在采用IT細分方法進行安全加固的實際操作中,成本會自然增加。步就是重新配置OT網(wǎng)絡(luò)中的每個設(shè)備。這可能需要調(diào)整數(shù)百個設(shè)備的IP地址。而且對于ICS這通常需要停機和大量的工作,包括繪制OT網(wǎng)絡(luò)圖,使用管道和儀表圖(P&ID)等,但這些需要及時驗證、更新,而且是一個比較困難、復雜、消耗時間的工作。這一切都是為了ICS的細分安全。除了初始設(shè)置之外,必須隨著時間的推移保持ICS細分的IT方法的有效性。實際上,這些防火墻通常根本不起作用,規(guī)則都是關(guān)閉的,沒有人能保持它們是新的。因此,建立和維護防火墻規(guī)則是對生產(chǎn)運營團隊的另一個巨大挑戰(zhàn)。寬域KYSOC-5000,采集裝置對網(wǎng)絡(luò)安全數(shù)據(jù)進行采集、分析處理,將采集的數(shù)據(jù)發(fā)送到主站。工業(yè)隔離裝置工控網(wǎng)安生產(chǎn)制造廠家
二、寬域工業(yè)大數(shù)據(jù)的采集——過程控制層現(xiàn)場設(shè)備層只會呈現(xiàn)設(shè)備的狀態(tài),如果沒有采集和傳輸,只會停留在設(shè)備層,獲取數(shù)據(jù)時,需要大量的人工采集、登記、分析、校正和篩選,損耗時間、物料和人力資源,還會出現(xiàn)數(shù)據(jù)錯誤的可能性。通過數(shù)據(jù)的實時采集,才讓設(shè)備端的狀態(tài)真實呈現(xiàn),這個階段介于設(shè)備與采集之間的過程控制,這個階段不需要添加網(wǎng)絡(luò)安全防護。煤炭的工控主站系統(tǒng)一般處于相對封閉的網(wǎng)絡(luò),隨著“兩化”(信息化與工業(yè)化)的深度融合,工控系統(tǒng)正越來越多的使用通用協(xié)議、通用操作系統(tǒng)、通用硬件和軟件。由于以太網(wǎng)、無線設(shè)備無處不在,整個煤炭控制系統(tǒng)都可以和遠程終端進行互聯(lián),病毒、木馬、蠕蟲等信息網(wǎng)絡(luò)完全問題直接延伸到工控系統(tǒng),因此面臨極大的信息安全隱患。冶金工控安全審計系統(tǒng)工控網(wǎng)安寬域KYSOC-5000工控網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng),采用閉環(huán)設(shè)計的安全事件的溯源和分析。
ICS網(wǎng)絡(luò)內(nèi)的細分可能是具有挑戰(zhàn)性和高成本的。首先需要對ICS網(wǎng)絡(luò)和設(shè)備有深入的了解——在ICS環(huán)境中通常有數(shù)百個系統(tǒng)或設(shè)備。在ICS網(wǎng)絡(luò)中實現(xiàn)細分可能需要花費相當多的時間和精力、甚至可能需要停機,從長遠來看可以降低組織的成本。此外,許多組織缺乏開展這些項目所需的專業(yè)知識和協(xié)調(diào)能力。IT專業(yè)人員傳統(tǒng)上利用IT設(shè)備實現(xiàn)網(wǎng)絡(luò)細分,但ICS網(wǎng)絡(luò)由運營人員管理,他們通常沒有相同級別的網(wǎng)絡(luò)安全經(jīng)驗或培訓。沒有密切的協(xié)調(diào)關(guān)注,在ICS網(wǎng)絡(luò)中細分是不可能的。ICS環(huán)境對設(shè)備的要求與IT環(huán)境不同。這些ICS環(huán)境需要承受嚴苛的工作環(huán)境,這就導致傳統(tǒng)IT設(shè)備是無法勝任的。但是細分是可以實現(xiàn)的,這就是生產(chǎn)企業(yè)應(yīng)該細分OT網(wǎng)絡(luò)的原因。
很多制造企業(yè)在著手加強網(wǎng)絡(luò)安全防御,并努力實施基礎(chǔ)性的安全工作,如修補老系統(tǒng)中的安全漏洞。但大多數(shù)企業(yè)防護都無法于攻擊者。傳統(tǒng)安全防御所基于的基本假設(shè)是:通過防護可以將攻擊者拒之門外。事實并非如此,否則我們就不會看到頻發(fā)的網(wǎng)絡(luò)安全事件了。業(yè)界對傳統(tǒng)的“城堡和護城河”防御模式的弊端已經(jīng)形成了共識,現(xiàn)在必須考慮新的安全防護方式了。首先,需要基于內(nèi)生安全的理念,提升制造企業(yè)IT與OT系統(tǒng)的自身防護能力,推動安全從規(guī)劃、設(shè)計開始。這意味著,需要構(gòu)建智能制造的“內(nèi)生安全”,把單一的圍墻式防護,變成與業(yè)務(wù)系統(tǒng)融合的多重、多維度防御。內(nèi)生安全要求信息系統(tǒng)的安全體系具有自我免疫、內(nèi)外兼修、自我進化的三大特點。寬域CDKY-FID4000工業(yè)隔離裝置,通過公安部安全與警用電子產(chǎn)品質(zhì)量檢測中心檢測。
寬域工業(yè)企業(yè)可以采用特定的寬域工業(yè)防火墻實現(xiàn)ICS細分,類似于IT細分方法。在典型的ICS網(wǎng)絡(luò)中,假設(shè)這三個流程是這個網(wǎng)絡(luò)上的三個關(guān)鍵資產(chǎn)。無需重新梳理或重新設(shè)計任何東西,就可以添加一個臨時的ICS寬域工業(yè)防火墻,而不是IT防火墻。此ICS寬域工業(yè)防火墻可以監(jiān)控ICS網(wǎng)絡(luò),阻斷所有未經(jīng)授權(quán)的流量,對異常流量發(fā)出警報,并允許經(jīng)過授權(quán)的流量通過。這種方法使作業(yè)者能夠更好地控制每個ICS細分點或區(qū)域。例如,如果過程A有一個本地HMI,操作員可以本地設(shè)置,使HMI只能與過程A的PLC、安全系統(tǒng)和RTU通信。此外,使用ICS寬域工業(yè)防火墻,操作員可以清楚地定義和批準HMI和PLC、安全系統(tǒng)和RTU之間的授權(quán)流量。使用這種專門構(gòu)建的ICS細分方法,不需要重置或重新規(guī)劃任何設(shè)備或分配新的IP地址。寬域CDKY-2000S工控安全審計系統(tǒng),識別已知的攻擊活動并告警。石油化工工控防火墻工控網(wǎng)安批發(fā)價格
寬域CDKY-OSH8000兼容windows、linux、aix、hp-ux、solaris。工業(yè)隔離裝置工控網(wǎng)安生產(chǎn)制造廠家
后,這種細分的IT方法并不總是適合寬域工業(yè)操作。例如,如果用戶的HMI位于防火墻之外,會發(fā)生什么情況?那在HMI和每個流程之間都要保留雙向的業(yè)務(wù)或者為現(xiàn)場分別配置一個HMI。ICS細分的IT方法是有益的,可以與借助防火墻一起協(xié)同工作。但在實踐中,特別是對針對控制、可用性和可靠性的操作,棘手的問題莫過于隨著時間的推移進行重新梳理、設(shè)計所有資產(chǎn)并進行維護。通過對ICS的市場的深入分析,自主研發(fā)了安全細分的寬域工業(yè)防火墻產(chǎn)品。該產(chǎn)品通過多方位立體化的需求分析并結(jié)合細分方法論進行設(shè)計研發(fā),符合中國工控安全市場的實際需求,可廣泛應(yīng)用于電力、石油、石化、、水利、軌道交通、智能制造等領(lǐng)域,為SCADA、DCS、PLC、以及智能終端等系統(tǒng)提供高效可靠的安全防護,滿足行業(yè)政策法規(guī)及安全技術(shù)要求。工業(yè)隔離裝置工控網(wǎng)安生產(chǎn)制造廠家
上海寬域工業(yè)網(wǎng)絡(luò)設(shè)備有限公司是一家集生產(chǎn)科研、加工、銷售為一體的高新技術(shù)企業(yè),公司成立于2010-07-19,位于園豐路69號3幢5層。公司誠實守信,真誠為客戶提供服務(wù)。公司業(yè)務(wù)不斷豐富,主要經(jīng)營的業(yè)務(wù)包括:工業(yè)交換機,衛(wèi)星同步時鐘,工控機,5G CPE等多系列產(chǎn)品和服務(wù)??梢愿鶕?jù)客戶需求開發(fā)出多種不同功能的產(chǎn)品,深受客戶的好評。公司會針對不同客戶的要求,不斷研發(fā)和開發(fā)適合市場需求、客戶需求的產(chǎn)品。公司產(chǎn)品應(yīng)用領(lǐng)域廣,實用性強,得到工業(yè)交換機,衛(wèi)星同步時鐘,工控機,5G CPE客戶支持和信賴。在市場競爭日趨激烈的現(xiàn)在,我們承諾保證工業(yè)交換機,衛(wèi)星同步時鐘,工控機,5G CPE質(zhì)量和服務(wù),再創(chuàng)佳績是我們一直的追求,我們真誠的為客戶提供真誠的服務(wù),歡迎各位新老客戶來我公司參觀指導。