核电某监测系统是环境保护和公共安全的重要基础设施。通过实时监测、数据分析、预警发布等功能,系统为环境保护和灾害应对提供了有力支持。但随着系统复杂性的增加和互联网技术的广泛应用,网络安全问题也日益凸显。如何确保这些系统稳定运行,数据安全可靠,是核电行业面临的挑战。
通过对监测系统网络设计情况进行分析,存在许多由系统本身脆弱性结合内外部导入的威胁所带来的安全风险,子站的控制系统之间未做区域隔离与防护,各个工作站等服务器没有针对于工控的病毒防护软件、USB接口没有进行相应管控。整个监测系统缺少统一安全管理措施缺失等。
整体方案遵循《信息安全技术网络安全等级保护基本要求》2.0的“一个中心、三重防护”(即安全管理中心、安全区域边界、安全通信网络、安全计算环境)的原则和《工业控制系统网络安全防护指南》的要求。
1、在子站出口部署捷普防火墙,从而实现对监测子站区与中央数据中心之间的边界访问控制,为网络区域之间的网络连接提供安全保障。在中央数据中心内有线专网、4G移动数据VPDN专网之间双机热备部署捷普防火墙,实现对区域边界信息内容的过滤和访问控制;在中央数据中心与外部系统,如核电应急辅助决策系统、EC楼数据查询工作站之间部署捷普工控单向隔离网闸,将区域之间进行物理隔离,防止系统等低等级系统访问高等级系统数据库,构建可管、可信和可视的网络系统,为用户提供安全智能的边界安全防护方案。
2、在中央数据中心内有线专网、4G移动数据VPDN专网之间串接双机热备部署捷普入侵防御系统,能够全面抵御蠕虫、病毒、木马、间谍软件等恶意程序,并实时检测和阻断溢出攻击、RPC 攻击等新型攻击,为网络设备、虚拟机、操作系统和关键应用提供安全保护。
3、在系统所在的服务器、工作站等部署捷普工控主机卫士,进行恶意代码的防护、U盘等外设管控、强化基线加固等,保证计算环境安全。
4、建立安全管理中心,在系统的核心交换机上部署捷普信息安全集中管理系统,可以及时掌握现有安全态势,辅助完善安全防护体系,如制定安全防护制度,增加安全防护措施等。
5、建立安全管理中心,在系统核心交换机上部署捷普工控网络监测审计系统,能够实时检测针对工业协议的网络攻击、用户误操作、用户违规操作,同时详实记录一切网络通信行为,包括指令级的工业控制协议通信记录,为系统的安全事故调查提供坚实的基础。
6、建立安全管理中心,在系统核心交换机上部署捷普数据库审计与风险控制系统,帮助用户事前规划预防,事中实时监视,事后追踪溯源,为企业提供细粒度、精细化、全方位的数据库风险控制解决方案。
7、在核心交换机上部署捷普安全运维管理系统可提高系统运维管理水平,跟踪服务器上用户的操作行为,防止黑客的入侵和破坏,提供控制和审计依据,降低运维成本。
8、 在核心交换机上部署捷普工控安全评估系统,提升对工控系统的漏洞检测能力,为工控系统的测评、检查等提供有效、全面的评估;提供有效的安全风险修复建议和预防措施。
9、在重要工程师站、重要服务器、数据服务器部署数据备份与恢复管理系统。可对重要工程师站、重要服务器、数据服务器进行备份,防止重要数据的丢失,减少企业的损失 。
10、建立安全管理中心,在核心交换机上部署一台捷普日志审计与分析系统,通过日志审议与分析系统,可以采集并存储工控系统内主机设备、网络设备、控制设备、安全设备的日志,对日志进行关联分析,及时发现工控系统当中的安全问题。
此解决方案满足《中华人民共和国网络安全法》要求、满足等保防护技术要求,并针对系统面对的信息安全风险,提供切实有效的防护方案。同时为用户后期的网络建设、自动化拓展预留了接口,节省了成本,并且完全不影响工业控制系统的正常运行,不降低功能安全相关系统的功能安全等级(SIL)。
关于捷普
捷普作为一家国内先进的新时代网络信息安全产品和服务提供商,坚持以“全面安全 智慧安全”为产品理念,持续技术创新,为广大用户提供基础设施安全、信创安全、工控安全、云安全、物联网安全、国密安全等六大系列网络安全产品。并在风险评估、渗透测试等安全服务上占据优势,协助用户全面提升IT基础设施的安全性、合规性和生产效能,面向数字时代保障信息系统全面安全。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...