智慧工厂工控系统网络安全等级保护建设方案

工控安全解决方案45/46项目编号：智慧工厂工控系统网络安全等保2.0建设方案目录TOC\o"1-2"\h\u278001概述 2130361.1背景 215111.2目标 3241292安全建设思路 4224652.1等级保护建设流程 4164522.2法律依据 5127092.3政策依据 579223技术体系方案设计 731173.1总体拓扑图 8309203.2办公网技术体系方案设计 8232993.3生产网技术体系方案设计 3911618态势展示层 47概述背景回顾过去二十余年，各行业的信息化程度不断加深，IT信息系统的复杂度与开放度随之提升。而在随着“工业4.0”、“工业互联网”以及我国提出的“中国制造2025”战略之后。放眼望去，在全球范围内的信息化与工业化之间出现了不断的交叉与融合的发展趋势，对于工业领域中不断应用信息化技术而言，对于国家层面以及企业自身的效益层面都具有着至关重要的战略意义。近年来，随着信息化与工业化的深度融合，无论从安全意识还是安全措施方面，仍然停留在传统工业时代，认为“隔离和专有”足以保障信息安全。这种认知，导致信息安全问题险象环生。也给企业的工业控制系统带来了工控信息安全的风险和隐患。诸如生产工业控制系统的生产工艺易受到非法入侵、木马病毒攻击、非授权访问、关键生产核心数据被窃取甚至破坏生产设备等恶意行为，可能会造成生产线的瘫痪，涉密数据被破坏或窃取等威胁，造成生产安全事故等。所以保障工控安全的同时，办公网的防护也是我们的目标。XX公司作为国内信息安全行业的领导企业，为多家用户完成定级、评估和整改工作，积累了大量丰富的等级保护建设经验。本方案根据《信息安全技术GB/T22239-2019网络安全等级保护基本要求》，结合XX公司等级保护建设经验，针对智能工厂工控系统信息安全现状和业务特点，提出了本次办公网和生产网的等级保护建设方案。目标根据智能工厂工控系统的现状和将来的应用需求，并结合国家关于等级保护的通用要求和工控安全要求，采用现代化信息安全保护技术，制定针对性的技术方案与管理方案，为北方华创智能工厂信息系统的等级化安全体系建设提供参考和实施的依据。本文将主要阐述和针对智能工厂信息系统建设和信息安全体系的规划设计。主要内容是智能工厂信息系统的总体信息安全体系建设，完善传统网络和工业控制系统的基础安全防护架构，开展信息系统等保工作，符合行业等级保护基本要求。安全建设思路等级保护建设流程本方案从技术部分进行安全建设，技术部分根据《网络安全等级保护基本要求》分为安全通信网络、安全区域边界、安全计算环境、安全管理中心四个方面进行建设，建设面对对象则是办公和生产两张网络。整个安全保障体系各部分既有机结合，又相互支撑。之间的关系可以理解为“构建安全管理机构，制定完善的安全管理制度及安全策略，由相关人员，利用技术工手段及相关工具，进行信息系统建设和运行维护。”根据等级化安全保障体系的设计思路，等级保护的设计与实施通过以下步骤进行：1. 信息系统识别与定级：确定保护对象，通过分析信息系统所属类型、所属信息类别、服务范围以及业务对信息系统的依赖程度确定信息系统的等级。通过此步骤充分了解信息系统状况，包括信息系统业务流程和功能模块，以及确定信息系统的等级，为下一步安全域设计、安全保障体系框架设计、安全要求选择以及安全措施选择提供依据。2. 安全域设计：根据第一步的结果，通过分析信息系统业务流程、功能模块，根据安全域划分原则设计信息系统安全域架构。通过安全域设计将信息系统分解为多个层次，为下一步安全保障体系框架设计提供基础框架。3. 确定安全域安全要求：参照国家相关等级保护安全要求，设计不同安全域的安全要求。通过安全域适用安全等级选择方法确定信息系统各区域等级，明确各安全域所需采用的安全指标。4. 评估现状：根据各等级的安全要求确定各等级的评估内容，根据国家相关风险评估方法，对信息系统各层次安全域进行有针对性的等级风险评估。并找出信息系统安全现状与等级要求的差距，形成完整准确的按需防御的安全需求。通过等级风险评估，可以明确各层次安全域相应等级的安全差距，为下一步安全技术解决方案设计和安全管理建设提供依据。5. 安全保障体系方案设计：根据安全域框架，设计信息系统各个层次的安全保障体系框架以及具体方案。包括：各层次的安全保障体系框架形成信息系统整体的安全保障体系框架；详细安全技术设计、安全管理设计。6. 安全建设：根据方案设计内容逐步进行安全建设，满足方案设计做要符合的安全需求，满足等级保护相应等级的基本要求，实现按需防御。通过如上步骤，信息系统可以形成整体的等级化的安全保障体系，同时根据安全术建设和安全管理建设，保障信息系统整体的安全。而应该特别注意的是：等级保护不是一个项目，它应该是一个不断循环的过程，所以通过整个安全项目、安全服务的实施，来保证用户等级保护的建设能够持续的运行，能够使整个信息系统随着环境的变化达到持续的安全。本方案设计的安全保障方案仅涉及技术部分。法律依据1994年《中华人民共和国计算机信息系统安全保护条例》（国务院令第147号）第九条明确规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。2017年《网络安全法》第二十一条明确规定国家实行网络安全等级保护制度，网络运营者应当按照网络安全等级保护制度的要求，开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改；第三十一条规定，国家关键信息基础设施在网络安全等级保护制度的基础上，实行重点保护。《网络安全法》的颁布实施，标志着从1994年的国务院条例（国务院令第147号）上升到了国家法律的层面，标志着国家实施十余年的信息安全等级保护制度进入2.0阶段，同时也标志着以保护国家关键信息基础设施安全为重点的网络安全等级保护制度依法全面实施。政策依据《工业控制系统信息安全防护指南》（工信软函〔2016〕338号）GB/T22239-2019《信息安全技术信息系统安全等级保护基本要求》GB/T25070-2019《信息安全技术网络安全等级保护安全设计技术要求》GB/T22240-2008《信息安全技术信息系统安全等级保护定级指南》GB/T25058-2010《信息安全技术信息系统安全等级保护实施指南》《关于加强工业控制系统信息安全管理的通知》（工信部〔2011〕451号）

技术体系方案设计在本次智能工厂信息系统网络安全设计方案中，建设对象主要面向了办公和生产管理两张网。互联网与工业控制虽然相互交叉融合，但毕竟分属于两张不同的网络，故分开进行设计和赘述。具体的设计方案进行分开说明，总体拓扑如下所示：总体拓扑图办公网技术体系方案设计设计范围本部分方案以保障智能工厂办公系统网络安全为出发点，设计范围为办公网络，重点从安全技术防护体系设计及安全管理体系两个方面构建办公网络整体安全防护体系。设计原则在规划、建设、使用、维护智能工厂信息系统项目的过程中，本方案将主要遵循统一规划、分步实施、立足现状、节省投资、科学规范、严格管理的原则进行安全体系的整体设计和实施，并充分考虑到先进性、现实性、持续性和可扩展性。具体体现为：1) 等级标准性原则本方案从设计到产品选型都遵循国家等级保护三级相关标准。2) 需求、风险、代价平衡的原则对任一网络，绝对安全难以达到，也不一定是必要的。应对一个网络进行实际分析(包括任务、性能、结构、可靠性、可用性、可维护性等)，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定安全策略。3) 综合性、整体性原则安全模块和设备的引入应该体现信息系统运行和管理的统一性。一个完整的信息系统的整体安全性取决于其中安全防范最薄弱的一个环节，必须提高整个信息系统的安全性以及信息系统中各个部分之间的严密的安全逻辑关联的强度，以保证组成信息系统的各个部分协调一致地运行。4) 易操作性原则安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。5) 设备的先进性与成熟性安全设备的选择，既要考虑其先进性，还要考虑其成熟性。先进意味着技术、性能方面的优越，而成熟性表示可靠与可用。6) 无缝接入安全设备的安装、运行，应不改变网络原有的拓扑结构，对网络内的用户应是透明的，不可见的。同时，安全设备的运行应该不会对网络传输造成通信“瓶颈”。7) 可管理性与扩展性安全设备应易于管理，而且支持通过现有网络对网上的安全设备进行安全的统一管理、控制，能够在网上监控设备的运行状况，进行实时的安全审计。8) 保护原有投资的原则在进行智能工厂安全体系建设时，应充分考虑原有投资，要充分利用智能工厂信息系统已有的建设。9) 综合治理信息网络的安全绝不仅仅只是一个技术问题，各种安全技术应该与运行管理机制、人员的思想教育与技术培训、安全法律法规建设相结合，从社会信息系统工程的角度综合考虑。10)统一规划、分步实施在建设过程中，全方位、多层次的综合考虑智能工厂信息安全问题和各个环节，运用信息系统工程的观点和方法论进行统一的、整体性的设计，为后继的安全实施提供基础保障，通过逐步实施，来达到信息系统的安全强化。从解决主要的问题入手，伴随信息系统应用的开展，逐步提高和完善信息系统的建设，充分利用现有资源进行合理整合的原则。设计思路纵深防御本方案以访问控制为核心，通过构建“一个中心支撑下的三重防护体系”的纵深防御体系来保障信息系统的安全。“一个中心，三重防护”是指以安全管理中心为核心，构建安全计算环境、安全区域边界和安全通信网络，确保应用系统能够在安全管理中心的统一管控下运行，不会进入任何非预期状态，从而防止用户的非授权访问和越权访问，确保应用系统的安全。安全管理中心是三重防护体系的控制中枢，是管理员的工作场所，管理员通过在安全管理中心制定安全策略，强制计算环境、区域边界执行策略，从而确保系统的运行环境是安全。安全管理中心分成三个子系统：系统管理子系统、安全管理子系统、审计子系统，分别对应管理员的三个角色。系统管理子系统负责对安全保护环境中的计算节点、区域边界、通信网络实施集中管理和维护，包括用户身份管理、资源管理、应急处理等，为信息系统的安全提供基础保障。安全管理子系统是系统安全的控制中枢，主要实施标记管理、授权管理及策略管理等。安全管理子系统通过制定相应的系统安全策略，并且强制节点子系统、区域边界子系统、通信网络子系统执行，从而实现了对整个信息系统的集中管理，为重要信息的安全提供了有力保障。审计子系统是系统的监督中枢，系统审计员通过制定审计策略，强制节点子系统、区域边界子系统、通信网络子系统、安全管理子系统、系统管理子系统执行，从而实现对整个信息系统的行为审计，确保用户无法抵赖违背系统安全策略的行为，同时为应急处理提供依据。计算环境是应用系统的运行环境，包括应用系统正常运行所必须的终端、服务器、网络设备等，计算环境安全是应用系统安全的根本；计算环境由节点子系统和应用防护子系统构成。节点子系统通过在操作系统核心层、系统层设置以强制访问控制为主体的系统安全机制，形成了一个严密牢固的防护层，通过对用户行为的控制，可以有效防止非授权用户访问和授权用户越权访问，确保信息和信息系统的完整性安全，从而为应用系统的正常运行和免遭恶意破坏提供支撑和保障。应用防护子系统承接了安全操作系统和上层应用系统，直接支撑着应用系统的安全。应用防护子系统通过对应用服务的封装，不仅实现了对应用系统访问控制，而且增强了应用系统运行环境的隔离性，使得应用系统不受非授权进程的恶意干扰，保护了信息的完整性。区域边界是应用系统运行环境的边界，是应用系统和外界交互的必经渠道，通过区域边界的安全控制，可以对进入和流出应用环境的信息流进行安全检查，既可以保证应用系统中的敏感信息不会泄漏出去，同时也可以防止应用系统遭受外界的恶意攻击和破坏。通信网络是不同应用系统之间进行信息交互的通道，安全的通信网络设备能够保证应用系统之间交互信息的完整性。三重防护体系为应用系统构建了一个严密的立体防护网，既能够防止应用环境之内的用户对系统安全进行破坏，又能够防止外部用户对系统安全的破坏，即能够做到“防内为主，内外兼防”，可以有效保护高等级应用系统的安全。动态综合防御根据中办发【2003】27号文件，“坚持积极防御、综合防范的方针，全面提高信息安全防护能力”是国家信息保障工作的总体要求之一。“积极防御、综合防范”是指导等级保护整体保障的战略方针。安全保障不是单个环节，单一层面上问题的解决，必须是全方位地、多层次地从技术、管理等方面进行全面的安全设计和建设，“积极防御、综合防范”战略要求信息系统整体保障综合采用覆盖安全保障各个环节的防护、检测、响应和恢复等多种安全措施和手段，对系统进行动态的、综合的保护，在攻击者成功地破坏了某个保护措施的情况下，其他保护措施仍然能够有效地对系统进行保护，以抵御不断不断出现的安全威胁与风险，保证系统长期稳定可靠的运行。安全域划分用安全域方法论为主线来进行设计，从安全的角度来分析业务可能存在的安全风险。所谓安全域，就是具有相同业务要求和安全要求的IT系统要素的集合。这些IT系统要素包括：网络区域主机和系统人和组织物理环境策略和流程业务和使命……因此，如果按照广义安全域来理解，不能将安全域的工作仅仅理解为在网络拓扑结构上的工作。通过划分安全域的方法，将网络系统按照业务流程的不同层面划分为不同的安全域，各个安全域内部又可以根据业务元素对象划分为不同的安全子域。针对每个安全域或安全子域来标识其中的关键资产，分析所存在的安全隐患和面临的安全风险，然后给出相应的保护措施；不同的安全子域之间和不同的安全域之间存在着数据流，这时候就需要考虑安全域边界的访问控制、身份验证和审计等安全策略的实施。安全域划分以及基于安全域的整体安全工作，对智能工厂的信息系统具有很大的意义和实际作用：安全域划分基于网络和系统进行，是下一步安全建设的部署依据，可以指导系统的安全规划、设计、入网和验收工作；可以更好的利用系统安全措施，发挥安全设备的利用率；基于网络和系统进行安全检查和评估的基础，可以在运行维护阶段降低系统风险，提供检查审核依据；安全域可以更好的控制网络安全风险，降低系统风险；安全域的分割是出现问题时的预防，能够防止有害行为的渗透；安全域边界是灾难发生时的抑制点，能够防止影响的扩散。“同构性简化”的安全域划分方法，其基本思路是认为一个复杂的网络应当是由一些相通的网络结构元所组成，这些进行拼接、递归等方式构造出一个大的网络。同一区域内的资产实施统一的保护，如进出信息保护机制，访问控制，物理安全特性等。办公网拓扑设计办公网的安全设计拓扑如下所示：部署方式说明如上图所示，分为办公网和生产网，通过工业网闸进行数据摆渡。其中，在办公网中划分了互联网接入区、核心交换区、无线接入区、业务应用区、终端接入区、DMZ区和安全管理区等七个安全域。通过部署相应的安全产品实现三级的防护能力。互联网接入区互联网接入区作为外部互联网用户和公司人员访问的入口，担任着重要的边界防护使命。部署如下安全产品：负载均衡：在互联网出口，以A/A模式，串联部署链路负载均衡设备对租用不同运营商的多条互联网接入链路进行智能的流量分配，实现带宽资源的充分利用。下一代防火墙：通过部署防火墙，实现对入站、出站双向IP包的访问控制、应用过滤。双机部署，防止单点故障。开启入侵防御策略，对出站、入站方向的数据包进行包还原，检测攻击行为，攻击特征，若发现攻击行为则进行阻断。同时，开启防病毒策略，对入站方向的HTTP、SMTP、POP3、IMAP等流量进行防病毒过滤清洗。上网行为管理：在防火墙后面通过串行部署上网行为管理设备，对本地用户访问互联网的行为进行分析和审计，防止内部员工上班时间违规上网或在网上发表违规言论，同时保存至少6个月的访问日志，以便协助公安调查取证。SSLVPN：通过旁路部署SSLVPN，连接在防火墙上，一方面对移动办公、远程运维提供安全接入数据传输保护，另一方面为应用服务器提供国密算法SSL卸载服务。核心交换区核心交换区主要由两台高性能核心交换机组成，负责所有办公网区域间流量的交换转发。在此区域主要旁路部署审计类、准入类安全产品，对网络中的流量进行入侵检测和网络准入审计。部署如下安全产品：入侵检测系统：部署入侵检测系统，以旁路方式，对接两台核心交换机的镜像端口；核心交换机需将其它安全域的流量镜像至入侵检测系统，供入侵检测系统进行入侵行为检测；审计记录可通过报表展示给用户，并可发送至态势感知平台，进行综合的安全态势分析和展示。网络准入控制：在办公网核心交换机上部署准入控制系统，对试图接入局域网的终端设备进行合法性认证和健康性检查，防止外部终端或不安全的终端接入网络造成危害。终端接入区终端接入区是所有办公终端的集合区域，是各类业务生产的起点。因其涉及众多终端使用者的不同安全素养，也因终端级操作系统的较多脆弱性，使个人终端成为了众多安全事件的起点。因此需要进行较为周全的安全防护。部署如下安全产品：终端防护：需提供一台服务器，安装终端安全管理系统，对办公终端进行安全监控和管理，实现网络准入，非法外联监测，应用发布，补丁管理，移动介质管理，敏感文档防泄漏审计等功能。安全管理区安全管理区是整个系统的负责安全管理、安全运维和与之相关的用户管理、备份管理等各个组件的集合区域。是维护系统正常运转，制定各类安全策略的核心区域。部署如下安全产品：态势感知：部署态势感知，收集所有审计类安全设备的事件信息，并结合日志审计系统的日志信息，作统一事件关联分析，以及对内网各类资产进行风险评估。最终以图形化界面，展示全网安全态势。堡垒机：部署堡垒机，将所有IT组件的管理运维端口，通过策略路由的方式，交由堡垒主机代理。实现运维单点登录，统一管理运维账号，管理运维授权，并对运维操作进行审计记录（录屏和键盘操作记录），并通过堡垒机实现对运维角色与权限的划分，分为系统管理员、审计管理员、安全管理员等。漏洞扫描：部署漏洞扫描系统，对全网IT组件（主机操作系统、网络设备、安全设备、数据库、中间件、应用服务等）进行脆弱性发掘，并生成检查报告。结果可通过报表展示给用户，并可发送至态势感知平台，从而进行综合安全态势分析和展示。数据库审计：实时地、智能地解析网络上和被审计数据库相关的登录、注销，对数据库表和字段的插入、删除、修改、查询、执行存储过程等操作，能够精确到SQL操作语句。终端管理系统：作为终端管理的服务端，负责下发策略及任务。ESP管理平台：此处通过部署ESP管理平台，实现分级分权的对各无线AP的管理，支持自动扫描，自动调整等功能，可有效提高无线网络性能及上网体验。能够快速定位统计客流、探测终端信息，为电子地图、导航等业务提供技术基础。业务应用区为智能工厂办公网中的重点保障区域，此区域设备部署防火墙实现边界的访问控制和边界隔离，在服务上安装EDR实现防病毒等安全防护。部署如下安全产品：防火墙：通过部署防火墙，实现对入站、出站双向IP包的访问控制、应用过滤。开启入侵防御策略，对出站、入站方向的数据包进行包还原，检测攻击行为，攻击特征，若发现攻击行为则进行阻断。同时，开启防病毒策略，对入站方向的HTTP、SMTP、POP3、IMAP等流量进行防病毒过滤清洗。终端防护：对服务器进行安全监控和管理，实现病毒查杀防护等功能。无线接入区部署如下安全产品：无线AP：此区域通过放装无线AP，实现区域内的无线网络全覆盖，提供一个快速漫游、无终端的无线网络，为智能工厂的业务开展构建一个真正可用的无线网络，并由ESP管理平台进行统一管控。DMZ区DMZ区主要负责提供对外访问服务的区域，需部署WAF等产品，实现应用层的攻击防护，部署EDR，实现终端级别的杀毒控制。部署如下安全产品：Web应用防火墙：实现对进出web服务器的HTTP/HTTPS相关内容进行深度分析，有效抵御WEB攻击。安全通信网络设计安全通信网络重点关注的安全问题：一是网络架构的安全，包括网络安全区域的合理划分，重要网络区域部署和防护；主干网络的可用性，包括通信链路和节点设备的冗余、网络带宽的合理分配；网络通信中数据完整性和保密性的防护等。因此，在安全通信网络层面，需要采用的安全技术手段包括：网络架构安全安全域划分对智能工厂信息系统划分不同的安全区域，并为各安全区域分配相应的地址和设置默认路由。在安全域划分基础上可方便地进行网络访问控制、网络资源管控等安全控制，并对不同安全域边界的保护策略进行针对性设计。区域边界隔离在安全域划分的基础上，利用路由交换设备自身的能力，按照用户实际需求，对内部网络不同安全域划分不同逻辑子网（VLAN），并在VLAN之间定义访问控制规则（ACL），实现网络内部不同安全域之间的基本隔离。负载均衡在互联网出口采用多运营商链路接入方式，在实现不同运营商链路相互备份的同时，为了充分利用互联网出口的带宽资源，建议部署专门的负载均衡设备，自动选择最优路径，将来自内外网的流量分流到最佳的链路上，保证带宽有效利用，并达到最佳访问速度。负载均衡器设备的链路负载均衡功能，主要用于解决多链路下的流量均衡问题，保证系统的高可用性和可靠性。链路负载均衡能够使TCP/IP数据流在多个ISP之间实施负载均衡。根据业务流量方向可以分为入站（Inbound）链路和出站（Outbound）链路两种情况。入站链路负载均衡实现方式当客户端从Internet访问内部服务器，并且内网和外网之间存在多条ISP链路时，通过入口链路负载均衡可以实现在多条ISP链路上分担外网用户访问内网服务器的流量。入站链路负载均衡中，负载均衡器设备充当权威DNS服务器的角色，外网用户通过域名方式访问内网服务器时，逐步通过远程用户的本地DNS服务器、ROOTDNS服务器，最终由负载均衡器设备来进行域名的解析。负载均衡器设备通过负载均衡算法，在多条链路中选择最优的线路，然后将域名解析成相应线路的IP地址，返回给用户，外网用户通过该链路访问内网服务器。出站链路负载均衡实现方式内网和外网之间存在多条链路时，通过出站链路负载均衡可以实现在多条链路上分担内网用户访问外网服务器的流量。当企业拥有多个默认的网关时，负载均衡器设备出口链路负载均衡提高了链路的利用率，把企业数据流分配到多个不同的上游路由器。假如可以同时从两个ISP（ISPA、ISPB）连到因特网，负载均衡器出口链路负载均衡会把出去的数据流按照负载均衡算法分配到ISPA和ISPB上，已达到负载均衡的目的。分配到ISPA的连接被NAT成ISPA的地址范围，分配到ISPB的连接被NAT成ISPB的地址范围，返回的响应数据也会从相应的ISP接口流入。如果其中一个ISP的链路失效，所有的数据流将不会分配到这个ISP。通信传输安全对于智能工厂信息系统的移动办公、远程运维人员通过互联网登录到信息系统进行的业务交互操作或远程管理操作，需要采用IPSEC或SSLVPN技术保证重要、敏感信息在网络传输过程中完整性和保密性。安全接入管理：通过结合使用数字证书与专用VPN客户端软件，实现接入身份以及设备的准确识别、对接入终端的安全管理，保证系统接入过程的安全可靠。传输过程安全管理：借助IPSEC或SSLVPN技术的隧道加密技术实现网络通信过程及数据传输过程的安全，并且可根据不同人员的角色确认应用的访问权限，实现随时随地，按需接入及受限访问，最大程序保证传输过程安全。接入及传输过程管理：通过接入管理端对接入人员及接入设备进行统一管理，可实现人员的角色及权限的统一管理，实现不同角色访问不同的访问咨询。针对接入设备的安全性问题，通过对设备进行合规性检查，确保设备接入后不会给网络带来风险。通过对接入过程进行安全审计，实时掌握接入及传输过程的状态并对网络接入及传输行为进行审计。SSLVPN通过旁路部署SSLVPN网关系统，连接在防火墙上，为智能工厂人员及其他运维人员提供安全接入数据传输保护。安全区域边界设计安全区域边界是对内部应用系统计算环境进行安全防护和防止敏感信息泄露的必经渠道；通过区域边界的安全控制，可以对进入和流出应用环境的信息流进行安全检查，既可以保证应用系统中的敏感信息不会泄漏出去，同时也可以防止应用系统遭受外界的恶意攻击和破坏。边界防护、访问控制依据等级保护要求第三级中网络和通信安全相关安全要求，区域边界访问控制防护需要通过在网络区域边界部署专业的访问控制设备（如下一代防火墙、统一威胁网关等），并配置细颗粒度的基于地址、协议和端口级的访问控制策略，实现对区域边界信息内容的过滤和访问控制。保证跨越边界的访问和数据流是通过边界防护设备提供的受控接口进行通信的。另外对于用户通过其他手段接入Internet（如无线网卡、双网卡、modem拨号上网），或使用非授权设备接入内网，这些边界防御则形同虚设。因此，必须在全网中对网络的接入和外联进行连接状态的监控，准确定位并能及时报警和阻断。防火墙在智能工厂信息系统的互联网出口处串联部署防火墙，确保所有跨越边界的访问和所有流入、流出的数据均通过其受控接口进行通信、接受安全检查和处理。防火墙主要功能包括：基础功能网络接入路由、透明、混合及直连部署模式；静态路由、动态路由、策略路由及ISP路由；支持VLAN、TRUNK、QinQ等二层特性；链路聚合、虚拟线及子接口等多种网络接入方式；支持IPv6（接口配置、路由、ICMPv6、ND、DHCPv6等）；IPv6安全策略部署（ACL、AV、IPS、DDOS、URL过滤、应用识别等）；安全防护基于传统五元组、用户、应用、内容、时间等多元组一体化访问控制；支持策略冲突检测、策略冗余检测；源地址转换、目的地址转换、双向地址转换及端口转换多种NAT策略；支持FTP、TFTP、PPTP、SQLNET、H.323、SIP、RTSP等动态端口协议；高可用性AA（负载均衡）、AS（主备）及SP（连接保护）双机工作模式；双系统引导；身份认证采用内网终端统一管理的集中式认证系统；支持本地认证与第三方外部认证（如RADIUS、TACACS、LDAP等）；集成PKI服务，内置CA并支持第三方CA；系统服务提供DHCP服务器/客户端/中继、NTP、CDP等网络服务；支持跨越三层设备进行IP/MAC绑定；支持网关虚拟化技术；系统管理基于SSH、HTTPS安全协议的配置交互界面；管理员分级、权限自定义、密码强度分级、管理端口自定义等扩展安全配置；支持管理员外部认证；系统资源、硬件状态、网络流量、安全事件的可视化监控；邮件、NETBIOS、声音、SNMP、控制台等多种组合报警方式；采用Syslog日志格式，支持分级和按类型输出以及日志加密传输；图形界面与命令行方式进行系统升级；提供报文调试功能及系统健康记录，支持端口镜像；支持PING、Traceroute、TCP、DNS、HTTP方式进行网络诊断；支持WEB抓包，可设置接口、IP、协议、端口等过滤参数，抓包文件可导出；支持RestfulAPI接口，能与第三方管理平台对接，实现自动化运维管理；负载均衡多运营商接入（内置ISP路由），支持多种路由均衡算法及路由备份功能；采用链路有效性探测实现智能链路切换；支持入站智能DNS；支持多线路接入下报文的源路径返回；支持服务器负载均衡，提供多种负载均衡算法并支持服务器的应用有效性探测；连接限制基于源地址、目的地址、应用的连接限制；支持每IP连接总数限制、所有IP连接总数限制、每IP新建连接数限制；流量管理独立的流量控制策略；基于应用、用户、源安全区域、目的安全区域、源地址、目的地址、服务、时间段和通道优先级等方式进行细粒度的带宽策略定义；支持虚拟链路及虚拟通道对流量进行进一步的细化管理；支持保证带宽、限制带宽及带宽优先级设置；DDOS防护DDoS攻击防护，包括非法报文攻击及统计型报文攻击；基于IP、ICMP、TCP、UDP、DNS、HTTP、NTP等协议的DDOS攻击防护；支持阈值限流、IP认证等防护手段；入侵防护内置11大类，超过5000条入侵防御实时规则；支持根据威胁事件、攻击来源、受威胁主机查询攻击；支持自定义规则；远程接入IPSECVPN、SSLVPN、GRE多种隧道接入技术；支持“预共享密钥”和“数字证书”两种认证方式；DES/3DES/AES等标准加密算法及MD5/SHA1等标准HASH算法；SSLVPN支持windows、Android、IOS等客户端系统接入；数据中心内置16类预定义报表模板，支持根据通信流量、上网行为、威胁统计等来源数据库自定义报表模板；支持周期性报表的生成、支持一次性报表的生成；支持报表按照PDF、WORD及EXCEL格式导出；集中管理可实现集中管理；可实时监控设备状态、系统统一升级、策略集中下发、拓扑集中展示；网络准入控制部署网络准入系统能够勾勒企业终端接入的安全基线，屏蔽一些不安全的设备和人员接入网络，规范用户接入网络的行为。对于未安装终端代理软件或已安装终端代理软件但不符合安全策略要求（杀毒软件、系统安全设置、违规软件等）的终端设备，能够禁止其访问网络，或进行网络VLAN隔离，并对其提供安全修复向导。网络准入控制策略可从网络准入身份认证、合规性健康检查、接入管理、隔离修复四方面实现。网络准入的具体功能：认证方式：终端准入认证支持用户名/密码、手机短信等不同认证方式，可与用户现有AD域、LDAP服务器进行用户信息同步，实现实名制准入认证效果。手机短信认证则需要与短信服务器进行联动，在终端入网认证时下发验证码，从而完成入网相关操作。认证管理：对于临时入网用户终端，提供入网有效期管理，控制其在网时限。当出现同一账户多在线情况时，系统能够对该用户使用终端数进行限制，并给予在超过限制终端数的多种处理方式，满足单用户多终端入网使用需求。黑/白名单管理：对入网终端设备实施黑/白名单管理，可根据所应用的不同准入模式，设置黑/白名单终端IP、MAC、协议、端口、VLAN号等要素信息，黑名单拒绝入网、白名单则免认证入网，满足管理人员维护需求，并针对哑终端等类型设备访问网络情况提供有效解决方案。资产发现：系统支持对接入内网的终端设备实现资产扫描发现，能够扫描发现连接接入层交换机的设备信息，包括：终端IP、终端MAC、终端网卡供应商、终端VLAN、交换机端口、交换机IP、绑定用户等信息，通过资产发现使管理人员能够快速掌握网内各交换机接入终端设备的状态信息，并进一步实施资产绑定、导出等相关操作。非法外联监控（终端安全管理）建议在所有内部用户终端上部署非法外联监控（集成于终端安全管理系统中）代理软件，并在安全管理区部署相应的管理服务器，通过集中定制、强制执行的安全策略来监控和防范终端绕过边界安全防护机制私自利用双网卡、无线、拨号等手段非法连接外部网络。一旦发现被监控终端有违规外联行为，可依据预置的策略采取提示、报警、记录、断网或重启等处理动作。入侵防范入侵检测建议智能工厂信息系统核心交换机上旁路部署入侵检测系统，并在交换机上设置端口镜像，将流经交换机各个重要通信端口的进出双方向数据流量镜像至入侵检测系统的监听端口，实现对网络攻击行为的全方位检测和立体呈现。一旦发现攻击可通过与防火墙联动或发阻断包等方式进行限制。入侵检测系统主要功能包括：攻击行为检测：综合采用模式匹配、协议分析、异常检测、会话关联分析、防逃逸等多种技术，准确识别入侵攻击行为，为用户提供2~7层深度入侵检测能力。支持检测包括溢出攻击类、RPC攻击类、WEBCGI攻击类、拒绝服务类、木马类、蠕虫类、扫描类、网络访问类、HTTP攻击类、系统漏洞类等在内的常见攻击。 应用识别：支持根据数据内容而非端口智能识别包括P2P、即时通讯、电子商务、股票交易、网络游戏、网络电视、移动应用等在内的常见互联网应用，支持对应用连接数、应用流量及应用主机等做统计排名。支持自定义应用协议。攻击预警：检测到各种入侵攻击及违规行为后，可以通过邮件、短信等多种方式第一时间通知管理员采取进一步的防护措施。攻击取证：支持攻击报文取证功能，检测到攻击事件后将原始报文完整记录下来，日志可本地存储并同时发送至日志服务器，可作为针对入侵者采取进一步法律行动的有力证据。流量可视化：在应用识别和攻击检测功能的基础上，提供流量分析功能，使用户可以清晰、直观地感知网络内的流量异常变化、应用构成情况以及存在的攻击和违规行为，为制定安全策略提供有力的信息支撑。防火墙（入侵防御模块）区域边界入侵防护功能通过防火墙上开通入侵防御模块实现。主要在网络区域边界/重要节点检测和阻止针对内部的恶意攻击和探测，诸如对网络蠕虫、间谍软件、木马软件、溢出攻击、数据库攻击、高级威胁攻击、暴力破解等多种深层攻击行为，进行及时检测、阻止和报警。入侵防御实现的功能：攻击检测功能：采用协议分析、模式识别、统计阀值和流量异常监视等综合技术手段，深入分析L2~L7层网络判断入侵行为，准确地发现包括溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务、木马蠕虫传播、系统漏洞攻击等在内的11大类超过4000种网络攻击行为。同时，具有专业的防逃逸检测手段，可以规避多种黑客的逃逸行为，严密的检测、过滤网络中细小、隐蔽的攻击行为，有效监控网络威胁。全面兼容了国际权威的CVE漏洞库、国内权威的CNNVD漏洞库，及时保证用户网络发现新攻击威胁。DDOS监控功能：对于网络中会造成巨大危害的DDOS攻击，通过构建统计性攻击模型和异常包攻击模型，可以全面发现SYNflood、ICMPflood、UDPflood、DNSFlood，DHCPflood、Winnuke、TcpSScan以及CC攻击等多达几十种DOS/DDOS攻击行为，完成细粒的DDOS攻击防护。恶意代码防火墙（防病毒模块）在智能工厂信息系统的互联网出口边界的防火墙上开启病毒过滤功能，对进出的网络数据流进行病毒、恶意代码扫描和和过滤处理，并提供病毒代码库的自动或手动升级，彻底阻断外部网络的病毒、蠕虫、木马及各种恶意代码向网络内部传播。网络病毒过滤：对SMTP、POP3、IMAP、HTTP和FTP等应用协议进行病毒扫描和过滤，通过恶意代码特征过滤，对病毒、木马、蠕虫以及移动代码进行过滤、清除和隔离，有效地防止可能的病毒威胁，将病毒阻断在进入网络之前。内容过滤：对数据内容进行检查，可以采用关键字过滤，URL过滤等方式来阻止非法数据进入网络。支持通过文件内容识别文件类型，有效的阻断非法类型的文件进入网络。恶意代码防护：支持对移动代码如Vbscript、JAVAscript、ActiveX、Applet的过滤，能够防范利用上述代码编写的恶意脚本进入网络。蠕虫防范：可以实时检测到日益泛滥的蠕虫攻击，并对其进行实时阻断，从而有效防止信息网络因遭受蠕虫攻击而陷于瘫痪。病毒库升级：病毒过滤网关支持自动和手动两种升级方式，在自动方式下，系统可自动到互联网上的厂家网站搜索最新的病毒库和病毒引擎，进行及时的升级。日志记录：提供完整的病毒日志、访问日志和系统日志等记录，并支持发送给集中的日志审计服务器。安全审计上网行为管理在智能工厂信息系统的出口边界串行部署上网行为管理系统，对内网用户访问互联网的行为进行分析和审计，防止内部员工上班时间违规上网或在网上发表违规言论，同时保存至少6个月的访问日志，以便协助公安调查取证。上网行为管理能具体实现功能：URL过滤：上网行为管理系统中内置千万级URL列表，将URL按照一定的标准进行预分类，然后依据策略对内部用户访问的各种类别网页进行过滤。在过滤URL记录的同时，可以对网络中所访问的URL进行记录和统计排名，以实现对URL访问的监控和控制。员工依然可以上网浏览网页，但其访问时间和内容将受到一定监控。关键字过滤：上网行为管理系统提供对发帖的内容启用关键词过滤，对含有攻击国家领导人、分裂国家言论、下流词汇，或者伤害公司利益的帖子进行审计和过滤处理，并能对所有成功上传的内容进行详细记录以便事后查验。从而帮助员工养成远离低俗内容的上网习惯，协助推动“互联网低俗内容整治”，帮助企事业单位建立健康、规范、有序的上网环境。黑名单控制：为了防止网络资源的滥用和方便管理员管理用户，上网行为管理系统支持将用户加入黑名单的功能。对进入黑名单的用户可以采取惩罚机制，惩罚期限到了之后，该用户又可以正常使用网络。用户一旦进入黑名单，当再次上网时，网页回弹出已经进入黑名单、是什么原因进入黑名单的。灵活的黑名单功能可以帮助管理员快速、准确的定位出谁肆意占有网络资源。对黑名单的控制，有一个生效时间，在生效时间内才进行黑名单的控制。在生效时间外，不对用户的速率和会话进行限制，用户产生的流量也不记入黑名单的流量配额内。白名单管理：对于公司领导或者重要的用户，他们的上网不希望受到各种控制策略的限制，也不希望上网的内容被记录。设备的白名单功能可以很好的满足这些需求。符合白名单规则的流量，将不受“防火墙规则、流控规则、认证策略规则、上网策略对象规则、黑名单规则”的控制；同时上网的流量和上网行为的内容（如发送的邮件、发送的帖子、访问的网页、即时通讯记录等）将全部不记录。统计与报表系统：提供完整的互联网访问记录，根据IP/用户、应用、时间、线路等参数对上网流量及行为进行全方位的记录，内容涵盖网络流量、带宽速率、新建会话、活跃会话、Web访问、邮件收发、IM聊天、论坛发帖、P2P下载等各种网络行为。从而帮助管理者了解网络整体使用情况，防止出现滥用、误用、盗用的行为。上网行为监控：支持制定精细化的信息收发监控策略，有效控制信息的传播范围，上网行为管理系统能够对以下信息发送进行监控与控制：WEB访问记录、论坛发帖、电子邮件、即时通讯软件、FTP记录、Telnet记录。 上网行为审计：上网行为管理系统可记录全部的会话日志。通过检查完整的会话日志，管理者可以跟踪网络中的任何操作，尤其可帮助公安部门稽查案件。上网行为管理系统的会话记录包括：源IP、目的IP、协议类型、七层应用名称、源端口、目的端口、是否进行NAT转换(可显示转换后的IP和端口)、会话产生的时间和会话持续时间。无线AP此区域通过放装无线AP，实现区域内的无线网络全覆盖，提供一个快速漫游、无终端的无线网络，为智能工厂的业务开展构建一个真正可用的无线网络，并由ESP管理平台进行统一管控。并且与上网行为管理进行深度融合、协同联动，实现对网内无线设备的配置和管理。识别无线实名认证信息并对终端开展流控和审计，同时满足网监部门对于上网行为的合规要求。安全计算环境设计计算环境是应用系统的运行环境，包括应用系统正常运行所必须的主机（终端、服务器、网络设备等）、应用系统、数据、存储与备份等，计算环境安全是应用系统安全的根本。计算环境的安全设计如下：身份鉴别、访问控制对服务器上的敏感数据设置访问权限，禁止非授权访问行为，保护服务器资源安全；更是能够实现文件强制访问控制，即提供操作系统访问控制权限以外的高强度的强制访问控制机制，对主客体设置安全标记，授权主体用户或进程对客体的操作权限，有效杜绝重要数据被非法篡改、删除等情况的发生，确保服务器重要数据完整性不被破坏。堡垒机通过在安全管理区部署堡垒主机，将所有IT组件的管理运维端口，通过策略路由的方式，交由堡垒主机代理。实现运维单点登录，统一管理运维账号，管理运维授权，并对运维操作进行审计记录（录屏和键盘操作记录），并通过堡垒机实现对运维角色与权限的划分，分为系统管理员、审计管理员、安全管理员等。堡垒机的功能主要是：单点登录：提供了基于B/S的单点登录系统，用户通过一次登录系统后，就可以无需认证的访问被授权的多种基于B/S和C/S的应用系统。单点登录为具有多帐号的用户提供了方便快捷的访问途经，使用户无需记忆多种登录用户ID和口令。它通过向用户和客户提供对其个性化资源的快捷访问提高工作效率。同时，由于系统自身是采用强认证的系统，从而提高了用户认证环节的安全性。单点登录可以实现与用户授权管理的无缝链接，可以通过对用户、角色、行为和资源的授权，增加对资源的保护和对用户行为的监控及审计。集中帐号管理：集中帐号管理包含对所有服务器、网络设备帐号的集中管理。帐号和资源的集中管理是集中授权、认证和审计的基础。集中帐号管理可以完成对帐号整个生命周期的监控和管理，而且还降低了管理大量用户帐号的难度和工作量。同时，通过统一的管理还能够发现帐号中存在的安全隐患，并且制定统一的、标准的用户帐号安全策略。通过关联，可以实现多级的用户管理和细粒度的用户授权。而且，还可以实现针对自然人的行为审计，以满足审计的需要。身份认证：为用户提供统一的认证接口，提高认证的安全性和可靠性。资源授权：提供统一的界面，对用户、角色及行为和资源进行授权，以达到对权限的细粒度控制，最大限度保护用户资源的安全。通过集中访问授权和访问控制可以对用户通过B/S、C/S对服务器主机、网络设备的访问进行审计和阻断。访问控制：提供细粒度的访问控制，最大限度保护用户资源的安全。细粒度的命令策略是命令的集合，可以是一组可执行命令，也可以是一组非可执行的命令，该命令集合用来分配给具体的用户，来限制其系统行为，管理员会根据其自身的角色为其指定相应的控制策略来限定用户。操作审计：操作审计管理主要审计操作人员的帐号使用（登录、资源访问）情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的帐号、资源进行标识后，操作审计能更好地对帐号的完整使用过程进行追踪。安全审计在安全计算环境防护中，安全审计管理包括对各类用户的操作行为审计，以及网络中重要安全事件的记录审计等内容，且审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。终端管理系统建议在智能工厂信息系统内部用户终端设备（办公业务终端、管理运维终端等）上部署终端管理系统，提供针对Windows桌面终端的软硬件资产管理、终端行为监管、终端安全防护、非法接入控制、非法外联监控、补丁管理等功能，采用统一策略下发并强制策略执行的机制，实现对网络内部终端系统的管理和维护，从而有效地保护用户计算机系统安全和信息数据安全。需要在所有Windows桌面终端系统中安装主机监控与审计软件，并在安全管理区部署一套终端管理系统服务器。终端管理系统主要功能包括：行为监管：对桌面系统打印行为、外存使用行为、文件操作行为的监控，确保数据的安全，避免泄密。系统监管：使管理员能够轻松进行局域网的管理维护。通过系统监管模块管理员能够远程查看桌面系统的详细硬件配置信息和已经安装的软件；能够很容易的进行IP地址管理，避免IP地址混乱；还可以轻松完成网络内Windows系统的补丁检测、下发和安装。非法外联监控：主机监控与审计系统能够检测内部网络中出现的内部用户未通过准许私自联到外部网络的行为（即“非法外联”行为），准确定出位置，并对其进行有效阻断。安全状态检测策略：系统能够自动检测桌面系统的病毒防护工作是否正常，如果发觉终端未安装防病毒系统，或者安装的防病毒系统没有及时升级到最新版本，主机监控与审计系统将自动通知终端用户，督促其尽快安装防病毒软件或者将病毒库进行升级。补丁自动升级：帮助管理员对网内基于Windows平台的机器快速部署最新的重要更新和安全更新。能够检测桌面系统已安全的补丁和需要安装的补丁，管理员能对桌面系统下发安装未安装补丁的命令。只要终端接入到信息网络中，通过统一的主机监控与审计管理平台，便可自动获得补丁，实现操作系统补丁的自动升级，从而确保操作系统的强壮性。补丁服务器自动通过互联网与微软升级服务器进行同步，也可由管理员定期手工从互联网下载更新包后拷贝到补丁服务器上。数据库审计在数据库服务器所连接的交换机上旁路部署数据库审计系统，对来自网络的数据库访问行为进行记录，及时判断出违规操作行为并进行记录、报警，为数据库系统的安全运行及事后审计提供有力保障。入侵防范漏洞扫描漏洞扫描系统基于网络，通过远程检测目标系统TCP/IP不同端口所提供的服务，分析目标给予的应答，以搜集目标系统上的各种信息，然后与系统内置的漏洞库进行匹配，如果满足匹配条件，则认为安全弱点存在。在智能工厂信息系统中部署一套漏洞扫描系统，由专门的管理员负责，以本地扫描或远程扫描的方式，对各台重要的网络设备、主机系统及相应的操作系统、应用系统等进行全面的漏洞扫描和安全评估。通过从不同角度对网络进行扫描，可以发现网络结构和配置方面的漏洞，以及各个设备和系统的各种端口分配、提供的服务、服务软件版本等存在的安全弱点。系统提供详尽的扫描分析报告和漏洞修补建议。漏洞扫描系统提供以下功能：漏洞扫描：漏洞知识库从操作系统、服务、应用程序和漏洞严重程度多个视角进行分类，支持对漏洞信息的检索功能，可以从其中快速检索到指定类别或者名称的漏洞信息，并具体说明支持的检索方式。系统内置不同的策略模板如针对Unix、Windows操作系统等模板，同时允许用户定制扫描策略；用户可定义扫描范围、扫描使用的参数集、扫描并发主机数等具体扫描选项。可以在扫描过程中人工指定包括SNMP、SMB等常见协议的登陆口令，登陆到相应的系统中对特定应用进行深入扫描。可定义扫描端口范围、端口扫描方式，支持多种口令猜测方式，包括利用Telnet,Pop3,Ftp,WindowsSMB等协议进行口令猜测，允许外挂用户提供的字典档。漏洞分析：能够对扫描结果数据进行在线分析，能够根据端口、漏洞、BANNER信息、IP地址等关键字对主机信息进行查询并能将查询结果保存。能够在线对多个已完成的扫描任务进行合并分析。离线报告可以输出到HTML、WORD、EXCEL等文件，报告可以直接下载或通过邮件直接发送给相应管理人员。在线报表中对综述、主机、漏洞、趋势等信息进行分类显示；综述中应对漏洞和风险分布进行定量统计分析并展示。漏洞管理：提供XML、SNMPTRAP和HTTP等二次开发接口给其他的安全产品或者安全管理平台调用，并且提供具体接口的说明文档。对扫描出来的资产的安全漏洞能够发送邮件给对应的资产管理员，通知其限期内修复漏洞并自动对修复进行验证，实现对漏洞的有效跟踪和验证。提供对资产风险的多次趋势分析能力，能够有效地分析网络整体和主机的漏洞分布和风险的趋势。能够进行自动和手动的漏洞库升级，保证随时拥有检测最新漏洞的能力。WEB应用防火墙建议在DMZ区的WEB服务器前端部署专业的WEB应用防火墙（WAF），对WEB应用服务和网页内容进行防护，屏蔽对网站的攻击和篡改行为，实现防跨站攻击、防SQL注入、防止黑客入侵、网页防篡改等功能，从而更有效地对网站服务器系统及网页内容进行安全保护，从应用和业务逻辑层面真正解决WEB网站安全问题。WEB应用防火墙应能提供以下主要功能：WEB应用威胁防御支持对HTTP数据流进行深度分析，内置针对WEB攻击防护的专用特征规则库，规则涵盖诸如SQL注入、XSS（跨站脚本攻击）等OWASPTOP10中的WEB应用安全风险，及远程文件包含漏洞利用、目录遍历、OS命令注入等当今黑客常用的针对WEB基础架构的攻击手段。对于HTTP数据包内容具有完全的访问控制权限，检查所有经过网络的HTTP流量，回应请求并建立安全规则。一旦某个会话被控制，WAF能对内外双向流量进行多重检查，以阻止内嵌的攻击，保证数据不被窃取。网站管理者也可以指定各种策略对URL、参数和格式等进行安全检查。抗拒绝服务攻击WAF系统中集成抗拒绝服务攻击功能，能够防御迄今已知的所有种类DDoS攻击，如SYNFlood、UDPFlood、ICMPFlood、pingofDeath、Smurf、HTTP-getFlood等。同时对未知攻击也能进行有效防护。主要技术包括：攻击指纹识别：利用多种技术手段对网络数据包进行特征统计和发现，能够准确定位当前的攻击类型，并触发不同的防御机制，在提高效率的同时确保防护准确度。异常流量识别：支持基于数据挖掘的DDoS攻击盲检测技术。利用关联算法和聚类算法自适应的产生检测模型，任何偏离这些正常状态的流量特征都可以被捕获，从而可以实时、自动、有效地识别出异常流量。攻击特征挖掘：具备高效的攻击特征挖掘能力。系统通过对网络流量的显微分析，挖掘出攻击特征，并将攻击特征移交给规则执行机进行高效执行。攻击流量过滤：针对检测出的攻击流量，采用规则执行机技术，准确彻底地过滤攻击流量，放行正常流量，保证网站服务的正常进行。WEB应用漏洞扫描WAF提供对网站应用漏洞的扫描功能。该功能基于先进的漏洞扫描引擎及庞大漏洞信息库。扫描内容涵盖：SQL注入、跨站脚本编制及操作系统命令注入等WEB常见漏洞。扫描任务支持单任务及批量任务。执行方式可按时间周期进行灵活设置。扫描结束后，自动生成全中文网站漏洞分析报告。此功能可以使网站管理者在不需要安装任何漏洞扫描软件的情况下，直观地了解到网站存在的安全漏洞情况，以及时进行相关修补工作。WEB应用加速WAF在对网站进行全面的安全防护的同时，通过连接池、缓存等机制，实现应用加速，优化网站性能的功效。WEB应用加速功能通过高性能的硬件平台及软件加速算法，可以将用户的WEB请求响应速度提高数倍，大幅提升网站系统的可用性。业务智能分析WAF提供强大的网站业务智能分析功能。内容丰富，涵盖网站业务数据智能分析、网站安全数据智能分析以及网站管理数据智能分析三大模块。展现形式为数据表格搭配统计图示，效果清晰、直观。为网站管理者提供有针对性的决策依据。数据完整性、保密性采用校验技术或密码技术保证重要数据在传输、存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。应用开发时也应同步考虑数据完整性校验、身份鉴别和数据加密等功能。SSLVPN对于智能工厂信息系统用户及移动办公、远程运维人员通过互联网登录到网站系统进行的业务交互操作或远程管理操作，通过部署VPN网关设备，可方便地实现应用系统用户的远程安全访问，保证重要、敏感信息在网络传输过程中完整性。VPN网关主要功能包括：支持多种SSLVPN技术实现应用全覆盖：同时支持三类主要的SSLVPN接入技术：WEB转发（WEBFORWARD），端口转发（PORTFORWARD）和全网接入（NETWORKACCESS或者称为IPTUNNEL），用户可以根据自身应用系统的特点选择使用一种或多种接入方式。WEB转发模式可以实现用户的完全无客户端接入，支持各种操作系统和客户浏览器平台。端口转发模式通过客户端本地代理技术实现对用户访问请求的SSL协议封装和转发。 全网接入模式通过SSL隧道转发客户端所有的IP请求报文，其适应性最好，能够支持基于IP协议的所有B/S和C/S业务系统，其同样要求在客户端系统上安装一个ACTIVEX的控件。安全管理中心依据等级保护要求第三级中网络和通信安全相关安全控制项，结合安全管理中心对系统管理、安全管理和审计管理的设计要求，安全管理中心建设主要通过运维审计、网络管理系统、综合安全管理平台等机制实现。通过安全堡垒机（运维审计系统）能够对系统管理员、审计管理员和安全管理员进行身份鉴别、并对操作权限进行控制，记录相关操作审计日志。通过网络管理系统能够对网络设备、网络链路、主机系统资源和运行状态进行监测和管理，实现网络链路、服务器、路由交换设备、业务应用系统的监控与配置。通过态势感知平台对安全设备、网络设备和服务器等系统的运行状况、安全事件、安全策略进行集中监测采集、日志范式化和过滤归并处理，来实现对网络中各类安全事件的识别、关联分析和预警通报。系统、审计、安全管理安全管理中心应做到系统管理员、审计管理员和安全管理员的三权分立，并对各类管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行权限范围内的管理操作，并对这些操作进行审计。堡垒机在智能工厂信息系统的安全管理区部署一套堡垒主机，在系统运维人员和信息系统（网络、主机、数据库、应用等）之间搭建一个唯一的入口和统一的交互的界面，针对信息系统中关键软硬件设备运维的行为进行管控及审计。通过将各设备、应用系统的管理接口，通过强制策略路由的方式，转发至堡垒主机，从而完成反向代理的部署模式，实现对管理用户的身份鉴别。堡垒主机主要实现功能包括：单点登录：提供基于B/S的单点登录系统，用户通过一次登录系统后，就可以无需认证的访问包括被授权的多种基于B/S的应用系统，使用户无需记忆多种登录用户ID和口令。单点登录可以实现与用户授权管理的无缝链接，可以通过对用户、角色、行为和资源的授权，增加对资源的保护和对用户行为的监控及审计。集中账户管理：支持对所有服务器、网络设备登录帐号的集中管理，是集中授权、认证和审计的基础，降低了管理大量用户帐号的难度和工作量。同时，还能够制定统一的、标准的用户帐号安全策略。集中帐号管理可以实现将帐号与具体的自然人相关联，从而实现针对自然人的行为审计。统一身份认证：为用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理，而且能够采用更加安全的认证模式，提高认证的安全性和可靠性，同时又避免了直接在业务服务器上安装认证代理软件所带来的额外开销。集中身份认证提供静态密码、数字证书、一次性口令和生物特征等多种认证方式，而且提供接口，可以方便地与第三方认证服务对接。统一资源授权：提供统一的界面，对用户、角色及行为和资源进行授权，以达到对权限的细粒度控制，最大限度保护用户资源的安全。通过集中访问授权和访问控制可以对用户通过B/S、C/S对服务器主机、网络设备的访问进行审计和阻断。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权，对某些应用还可以限制用户的操作，以及在什么时间进行操作等的细粒度授权。细粒度访问控制：提供细粒度的访问控制，最大限度保护用户资源的安全。细粒度的命令策略是命令的集合，可以是一组可执行命令，也可以是一组非可执行的命令，该命令集合用来分配给具体的用户，来限制其系统行为，管理员会根据其自身的角色为其指定相应的控制策略来限定用户。访问控制策略是保护系统安全性的重要环节，制定良好的访问策略能够更好的提高系统的安全性。操作审计：操作审计管理主要审计操作人员的帐号使用（登录、资源访问）情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的帐号、资源进行标识后，操作审计能更好地对帐号的完整使用过程进行追踪。为了对字符终端、图形终端操作行为进行审计和监控，堡垒主机对各种字符终端和图形终端使用的协议进行代理，实现多平台的操作支持和审计，例如Telnet、SSH、FTP、Windows平台的RDP远程桌面协议，Linux/Unix平台的XWindow图形终端访问协议等。集中管控态势感知在安全管理区部署态势感知，收集所管理网络的资产、流量、日志等相关的安全数据，经过存储、处理、分析后形成安全态势及告警，辅助用户了解所管辖网络安全态势并能对告警进行协同处置。利用现有的安全系统、安全设备，逐步演进为“安全数据集中存储、态势感知场景丰富、可视化综合展示”的高价值安全信息存储及分析系统，加快对安全威胁的认知及有效预警。。实现对网络安全的态势觉察、跟踪、预测和预警，全面、实时掌握网络安全态势，及时掌握网络安全威胁、风险和隐患，及时监测漏洞、病毒木马、网络攻击情况，及时发现网络安全事件线索，及时预警通报重大网络安全威胁，及时处置安全事件，有效防范和打击网络攻击等违法犯罪活动，达到实时态势感知、准确安全监测、及时应急处置等目标，提升政府、企业等组织的风险发现能力，加快风险解决速度。态势感知功能：

全网态势：全网态势基于资产、脆弱性、安全事件、告警等多个维度展示全网整体安全风险情况。全网态势展示的主题包括：资产概况、高危资产、日志源监控/脆弱性信息、3D动态地图、安全事件趋势、告警统计、最新告警、热点事件等。资产态势：资产态势主要包含对保护网络内安全资产总体状况的量化描述。从资产的脆弱性和攻击情况进行展示，包括资产总体情况，如资产总量、脆弱性高危总数、脆弱性总数等、资产漏洞、资产事件排行。脆弱性态势：脆弱性态势主要是从资产脆弱性角度描述被保护网络的安全态势。支持对脆弱性总体情况的实时统计，包括脆弱性关联的网络设备、操作系统及安全设备数量等信息；支持以图形化占比的方式展示漏洞类型的分布情况及漏洞级别分布情况。攻击态势：攻击态势主要从实时攻击角度对被保护网络进行安全态势展示。支持从不同视角了解实时攻击行为，能够以直观的展示方式呈现世界地图中的实时动态攻击行为及在中国地图中实时动态攻击行为，并且支持攻击事件数量统计；支持实时攻击事件的属性信息展示，包括攻击事件发生时间、攻击事件名称、攻击事件级别、源地址、目的地址、设备地址；并支持对攻击事件的检索、查询等。数据采集：系统采集的资产、漏洞、日志、流量等各类数据，多来源于各类探针所上报数据，系统通过netflow、syslog、snmp、file、ftp、jdbc、wmi、ssh、telnet等方式采集探针数据。安全分析安全分析系统包含安全调查、分析建模、安全报告、IP资源管理等，通过规则整合资产相关的告警、攻击信息、行为信息、脆弱性信息进行分析研判构建资产告警分析画像、攻击链画像、行为分析画像、漏洞分析画像，攻击链画像支持按照侦查跟踪、载荷投递、漏洞利用、安装植入、命令控制、横向移动、目标达成、痕迹清理全过程立体展示攻击阶段情况，并支持通过权值计算IP风险。生产网技术体系方案设计设计范围本部分方案以保障智能工厂工业控制系统网络安全为出发点，设计范围为工业控制系统网络，重点从安全技术防护体系设计及安全管理体系两个方面构建整体工业网络安全体系。设计原则遵循《信息安全技术网络安全等级保护基本要求》、《工业控制系统信息安全防护指南》等国家相关法律、法规、条例，从安全技术维度出发，建立智能工厂工业控制系统网络安全防护体系，并遵循以下原则：坚持网络安全中分区分域、区域隔离、区域管控的原则；需求、风险和代价平衡原则；易操作性原则；多重保护原则；适应性和灵活性原则；本设计综合考虑企业需求、承受能力、维护和管理的方便性等因素后所定制。安全域划分设计参照《信息安全技术-网络安全等级保护基本要求》中工控安全要求，根据生产网网络业务情况以及网络结构的特点，对网络进行区域划分。分区标准参照生产控制系统，原则上不同生产区域禁止访问。区域划分后结果如下图所示：安全通信网络设计参照等保2.0三级要求对工业控制系统网络中基于工业协议的报文进行过滤，要求工业控制系统与企业其他系统之间应划分为两个区域，区域间应采用技术隔离手段，实现对系统间的业务访问进行限制，非授权访问禁止通信。管理网与生产网间隔离设计过程中考虑到办公网与互联网连接，且其业务多为监测、分析类业务，不参与生产的实时控制，故在两网边界设计强隔离方式，部署工控网闸，起到工控网络和其他网络之间的物理隔离作用，防止外部攻击和入侵，保证工业制造数据的和工业协议的安全性，可靠性，稳定性和保密性。生产网之间区域隔离考虑到工业控制系统间访问控制手段存在管理层面的制约，造成技术落地困难，故访问控制手段部署于独立控制系统出口，针对访问控制系统流量进行访问控制。本次利用工业防火墙在各区域边界之间进行逻辑隔离，以识别工控网络中已知的安全威胁，根据工艺定义白名单安全策略，对工控网络中的网络通信行为进行细粒度的控制，限制区域间访问控制。在工业控制系统网络中，网络边界防火墙将以最小通过性原则部署配置，根据业务需求采用白名单方式，逐条梳理业务流程，增加开放IP和开放端口，实现严格流量管控。与传统IT访问控制不同，工业中访问控制仅仅基于五元组无法达到预期目的，考虑到国内控制系统较少存在远程控制的情况，故现场控制区区域边界访问控制策略主要针对未授权读取数据，及未授权修改控制器配置、远程访问本地操作站。安全区域边界设计边界隔离、访问控制根据已合理划分的安全域进行分区分域安全防护，原则上在每个安全域边界采取边界隔离措施，配置不同安全域间的安全策略，明确生产网中的不同安全域网络边界，对非授权或越权跨越边界的行为进行阻断并报警。对不同安全域之间的访问流量通过工业防火墙进行访问控制。工控防火墙支持多种访问控制规则、协议深度分析、VPN、流量控制、安全审计等安全防护功能，有效保障自身和工控网络的双重安全。工控网闸对工业控制网中基于工业协议的报文进行过滤，对边界流量进行单向隔离，该隔离为应用层单向即管理中心网对访问控制策略允许的目标设备进行只读操作，禁用基于管理中心网的写操作行为。同时对于非带外数据信息进行过滤，过滤规则与应用流量相同，仅允许管理网进行调用等读取操作。安全审计防护工控审计考虑到控制系统内部整体性，无法实现对于操作行为进行审计，所以在交换机部署审计产品，用来实现对于操作过程的监测。满足对于控制器通信协议的深度解析，即能够还原操作过程，通过对镜像流量内容的还原，识别操作地址、操作时间、操作指令、目标地址、目标寄存器地址以及操作数值内容。对于部分重要设施，监测粒度除越线告警外，增加对于数据变化周期的检测，即开关量变化频率，模拟量变化加速度等维度进行监测，防止类似“震网”类型攻击（写操作数值位于合法区间，但变化频率高，造成底层机械设备的超载。）安全计算环境设计控制设备安全由于我国工业多采用控制系统均