▍行业背景
矿业的数字化、智能化开采,实现了矿业开采的安全、高效和经济效益最大化,同时也给系统带来了安全风险:
◆ 不同系统之间未使用有效的隔离手段,或者未对相关隔离手段的策略进行有效部署,尤其是基于OPC、MODBUS、IEC104等工业协议通讯的网络,从而造成安全故障通过网络迅速蔓延;
◆ 在安全审计维度,未对网络边界、重要网络节点进行安全审计,未对重要的用户行为和重要安全事件进行审计,无法实现实时预警和事后追溯;
◆ 工程师站、操作员站、服务器等缺乏有效的安全管控措施,弱口令甚至无密码会导致非授权的访问发生。外部接口无管控,乱插U盘致使主机易感染病毒;
◆ 安全意识淡薄与管理不健全,权限滥用、远程运维不可控、日常操作违规,对安全生产造成不同程度影响。
▍解决方案
风险评估:由专业的安全服务人员,对生产控制系统网络做全面的安全检查与验证,生成权威的安全风险评估报告。
防护方案:
◆ 现场控制层和生产监控层之间部署工控防火墙进行逻辑隔离;
◆ 生产监控层和生产管理层之间部署单向隔离网闸;
◆ 在环网出口、车间汇聚交换机上部署工控安全审计平台和入侵检测系统,对所有流量数据进行安全审计,实时监测网络边界、安全域内重要节点的异常行为并进行审计告警,异常行为包括各类已知、未知的入侵行为,网络病毒,非法访问等;
◆ 在工控机上部署主机安全防护系统,实现主机防病毒、防非授权软件安装与使用及非法端口的使用等,USB设备的管控,为主机系统安全运行提供必要的安全保障;
◆ 新建安全管理域,部署日志审计与分析系统、堡垒机、工控信息安全监管与分析平台,实现全网安全设备运行监控、安全日志收集与分析、安全事件集中处置,全网系统账户的统一管理与操作审计,资产漏洞匹配与统计报告等安全集中管理能力。
▍应用价值
安全防护:应用了基于工业控制系统的防护手段,构建了安全可控为目标、监控审计为特征的工业控制系统新一代主动防御体系,提高了矿业开采企业生产网络的信息安全防护能力。
简单易用:既满足了行业特定场景下的需求,又匹配了当前工业控制场景下的共性问题,在整体设计上极易落地,软硬一体化的产品应用,使实施和运维更易上手。
安全合规:方案设计以等保2.0为依据,并结合业务需求,满足等保2.0的技防要求,并协助企业进行安全管理体系的规范化建设,通过技防配合人防的手段满足企业安全管理的需求。
