【背景】

隨著工業(yè)化和信息化的發(fā)展、國家《網(wǎng)絡安全法》和《數(shù)據(jù)安全法》的頒布，工業(yè)網(wǎng)絡的安全建設越來越受到重視。保護工業(yè)信息安全既是企業(yè)的建設目標，也是國家的政策要求。中控技術依托豐富的工控領域產(chǎn)品研發(fā)和工程實踐經(jīng)驗，開展工業(yè)網(wǎng)絡安全建設，全面感知工控系統(tǒng)遇到或可能遇到的網(wǎng)絡安全風險，提升系統(tǒng)的整體安全防御能力，構建單位可信、可控、可管的安全防護體系。

【建設目標】

網(wǎng)絡安全 業(yè)務連續(xù) 安全合規(guī)

【設計依據(jù)】

國際標準IEC 62443、國內(nèi)網(wǎng)絡安全等級保護2.0、《中華人民共和國網(wǎng)絡安全法網(wǎng)絡安全法》等

【體系架構】

中控的工控系統(tǒng)等級保護安全技術防護從外到內(nèi)構成自主可控的多層次“內(nèi)建安全、縱深防御、專業(yè)運營”防護體系。在底層構建內(nèi)建安全產(chǎn)品體系，確保產(chǎn)品具有網(wǎng)絡安全“健壯性”，在頂層規(guī)劃部署網(wǎng)絡安全管理及網(wǎng)絡安全運維體系確保網(wǎng)絡安全的長期、持續(xù)有效，在中間層建設包括安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境以及安全管理中心的縱深防御體系。

中控技術工業(yè)信息安全自主可控技術防護體系模型

【方案設計】

安全管理中心：在安全管理區(qū)部署集中安全管控設備，如工控安全管理平臺、網(wǎng)絡安全監(jiān)測系統(tǒng)、日志審計系統(tǒng)，對工控安全設備狀態(tài)、工業(yè)主機安全狀態(tài)、工控網(wǎng)絡安全事件等安全信息進行集中收集、處理，對工控網(wǎng)絡安全態(tài)勢進行分析、展示、報警。

安全通信網(wǎng)絡：單獨劃分網(wǎng)絡安全管理區(qū)域；采用加密算法及模式AES-CCM*,對操作站和控制站之間的通信進行加密和完整性校驗；采取靈活的密鑰管理方案，實現(xiàn)每個控制站使用不同的密鑰，支持國密加密和認證。采用命令白名單機制，僅允許系統(tǒng)本身命令通過。

安全區(qū)域邊界：各安全域邊界部署工業(yè)防火墻、網(wǎng)關，實現(xiàn)邊界隔離保護；旁路部署工業(yè)網(wǎng)絡安全監(jiān)測系統(tǒng)、入侵檢測系統(tǒng)，達到深度安全防護。

安全計算環(huán)境：部署主機安全衛(wèi)士，維護工業(yè)主機安全；配置工控安全基線，對工控上位機、服務器、網(wǎng)絡安全設備進行安全加固；部署日志審計系統(tǒng)，進行安全行為審計；部署容災備份恢復系統(tǒng)，建立健全控制系統(tǒng)“道防線”。

安全物理環(huán)境：主要考慮物理位置選擇、物理訪問控制、防盜竊防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護等方面。

安全運維體系：等保建設方案中包括可持續(xù)提供的網(wǎng)絡安全運維服務，運維服務內(nèi)容包括但不限于定期巡檢、特征庫升級、應急事件響應以及網(wǎng)絡安全事件分析。

網(wǎng)絡拓撲圖

【價值點】

合法合規(guī)：滿足“等保2.0標準”、法律法規(guī)、行業(yè)標準等政策性要求。

行業(yè)趨勢：符合行業(yè)對工控安全防護高需求、新趨勢、新技術的發(fā)展要求。

安全可控：工控網(wǎng)絡安全防護體系與多廠家控制系統(tǒng)高度融合；完成了從被動防御的安全體系向事前預防、事中響應、事后審計的動態(tài)保障體系轉(zhuǎn)變。

業(yè)務保障：深度結合客戶實際項目，解決生產(chǎn)中的存在問題，降低風險因素，保障連續(xù)生產(chǎn)，滿足客戶需求。