珞安科技智能制造行业工控安全解决方案
首页
安全现状核心控制系统依赖进口,存在设备后门;
带病运行已成为常态;
外设管控力度不严。
病毒变种多、传播更快。
对工业控制系统安全性认识不足;
缺乏统一的安全管理平台。
无线传感、机器人等新技术应用带来的威胁;
操作系统升级问题。
工控安全架构
建设方案 - 边界防护物理隔离存在风险:
· L3层生产管理层与L4企业资源层之间,无限制数据交互。生产控制网络与企业管理信息网之间,无限制数据交互,极大提高工业控制网络的安全风险。
防护措施:
· 采用工业安全隔离与信息交换系统保障工业控制区域企业管理区之间的信息交互,满足安全隔离政策和法规要求,也可以提升网间数据交换安全级别,同时提高网间数据交换的效率。
建设方案 - 区域边界逻辑隔离· L1现场控制层、L2过程监控层及L3生产管理
层之间有逻辑互联,一旦个别车间出现高危
病毒和网络攻击,则会影响和破坏会传播至
相邻车间。
防护措施:
· 采用工业防火墙进行区域逻辑隔离,避免系统直接互联,从而规避网络攻击与破坏扩散,将影响面和损失控制在最小范围内(单个车间内)。
建设方案 - 主机防护· 上位机系统、采集机等未安装补丁,防病毒未及时更新,病毒、木马程序极易利用漏洞进行传播与破坏;
· 系统未进行安全配置,极易出现非授权访问、误操
作、缺少必要的审计记录;
· 外设接口无防护措施,病毒容易利用移动介质传播,
以及数据非授权转移。
· 主机安全加固系统采用指纹识别技术可以准确识别非法进程启动,防止恶意程序文件启动,避免系统受到破坏。
建设方案 - USB移动存储介质管控· 上位机USB接口通常仅采用贴封条或者不做任何限制,导致非授信人员任意拷贝生产控制网内的生产数据;
· 操作人员或工程师对USB移动存储介质并未进行病毒查杀就直接接入生产控制网中,可能导致生产业务中断。
防护措施:
· USB安全管理系统对移动存储介质进行病毒查杀,并对全厂各岗位需操作的U盘设置权限,限制敏感生产数据外泄;
· 对同车间需要用到的生产关键工艺材料或可共享文件,可通过USB安全管理系统共享区分享。
建设方案 - 监测审计· 生产网络针对网络渗透、入侵、攻击等行为无法有效检测、告警与分析;
· 对于过程层、现场层利用工业协议进行的操作和数据报文缺乏必要的审计能力和日志收集分析措施,不满足行业要求。
防护措施:
· 通过对过程层、现场层、内网络关键路径部署工控安全审计系统和工控入侵检测系统,能够实现工业通讯协议深度报文解析,对操作动作进行精准分析与记录;同时,针对利用生产系统漏洞而进行的扫描、入侵行为进行实时检测与分析,并提供实时告警。
建设方案 - 日志与运维管理· 工控网络中的网络设备、服务器、数据库、操作站、安全设备的运行状态、告警信息分散在各个设备中,在运维过程中无法及时发现存在故障的设备,不利于及时发现生产安全隐患。
防护措施:
· 通过日志审计系统可以将工控网络中的所有系统、设备运行日志信息进行集中收集和分析,消除孤岛安全事件,通过运维安全审计系统提供运维过程的有效审计,以及运维权限的最小化划分。
建设方案 - 集中管控· 无安全集中管理手段,无资产及漏洞管理手段,不能做到安全风险预测与安全风险感知与集中处置,直接影响生产控制网安全运维效能,也会给安全生产带来不同程度的影响。
防护措施:
· 通过集中安全管理平台和态势感知系统能够实现与现场所有工业防火墙、工控审计、主机卫士等安全产品进行集中统一安全管理,实现策略动态调整、日志集中收集并做关联分析,安全事件溯源,安全防护系统设备的状态监控、配置管理、安全事件集中存储、关联分析、告警与风险处置。
建设方案 - 持续化安全优化· 无持续化安全优化措施,受限于运维人员个人安全技术能力水平,无法准确有效地提供各业务系统或各车间安全现状及相应整改措施;
· 缺乏高级安全威胁无法进行溯源及安全事件分析能力。
防护措施:
· 通过工控漏洞扫描系统可对各工控业务系统或车间的安全现状进行体检,及时掌握“健康情况",并可根据实际业务情况酌情调整安全策略,完善整体安全加固流程。
· 采用高级持续性威胁预警系统针对高级威胁进行快速筛选、评分及关联,分析研判及威胁处置、攻击溯源等工作。
安全管理体系建设按照“十四五”期间网络安全规划和工业控制系统业务建设发展需要,依据网络安全法、网络安全等级保护要求、工控安全防护指南等法律法规,梳理完善单位相应的领导机构,设置与业务需求相适应的管理机构,明确管理和工作人员,落实责任,梳理完善网络安全需要与业务工作相匹配、相平衡的安全管理制度,建设成严谨规范、责任明确、科学合理的安全管理体系。
华南某汽车制造企业工控安全防护项目某新能源汽车公司自成立以来,经过多年发展,已成为全球新能源汽车领域的龙头企业,拥有多家生产基地,年产能40万辆,年均复合增长率超120%,产销稳居行业前三。
该公司生产系统建设时引人西门子、三菱、研华等多家自动化厂商设备,生产系统上位机服务器及操作站均未部署防护软件,存在安全风险,为加强工控生产系统安全防护,需要道过部著高适配性主机安全加固系统保障生产系统的计算环境安全,同时也为生产系统安全、高效、稳定运行保驾护航。
解决方案
安全管理制度
通过建立健全PLC使用管理体系,以管理推动技术,提高整体的网络安全水平,保证业务系统的正常运行,加强对PLC设备及整个网络的管理。
主机安全加固
在操作员站、服务器等主机上部署主机安全加固系统,通过白名单管控技术一键固化系统当前运行环境,阻断工控病毒及其变种等已知和未知病毒木马攻击,细粒度管控外设接口,切断移动介质传播木马的途径。
集中安全管控
在生产网核心交换机处部署工控集中安全管理系统,对主机安全加固系统进行集中管控,统一进行策略配置,集中日志归集,通过对日志的智能分析第一时间判断网络内可能存在的安全风险并下发相应的防御指令。
系统安全巡检
为保证生产厂区工控安全基础系统的平稳运行,定期对车间业务系统进行安全巡检,并依照巡检的实际结果给出相应建议,巡检主要涉及电池、焊装、涂装、总装四个车间,巡检中将对各子系统作全面的运行状态检测和风险排查,为定制安全策略提供参考数据。
华东某汽车制造企业网络安全综合防御体系建设项目某汽车制造企业是我国汽车四大集团阵营企业,集全系列商用车、乘用车、轻型卡车、微型面包车、大中型客车及动力总成研产销和服务于一体,研发实力连续多年保持行业第一,年汽车生产能力达百万辆以上,领跑中国品牌汽车。
某汽车制造企业技照国家、部委和集团相关规定要求,对生产控制网络开展安全防护建设,以满足对生产投制网络多层次、全方位、细度、高可靠、易扩展、易管理的安全需求,搭建能够支撑从终端到网络的工控安全防护体系,改善网络安全现状,实现生产网络的全面防护和动态监控,提升安全防护能力,提高生产效率,打造一个“全生态链、全产业链、全价值链”的综合性汽车生产安全运营平台。
解决方案
网络安全区域规划
为体现重点保护重要信息系统安全,有效控制信息安全建设成本,优化信息安全资源配置,将工厂网络分为互联网区域、办公网区域、生产网区域、生产管理网区域。
边界安全防护
在工控系统主机环境与通信网络之间部署工业防火墙,对用户访问时的网络访问控制、过滤防护、入侵防范,安全审计、完整性防护、网络设备自身保护等方面进行安全防护。
终端安全防护
在生产网络终端部署主机安全加固系统、工控安全审计系统,对终端设备进行漏洞扫描、网络入侵检测,实时和定时防病毒检测,安装安全补丁,使用日志审计与分析系统管理系统日志,实现强身份鉴别、强制访问控制、程序可信执行保护、恶意代码防护。
网络安全集中管理
在安全管理中心部署工控集中安全管理系统、工控漏洞扫描系统、高级持续性威胁预警系统,从不同维度进行纵深防御,通过工控集中安全管理系统对防护设备和软件进行统一管理,形成防护合力,构成纵深防护的整体,以达到协同联动抵御网络攻击的目的。
华北某生物制品公司工业控制系统网络安全项目某生物制品公司是国家卫生防疫和血湾疫苗研究与生产的专门机构,承担着疫苗等制品研发和生产的重要任务,读公司工业控制系统自投运以来,从优化生产角度对网络进行了多次改造,但由于网络安全考虑不足,安全风险日渐凸显。基于国家网络安全政策相关法律法规要求,针对目前整个工业控制系统中存在的安全隐患,特委托我司对“工业控制系统”网络进行安全升级改造。
本项目信息系统安全防护建设建情最新等众保护标准,充分考虑了安全建设与现有的安全设备、业务系统的兼咨性需求,综合客户网络及机房当前现状采取相应网络安全防护措施,抵如网络攻击,保障现场工业控制系统安全和稳定的运行。
解决方案
区域边界隔离
在各车间汇聚交换机与次核心侧交换机边界部署工业防火墙,通过对主流工业协议的深度解析,综合运用工控威胁特征识别技术机器自学习与可信白名单技术,在提高防火墙的网络层控制和状态监控能力的同时,有效抵御各类针对工控系统的网络攻击和恶意破坏,为生产控制系统的稳定运行提供安全保障。
数据安全交换
在核心层和次核心层边界部署工业安全隔离与信息交换系统,由内、外网处理单元和安全数据交换单元组成。安全数据交换单元在内、外网主机间按照指定的周期进行数据的安全摆渡,从而在保证内外网隔离的情况下,实现可靠、高效的安全数据交换,在保障用户工业网络及系统安全性的同时,最大限度保证用户应用的便捷性。
中国某钢铁集团有限公司网络等级保护安全建设项目中国某树铁集团有限公司是中央直接管理的国有重要骨干企业,总部位于上海,2020年,被国务院国资委纳入中央企业创建世界一流示范企业;2022年,获批成为国有资本投资公司,启动新型低碳合金现代产业链“链长建设工作,2022年,宝武资产规横达132万亿元,钢产量1.3亿吨,营业总收入1.2万亿元,员工总数2623万,在2023年公布的《财富》世界500强排行榜位列44位,继续位居全球钢铁企业首位。
解决方案
数据安全交换
在核心层和次核心层边界部署工业安全隔离与信息交换系统,由内、外网处理单元和安全数据交换单元组成。安全数据交换单元在内、外网主机间按照指定的周期进行数据的安全摆渡,从而在保证内外网隔离的情况下,实现可靠、高效的安全数据交换,在保障用户工业网络及系统安全性的同时,最大限度保证用户应用的便捷性。
区域边界隔离
在各车间汇聚交换机与MES网部署工业防火墙,通过对主流工业协议的深度解析,综合运用工控威胁特征识别技术、机器自学习与可信白名单技术,在提高防火墙的网络层控制和状态监控能力的同时,有效抵御各类针对工控系统的网络攻击和恶意破坏,为生产控制系统的稳定运行提供安全保障。
终端安全防护
在生产网络终端部署珞安卫士系统、工控入侵检测系统和工控安全审计系统,网络入侵检测,实时和定时防病毒检测,安装安全补丁;使用日志审计与分析系统管理系统日志,实现强身份鉴别、强制访问控制、程序可信执行保护、恶意代码防护。
网络安全集中管理
在综合运维管理区部署工控漏洞扫描、工控集中安全管理系统和工业安全态势分析系统,从不同维度进行纵深防御,通过工控集中安全管理系统对防护设备和软件进行统一管理,形成防护合力,构成纵深防护的整体,以达到协同联动抵御网络攻击的目的。
典型客户
北京珞安科技有限责任公司工业网络空间安全的创新型高科技企业和国家级专精特新“小巨人”企业
珞安科技成立于2016年,秉承“守护工业网络空间安全,为国家关键信息基础设施安全保驾护航”的企业使命,聚集国内工业网络空间安全领域顶尖人才,组建工业网络空间安全研究实验室及工控安全专家团队。
以零信任理念和体系化思想为指导,自主研发了“实战化、易部署、易维护”工控网络安全产品体系,全面覆盖工控安全、业务安全和工业互联网安全,构建了资产可见、威胁可感、安全可视、攻击可溯、主动防御的工业网络空间安全防护体系。
业务优势
在关键信息基础设施的安全防护方面,具备电力、石油石化、油气管道的专用信息安全防护产品。
自主可控能力
关键安全软硬件设备与海光、飞腾、龙芯等国产CPU进行了兼容性适配,与统信、麒麟、凝思等操作系统进行了互认检测认证,基础层面实现安全的自主可控。
科研创新能力
与工信部、信通院、电科院等国家部委、科研院所,以及大型央企、国企开展广泛的技术创新战略合作,形成大量科研成果,并转化成实际应用。
全栈服务能力
提供全天候产品软硬件技术支持服务、全行业安全解决方案及实施服务、全方位安全风险评估及渗透测试服务全方面多层次安全规划设计服务,全员安全培训及能力提升服务等。
项目交付能力
单次项目上万台套软硬件安装部署实施经验,具备大型、超大型项目的设计、供货、实施等项目交付能力。
产品推荐
