工业互联网安全方案火力聚焦点揭秘(12)
在 IT 至 OT 网络间部署工业网闸,实现网络边界访问控制,满足等保 2.0 中 控制区与非控制区边界实现单项隔离即协议剥离要求。在生产网 OT 网络区域边界部署访问控制手段,对接入访问行为进行管控。同时通过基于用户端的认证手段,实现接入目标的认证。关键节点采用工业防火 墙+VPN 的应用方式,实现通信数据保密性和完整性防护。
(2)网络行为监测
基于网络行为监测考虑,在应用层面设置监测审计节点,作为流量回溯分析 及网络白名单应用。网络行为监测可监测网络中非授权接入行为,实现工业流量解析,还原对控 制器及上位机的访问行为,同时可针对通讯流量进行监测并统计,可将分析记录 结果通报大数据分析系统等进行报警、展示。监测审计网络白名单功能通过自学习或策略设定方式,对网络监测节点协议 进行白名单过滤,限定可流通协议,对于限定外协议进行报警,有效保障了控制 系统内流量最小化原则,减少非必要带宽占用。
(3)工控主机卫士
工控主机卫士客户端部署于生产网全部 PC,通过对终端的管控,构成工业中国网络安全产业白皮书(2018) 中国信息通信研究院 67 安全实质层面最外层的安全防线。工控主机卫士 Server 部署于 IDMZ 区域,作 为对客户端管控、审计记录的统一监控及策略统一下发。工控主机卫士以最小化设定为原则,对主机中应用进行管控,对移动存储分 级授权。针对目标应用必要进程及服务开放白名单,非限定进程及服务均禁止运 行。该策略在保证生产持续进行条件下有效降低对工控计算资源的占用。
推荐阅读
- 游戏版号|解决游戏安全问题刻不容缓,腾讯《白皮书》呼吁共建共治
- 宿舍|“宿舍安全检查在男寝搜出来了32个望远镜,又在女寝搜出来”
- 郑州轻工业大学|英雄联盟高校行|英雄联盟全球总决赛郑州轻工业大学观赛完美收官
- 百里守约|队友选什么英雄最有安全感?玩家:百里守约!看到原因我笑了
- 互联网时代|放在嘴边的小组第一,LNG选择不要!D组四队加赛条件达成,究极折磨
- 鱿鱼游戏|《鱿鱼游戏》不仅绿衣人会死,粉衣人也不安全,他们也并不想害人
- |广华日志漫笔:怎么样在互联网上面创业
- 地下城与勇士|DNF:国服最安全的账号,放着也没人敢盗,上个盗他号的才出狱
- 滴滴出行|事实告诉我们,中国的互联网公司没有创造力,只会捞钱
- 单机|Poppy评RNG队员:Wei最认真,Cryin总能给人安全感