部產(chǎn)業(yè)云平臺(tái)相關(guān)業(yè)務(wù),企業(yè)內(nèi)部網(wǎng)絡(luò)利用園區(qū)網(wǎng)絡(luò)以及生產(chǎn)控制域局域網(wǎng)承載企業(yè)內(nèi)部生產(chǎn)相關(guān)業(yè)務(wù);第二步按照企業(yè)內(nèi)業(yè)務(wù)特點(diǎn)劃分出企業(yè)內(nèi)部IT信息管理區(qū)域以及OT生產(chǎn)控制區(qū)域,IT信息管理區(qū)域包含企業(yè)私有云平臺(tái)、企業(yè)辦公網(wǎng)絡(luò)、企業(yè)研發(fā)網(wǎng)絡(luò);OT生產(chǎn)控制區(qū)域包含企業(yè)數(shù)字化車間管理平臺(tái)、車間調(diào)度站以及各個(gè)不同工藝的現(xiàn)場控制區(qū)域,如圖5.2所示。解決方案圖5.2某集團(tuán)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)圖解決方案圖5.2某集團(tuán)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)圖(1)工控防火墻旁路部署于劃分各個(gè)安全區(qū)域邊界。通過基于工業(yè)協(xié)議的識(shí)別對訪問行為進(jìn)行訪問控制;通過對訪問內(nèi)容識(shí)別與設(shè)定的基于寄存器的安全策略比對,確認(rèn)對報(bào)文的通過或阻斷,當(dāng)發(fā)生異常報(bào)文(超過設(shè)定閾值)后進(jìn)行報(bào)警處理。(2)工控網(wǎng)閘旁路部署于企業(yè)生產(chǎn)控制網(wǎng)及信息管理網(wǎng)邊界,依照等保2.0要求對生產(chǎn)網(wǎng)中基于工業(yè)協(xié)議的報(bào)文進(jìn)行過濾,對邊界流量進(jìn)行技術(shù)隔離。同時(shí),對于非帶外視頻流量(在網(wǎng)絡(luò)主要數(shù)據(jù)流量之外傳輸?shù)囊曨l數(shù)據(jù))也進(jìn)行過濾,過濾規(guī)則與應(yīng)用流量一致,僅允許管理網(wǎng)絡(luò)進(jìn)行調(diào)用和讀取操作。解決方案圖5.2某集團(tuán)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)圖(3)IPSecVPN網(wǎng)關(guān)旁路部署于企業(yè)級網(wǎng)絡(luò)核心交換機(jī),依照等保2.0要求對企業(yè)私有云平臺(tái)與企業(yè)車間調(diào)度及企業(yè)現(xiàn)場控制通訊生產(chǎn)控制相關(guān)數(shù)據(jù)進(jìn)行加密。同時(shí)其他非生產(chǎn)數(shù)據(jù)不進(jìn)行加密,僅允許管理網(wǎng)進(jìn)行條用等讀取操作。(4)漏洞掃描管理端部署在安全運(yùn)維綜合管理區(qū)域,定期進(jìn)行系統(tǒng)漏洞掃描,一經(jīng)發(fā)現(xiàn)有漏洞、安全配置不當(dāng)或系統(tǒng)設(shè)計(jì)等安全問題,可以提醒用戶及時(shí)采取安全措施進(jìn)行修復(fù)。(5)堡壘機(jī)安全運(yùn)維區(qū)域部署堡壘機(jī),保障網(wǎng)絡(luò)和數(shù)據(jù)不受來自外部和內(nèi)部用戶的入侵和破壞。對于安全運(yùn)維審計(jì)和訪問控制,起到關(guān)鍵性作用。解決方案圖5.2某集團(tuán)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)圖(6)工控主機(jī)衛(wèi)士管理端部署在安全運(yùn)維綜合管理區(qū)域、客戶端部署于生產(chǎn)控制網(wǎng)絡(luò)上位機(jī)、服務(wù)器、采集終端等PC。通過對終端運(yùn)行的進(jìn)程和服務(wù)進(jìn)行白名單識(shí)別,可以確保只有經(jīng)過授權(quán)的程序能夠在系統(tǒng)中運(yùn)行。這種方法能夠有效防止未授權(quán)的應(yīng)用或惡意軟件的執(zhí)行。對于不在策略范圍內(nèi)的進(jìn)程和服務(wù),將會(huì)被禁用,從而提高終端的安全性,減少潛在的安全風(fēng)險(xiǎn)。服務(wù)端對移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行授權(quán),非授權(quán)介質(zhì)從驅(qū)動(dòng)層面禁用。(7)服務(wù)器主機(jī)HIDS服務(wù)器區(qū)域旁路部署HIDS代理服務(wù)器,主機(jī)操作系統(tǒng)層安裝Agent探針,對所有服務(wù)器資產(chǎn)進(jìn)行集中管控,支持入侵檢測、支持風(fēng)險(xiǎn)發(fā)現(xiàn)、基線檢查等;具有漏洞庫和補(bǔ)丁庫,可檢查主機(jī)資產(chǎn)的安全漏洞。解決方案圖5.2某集團(tuán)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)圖(8)安全集中管理平臺(tái)管理端部署在安全運(yùn)維綜合管理區(qū)域。收集所管理網(wǎng)絡(luò)的資產(chǎn)、流量、日志、設(shè)備運(yùn)行狀態(tài)等相關(guān)的安全數(shù)據(jù),對企業(yè)防火墻、網(wǎng)閘、態(tài)勢感知、主機(jī)衛(wèi)士、HIDS等安全防護(hù)技術(shù)產(chǎn)品進(jìn)行統(tǒng)一策略管理;同時(shí)將相關(guān)安全數(shù)據(jù)及設(shè)備運(yùn)行日志進(jìn)行匯總上報(bào)態(tài)勢感知平臺(tái)。(9)工控態(tài)勢感知系統(tǒng)管理端主要負(fù)責(zé)態(tài)勢感知的分析、存儲(chǔ)和展示。該系統(tǒng)通過安全大數(shù)據(jù)的建模分析,幫助用戶識(shí)別當(dāng)前面臨的網(wǎng)絡(luò)威脅,并對防護(hù)策略進(jìn)行評估。系統(tǒng)通過全流量監(jiān)控,能夠?qū)崟r(shí)檢測到潛在的攻擊,并還原被攻擊的場景。它詳細(xì)描述了攻擊流量的組成、清洗總量及攻擊時(shí)間,從而為用戶提供對業(yè)務(wù)影響的有效評估。這種方式能夠提高對工控環(huán)境的安全防護(hù)能力,確保系統(tǒng)的穩(wěn)定性和安全性。解決方案圖5.2某集團(tuán)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)圖目錄解決方案02工業(yè)互聯(lián)網(wǎng)安全案例01部署方式03《工業(yè)互聯(lián)網(wǎng)基礎(chǔ)》/工業(yè)互聯(lián)網(wǎng)系列課程效果價(jià)值04(1)工控防火墻部署旁路部署于企業(yè)生產(chǎn)控制網(wǎng)區(qū)域邊界,如圖5.3所示。部署方式圖5.3集團(tuán)網(wǎng)絡(luò)安全工控防火墻部署示意圖(2)工控網(wǎng)閘部署旁路部署于企業(yè)生產(chǎn)控制網(wǎng)及信息管理網(wǎng)邊界,如圖5.4所示。圖5.4集團(tuán)網(wǎng)絡(luò)安全工控網(wǎng)閘部署示意圖(3)IPSecVPN部署旁路部署于企業(yè)級網(wǎng)絡(luò)核心交換機(jī),如圖5.5所示。部署方式圖5.5集團(tuán)網(wǎng)絡(luò)安全工控網(wǎng)閘部署示意圖(4)漏洞掃描系統(tǒng)部署部署于安全運(yùn)維綜合管理區(qū)域,如圖5.6所示。圖5.6集團(tuán)網(wǎng)絡(luò)安全漏掃系統(tǒng)部署示意圖(5)運(yùn)維堡壘機(jī)部署安全運(yùn)維綜合管理區(qū)域部署堡壘機(jī),如圖5.7所示。部署方式圖5.7集團(tuán)網(wǎng)絡(luò)安全運(yùn)維堡壘機(jī)部署示意圖(6)工控主機(jī)衛(wèi)士部署管理端部署于安全運(yùn)維綜合管理區(qū)域。客戶端部署于生產(chǎn)控制網(wǎng)絡(luò)上位機(jī)、服務(wù)器、采集終端等PC,如圖5.8所示。圖5.8集團(tuán)網(wǎng)絡(luò)安全工控主機(jī)衛(wèi)士部署示意圖(7)服務(wù)器主機(jī)防護(hù)HIDS部署安全運(yùn)維綜合管理區(qū)域部署HIDS代理服務(wù)器,主機(jī)操作系統(tǒng)層安裝Agent探針,對所有服務(wù)器資產(chǎn)進(jìn)行集中管控,如圖5.9所示。部署方式圖5.9集團(tuán)網(wǎng)絡(luò)安全服務(wù)器主機(jī)防護(hù)部署示意圖(8)安全集中管理平臺(tái)部署管理端部署在安全運(yùn)維綜合管理區(qū)域,如圖5.10所示。圖5.10集團(tuán)網(wǎng)絡(luò)安全集中管理平臺(tái)部署示意圖(9)工控態(tài)勢感知平臺(tái)部署管理端部署在安全運(yùn)維綜合管理區(qū)域,客戶端旁路部署在生產(chǎn)控制網(wǎng)絡(luò)匯聚交換機(jī),如圖5.11所示。部署方式圖5.11集團(tuán)網(wǎng)絡(luò)安全工業(yè)態(tài)勢感知平臺(tái)部署示意圖目錄解決方案02工業(yè)互聯(lián)網(wǎng)安全案例01部署方式03《工業(yè)互聯(lián)網(wǎng)基礎(chǔ)》/工業(yè)互聯(lián)網(wǎng)系列課程效果價(jià)值04

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論