辦公網(wǎng)與工控網(wǎng)之間安全防護(hù)
辦公網(wǎng)與工控網(wǎng)之間增加工業(yè)網(wǎng)閘���,僅允許辦公網(wǎng)的報(bào)表服務(wù)器和遠(yuǎn)程服務(wù)器以O(shè)PC協(xié)議以只讀的方式訪問工控網(wǎng)內(nèi)的SCADA數(shù)據(jù)服務(wù)器,除OPC協(xié)議外所有網(wǎng)絡(luò)報(bào)文都不允許通過���,其余的任何計(jì)算機(jī)都不允許互相訪問�。
公網(wǎng)與工控網(wǎng)之間安全防護(hù)
公網(wǎng)與工控網(wǎng)之間增加工業(yè)網(wǎng)閘,僅允許規(guī)定的計(jì)算機(jī)和端口互相訪問�,通過工業(yè)網(wǎng)閘的白名單策略�����,可以設(shè)置僅允許規(guī)定的計(jì)算機(jī)互相訪問�����,并且僅開放有限的端口,除此之外的主機(jī)和端口���,均不允許訪問,從而保護(hù)工控網(wǎng)的安全�����。
安全區(qū)內(nèi)部綜合防護(hù)
1.在工控網(wǎng)內(nèi)部署入侵檢測系統(tǒng),對關(guān)鍵業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)邊界的關(guān)鍵路徑信息進(jìn)行實(shí)時(shí)檢測���,實(shí)現(xiàn)安全事件的可發(fā)現(xiàn)�����、可追蹤、可審計(jì)。
2.在工控網(wǎng)內(nèi)部署運(yùn)維安全審計(jì)系統(tǒng)(堡壘主機(jī))全面禁止廠家通過互聯(lián)網(wǎng)遠(yuǎn)程運(yùn)維,通過運(yùn)維管控平臺集中運(yùn)維數(shù)據(jù)網(wǎng)設(shè)備和服務(wù)器設(shè)備,并對運(yùn)維人實(shí)名認(rèn)證��,對運(yùn)維過程能實(shí)時(shí)監(jiān)控����、實(shí)時(shí)阻斷、全面審計(jì),實(shí)現(xiàn)控制大區(qū)IT資源(EMS服務(wù)器�、網(wǎng)絡(luò)設(shè)備�、安全設(shè)備)運(yùn)維過程符合等保���、二次安防的要求���。
3.在工控網(wǎng)內(nèi)建立安全審計(jì)����,全面收集�、集中存儲(chǔ)生產(chǎn)控制大區(qū)各種業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備�、安全產(chǎn)品�、機(jī)房設(shè)施等的運(yùn)行日志�����、操作系統(tǒng)日志、數(shù)據(jù)庫訪問日志���,并具備動(dòng)態(tài)監(jiān)視�、故障分析���、安全審計(jì)�、事件預(yù)警及告警功能�。
方案優(yōu)勢
隔離工控網(wǎng)與辦公網(wǎng)�,解決安全問題
在工控網(wǎng)與辦公網(wǎng)之間增加工業(yè)網(wǎng)閘�,僅允許特定的辦公網(wǎng)主機(jī)(報(bào)表服務(wù)器和遠(yuǎn)程服務(wù)器)訪問特定的工控網(wǎng)主機(jī)(SCADA數(shù)據(jù)服務(wù)器),且僅允許OPC協(xié)議通過��,除此之外的任何主機(jī)��、任何通信協(xié)議���,均不允許通過���。
辦公網(wǎng)內(nèi)主機(jī)僅能讀取OPC數(shù)據(jù)�,不能修改
辦公網(wǎng)內(nèi)的報(bào)表服務(wù)器和西安遠(yuǎn)程服務(wù)器,對工控網(wǎng)內(nèi)的SCADA數(shù)據(jù)服務(wù)器,僅能進(jìn)行OPC數(shù)據(jù)的只讀訪問��,不能進(jìn)行任何寫操作,有效的防止了誤操作或者網(wǎng)絡(luò)攻擊導(dǎo)致對工控網(wǎng)的訪問,防止對實(shí)際生產(chǎn)造成巨大的經(jīng)濟(jì)損失��。
隔離工控網(wǎng)與公網(wǎng),解決安全安全問題
在工控網(wǎng)與公網(wǎng)之間增加工業(yè)網(wǎng)閘����,僅允許特定的公網(wǎng)主機(jī)(遠(yuǎn)程數(shù)據(jù)采集服務(wù)器)與工控網(wǎng)主機(jī)之間的互相訪問�,且僅允許特定的端口通過�����,除此之外的任何主機(jī)����、任何端口的報(bào)文,均不允許通過���,防止對公網(wǎng)上網(wǎng)絡(luò)攻擊者對工控網(wǎng)進(jìn)行非法攻擊。
基于網(wǎng)絡(luò)數(shù)據(jù)包級別的控制原理���,對OPC進(jìn)行七級深度控制
我公司的工業(yè)網(wǎng)閘是基于網(wǎng)絡(luò)數(shù)據(jù)包級別的控制原理����,非市面上的數(shù)據(jù)采集原理型產(chǎn)品�,能夠達(dá)到七級深度OPC控制����,包括MAC與IP綁定��、TCP動(dòng)態(tài)連接判斷���、OPC服務(wù)器訪問控制�����、是否全部測點(diǎn)只讀����、單測點(diǎn)是否可見、單測點(diǎn)是否只讀/讀寫、測點(diǎn)值寫范圍判斷。
隔離設(shè)備的安全性
OPC協(xié)議的處理屬于自主開發(fā),沒有基于商業(yè)庫開發(fā)所存在的漏洞問題���,安全性更高���,硬件采用非x86的體系�����,產(chǎn)品自身安全性更高��。
相關(guān)產(chǎn)品:
-
安全隔離裝置
-
工業(yè)入侵檢測系統(tǒng)
-
日志審計(jì)系統(tǒng)
-
運(yùn)維安全審計(jì)系統(tǒng)
