《工业互联网安全》课件第9章-安全案例

工业网络安全建设典型案例

钢铁制造企业安全建设方案1）对控制系统上位机和操作员站采取离线深度病毒查杀方式，对失陷主机进行隔离式病毒处理。2)针对控制系统上位机和操作员站的工业应用环境，采用兼容工业应用软件的工业主机安全防护系统，利用白名单技术阻止控制系统遭到病毒木马和恶意攻击的威胁，确认无误后再接入控制网络。通过工业主机防护控制中心对工业主机终端进行集中策略配置、安全风险管控、终端版本推送、授权管理、以及终端单点维护和功能定制化。3）针对网络异常情况监测和管控手段，部署工业安全监测系统（ISD），实现区域内控制网络安全状况实时反馈，对外部入侵的行为进行告警，智慧矿山工业互联网安全纵深防御体系建设1）在该矿业公司的生产网与办公网之间通过工业网闸实现物理隔离，采用“2+1”双主机+专用隔离模块的标准网闸结构以及工业应用协议隔离技术实现企业网络和工业网络两个安全域之间访问控制、协议转换、内容过滤和信息交换；2）采用兼容工业应用软件的工业主机安全防护系统，利用白名单技术阻止控制系统遭到病毒木马和恶意攻击的威胁。通过工业主机防护控制中心对工业主机终端进行集中策略配置、安全风险管控、终端版本推送、授权管理、以及终端单点维护和功能定制化；3）对井工煤矿工控系统的不同区域的边界采用工业防火墙进行安全隔离。4）对工业环境的资产、异常行为、非法访问等通过工业安全监测系统进行集中监控和安全审计；5）将工业环境的网络安全状态通过工业安全态势感知与管理平台进行“可视化”的呈现。富士康工业互联网平台安全综合防护北京天融信网络安全技术公司提供一套符合富士康工业互联平台业务层级的安全检测防御与安全监测感知一体化的纵深防护体系解决方案，分别从BEACON工业互联网平台的安全边界防护和平台内部安全两个方面进行设计防护，以应对其平台所可能面临的拒绝服务攻击、数据窃取与篡改等安全风险。(1)安全边界防护(2)访问控制与接入管控(3)抗DD0S攻击(4)入侵防范(5)恶意代码防护(6)安全威胁监测防护(7)数据安全防护(8)平台内部安全防护(9)云计算环境安全(10)接入安全(11)BEACON底层计算资源主机安全每一个主机都有自己的安全保障(12)容器安全及镜像防篡改(13)工业微服务安全某汽车制造企业安全解决方案1）在管理网核心交换机和生产网核心交换机之间部署工业防火墙，A网B网冷备，与原有传统防火墙组成全面的边界安全隔离措施，完善网络边界的安全防护；2）在虚拟服务器与生产服务器之间部署工业防火墙，对生产服务器设置对外只读控制策略，防止生产服务器数据被恶意篡改。某先进制造企业安全解决方案1）在CAM终端、工艺终端上安装防病毒软件配合终端安全管理系统，可实现CAM终端、工艺终端的USB、光驱、无线等接口进行严格外设控制；2）对工业控制网络进行安全配置核查审计，对于安全配置较差的设备在保证生产的前提下进行安全配置修改，实现对工控网络设备安全配置进行审计与完善；3）根据数据传递方向在生产管理网与管理网间部署网闸或工业防火墙，在机床前部署CNC防护装置，实现了阻断来自管理网的非法行为和对机床的非法行为的访问控制；4）在生产车间部署工控异常监测系统，实时监测针对工控系统入侵行为及异常行为。5）在机床前端部署适用于工业现场的专用防火墙，对工控异常访问行为及违法操作进行安全防护。6）部署工控信息安全统一管理平台，用于对工业控制环境的统一安全管理。石油炼化行业工控安全案例1）边界防护：生产网控制层的各区域的边界之间部署工业防火墙，实现分层级的安全防护；2）行为审计：在各生产装置DCS系统之间、TS服务器外联网络和工厂广域办公网相连的边界网络设备上旁路各部署一套工业监控审计系统及入侵防范系统，对入侵工控网络的威胁源进行有效检测及监测审计；3）终端防护：终端安装部署USB防御系统及工业安全卫士。4）入侵检测：在DCS系统的TS服务器外联网络，与工厂广域办公网相连的边界网络设备上旁路各部署一套工业监测审计系统和工业入侵检测系统，快速识别系统中存在的非法操作、异常事件等外部攻击，并实时监测、告警；5）日志审计：部署日志审计系统对日志的采集、集