方案架構
嚴格的網(wǎng)絡邊界防護
將信號系統(tǒng)劃分為獨立的安全域,不同安全域之間通過添加防火墻實現(xiàn)邏輯隔離,只允許信號系統(tǒng)和其他互聯(lián)系統(tǒng)正常業(yè)務的連接和數(shù)據(jù)能夠通過該網(wǎng)絡邊界,其他非法連接和數(shù)據(jù)均被禁止。通過在信號系統(tǒng)與外網(wǎng)系統(tǒng)邊界部署協(xié)議隔離設備,實現(xiàn)外部系統(tǒng)與信號系統(tǒng)之間的安全隔離,基于白名單方式設置通訊規(guī)則,其他非法連接和數(shù)據(jù)均被禁止,提高系統(tǒng)安全性。實時的入侵檢測防護
在SCADA控制系統(tǒng)內(nèi)部部署工業(yè)入侵檢測系統(tǒng),對信號系統(tǒng)的安全網(wǎng)、非安全網(wǎng)和維護網(wǎng)的網(wǎng)絡等若干關鍵點收集信息,并分析這些信息,查看網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡象。網(wǎng)絡入侵檢測是防火墻之后的第二道安全閘門,在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測,從而提供對內(nèi)部攻擊、外部攻擊、病毒木馬攻擊等行為實時保護。全面的安全審計防護
在SCADA控制系統(tǒng)內(nèi)部部署日志審計系統(tǒng),對網(wǎng)絡中的監(jiān)控系統(tǒng)、信號系統(tǒng)等行為進行審計,以保證觸發(fā)審計系統(tǒng)的事件存儲在審計系統(tǒng)內(nèi),并且能夠根據(jù)存儲的記錄和操作者的權限進行查詢、統(tǒng)計、管理、維護等操作,并且能夠在必要時從記錄中抽取所需要的資料。細粒度的安全運維管控
在SCADA控制系統(tǒng)內(nèi)部部署運維安全審計系統(tǒng)(堡壘主機)全面禁止廠家通過互聯(lián)網(wǎng)遠程運維,通過運維管控平臺集中運維SCADA系統(tǒng)內(nèi)的網(wǎng)絡設備和服務器設備,并對運維人實名認證,對運維過程能實時監(jiān)控、實時阻斷、全面審計,實現(xiàn)對SCADA系統(tǒng)運維過程全面管控,符合等保、二次安防等方面的要求。統(tǒng)一的安全管理平臺
在控制中心部署安全管理平臺,實現(xiàn)對信號控制系統(tǒng)部署的所有的安全防護設備進行統(tǒng)一管理和維護,統(tǒng)一的安全策略配置與實施、統(tǒng)一的日志存儲與審計,提高全面的安全態(tài)勢感知能力;監(jiān)測信號系統(tǒng)網(wǎng)絡的通信流量與安全事件,對信號系統(tǒng)網(wǎng)絡內(nèi)的安全威脅進行分析,從整體視角進行安全事件分析、安全攻擊溯源等,重點解決安全防護設備各自運維而導致的信息不暢和事件處置效率低下等問題。