Image
   熱線電(diàn)話(huà):

    400-0351-366

Image

解決方案

Image

SOLUTION

                                                                                                          煤礦行業(yè)工(gōng)業(yè)控制系統安全防護解決方案  

一、背景情況  
       煤炭工(gōng)業(yè)控制系統是整個(gè)煤炭企業(yè)安全生(shēng)産監控系統信息的(de)集成,它需要一個(gè)快速、安全、可靠的(de)網絡平台為(wèi)大量的(de)信息流動提供支撐,同時(shí)要有(yǒu)一個(gè)功能全面的(de)安全生(shēng)産信息應用系統為(wèi)礦井安全生(shēng)産提供科(kē)學調度、決策的(de)依據。做好(hǎo)煤炭企業(yè)工(gōng)控安全建設是實現(xiàn)生(shēng)産安全的(de)必要保障。  

       綜合自(zì)動化(huà)系統是指在工(gōng)業(yè)生(shēng)産、管理(lǐ)、經營過程中,通(tōng)過信息基礎設施,在集成平台上(shàng),實現(xiàn)信息的(de)采集、信息的(de)傳輸、信息的(de)處理(lǐ)以及信息的(de)綜合利用等。将先進和(hé)自(zì)動控制、通(tōng)訊、信息技(jì)術和(hé)現(xiàn)化(huà)管理(lǐ)技(jì)術結合,将企業(yè)的(de)生(shēng)産過程控制、運行與管理(lǐ)作(zuò)為(wèi)一個(gè)整體(tǐ)進行控制與管理(lǐ),提供整體(tǐ)解決方案,以實現(xiàn)企業(yè)的(de)優化(huà)運行、控制和(hé)管理(lǐ)。  

二、安全分析  

(1)缺乏整體(tǐ)信息安全規劃;  

(2)缺乏工(gōng)控安全管理(lǐ)制度、應急預案、培訓與意識培養;  

(3)調度人(rén)員(yuán)有(yǒu)時(shí)通(tōng)過連通(tōng)互聯網的(de)手機(jī)在調度室主機(jī)U口上(shàng)充電(diàn),導緻生(shēng)産網絡通(tōng)過手機(jī)被打通(tōng),造成邊界模糊。  

(4)主機(jī)操作(zuò)系統老(lǎo)舊(jiù),從(cóng)不升級,極易出現(xiàn)安全漏洞和(hé)缺陷;新建系統主機(jī)雖然會安裝殺毒軟件(jiàn),但(dàn)是為(wèi)保障生(shēng)産運行,殺毒軟件(jiàn)一般處于關閉狀态,這(zhè)些都(dōu)存在安全隐患,無法防禦“0-DAY”病毒和(hé)勒索病毒。  

(5)調度人(rén)員(yuán)或運維人(rén)員(yuán)使用帶有(yǒu)病毒的(de)U盤插入主機(jī)中,造成整個(gè)網絡感染病毒。  

(6)煤炭生(shēng)産現(xiàn)場(chǎng)PLC多為(wèi)西(xī)門子(zǐ)或AB的(de)産品,而PLC本身(shēn)存在漏洞,西(xī)門子(zǐ)和(hé)AB近(jìn)些年(nián)被曝出存在高(gāo)危漏洞,攻擊者可以利用漏洞控制現(xiàn)場(chǎng)設備,執行錯(cuò)誤命令,嚴重影響安全生(shēng)産。  

(7)黑(hēi)客也可通(tōng)過技(jì)術手段潛入生(shēng)産網絡,獲取關鍵生(shēng)産數據,牟取利益。  



三、煤礦行業(yè)工(gōng)控系統安全防護解決方案  

安全防護原則  

(1)安全分區(qū)  

       對(duì)于生(shēng)産網絡與辦公網絡、企業(yè)集團內(nèi)網存在互聯互通(tōng)的(de)現(xiàn)象,首先需要進行網絡優化(huà),明(míng)确生(shēng)産網絡邊界,盡量避免多個(gè)生(shēng)産網絡邊界的(de)現(xiàn)象。  

(2)安全審計(jì)  

       對(duì)生(shēng)産網絡內(nèi)部的(de)日(rì)常操作(zuò)行為(wèi)進行基于白名單策略監控,及時(shí)發現(xiàn)網絡中存在的(de)異常流量、違規操作(zuò)、非法訪問(wèn)、惡意程序等異常行為(wèi),并要求對(duì)生(shēng)産網絡的(de)運行日(rì)志(zhì)進行記錄保存,至少保留6個(gè)月(yuè);對(duì)于已經發生(shēng)攻擊事(shì)件(jiàn)的(de)情況,要求可以對(duì)攻擊事(shì)件(jiàn)進行追蹤、溯源,定位網絡攻擊的(de)位置或具體(tǐ)用戶。  

(3)邊界防護  

       根據業(yè)務網絡實際情況,在生(shēng)産網絡外(wài)部邊界處部署工(gōng)業(yè)防火牆或單向隔離網閘設備,保證生(shēng)産網絡向辦公網絡或其他(tā)外(wài)部網絡數據單向傳輸。工(gōng)業(yè)控制系統上(shàng)位操作(zuò)主機(jī)(操作(zuò)站、工(gōng)程師(shī)站、服務器(qì))作(zuò)為(wèi)生(shēng)産網絡的(de)內(nèi)部邊界,需要對(duì)用戶登陸、操作(zuò)、運行等行為(wèi)進行安全監控與審計(jì),并對(duì)通(tōng)過上(shàng)位主機(jī)外(wài)設接口與生(shēng)産網絡進行數據通(tōng)訊的(de)行為(wèi)進行授權管理(lǐ)。  

(4)惡意代碼防範  

       對(duì)于以“白名單”防護策略為(wèi)主的(de)工(gōng)控安全防護方案,除了對(duì)外(wài)部網絡邊界進行有(yǒu)效的(de)訪問(wèn)控制和(hé)威脅監測以外(wài),需要對(duì)上(shàng)位主機(jī)的(de)USB接口使用過程進行安全有(yǒu)效管理(lǐ),對(duì)于臨時(shí)接入工(gōng)控網絡的(de)移動存儲設備,必須先進行病毒查殺,才可以使用。  

具體(tǐ)方案  

Ø    部署工(gōng)控安全綜合監管平台、工(gōng)業(yè)安全防火牆,深度解析工(gōng)控協議(yì),防範非法訪問(wèn),迅速檢測異常網絡節點,及時(shí)預警,并監控工(gōng)業(yè)防火牆運行狀态,實時(shí)獲取工(gōng)控網安全事(shì)件(jiàn)日(rì)志(zhì)和(hé)報警任務;  

Ø    在操作(zuò)員(yuán)站和(hé)工(gōng)程師(shī)站部署工(gōng)控主機(jī)安全防護系統,防範非法程序和(hé)應用以及未經授權的(de)任何行為(wèi);  

Ø    部署堡壘機(jī)及工(gōng)控安全綜合審計(jì)系統,對(duì)違規操作(zuò)行為(wèi)進行控制和(hé)審計(jì),保障網絡和(hé)數據不受外(wài)部和(hé)內(nèi)部用戶的(de)入侵和(hé)破壞;  

Ø    采用工(gōng)控安全隔離網閘設備,物(wù)理(lǐ)隔離煤礦辦公網和(hé)生(shēng)産網,提供兩網數據交換安全通(tōng)道(dào),阻止來(lái)自(zì)上(shàng)層網絡的(de)非法訪問(wèn)以及病毒和(hé)惡意代碼的(de)傳播。

                                                                                                                    焦化(huà)工(gōng)業(yè)控制系統安全防護解決方案  

一、背景情況  
       焦化(huà)企業(yè)普遍采用基于信息網、管理(lǐ)網和(hé)控制網三層架構的(de)的(de)管控一體(tǐ)化(huà)信息模型,焦化(huà)企業(yè)是典型的(de)資金(jīn)和(hé)技(jì)術密集型企業(yè),生(shēng)産的(de)連續性很(hěn)強,裝置和(hé)重要設備的(de)意外(wài)停産都(dōu)會導緻巨大的(de)經濟損失,因此生(shēng)産過程控制大多采用DCS等先進的(de)控制系統,且以國(guó)外(wài)廠(chǎng)商為(wèi)主。經過多年(nián)的(de)發展,焦化(huà)行業(yè)信息化(huà)建設已經有(yǒu)了較好(hǎo)的(de)基礎,企業(yè)在管理(lǐ)層的(de)指揮、協調和(hé)監控能力在實時(shí)性、完整性和(hé)一緻性上(shàng)都(dōu)有(yǒu)了很(hěn)大的(de)提升,相(xiàng)應的(de)網絡安全防護也有(yǒu)了較大提高(gāo)。随着焦化(huà)企業(yè)管控一體(tǐ)化(huà)的(de)實現(xiàn),越來(lái)越多的(de)控制網絡系統通(tōng)過信息網絡連接到互聯上(shàng),潛在的(de)威脅就越來(lái)越大。  

二、安全分析  
(1)控制網絡與管理(lǐ)網絡互聯,存在來(lái)自(zì)上(shàng)層網絡的(de)安全威脅存在。  

(2)存在來(lái)自(zì)工(gōng)作(zuò)站(接入U盤、便攜設備等)的(de)病毒傳染隐患。  

(3)網絡中沒有(yǒu)設置安全監控平台,無法對(duì)網絡安全事(shì)故進行預警和(hé)分析,影響問(wèn)題識别和(hé)系統修複效率。  

(4)控制系統缺少分級、分區(qū)的(de)安全防護,容易受到信息網絡及相(xiàng)鄰系統的(de)潛在威脅。  

(5)對(duì)違規操作(zuò)缺乏控制和(hé)審計(jì)。  

三、焦化(huà)行業(yè)工(gōng)控系統安全防護解決方案  
防護原則  

(1)安全分區(qū)  

對(duì)于生(shēng)産網絡與辦公網絡、企業(yè)集團內(nèi)網存在互聯互通(tōng)的(de)現(xiàn)象,首先需要進行網絡優化(huà),明(míng)确生(shēng)産網絡邊界,盡量避免多個(gè)生(shēng)産網絡邊界的(de)現(xiàn)象。  

(2)安全審計(jì)  

對(duì)生(shēng)産網絡內(nèi)部的(de)日(rì)常操作(zuò)行為(wèi)進行基于白名單策略監控,及時(shí)發現(xiàn)網絡中存在的(de)異常流量、違規操作(zuò)、非法訪問(wèn)、惡意程序等異常行為(wèi),并要求對(duì)生(shēng)産網絡的(de)運行日(rì)志(zhì)進行記錄保存,至少保留6個(gè)月(yuè);對(duì)于已經發生(shēng)攻擊事(shì)件(jiàn)的(de)情況,要求可以對(duì)攻擊事(shì)件(jiàn)進行追蹤、溯源,定位網絡攻擊的(de)位置或具體(tǐ)用戶。  

(3)邊界防護  

根據業(yè)務網絡實際情況,在生(shēng)産網絡外(wài)部邊界處部署工(gōng)業(yè)防火牆或單向隔離網閘設備,保證生(shēng)産網絡向辦公網絡或其他(tā)外(wài)部網絡數據單向傳輸。工(gōng)業(yè)控制系統上(shàng)位操作(zuò)主機(jī)(操作(zuò)站、工(gōng)程師(shī)站、服務器(qì))作(zuò)為(wèi)生(shēng)産網絡的(de)內(nèi)部邊界,需要對(duì)用戶登陸、操作(zuò)、運行等行為(wèi)進行安全監控與審計(jì),并對(duì)通(tōng)過上(shàng)位主機(jī)外(wài)設接口與生(shēng)産網絡進行數據通(tōng)訊的(de)行為(wèi)進行授權管理(lǐ)。  

(4)惡意代碼防範  

對(duì)于以“白名單”防護策略為(wèi)主的(de)工(gōng)控安全防護方案,除了對(duì)外(wài)部網絡邊界進行有(yǒu)效的(de)訪問(wèn)控制和(hé)威脅監測以外(wài),需要對(duì)上(shàng)位主機(jī)的(de)USB接口使用過程進行安全有(yǒu)效管理(lǐ),對(duì)于臨時(shí)接入工(gōng)控網絡的(de)移動存儲設備,必須先進行病毒查殺,才可以使用。  

具體(tǐ)方案  

(1)根據焦化(huà)行業(yè)的(de)網絡拓撲圖,結合相(xiàng)關标準及技(jì)術規範與要求,将整個(gè)網絡劃分為(wèi)操作(zuò)管理(lǐ)層、現(xiàn)場(chǎng)監控層、生(shēng)産控制層和(hé)生(shēng)産執行層四個(gè)區(qū)域。  

(2)在現(xiàn)有(yǒu)網絡架構下(xià),協同部署工(gōng)控系統安全防護産品,全面防護包括OPC數據采集、控制設備和(hé)工(gōng)程師(shī)工(gōng)作(zuò)站的(de)安全。  

(3)采用工(gōng)控網絡隔離網關設備隔離內(nèi)外(wài)網,提供內(nèi)外(wài)網數據交換安全通(tōng)道(dào),阻止來(lái)自(zì)上(shàng)層網絡的(de)非法訪問(wèn)、病毒及惡意代碼的(de)傳播。  

(4)部署分布式工(gōng)業(yè)防火牆和(hé)工(gōng)控安全監控平台,深度解析多種工(gōng)控協議(yì),防範非法訪問(wèn),迅速檢測異常網絡節點,及時(shí)預警,并監控工(gōng)業(yè)防火牆工(gōng)作(zuò)狀态,實時(shí)獲取工(gōng)控網絡安全事(shì)件(jiàn)日(rì)志(zhì)和(hé)報警任務。  

(5)在工(gōng)作(zuò)站應用工(gōng)控安全主機(jī)防護系統,防範非法程序、應用以及未經授權的(de)任何行為(wèi),給予終端計(jì)算(suàn)機(jī)全生(shēng)命周期的(de)安全防護。  

(6)在操作(zuò)管理(lǐ)層部署審計(jì)平台和(hé)堡壘機(jī),對(duì)違規操作(zuò)行為(wèi)進行控制和(hé)審計(jì),保障網絡和(hé)數據不受外(wài)部和(hé)內(nèi)部用戶的(de)入侵和(hé)破壞。

                                                                                                                 冶金(jīn)鋼鐵(tiě)工(gōng)業(yè)控制系統安全防護解決方案  

一、背景情況  
       冶金(jīn)鋼鐵(tiě)行業(yè)工(gōng)業(yè)以太網一般采用環網結構,為(wèi)實時(shí)控制網,負責控制器(qì)、操作(zuò)站和(hé)工(gōng)程師(shī)站之間(jiān)過程控制數據實時(shí)通(tōng)訊,網絡上(shàng)所有(yǒu)操作(zuò)站、數采機(jī)和(hé)PLC都(dōu)采用以太網接口,網絡中遠(yuǎn)距離傳輸介質為(wèi)光(guāng)纜,本地(dì)傳輸介質為(wèi)網線(如PLC與操作(zuò)站之間(jiān))。生(shēng)産監控主機(jī)利用雙網卡結構與管理(lǐ)網互聯。  

二、安全分析  
(1)鋼鐵(tiě)冶金(jīn)企業(yè)沒有(yǒu)對(duì)其內(nèi)部生(shēng)産控制系統及網絡進行分區(qū)、分層,無法将惡意軟件(jiàn)、黑(hēi)客攻擊、非法操作(zuò)等行為(wèi)控制在特定區(qū)域內(nèi),易發生(shēng)全局性網絡安全風(fēng)險。  

(2)分廠(chǎng)控制網絡采用同網段組網,PLC、DCS等重要控制系統缺乏安全防護和(hé)訪問(wèn)控制措施。  

(3)各分廠(chǎng)控制網與骨幹環網之間(jiān)無隔離防護措施。  

(4)鋼鐵(tiě)冶金(jīn)企業(yè)辦公網和(hé)生(shēng)産監控網之間(jiān)無物(wù)理(lǐ)隔離措施,導緻病毒、木馬、黑(hēi)客攻擊等極易以辦公網為(wèi)跳(tiào)闆對(duì)生(shēng)産控制系統發起攻擊。  

(5)由于鋼鐵(tiě)冶金(jīn)企業(yè)控制流程複雜(zá)、設備種類繁多、通(tōng)信協議(yì)多樣,導緻采集數據安全性無法得到保障。  

(6)鋼鐵(tiě)冶金(jīn)企業(yè)內(nèi)部控制系統及網絡缺乏安全監測與審計(jì)措施,無法及時(shí)發現(xiàn)非法訪問(wèn)、非法操作(zuò)、惡意攻擊等行為(wèi)。  

(7)鋼鐵(tiě)冶金(jīn)企業(yè)內(nèi)部缺乏統一的(de)安全管理(lǐ)平台。  

三、冶金(jīn)鋼鐵(tiě)行業(yè)工(gōng)控系統安全防護解決方案  
防護原則  

(1)安全分區(qū)  

       對(duì)于生(shēng)産網絡與辦公網絡、企業(yè)集團內(nèi)網存在互聯互通(tōng)的(de)現(xiàn)象,首先需要進行網絡優化(huà),明(míng)确生(shēng)産網絡邊界,盡量避免多個(gè)生(shēng)産網絡邊界的(de)現(xiàn)象。  

(2)安全審計(jì)  

       對(duì)生(shēng)産網絡內(nèi)部的(de)日(rì)常操作(zuò)行為(wèi)進行基于白名單策略監控,及時(shí)發現(xiàn)網絡中存在的(de)異常流量、違規操作(zuò)、非法訪問(wèn)、惡意程序等異常行為(wèi),并要求對(duì)生(shēng)産網絡的(de)運行日(rì)志(zhì)進行記錄保存,至少保留6個(gè)月(yuè);對(duì)于已經發生(shēng)攻擊事(shì)件(jiàn)的(de)情況,要求可以對(duì)攻擊事(shì)件(jiàn)進行追蹤、溯源,定位網絡攻擊的(de)位置或具體(tǐ)用戶。  

(3)邊界防護  

       根據業(yè)務網絡實際情況,在生(shēng)産網絡外(wài)部邊界處部署工(gōng)業(yè)防火牆或單向隔離網閘設備,保證生(shēng)産網絡向辦公網絡或其他(tā)外(wài)部網絡數據單向傳輸。工(gōng)業(yè)控制系統上(shàng)位操作(zuò)主機(jī)(操作(zuò)站、工(gōng)程師(shī)站、服務器(qì))作(zuò)為(wèi)生(shēng)産網絡的(de)內(nèi)部邊界,需要對(duì)用戶登陸、操作(zuò)、運行等行為(wèi)進行安全監控與審計(jì),并對(duì)通(tōng)過上(shàng)位主機(jī)外(wài)設接口與生(shēng)産網絡進行數據通(tōng)訊的(de)行為(wèi)進行授權管理(lǐ)。  

(4)惡意代碼防範  

       對(duì)于以“白名單”防護策略為(wèi)主的(de)工(gōng)控安全防護方案,除了對(duì)外(wài)部網絡邊界進行有(yǒu)效的(de)訪問(wèn)控制和(hé)威脅監測以外(wài),需要對(duì)上(shàng)位主機(jī)的(de)USB接口使用過程進行安全有(yǒu)效管理(lǐ),對(duì)于臨時(shí)接入工(gōng)控網絡的(de)移動存儲設備,必須先進行病毒查殺,才可以使用。  

具體(tǐ)方案  

(1)部署工(gōng)控安全監控系統和(hé)工(gōng)業(yè)防火牆,對(duì)工(gōng)控協議(yì)深度解析,防範非法訪問(wèn),迅速檢測異常網絡節點,及時(shí)預警,并監控工(gōng)業(yè)防火牆工(gōng)作(zuò)狀态,實時(shí)獲取工(gōng)控網安全事(shì)件(jiàn)日(rì)志(zhì)和(hé)報警任務,保障PLC設備和(hé)各服務器(qì)安全。  

(2)在各高(gāo)爐操作(zuò)站和(hé)工(gōng)程師(shī)站應用工(gōng)控安全主機(jī)防護系統,防範非法程序和(hé)應用以及未經授權的(de)任何行為(wèi)。  

(3)部署堡壘機(jī)及工(gōng)控安全綜合審計(jì)系統,對(duì)違規操作(zuò)行為(wèi)進行控制和(hé)審計(jì),保障網絡和(hé)數據不受外(wài)部和(hé)內(nèi)部用戶的(de)入侵和(hé)破壞。  

(4)采用工(gōng)控網絡隔離網關設備隔離生(shēng)産控制網和(hé)控制子(zǐ)站環網,提供兩網數據交換安全通(tōng)道(dào),阻止來(lái)自(zì)上(shàng)層網絡的(de)非法訪問(wèn)以及病毒和(hé)惡意代碼的(de)傳播。

                                                                                                 火力發電(diàn)工(gōng)業(yè)控制系統安全防護解決方案  

一、背景情況  

       火電(diàn)廠(chǎng)工(gōng)控系統主要由中央控制室和(hé)各配電(diàn)室、電(diàn)子(zǐ)間(jiān)等子(zǐ)站組成,系統中布置有(yǒu)數千個(gè)開(kāi)關、數百個(gè)模拟測量點以及數個(gè)PID調節回路(lù)的(de)控制對(duì)象。其中,中央控制室設備通(tōng)常包括建立在以太網連接上(shàng)的(de)操作(zuò)員(yuán)站、工(gōng)程師(shī)站、數據采集服務器(qì)、報表打印設備等。中央控制網絡與各子(zǐ)站控制系統采用光(guāng)纖為(wèi)通(tōng)信鏈路(lù),各子(zǐ)站配有(yǒu)光(guāng)纖收發器(qì)和(hé)工(gōng)業(yè)交換機(jī)。  

二、安全分析  

(1)中央控制網絡與各控制子(zǐ)站網絡互聯,存在來(lái)自(zì)上(shàng)層網絡的(de)安全威脅,缺少重點邊界、區(qū)域的(de)安全防護手段;  

(2)工(gōng)控系統及網絡缺乏監測手段,無法感知未知設備、非法應用和(hé)軟件(jiàn)的(de)入侵,無法對(duì)網絡中傳輸的(de)未知異常流量進行監測;  

(3)工(gōng)控系統缺乏對(duì)用戶操作(zuò)行為(wèi)的(de)監控和(hé)審計(jì),針對(duì)用戶操作(zuò)行為(wèi)缺乏有(yǒu)效可靠的(de)審計(jì)手段;  

(4)工(gōng)業(yè)控制系統缺乏分區(qū)邊界防護,容易受到來(lái)自(zì)信息網絡和(hé)相(xiàng)鄰系統的(de)安全影響。  

三、火力發電(diàn)行業(yè)工(gōng)控系統安全防護解決方案  

安全防護原則  

(1)安全分區(qū)  

       按照(zhào)《電(diàn)力監控系統安全防護規定》,原則上(shàng)将基于計(jì)算(suàn)機(jī)及網絡技(jì)術的(de)業(yè)務系統劃分為(wèi)生(shēng)産控制大區(qū)和(hé)管理(lǐ)信息大區(qū),并根據業(yè)務系統的(de)重要性和(hé)對(duì)一次系統的(de)影響程度将生(shēng)産控制大區(qū)劃分為(wèi)控制區(qū)(安全區(qū)Ⅰ)及非控制區(qū)(安全區(qū)Ⅱ),重點保護生(shēng)産控制以及直接影響電(diàn)力生(shēng)産(機(jī)組運行)的(de)系統。  

(2)網絡專用  

       電(diàn)力調度數據網是與生(shēng)産控制大區(qū)相(xiàng)連接的(de)專用網絡,承載電(diàn)力實時(shí)控制、在線交易等業(yè)務。生(shēng)産控制大區(qū)的(de)電(diàn)力調度數據網應當在專用通(tōng)道(dào)上(shàng)使用獨立的(de)網絡設備組網,在物(wù)理(lǐ)層面上(shàng)實現(xiàn)與電(diàn)力企業(yè)其他(tā)數據網及外(wài)部公共信息網的(de)安全隔離。生(shēng)産控制大區(qū)的(de)電(diàn)力調度數據網應當劃分為(wèi)邏輯隔離的(de)實時(shí)子(zǐ)網和(hé)非實時(shí)子(zǐ)網,分别連接控制區(qū)和(hé)非控制區(qū)。  

(3)橫向隔離 縱向認證  

       橫向隔離是電(diàn)力監控系統安全防護體(tǐ)系的(de)橫向防線。應當采用不同強度的(de)安全設備隔離各安全區(qū),在生(shēng)産控制大區(qū)與管理(lǐ)信息大區(qū)之間(jiān)必須部署經國(guó)家(jiā)指定部門檢測認證的(de)電(diàn)力專用橫向單向安全隔離裝置,隔離強度應當接近(jìn)或達到物(wù)理(lǐ)隔離。生(shēng)産控制大區(qū)內(nèi)部的(de)安全區(qū)之間(jiān)應當采用具有(yǒu)訪問(wèn)控制功能的(de)網絡設備、安全可靠的(de)硬件(jiàn)防火牆或者相(xiàng)當功能的(de)設施,實現(xiàn)邏輯隔離。防火牆的(de)功能性能電(diàn)磁兼容性必須經過國(guó)家(jiā)相(xiàng)關部門的(de)認證和(hé)測試。  

       縱向加密認證是電(diàn)力監控系統安全防護體(tǐ)系的(de)縱向防線。生(shēng)産控制大區(qū)與調度數據網的(de)縱向連接處應當設置經過國(guó)家(jiā)指定部門檢測認證的(de)電(diàn)力專用縱向加密認證裝置,實現(xiàn)雙向身(shēn)份認證、數據加密和(hé)訪問(wèn)控制。  

(4)綜合防護  

       綜合防護是結合國(guó)家(jiā)信息安全等級保護工(gōng)作(zuò)的(de)相(xiàng)關要求對(duì)電(diàn)力監控系統從(cóng)主機(jī)、網絡設備、惡意代碼防範、應用安全控制、審計(jì)、備份及容災等多個(gè)層面進行信息安全防護的(de)過程。  

       生(shēng)産控制大區(qū)可以統一部署一套網絡入侵檢測系統,應當合理(lǐ)設置檢測規則,檢測發現(xiàn)隐藏于流經網絡邊界正常信息流中的(de)入侵行為(wèi),分析潛在威脅并進行安全審計(jì)。  

       非控制區(qū)的(de)網絡設備與安全設備應當進行身(shēn)份鑒别、訪問(wèn)權限控制、會話(huà)控制等安全配置加固。可以應用電(diàn)力調度輸子(zǐ)證書(shū),在網絡設備和(hé)安全設備實現(xiàn)支持HTTPS的(de)縱向安全WEB服務,能夠對(duì)浏覽器(qì)客戶端訪問(wèn)進行身(shēn)份認證及加密傳輸。  

       生(shēng)産控制大區(qū)的(de)監控系統應當具備安全審計(jì)功能,能能夠對(duì)操作(zuò)系統、數據庫、業(yè)務應用的(de)重要操作(zuò)盡心記錄、分析,及時(shí)發現(xiàn)各種違規行為(wèi)以及病毒和(hé)黑(hēi)客的(de)攻擊行為(wèi)。對(duì)于遠(yuǎn)程用戶登陸到本地(dì)系統中的(de)操作(zuò)行為(wèi),應當進行嚴格的(de)安全審計(jì)。  

具體(tǐ)方案  

部署工(gōng)控安全綜合監管平台、工(gōng)業(yè)安全防火牆,深度解析工(gōng)控協議(yì),防範非法訪問(wèn),迅速檢測異常網絡節點,及時(shí)預警,并監控工(gōng)業(yè)防火牆運行狀态,實時(shí)獲取工(gōng)控網安全事(shì)件(jiàn)日(rì)志(zhì)和(hé)報警任務;

在操作(zuò)員(yuán)站和(hé)工(gōng)程師(shī)站部署工(gōng)控主機(jī)安全防護系統,防範非法程序和(hé)應用以及未經授權的(de)任何行為(wèi);

部署堡壘機(jī)及工(gōng)控安全綜合審計(jì)系統,對(duì)違規操作(zuò)行為(wèi)進行控制和(hé)審計(jì),保障網絡和(hé)數據不受外(wài)部和(hé)內(nèi)部用戶的(de)入侵和(hé)破壞;

采用工(gōng)控安全隔離網閘設備,物(wù)理(lǐ)隔離中央控制室和(hé)各子(zǐ)站網,提供兩網數據交換安全通(tōng)道(dào),阻止來(lái)自(zì)上(shàng)層網絡的(de)非法訪問(wèn)以及病毒和(hé)惡意代碼的(de)傳播。

    1-智慧城(chéng)市(shì)數據溯源保密安全解決方案

    根據智慧城(chéng)市(shì)數據交換平台的(de)需求情況,提出采用自(zì)主可控數據共享與溯源綜合管理(lǐ)平台(以下(xià)簡稱數據溯源系統)來(lái)實現(xiàn)智慧城(chéng)市(shì)信息數據交換共享中的(de)數據脫敏及溯源追蹤保密安全的(de)痛點問(wèn)題。

系統部署于智慧城(chéng)市(shì)數據交換共享中心內(nèi)部網絡當中(不同安全域之間(jiān)),當智慧城(chéng)市(shì)數據共享交換系統通(tōng)過RestAPI獲取到DB數據提供者提供的(de)相(xiàng)關數據後,該系統會将這(zhè)些數據及其相(xiàng)應的(de)數據屬性信息提交到數據交換安全處理(lǐ)中心,該中心安全域內(nèi)部署了兩種數據安全處理(lǐ)系統,一為(wèi)數據脫敏系統,第二為(wèi)數據溯源交換系統。在該安全處理(lǐ)中心會對(duì)相(xiàng)關的(de)數據進行數據脫敏操作(zuò)和(hé)數據溯源标識操作(zuò)。

1)  數據溯源種子(zǐ)植入。該操作(zuò)步驟會按照(zhào)溯源種子(zǐ)植入策略進行敏感數據的(de)溯源種子(zǐ)植入,處理(lǐ)完成後的(de)數據将提交給智慧城(chéng)市(shì)數據共享交換系統轉發給具體(tǐ)的(de)數據使用者。

2)  數據溯源标識。相(xiàng)應的(de)DB數據提供者的(de)數據将會被打上(shàng)知識産權标簽,相(xiàng)關的(de)宿主屬性會無縫地(dì)嵌入到現(xiàn)有(yǒu)的(de)數據之上(shàng),并且不改變現(xiàn)有(yǒu)數據的(de)任何結構,當這(zhè)種數據進入數據使用者的(de)時(shí)候,不會影響數據使用者的(de)使用,但(dàn)是如果數據使用者将該數據洩露給其他(tā)公司或個(gè)人(rén),智慧城(chéng)市(shì)交換中心可以借助于該溯源追蹤平台進行審計(jì)和(hé)跟蹤,從(cóng)而實現(xiàn)數據的(de)非授權擴散監管問(wèn)題。

   

    2-大數據安全脫敏系統解決方案

    數據安全脫敏系統采用大數據分析技(jì)術來(lái)實現(xiàn)隐私數據發現(xiàn)、數據提取、數據漂白、測試數據管理(lǐ)、數據裝載等功能于一體(tǐ)的(de)高(gāo)性能數據脫敏設備。系統采用專用的(de)脫敏處理(lǐ)算(suàn)法對(duì)敏感數據進行變形、屏蔽、替換、加密(格式保留加密處理(lǐ)和(hé)高(gāo)強度加密處理(lǐ)),将敏感數據進行處理(lǐ)後屏蔽了原有(yǒu)數據的(de)敏感性,實現(xiàn)了數據的(de)隐私性保護。同時(shí)脫敏後的(de)數據保留了原有(yǒu)數據的(de)數據結構和(hé)數據的(de)業(yè)務邏輯一緻,也能維持脫敏前後的(de)數據唯一性,如:身(shēn)份證、銀行卡、手機(jī)号、IMSI等。使得上(shàng)層應用無需改變相(xiàng)應的(de)業(yè)務邏輯。

系統具有(yǒu)流程化(huà)、自(zì)動化(huà)和(hé)作(zuò)業(yè)複用等特點。作(zuò)為(wèi)軟硬一體(tǐ)化(huà)的(de)設備,它擁有(yǒu)強大的(de)功能、易于部署和(hé)使用等特點,開(kāi)箱即用式的(de)優勢能夠極大減輕工(gōng)作(zuò)人(rén)員(yuán)的(de)工(gōng)作(zuò)強度以及項目周期。

系統對(duì)主流數據類型均能友(yǒu)好(hǎo)支持。包括支持國(guó)産關系型主流數據庫系統Oracle、Informix、SQL Server、DB2、MySQL。國(guó)産主流數據庫南大通(tōng)用GBase、人(rén)大金(jīn)倉、虛谷等、非關系型主流數據庫Hive、MongoDB、Redis、Hbase等。

   

    3-數據庫保密檢查解決方案

    1. 需求

需要用新的(de)技(jì)術手段實現(xiàn)對(duì)數據庫進行高(gāo)效涉密數據檢查。具體(tǐ)需求如下(xià)。

1)檢查範圍廣。包括結構化(huà)數據庫、非結構化(huà)數據庫、雲計(jì)算(suàn)的(de)虛拟機(jī)和(hé)壓縮文(wén)件(jiàn)、大數據集群系統、服務器(qì)系統等

2)檢查效率高(gāo)。需要快速對(duì)高(gāo)達100T的(de)數據庫進行保密檢查,檢查效率是傳統方式的(de)100-1000倍

3)檢查類型多。需要對(duì)數據庫中涉及到的(de)多種文(wén)本文(wén)件(jiàn)(Word、PDF等)、圖片文(wén)件(jiàn)中的(de)數據進行數據敏感性檢查

4)檢查精度高(gāo)。需要能在海(hǎi)量數據庫內(nèi)容中精準定位涉密信息或數據,誤報率低(dī)

5)多種檢查方法。需要提供多種檢查算(suàn)法,能從(cóng)多維度定位目标數據系統。

2. 功能概述

系統采用大數據技(jì)術創新性地(dì)用于數據庫涉密信息檢查,能有(yǒu)效達到以下(xià)目标。

1)高(gāo)效采集。大數據Sqoop技(jì)術實現(xiàn)數據的(de)分布式采集。

2)高(gāo)效分析。大數據MapReduce技(jì)術實現(xiàn)對(duì)數據庫內(nèi)容的(de)快速分析和(hé)檢查

3)精準定位。結合檢查專家(jiā)庫,快速對(duì)政務敏感信息定位,并能生(shēng)成詳盡的(de)分析報告

數據庫保密檢查系統安裝部署方便,隻需要保證與被檢查數據庫網絡可達即可;出于檢查效率的(de)考慮,建議(yì)采用千兆及以上(shàng)網絡環境。


資料更新中...

一、背景情況
       校(xiào)園網絡是學校(xiào)為(wèi)教職員(yuán)工(gōng)和(hé)學生(shēng)提供網絡接入,滿足教學、科(kē)研、管理(lǐ)服務需求的(de)信息化(huà)基礎設施,包括有(yǒu)線寬帶網絡、無線局域網絡和(hé)移動通(tōng)信網絡,因此提高(gāo)高(gāo)等學校(xiào)網絡管理(lǐ)和(hé)服務質量,提升校(xiào)園網絡用戶上(shàng)網體(tǐ)驗,保障校(xiào)園網絡安全是當前教育行業(yè)的(de)重要工(gōng)作(zuò)。對(duì)于學校(xiào)而言,維護校(xiào)園網絡安全,是保障教育教學正常開(kāi)展的(de)基礎性工(gōng)作(zuò),也是構建新時(shí)代育人(rén)環境的(de)重要工(gōng)作(zuò)。


二、安全分析
1.校(xiào)園各類信息服務系統的(de)數據安全。由于校(xiào)園內(nèi)各種二級、三級域名系統管理(lǐ)相(xiàng)對(duì)分散,針對(duì)各類漏洞風(fēng)險可能會存在安全維護不及時(shí)等問(wèn)題。這(zhè)會導緻部分網站或信息系統存在被拖庫、竄改等風(fēng)險,從(cóng)而導緻師(shī)生(shēng)的(de)各類敏感信息洩露。
2.校(xiào)園網絡、移動通(tōng)信網無線接入安全。由于校(xiào)園網絡中WiFi(行動熱點)接入點衆多且大多采用802.1x(一種訪問(wèn)控制和(hé)認證協議(yì))方式,人(rén)員(yuán)密集使其成為(wèi)具有(yǒu)較高(gāo)價值的(de)攻擊目标,因此存在大量的(de)僞熱點、基站試圖竊取用戶敏感賬号信息,進行釣魚欺詐等。
3.校(xiào)園信息系統中輿情內(nèi)容安全(不良信息及言論的(de)傳播)。由于大學生(shēng)初步掌握了各種獲取信息的(de)工(gōng)具,可以輕易接觸到色情、暴力、反動等不良信息,這(zhè)會影響其人(rén)生(shēng)觀、世界觀的(de)形成和(hé)發展。
4.學校(xiào)網絡安全管理(lǐ)制度存在不足。學校(xiào)內(nèi)計(jì)算(suàn)機(jī)和(hé)網絡已經普及,需要學校(xiào)對(duì)網絡安全加以重視(shì),并建立完善的(de)管理(lǐ)制度。但(dàn)是,學校(xiào)還(hái)沒有(yǒu)認識到網絡安全的(de)重要性,且考慮不全面,建立的(de)管理(lǐ)制度存在不足;同時(shí),沒有(yǒu)對(duì)管理(lǐ)人(rén)員(yuán)進行專業(yè)技(jì)術和(hé)職業(yè)素養方面的(de)培訓,影響網絡安全管理(lǐ)效率與質量。


三、教育行業(yè)系統安全防護解決方案
網絡層面:關注安全域劃分、訪問(wèn)控制、抗拒絕服務攻擊,針對(duì)區(qū)域邊界采取隔離手段,并在隔離後的(de)各個(gè)安全區(qū)域邊界執行嚴格的(de)訪問(wèn)控制,防止非法訪問(wèn),利用漏洞管理(lǐ)系統、網絡安全審計(jì)等網絡安全産品,為(wèi)客戶構建嚴密、專業(yè)的(de)網絡安全保障體(tǐ)系。
應用層面:WEB應用防火牆能夠對(duì)WEB應用漏洞進行預先掃描,同時(shí)具備對(duì)SQL注入、跨站腳本等通(tōng)過應用層的(de)入侵動作(zuò)實時(shí)阻斷,并結合網頁防篡改子(zǐ)系統,真正達到雙重層面的(de)“網頁防篡改”效果。
數據層面:數據庫将被隐藏在安全區(qū)域,同時(shí)通(tōng)過專業(yè)的(de)安全加固服務對(duì)數據庫進行安全評估和(hé)配置,對(duì)數據庫的(de)訪問(wèn)權限進行嚴格設定,最大限度保證數據庫安全。同時(shí),有(yǒu)效保護重要數據信息的(de)健康度。

一、背景情況
       醫療衛生(shēng)行業(yè)的(de)健康發展,直接關系到民(mín)生(shēng)問(wèn)題。随着醫院信息化(huà)建設的(de)逐步深入,網上(shàng)業(yè)務由單一到多元化(huà),各類應用系統數十個(gè),信息系統承受的(de)壓力日(rì)益增長(cháng),醫院信息系統已經成為(wèi)醫院正常運行不可或缺的(de)支撐環境和(hé)工(gōng)作(zuò)平台。醫院業(yè)務系統作(zuò)為(wèi)我國(guó)重要的(de)關鍵信息基礎設施,是黑(hēi)客的(de)重點攻擊對(duì)象,醫療行業(yè)網絡攻擊事(shì)件(jiàn)層出不窮。因此,建設完善的(de)網絡安全防禦體(tǐ)系,落實醫院網絡安全等級化(huà)建設工(gōng)作(zuò)勢在必行。


二、安全分析
       近(jìn)年(nián)來(lái),各類勒索病毒、挖礦病毒、黑(hēi)客木馬等自(zì)動化(huà)攻擊程序的(de)出現(xiàn)和(hé)持續增加,如何快速有(yǒu)效的(de)解決醫院資産全生(shēng)命周期閉環管理(lǐ),完成安全合規的(de)落地(dì)化(huà)工(gōng)作(zuò)并盡量少地(dì)影響醫院核心臨床應用,也成為(wèi)當前醫院面臨的(de)嚴峻安全挑戰之一。

三、醫療行業(yè)安全防護解決方案
●安全物(wù)理(lǐ)環境
依據《信息安全技(jì)術-網絡安全等級保護基本要求》中的(de)“安全物(wù)理(lǐ)環境”要求對(duì)對(duì)機(jī)房(fáng)進行整改建設。
●安全通(tōng)信網絡
安全通(tōng)信網絡從(cóng)網絡架構、通(tōng)信傳輸和(hé)可信驗證三個(gè)方面進行設計(jì)和(hé)安全防護。
保證網絡設備的(de)業(yè)務處理(lǐ)能力滿足業(yè)務高(gāo)峰期需要;
關鍵業(yè)務區(qū)和(hé)管理(lǐ)區(qū)采取可靠的(de)技(jì)術手段與其他(tā)區(qū)域進行隔離;
重要數據的(de)通(tōng)信傳輸采取加密措施;
●安全區(qū)邊界
根據業(yè)務網絡實際情況,在內(nèi)網區(qū)和(hé)外(wài)網區(qū)的(de)邊界部署安全隔離設備,保證HIS、LIS等系統面臨的(de)APT攻擊、非法外(wài)聯/違規接入網絡等安全威脅進行有(yǒu)針對(duì)性的(de)安全控制。
針對(duì)數據的(de)傳輸、使用和(hé)存儲等過程,使用數據加密傳輸、數據脫敏等措施,保護醫院重要數據資産的(de)安全。
●安全計(jì)算(suàn)環境
安全計(jì)算(suàn)環境防護建設主要通(tōng)過主機(jī)加固、入侵防範、漏洞掃描、惡意代碼防護等多種安全機(jī)制實現(xiàn)。

解決方案

Image

SOLUTION

                                                                                                          煤礦行業(yè)工(gōng)業(yè)控制系統安全防護解決方案  

一、背景情況  
       煤炭工(gōng)業(yè)控制系統是整個(gè)煤炭企業(yè)安全生(shēng)産監控系統信息的(de)集成,它需要一個(gè)快速、安全、可靠的(de)網絡平台為(wèi)大量的(de)信息流動提供支撐,同時(shí)要有(yǒu)一個(gè)功能全面的(de)安全生(shēng)産信息應用系統為(wèi)礦井安全生(shēng)産提供科(kē)學調度、決策的(de)依據。做好(hǎo)煤炭企業(yè)工(gōng)控安全建設是實現(xiàn)生(shēng)産安全的(de)必要保障。  

       綜合自(zì)動化(huà)系統是指在工(gōng)業(yè)生(shēng)産、管理(lǐ)、經營過程中,通(tōng)過信息基礎設施,在集成平台上(shàng),實現(xiàn)信息的(de)采集、信息的(de)傳輸、信息的(de)處理(lǐ)以及信息的(de)綜合利用等。将先進和(hé)自(zì)動控制、通(tōng)訊、信息技(jì)術和(hé)現(xiàn)化(huà)管理(lǐ)技(jì)術結合,将企業(yè)的(de)生(shēng)産過程控制、運行與管理(lǐ)作(zuò)為(wèi)一個(gè)整體(tǐ)進行控制與管理(lǐ),提供整體(tǐ)解決方案,以實現(xiàn)企業(yè)的(de)優化(huà)運行、控制和(hé)管理(lǐ)。  

二、安全分析  

(1)缺乏整體(tǐ)信息安全規劃;  

(2)缺乏工(gōng)控安全管理(lǐ)制度、應急預案、培訓與意識培養;  

(3)調度人(rén)員(yuán)有(yǒu)時(shí)通(tōng)過連通(tōng)互聯網的(de)手機(jī)在調度室主機(jī)U口上(shàng)充電(diàn),導緻生(shēng)産網絡通(tōng)過手機(jī)被打通(tōng),造成邊界模糊。  

(4)主機(jī)操作(zuò)系統老(lǎo)舊(jiù),從(cóng)不升級,極易出現(xiàn)安全漏洞和(hé)缺陷;新建系統主機(jī)雖然會安裝殺毒軟件(jiàn),但(dàn)是為(wèi)保障生(shēng)産運行,殺毒軟件(jiàn)一般處于關閉狀态,這(zhè)些都(dōu)存在安全隐患,無法防禦“0-DAY”病毒和(hé)勒索病毒。  

(5)調度人(rén)員(yuán)或運維人(rén)員(yuán)使用帶有(yǒu)病毒的(de)U盤插入主機(jī)中,造成整個(gè)網絡感染病毒。  

(6)煤炭生(shēng)産現(xiàn)場(chǎng)PLC多為(wèi)西(xī)門子(zǐ)或AB的(de)産品,而PLC本身(shēn)存在漏洞,西(xī)門子(zǐ)和(hé)AB近(jìn)些年(nián)被曝出存在高(gāo)危漏洞,攻擊者可以利用漏洞控制現(xiàn)場(chǎng)設備,執行錯(cuò)誤命令,嚴重影響安全生(shēng)産。  

(7)黑(hēi)客也可通(tōng)過技(jì)術手段潛入生(shēng)産網絡,獲取關鍵生(shēng)産數據,牟取利益。  



三、煤礦行業(yè)工(gōng)控系統安全防護解決方案  

安全防護原則  

(1)安全分區(qū)  

       對(duì)于生(shēng)産網絡與辦公網絡、企業(yè)集團內(nèi)網存在互聯互通(tōng)的(de)現(xiàn)象,首先需要進行網絡優化(huà),明(míng)确生(shēng)産網絡邊界,盡量避免多個(gè)生(shēng)産網絡邊界的(de)現(xiàn)象。  

(2)安全審計(jì)  

       對(duì)生(shēng)産網絡內(nèi)部的(de)日(rì)常操作(zuò)行為(wèi)進行基于白名單策略監控,及時(shí)發現(xiàn)網絡中存在的(de)異常流量、違規操作(zuò)、非法訪問(wèn)、惡意程序等異常行為(wèi),并要求對(duì)生(shēng)産網絡的(de)運行日(rì)志(zhì)進行記錄保存,至少保留6個(gè)月(yuè);對(duì)于已經發生(shēng)攻擊事(shì)件(jiàn)的(de)情況,要求可以對(duì)攻擊事(shì)件(jiàn)進行追蹤、溯源,定位網絡攻擊的(de)位置或具體(tǐ)用戶。  

(3)邊界防護  

       根據業(yè)務網絡實際情況,在生(shēng)産網絡外(wài)部邊界處部署工(gōng)業(yè)防火牆或單向隔離網閘設備,保證生(shēng)産網絡向辦公網絡或其他(tā)外(wài)部網絡數據單向傳輸。工(gōng)業(yè)控制系統上(shàng)位操作(zuò)主機(jī)(操作(zuò)站、工(gōng)程師(shī)站、服務器(qì))作(zuò)為(wèi)生(shēng)産網絡的(de)內(nèi)部邊界,需要對(duì)用戶登陸、操作(zuò)、運行等行為(wèi)進行安全監控與審計(jì),并對(duì)通(tōng)過上(shàng)位主機(jī)外(wài)設接口與生(shēng)産網絡進行數據通(tōng)訊的(de)行為(wèi)進行授權管理(lǐ)。  

(4)惡意代碼防範  

       對(duì)于以“白名單”防護策略為(wèi)主的(de)工(gōng)控安全防護方案,除了對(duì)外(wài)部網絡邊界進行有(yǒu)效的(de)訪問(wèn)控制和(hé)威脅監測以外(wài),需要對(duì)上(shàng)位主機(jī)的(de)USB接口使用過程進行安全有(yǒu)效管理(lǐ),對(duì)于臨時(shí)接入工(gōng)控網絡的(de)移動存儲設備,必須先進行病毒查殺,才可以使用。  

具體(tǐ)方案  

Ø    部署工(gōng)控安全綜合監管平台、工(gōng)業(yè)安全防火牆,深度解析工(gōng)控協議(yì),防範非法訪問(wèn),迅速檢測異常網絡節點,及時(shí)預警,并監控工(gōng)業(yè)防火牆運行狀态,實時(shí)獲取工(gōng)控網安全事(shì)件(jiàn)日(rì)志(zhì)和(hé)報警任務;  

Ø    在操作(zuò)員(yuán)站和(hé)工(gōng)程師(shī)站部署工(gōng)控主機(jī)安全防護系統,防範非法程序和(hé)應用以及未經授權的(de)任何行為(wèi);  

Ø    部署堡壘機(jī)及工(gōng)控安全綜合審計(jì)系統,對(duì)違規操作(zuò)行為(wèi)進行控制和(hé)審計(jì),保障網絡和(hé)數據不受外(wài)部和(hé)內(nèi)部用戶的(de)入侵和(hé)破壞;  

Ø    采用工(gōng)控安全隔離網閘設備,物(wù)理(lǐ)隔離煤礦辦公網和(hé)生(shēng)産網,提供兩網數據交換安全通(tōng)道(dào),阻止來(lái)自(zì)上(shàng)層網絡的(de)非法訪問(wèn)以及病毒和(hé)惡意代碼的(de)傳播。

                                                                                                                    焦化(huà)工(gōng)業(yè)控制系統安全防護解決方案  

一、背景情況  
       焦化(huà)企業(yè)普遍采用基于信息網、管理(lǐ)網和(hé)控制網三層架構的(de)的(de)管控一體(tǐ)化(huà)信息模型,焦化(huà)企業(yè)是典型的(de)資金(jīn)和(hé)技(jì)術密集型企業(yè),生(shēng)産的(de)連續性很(hěn)強,裝置和(hé)重要設備的(de)意外(wài)停産都(dōu)會導緻巨大的(de)經濟損失,因此生(shēng)産過程控制大多采用DCS等先進的(de)控制系統,且以國(guó)外(wài)廠(chǎng)商為(wèi)主。經過多年(nián)的(de)發展,焦化(huà)行業(yè)信息化(huà)建設已經有(yǒu)了較好(hǎo)的(de)基礎,企業(yè)在管理(lǐ)層的(de)指揮、協調和(hé)監控能力在實時(shí)性、完整性和(hé)一緻性上(shàng)都(dōu)有(yǒu)了很(hěn)大的(de)提升,相(xiàng)應的(de)網絡安全防護也有(yǒu)了較大提高(gāo)。随着焦化(huà)企業(yè)管控一體(tǐ)化(huà)的(de)實現(xiàn),越來(lái)越多的(de)控制網絡系統通(tōng)過信息網絡連接到互聯上(shàng),潛在的(de)威脅就越來(lái)越大。  

二、安全分析  
(1)控制網絡與管理(lǐ)網絡互聯,存在來(lái)自(zì)上(shàng)層網絡的(de)安全威脅存在。  

(2)存在來(lái)自(zì)工(gōng)作(zuò)站(接入U盤、便攜設備等)的(de)病毒傳染隐患。  

(3)網絡中沒有(yǒu)設置安全監控平台,無法對(duì)網絡安全事(shì)故進行預警和(hé)分析,影響問(wèn)題識别和(hé)系統修複效率。  

(4)控制系統缺少分級、分區(qū)的(de)安全防護,容易受到信息網絡及相(xiàng)鄰系統的(de)潛在威脅。  

(5)對(duì)違規操作(zuò)缺乏控制和(hé)審計(jì)。  

三、焦化(huà)行業(yè)工(gōng)控系統安全防護解決方案  
防護原則  

(1)安全分區(qū)  

對(duì)于生(shēng)産網絡與辦公網絡、企業(yè)集團內(nèi)網存在互聯互通(tōng)的(de)現(xiàn)象,首先需要進行網絡優化(huà),明(míng)确生(shēng)産網絡邊界,盡量避免多個(gè)生(shēng)産網絡邊界的(de)現(xiàn)象。  

(2)安全審計(jì)  

對(duì)生(shēng)産網絡內(nèi)部的(de)日(rì)常操作(zuò)行為(wèi)進行基于白名單策略監控,及時(shí)發現(xiàn)網絡中存在的(de)異常流量、違規操作(zuò)、非法訪問(wèn)、惡意程序等異常行為(wèi),并要求對(duì)生(shēng)産網絡的(de)運行日(rì)志(zhì)進行記錄保存,至少保留6個(gè)月(yuè);對(duì)于已經發生(shēng)攻擊事(shì)件(jiàn)的(de)情況,要求可以對(duì)攻擊事(shì)件(jiàn)進行追蹤、溯源,定位網絡攻擊的(de)位置或具體(tǐ)用戶。  

(3)邊界防護  

根據業(yè)務網絡實際情況,在生(shēng)産網絡外(wài)部邊界處部署工(gōng)業(yè)防火牆或單向隔離網閘設備,保證生(shēng)産網絡向辦公網絡或其他(tā)外(wài)部網絡數據單向傳輸。工(gōng)業(yè)控制系統上(shàng)位操作(zuò)主機(jī)(操作(zuò)站、工(gōng)程師(shī)站、服務器(qì))作(zuò)為(wèi)生(shēng)産網絡的(de)內(nèi)部邊界,需要對(duì)用戶登陸、操作(zuò)、運行等行為(wèi)進行安全監控與審計(jì),并對(duì)通(tōng)過上(shàng)位主機(jī)外(wài)設接口與生(shēng)産網絡進行數據通(tōng)訊的(de)行為(wèi)進行授權管理(lǐ)。  

(4)惡意代碼防範  

對(duì)于以“白名單”防護策略為(wèi)主的(de)工(gōng)控安全防護方案,除了對(duì)外(wài)部網絡邊界進行有(yǒu)效的(de)訪問(wèn)控制和(hé)威脅監測以外(wài),需要對(duì)上(shàng)位主機(jī)的(de)USB接口使用過程進行安全有(yǒu)效管理(lǐ),對(duì)于臨時(shí)接入工(gōng)控網絡的(de)移動存儲設備,必須先進行病毒查殺,才可以使用。  

具體(tǐ)方案  

(1)根據焦化(huà)行業(yè)的(de)網絡拓撲圖,結合相(xiàng)關标準及技(jì)術規範與要求,将整個(gè)網絡劃分為(wèi)操作(zuò)管理(lǐ)層、現(xiàn)場(chǎng)監控層、生(shēng)産控制層和(hé)生(shēng)産執行層四個(gè)區(qū)域。  

(2)在現(xiàn)有(yǒu)網絡架構下(xià),協同部署工(gōng)控系統安全防護産品,全面防護包括OPC數據采集、控制設備和(hé)工(gōng)程師(shī)工(gōng)作(zuò)站的(de)安全。  

(3)采用工(gōng)控網絡隔離網關設備隔離內(nèi)外(wài)網,提供內(nèi)外(wài)網數據交換安全通(tōng)道(dào),阻止來(lái)自(zì)上(shàng)層網絡的(de)非法訪問(wèn)、病毒及惡意代碼的(de)傳播。  

(4)部署分布式工(gōng)業(yè)防火牆和(hé)工(gōng)控安全監控平台,深度解析多種工(gōng)控協議(yì),防範非法訪問(wèn),迅速檢測異常網絡節點,及時(shí)預警,并監控工(gōng)業(yè)防火牆工(gōng)作(zuò)狀态,實時(shí)獲取工(gōng)控網絡安全事(shì)件(jiàn)日(rì)志(zhì)和(hé)報警任務。  

(5)在工(gōng)作(zuò)站應用工(gōng)控安全主機(jī)防護系統,防範非法程序、應用以及未經授權的(de)任何行為(wèi),給予終端計(jì)算(suàn)機(jī)全生(shēng)命周期的(de)安全防護。  

(6)在操作(zuò)管理(lǐ)層部署審計(jì)平台和(hé)堡壘機(jī),對(duì)違規操作(zuò)行為(wèi)進行控制和(hé)審計(jì),保障網絡和(hé)數據不受外(wài)部和(hé)內(nèi)部用戶的(de)入侵和(hé)破壞。

                                                                                                                 冶金(jīn)鋼鐵(tiě)工(gōng)業(yè)控制系統安全防護解決方案  

一、背景情況  
       冶金(jīn)鋼鐵(tiě)行業(yè)工(gōng)業(yè)以太網一般采用環網結構,為(wèi)實時(shí)控制網,負責控制器(qì)、操作(zuò)站和(hé)工(gōng)程師(shī)站之間(jiān)過程控制數據實時(shí)通(tōng)訊,網絡上(shàng)所有(yǒu)操作(zuò)站、數采機(jī)和(hé)PLC都(dōu)采用以太網接口,網絡中遠(yuǎn)距離傳輸介質為(wèi)光(guāng)纜,本地(dì)傳輸介質為(wèi)網線(如PLC與操作(zuò)站之間(jiān))。生(shēng)産監控主機(jī)利用雙網卡結構與管理(lǐ)網互聯。  

二、安全分析  
(1)鋼鐵(tiě)冶金(jīn)企業(yè)沒有(yǒu)對(duì)其內(nèi)部生(shēng)産控制系統及網絡進行分區(qū)、分層,無法将惡意軟件(jiàn)、黑(hēi)客攻擊、非法操作(zuò)等行為(wèi)控制在特定區(qū)域內(nèi),易發生(shēng)全局性網絡安全風(fēng)險。  

(2)分廠(chǎng)控制網絡采用同網段組網,PLC、DCS等重要控制系統缺乏安全防護和(hé)訪問(wèn)控制措施。  

(3)各分廠(chǎng)控制網與骨幹環網之間(jiān)無隔離防護措施。  

(4)鋼鐵(tiě)冶金(jīn)企業(yè)辦公網和(hé)生(shēng)産監控網之間(jiān)無物(wù)理(lǐ)隔離措施,導緻病毒、木馬、黑(hēi)客攻擊等極易以辦公網為(wèi)跳(tiào)闆對(duì)生(shēng)産控制系統發起攻擊。  

(5)由于鋼鐵(tiě)冶金(jīn)企業(yè)控制流程複雜(zá)、設備種類繁多、通(tōng)信協議(yì)多樣,導緻采集數據安全性無法得到保障。  

(6)鋼鐵(tiě)冶金(jīn)企業(yè)內(nèi)部控制系統及網絡缺乏安全監測與審計(jì)措施,無法及時(shí)發現(xiàn)非法訪問(wèn)、非法操作(zuò)、惡意攻擊等行為(wèi)。  

(7)鋼鐵(tiě)冶金(jīn)企業(yè)內(nèi)部缺乏統一的(de)安全管理(lǐ)平台。  

三、冶金(jīn)鋼鐵(tiě)行業(yè)工(gōng)控系統安全防護解決方案  
防護原則  

(1)安全分區(qū)  

       對(duì)于生(shēng)産網絡與辦公網絡、企業(yè)集團內(nèi)網存在互聯互通(tōng)的(de)現(xiàn)象,首先需要進行網絡優化(huà),明(míng)确生(shēng)産網絡邊界,盡量避免多個(gè)生(shēng)産網絡邊界的(de)現(xiàn)象。  

(2)安全審計(jì)  

       對(duì)生(shēng)産網絡內(nèi)部的(de)日(rì)常操作(zuò)行為(wèi)進行基于白名單策略監控,及時(shí)發現(xiàn)網絡中存在的(de)異常流量、違規操作(zuò)、非法訪問(wèn)、惡意程序等異常行為(wèi),并要求對(duì)生(shēng)産網絡的(de)運行日(rì)志(zhì)進行記錄保存,至少保留6個(gè)月(yuè);對(duì)于已經發生(shēng)攻擊事(shì)件(jiàn)的(de)情況,要求可以對(duì)攻擊事(shì)件(jiàn)進行追蹤、溯源,定位網絡攻擊的(de)位置或具體(tǐ)用戶。  

(3)邊界防護  

       根據業(yè)務網絡實際情況,在生(shēng)産網絡外(wài)部邊界處部署工(gōng)業(yè)防火牆或單向隔離網閘設備,保證生(shēng)産網絡向辦公網絡或其他(tā)外(wài)部網絡數據單向傳輸。工(gōng)業(yè)控制系統上(shàng)位操作(zuò)主機(jī)(操作(zuò)站、工(gōng)程師(shī)站、服務器(qì))作(zuò)為(wèi)生(shēng)産網絡的(de)內(nèi)部邊界,需要對(duì)用戶登陸、操作(zuò)、運行等行為(wèi)進行安全監控與審計(jì),并對(duì)通(tōng)過上(shàng)位主機(jī)外(wài)設接口與生(shēng)産網絡進行數據通(tōng)訊的(de)行為(wèi)進行授權管理(lǐ)。  

(4)惡意代碼防範  

       對(duì)于以“白名單”防護策略為(wèi)主的(de)工(gōng)控安全防護方案,除了對(duì)外(wài)部網絡邊界進行有(yǒu)效的(de)訪問(wèn)控制和(hé)威脅監測以外(wài),需要對(duì)上(shàng)位主機(jī)的(de)USB接口使用過程進行安全有(yǒu)效管理(lǐ),對(duì)于臨時(shí)接入工(gōng)控網絡的(de)移動存儲設備,必須先進行病毒查殺,才可以使用。  

具體(tǐ)方案  

(1)部署工(gōng)控安全監控系統和(hé)工(gōng)業(yè)防火牆,對(duì)工(gōng)控協議(yì)深度解析,防範非法訪問(wèn),迅速檢測異常網絡節點,及時(shí)預警,并監控工(gōng)業(yè)防火牆工(gōng)作(zuò)狀态,實時(shí)獲取工(gōng)控網安全事(shì)件(jiàn)日(rì)志(zhì)和(hé)報警任務,保障PLC設備和(hé)各服務器(qì)安全。  

(2)在各高(gāo)爐操作(zuò)站和(hé)工(gōng)程師(shī)站應用工(gōng)控安全主機(jī)防護系統,防範非法程序和(hé)應用以及未經授權的(de)任何行為(wèi)。  

(3)部署堡壘機(jī)及工(gōng)控安全綜合審計(jì)系統,對(duì)違規操作(zuò)行為(wèi)進行控制和(hé)審計(jì),保障網絡和(hé)數據不受外(wài)部和(hé)內(nèi)部用戶的(de)入侵和(hé)破壞。  

(4)采用工(gōng)控網絡隔離網關設備隔離生(shēng)産控制網和(hé)控制子(zǐ)站環網,提供兩網數據交換安全通(tōng)道(dào),阻止來(lái)自(zì)上(shàng)層網絡的(de)非法訪問(wèn)以及病毒和(hé)惡意代碼的(de)傳播。

                                                                                                 火力發電(diàn)工(gōng)業(yè)控制系統安全防護解決方案  

一、背景情況  

       火電(diàn)廠(chǎng)工(gōng)控系統主要由中央控制室和(hé)各配電(diàn)室、電(diàn)子(zǐ)間(jiān)等子(zǐ)站組成,系統中布置有(yǒu)數千個(gè)開(kāi)關、數百個(gè)模拟測量點以及數個(gè)PID調節回路(lù)的(de)控制對(duì)象。其中,中央控制室設備通(tōng)常包括建立在以太網連接上(shàng)的(de)操作(zuò)員(yuán)站、工(gōng)程師(shī)站、數據采集服務器(qì)、報表打印設備等。中央控制網絡與各子(zǐ)站控制系統采用光(guāng)纖為(wèi)通(tōng)信鏈路(lù),各子(zǐ)站配有(yǒu)光(guāng)纖收發器(qì)和(hé)工(gōng)業(yè)交換機(jī)。  

二、安全分析  

(1)中央控制網絡與各控制子(zǐ)站網絡互聯,存在來(lái)自(zì)上(shàng)層網絡的(de)安全威脅,缺少重點邊界、區(qū)域的(de)安全防護手段;  

(2)工(gōng)控系統及網絡缺乏監測手段,無法感知未知設備、非法應用和(hé)軟件(jiàn)的(de)入侵,無法對(duì)網絡中傳輸的(de)未知異常流量進行監測;  

(3)工(gōng)控系統缺乏對(duì)用戶操作(zuò)行為(wèi)的(de)監控和(hé)審計(jì),針對(duì)用戶操作(zuò)行為(wèi)缺乏有(yǒu)效可靠的(de)審計(jì)手段;  

(4)工(gōng)業(yè)控制系統缺乏分區(qū)邊界防護,容易受到來(lái)自(zì)信息網絡和(hé)相(xiàng)鄰系統的(de)安全影響。  

三、火力發電(diàn)行業(yè)工(gōng)控系統安全防護解決方案  

安全防護原則  

(1)安全分區(qū)  

       按照(zhào)《電(diàn)力監控系統安全防護規定》,原則上(shàng)将基于計(jì)算(suàn)機(jī)及網絡技(jì)術的(de)業(yè)務系統劃分為(wèi)生(shēng)産控制大區(qū)和(hé)管理(lǐ)信息大區(qū),并根據業(yè)務系統的(de)重要性和(hé)對(duì)一次系統的(de)影響程度将生(shēng)産控制大區(qū)劃分為(wèi)控制區(qū)(安全區(qū)Ⅰ)及非控制區(qū)(安全區(qū)Ⅱ),重點保護生(shēng)産控制以及直接影響電(diàn)力生(shēng)産(機(jī)組運行)的(de)系統。  

(2)網絡專用  

       電(diàn)力調度數據網是與生(shēng)産控制大區(qū)相(xiàng)連接的(de)專用網絡,承載電(diàn)力實時(shí)控制、在線交易等業(yè)務。生(shēng)産控制大區(qū)的(de)電(diàn)力調度數據網應當在專用通(tōng)道(dào)上(shàng)使用獨立的(de)網絡設備組網,在物(wù)理(lǐ)層面上(shàng)實現(xiàn)與電(diàn)力企業(yè)其他(tā)數據網及外(wài)部公共信息網的(de)安全隔離。生(shēng)産控制大區(qū)的(de)電(diàn)力調度數據網應當劃分為(wèi)邏輯隔離的(de)實時(shí)子(zǐ)網和(hé)非實時(shí)子(zǐ)網,分别連接控制區(qū)和(hé)非控制區(qū)。  

(3)橫向隔離 縱向認證  

       橫向隔離是電(diàn)力監控系統安全防護體(tǐ)系的(de)橫向防線。應當采用不同強度的(de)安全設備隔離各安全區(qū),在生(shēng)産控制大區(qū)與管理(lǐ)信息大區(qū)之間(jiān)必須部署經國(guó)家(jiā)指定部門檢測認證的(de)電(diàn)力專用橫向單向安全隔離裝置,隔離強度應當接近(jìn)或達到物(wù)理(lǐ)隔離。生(shēng)産控制大區(qū)內(nèi)部的(de)安全區(qū)之間(jiān)應當采用具有(yǒu)訪問(wèn)控制功能的(de)網絡設備、安全可靠的(de)硬件(jiàn)防火牆或者相(xiàng)當功能的(de)設施,實現(xiàn)邏輯隔離。防火牆的(de)功能性能電(diàn)磁兼容性必須經過國(guó)家(jiā)相(xiàng)關部門的(de)認證和(hé)測試。  

       縱向加密認證是電(diàn)力監控系統安全防護體(tǐ)系的(de)縱向防線。生(shēng)産控制大區(qū)與調度數據網的(de)縱向連接處應當設置經過國(guó)家(jiā)指定部門檢測認證的(de)電(diàn)力專用縱向加密認證裝置,實現(xiàn)雙向身(shēn)份認證、數據加密和(hé)訪問(wèn)控制。  

(4)綜合防護  

       綜合防護是結合國(guó)家(jiā)信息安全等級保護工(gōng)作(zuò)的(de)相(xiàng)關要求對(duì)電(diàn)力監控系統從(cóng)主機(jī)、網絡設備、惡意代碼防範、應用安全控制、審計(jì)、備份及容災等多個(gè)層面進行信息安全防護的(de)過程。  

       生(shēng)産控制大區(qū)可以統一部署一套網絡入侵檢測系統,應當合理(lǐ)設置檢測規則,檢測發現(xiàn)隐藏于流經網絡邊界正常信息流中的(de)入侵行為(wèi),分析潛在威脅并進行安全審計(jì)。  

       非控制區(qū)的(de)網絡設備與安全設備應當進行身(shēn)份鑒别、訪問(wèn)權限控制、會話(huà)控制等安全配置加固。可以應用電(diàn)力調度輸子(zǐ)證書(shū),在網絡設備和(hé)安全設備實現(xiàn)支持HTTPS的(de)縱向安全WEB服務,能夠對(duì)浏覽器(qì)客戶端訪問(wèn)進行身(shēn)份認證及加密傳輸。  

       生(shēng)産控制大區(qū)的(de)監控系統應當具備安全審計(jì)功能,能能夠對(duì)操作(zuò)系統、數據庫、業(yè)務應用的(de)重要操作(zuò)盡心記錄、分析,及時(shí)發現(xiàn)各種違規行為(wèi)以及病毒和(hé)黑(hēi)客的(de)攻擊行為(wèi)。對(duì)于遠(yuǎn)程用戶登陸到本地(dì)系統中的(de)操作(zuò)行為(wèi),應當進行嚴格的(de)安全審計(jì)。  

具體(tǐ)方案  

部署工(gōng)控安全綜合監管平台、工(gōng)業(yè)安全防火牆,深度解析工(gōng)控協議(yì),防範非法訪問(wèn),迅速檢測異常網絡節點,及時(shí)預警,并監控工(gōng)業(yè)防火牆運行狀态,實時(shí)獲取工(gōng)控網安全事(shì)件(jiàn)日(rì)志(zhì)和(hé)報警任務;

在操作(zuò)員(yuán)站和(hé)工(gōng)程師(shī)站部署工(gōng)控主機(jī)安全防護系統,防範非法程序和(hé)應用以及未經授權的(de)任何行為(wèi);

部署堡壘機(jī)及工(gōng)控安全綜合審計(jì)系統,對(duì)違規操作(zuò)行為(wèi)進行控制和(hé)審計(jì),保障網絡和(hé)數據不受外(wài)部和(hé)內(nèi)部用戶的(de)入侵和(hé)破壞;

采用工(gōng)控安全隔離網閘設備,物(wù)理(lǐ)隔離中央控制室和(hé)各子(zǐ)站網,提供兩網數據交換安全通(tōng)道(dào),阻止來(lái)自(zì)上(shàng)層網絡的(de)非法訪問(wèn)以及病毒和(hé)惡意代碼的(de)傳播。

    1-智慧城(chéng)市(shì)數據溯源保密安全解決方案

    根據智慧城(chéng)市(shì)數據交換平台的(de)需求情況,提出采用自(zì)主可控數據共享與溯源綜合管理(lǐ)平台(以下(xià)簡稱數據溯源系統)來(lái)實現(xiàn)智慧城(chéng)市(shì)信息數據交換共享中的(de)數據脫敏及溯源追蹤保密安全的(de)痛點問(wèn)題。

系統部署于智慧城(chéng)市(shì)數據交換共享中心內(nèi)部網絡當中(不同安全域之間(jiān)),當智慧城(chéng)市(shì)數據共享交換系統通(tōng)過RestAPI獲取到DB數據提供者提供的(de)相(xiàng)關數據後,該系統會将這(zhè)些數據及其相(xiàng)應的(de)數據屬性信息提交到數據交換安全處理(lǐ)中心,該中心安全域內(nèi)部署了兩種數據安全處理(lǐ)系統,一為(wèi)數據脫敏系統,第二為(wèi)數據溯源交換系統。在該安全處理(lǐ)中心會對(duì)相(xiàng)關的(de)數據進行數據脫敏操作(zuò)和(hé)數據溯源标識操作(zuò)。

1)  數據溯源種子(zǐ)植入。該操作(zuò)步驟會按照(zhào)溯源種子(zǐ)植入策略進行敏感數據的(de)溯源種子(zǐ)植入,處理(lǐ)完成後的(de)數據将提交給智慧城(chéng)市(shì)數據共享交換系統轉發給具體(tǐ)的(de)數據使用者。

2)  數據溯源标識。相(xiàng)應的(de)DB數據提供者的(de)數據将會被打上(shàng)知識産權标簽,相(xiàng)關的(de)宿主屬性會無縫地(dì)嵌入到現(xiàn)有(yǒu)的(de)數據之上(shàng),并且不改變現(xiàn)有(yǒu)數據的(de)任何結構,當這(zhè)種數據進入數據使用者的(de)時(shí)候,不會影響數據使用者的(de)使用,但(dàn)是如果數據使用者将該數據洩露給其他(tā)公司或個(gè)人(rén),智慧城(chéng)市(shì)交換中心可以借助于該溯源追蹤平台進行審計(jì)和(hé)跟蹤,從(cóng)而實現(xiàn)數據的(de)非授權擴散監管問(wèn)題。

   

    2-大數據安全脫敏系統解決方案

    數據安全脫敏系統采用大數據分析技(jì)術來(lái)實現(xiàn)隐私數據發現(xiàn)、數據提取、數據漂白、測試數據管理(lǐ)、數據裝載等功能于一體(tǐ)的(de)高(gāo)性能數據脫敏設備。系統采用專用的(de)脫敏處理(lǐ)算(suàn)法對(duì)敏感數據進行變形、屏蔽、替換、加密(格式保留加密處理(lǐ)和(hé)高(gāo)強度加密處理(lǐ)),将敏感數據進行處理(lǐ)後屏蔽了原有(yǒu)數據的(de)敏感性,實現(xiàn)了數據的(de)隐私性保護。同時(shí)脫敏後的(de)數據保留了原有(yǒu)數據的(de)數據結構和(hé)數據的(de)業(yè)務邏輯一緻,也能維持脫敏前後的(de)數據唯一性,如:身(shēn)份證、銀行卡、手機(jī)号、IMSI等。使得上(shàng)層應用無需改變相(xiàng)應的(de)業(yè)務邏輯。

系統具有(yǒu)流程化(huà)、自(zì)動化(huà)和(hé)作(zuò)業(yè)複用等特點。作(zuò)為(wèi)軟硬一體(tǐ)化(huà)的(de)設備,它擁有(yǒu)強大的(de)功能、易于部署和(hé)使用等特點,開(kāi)箱即用式的(de)優勢能夠極大減輕工(gōng)作(zuò)人(rén)員(yuán)的(de)工(gōng)作(zuò)強度以及項目周期。

系統對(duì)主流數據類型均能友(yǒu)好(hǎo)支持。包括支持國(guó)産關系型主流數據庫系統Oracle、Informix、SQL Server、DB2、MySQL。國(guó)産主流數據庫南大通(tōng)用GBase、人(rén)大金(jīn)倉、虛谷等、非關系型主流數據庫Hive、MongoDB、Redis、Hbase等。

   

    3-數據庫保密檢查解決方案

    1. 需求

需要用新的(de)技(jì)術手段實現(xiàn)對(duì)數據庫進行高(gāo)效涉密數據檢查。具體(tǐ)需求如下(xià)。

1)檢查範圍廣。包括結構化(huà)數據庫、非結構化(huà)數據庫、雲計(jì)算(suàn)的(de)虛拟機(jī)和(hé)壓縮文(wén)件(jiàn)、大數據集群系統、服務器(qì)系統等

2)檢查效率高(gāo)。需要快速對(duì)高(gāo)達100T的(de)數據庫進行保密檢查,檢查效率是傳統方式的(de)100-1000倍

3)檢查類型多。需要對(duì)數據庫中涉及到的(de)多種文(wén)本文(wén)件(jiàn)(Word、PDF等)、圖片文(wén)件(jiàn)中的(de)數據進行數據敏感性檢查

4)檢查精度高(gāo)。需要能在海(hǎi)量數據庫內(nèi)容中精準定位涉密信息或數據,誤報率低(dī)

5)多種檢查方法。需要提供多種檢查算(suàn)法,能從(cóng)多維度定位目标數據系統。

2. 功能概述

系統采用大數據技(jì)術創新性地(dì)用于數據庫涉密信息檢查,能有(yǒu)效達到以下(xià)目标。

1)高(gāo)效采集。大數據Sqoop技(jì)術實現(xiàn)數據的(de)分布式采集。

2)高(gāo)效分析。大數據MapReduce技(jì)術實現(xiàn)對(duì)數據庫內(nèi)容的(de)快速分析和(hé)檢查

3)精準定位。結合檢查專家(jiā)庫,快速對(duì)政務敏感信息定位,并能生(shēng)成詳盡的(de)分析報告

數據庫保密檢查系統安裝部署方便,隻需要保證與被檢查數據庫網絡可達即可;出于檢查效率的(de)考慮,建議(yì)采用千兆及以上(shàng)網絡環境。


資料更新中...

山西宅甯信息科技有限公司
Image

聯系地(dì)址:山西(xī)省太原市(shì)綜改示範區(qū)學府園區(qū)長(cháng)治路(lù)227号高(gāo)新國(guó)際B座

郵編:030006

企業(yè)郵箱:sxtk_mail@163.com

電(diàn)話(huà):400-0351-366    18903512955

版權所有(yǒu):山西宅甯信息科技有限公司  備案号: