方案架構
嚴格的網絡邊界防護
將信號系統劃分為獨立的安全域,不同安全域之間通過添加防火墻實現邏輯隔離,只允許信號系統和其他互聯系統正常業務的連接和數據能夠通過該網絡邊界,其他非法連接和數據均被禁止。通過在信號系統與外網系統邊界部署協議隔離設備,實現外部系統與信號系統之間的安全隔離,基于白名單方式設置通訊規則,其他非法連接和數據均被禁止,提高系統安全性。實時的入侵檢測防護
在SCADA控制系統內部部署工業入侵檢測系統,對信號系統的安全網、非安全網和維護網的網絡等若干關鍵點收集信息,并分析這些信息,查看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。網絡入侵檢測是防火墻之后的第二道安全閘門,在不影響網絡性能的情況下能對網絡進行監測,從而提供對內部攻擊、外部攻擊、病毒木馬攻擊等行為實時保護。全面的安全審計防護
在SCADA控制系統內部部署日志審計系統,對網絡中的監控系統、信號系統等行為進行審計,以保證觸發審計系統的事件存儲在審計系統內,并且能夠根據存儲的記錄和操作者的權限進行查詢、統計、管理、維護等操作,并且能夠在必要時從記錄中抽取所需要的資料。細粒度的安全運維管控
在SCADA控制系統內部部署運維安全審計系統(堡壘主機)全面禁止廠家通過互聯網遠程運維,通過運維管控平臺集中運維SCADA系統內的網絡設備和服務器設備,并對運維人實名認證,對運維過程能實時監控、實時阻斷、全面審計,實現對SCADA系統運維過程全面管控,符合等保、二次安防等方面的要求。統一的安全管理平臺
在控制中心部署安全管理平臺,實現對信號控制系統部署的所有的安全防護設備進行統一管理和維護,統一的安全策略配置與實施、統一的日志存儲與審計,提高全面的安全態勢感知能力;監測信號系統網絡的通信流量與安全事件,對信號系統網絡內的安全威脅進行分析,從整體視角進行安全事件分析、安全攻擊溯源等,重點解決安全防護設備各自運維而導致的信息不暢和事件處置效率低下等問題。