方案架構
嚴格的網(wǎng)絡(luò )邊界防護
將信號系統劃分為獨立的安全域,不同安全域之間通過(guò)添加防火墻實(shí)現邏輯隔離,只允許信號系統和其他互聯(lián)系統正常業(yè)務(wù)的連接和數據能夠通過(guò)該網(wǎng)絡(luò )邊界,其他非法連接和數據均被禁止。通過(guò)在信號系統與外網(wǎng)系統邊界部署協(xié)議隔離設備,實(shí)現外部系統與信號系統之間的安全隔離,基于白名單方式設置通訊規則,其他非法連接和數據均被禁止,提高系統安全性。實(shí)時(shí)的入侵檢測防護
在SCADA控制系統內部部署工業(yè)入侵檢測系統,對信號系統的安全網(wǎng)、非安全網(wǎng)和維護網(wǎng)的網(wǎng)絡(luò )等若干關(guān)鍵點(diǎn)收集信息,并分析這些信息,查看網(wǎng)絡(luò )中是否有違反安全策略的行為和遭到襲擊的跡象。網(wǎng)絡(luò )入侵檢測是防火墻之后的第二道安全閘門(mén),在不影響網(wǎng)絡(luò )性能的情況下能對網(wǎng)絡(luò )進(jìn)行監測,從而提供對內部攻擊、外部攻擊、病毒木馬攻擊等行為實(shí)時(shí)保護。全面的安全審計防護
在SCADA控制系統內部部署日志審計系統,對網(wǎng)絡(luò )中的監控系統、信號系統等行為進(jìn)行審計,以保證觸發(fā)審計系統的事件存儲在審計系統內,并且能夠根據存儲的記錄和操作者的權限進(jìn)行查詢(xún)、統計、管理、維護等操作,并且能夠在必要時(shí)從記錄中抽取所需要的資料。細粒度的安全運維管控
在SCADA控制系統內部部署運維安全審計系統(堡壘主機)全面禁止廠(chǎng)家通過(guò)互聯(lián)網(wǎng)遠程運維,通過(guò)運維管控平臺集中運維SCADA系統內的網(wǎng)絡(luò )設備和服務(wù)器設備,并對運維人實(shí)名認證,對運維過(guò)程能實(shí)時(shí)監控、實(shí)時(shí)阻斷、全面審計,實(shí)現對SCADA系統運維過(guò)程全面管控,符合等保、二次安防等方面的要求。統一的安全管理平臺
在控制中心部署安全管理平臺,實(shí)現對信號控制系統部署的所有的安全防護設備進(jìn)行統一管理和維護,統一的安全策略配置與實(shí)施、統一的日志存儲與審計,提高全面的安全態(tài)勢感知能力;監測信號系統網(wǎng)絡(luò )的通信流量與安全事件,對信號系統網(wǎng)絡(luò )內的安全威脅進(jìn)行分析,從整體視角進(jìn)行安全事件分析、安全攻擊溯源等,重點(diǎn)解決安全防護設備各自運維而導致的信息不暢和事件處置效率低下等問(wèn)題。