您好、欢迎来到现金彩票网!
当前位置:九乐棋牌游戏下载 > 网络拓扑 >

工业控制系统边界安全防护建议

发布时间:2019-06-12 08:04 来源:未知 编辑:admin

  随着工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与企业网或互联网互通,使得其他网络的安全风险很容易渗透到工控网络。与此同时,工业生产网内部各业务单元之间如果未采取边界防护措施,一旦某个业务单元遭受病毒感染和恶意公司,将可能蔓延至整个工业网络,造成严重后果。

  工业网络一般分为控制系统、业务局域网以及在某些情况下处于两者之间的监管隔离区(DMZ),与管理网和互联网的连接一般受到控制,独立性较高,因此对于边界的防护分为以下三种情况:

  (1) 工控网络与其他网络没有连接,则需要做好设备自身的安全防护,不需要新增边界防护的设备

  (2) 工控网络与其他网有连接,则需要使用防火墙和网闸等防护设备进行边界防护

  (3) 工控网络与其他网络由连接,且通信实时性要求非常高,则需要企业采取弥补措施或依托专业机构提供定制化的解决方案。

  在部署网络边界防护设备之前,要清晰梳理网络拓扑结构,确认工控网络的内外部边界。除了要对工控网与其他网络之间的边界进行安全防护以外,还需要对工控网络内部各业务单元(功能组)间的边界进行保护,以防止来自内部的攻击以及某些绕过边界防御的攻击(如使用物理设备把恶意软件引入控制系统中等)。

  在识别、划分出工控网络的各个区域以后,还需要:(1)确定每个区域的边界,保障边界防御能够部署在正确的未知;(2)对网络做出必要的变更,以保证网络架构与所定义的区域一致;(3)对区域进行记录,保证策略的制定与执行以及安全配置边界、安全防护设备的准确性。

  为了有效地实现工控网络和其他网络之间的边界安全防护,在每个网络边界处部署一个或多个边界安全设备,包括工业防火墙、工业网闸、单向隔离设备或者企业定制的边界安全防护网关等。

  生产网内部各业务单元的边界防护应采取工业防火墙,根据各业务单元的业务特点、业务需求、安全防护等级等制定不同的安全访问控制策略,保证只有授权的访问操作才能进入到各个区域。

  生产网与其他网络的边界防护可采用网闸、工业防火墙以及结合其业务特点,采取定制化的解决方案。

http://pa305sprints.com/wangluotuopu/205.html
锟斤拷锟斤拷锟斤拷QQ微锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷微锟斤拷
关于我们|联系我们|版权声明|网站地图|
Copyright © 2002-2019 现金彩票 版权所有