方案架構
嚴格的(de)網絡邊界防護
将信号系統劃分爲(wéi / wèi)獨立的(de)安全域,不(bù)同安全域之(zhī)間通過添加防火牆實現邏輯隔離,隻允許信号系統和(hé / huò)其他(tā)互聯系統正常業務的(de)連接和(hé / huò)數據能夠通過該網絡邊界,其他(tā)非法連接和(hé / huò)數據均被禁止。通過在(zài)信号系統與外網系統邊界部署協議隔離設備,實現外部系統與信号系統之(zhī)間的(de)安全隔離,基于(yú)白名單方式設置通訊規則,其他(tā)非法連接和(hé / huò)數據均被禁止,提高系統安全性。實時(shí)的(de)入侵檢測防護
在(zài)SCADA控制系統内部部署工業入侵檢測系統,對信号系統的(de)安全網、非安全網和(hé / huò)維護網的(de)網絡等若幹關鍵點收集信息,并分析這(zhè)些信息,查看網絡中是(shì)否有違反安全策略的(de)行爲(wéi / wèi)和(hé / huò)遭到(dào)襲擊的(de)迹象。網絡入侵檢測是(shì)防火牆之(zhī)後的(de)第二道(dào)安全閘門,在(zài)不(bù)影響網絡性能的(de)情況下能對網絡進行監測,從而(ér)提供對内部攻擊、外部攻擊、病毒木馬攻擊等行爲(wéi / wèi)實時(shí)保護。全面的(de)安全審計防護
在(zài)SCADA控制系統内部部署日志審計系統,對網絡中的(de)監控系統、信号系統等行爲(wéi / wèi)進行審計,以(yǐ)保證觸發審計系統的(de)事件存儲在(zài)審計系統内,并且能夠根據存儲的(de)記錄和(hé / huò)操作者的(de)權限進行查詢、統計、管理、維護等操作,并且能夠在(zài)必要(yào / yāo)時(shí)從記錄中抽取所需要(yào / yāo)的(de)資料。細粒度的(de)安全運維管控
在(zài)SCADA控制系統内部部署運維安全審計系統(堡壘主機)全面禁止廠家通過互聯網遠程運維,通過運維管控平台集中運維SCADA系統内的(de)網絡設備和(hé / huò)服務器設備,并對運維人(rén)實名認證,對運維過程能實時(shí)監控、實時(shí)阻斷、全面審計,實現對SCADA系統運維過程全面管控,符合等保、二次安防等方面的(de)要(yào / yāo)求。統一(yī / yì /yí)的(de)安全管理平台
在(zài)控制中心部署安全管理平台,實現對信号控制系統部署的(de)所有的(de)安全防護設備進行統一(yī / yì /yí)管理和(hé / huò)維護,統一(yī / yì /yí)的(de)安全策略配置與實施、統一(yī / yì /yí)的(de)日志存儲與審計,提高全面的(de)安全态勢感知能力;監測信号系統網絡的(de)通信流量與安全事件,對信号系統網絡内的(de)安全威脅進行分析,從整體視角進行安全事件分析、安全攻擊溯源等,重點解決安全防護設備各自運維而(ér)導緻的(de)信息不(bù)暢和(hé / huò)事件處置效率低下等問題。