Image
   熱線電話:

? ??400-0351-366

Image

解決方案

Image

SOLUTION

                                                                                                          煤礦行業工業控制系統安全防護解決方案  

一、背景情況  
       煤炭工業控制系統是整個煤炭企業安全生產監控系統信息的集成,它需要一個快速、安全、可靠的網絡平臺為大量的信息流動提供支撐,同時要有一個功能全面的安全生產信息應用系統為礦井安全生產提供科學調度、決策的依據。做好煤炭企業工控安全建設是實現生產安全的必要保障。  

       綜合自動化系統是指在工業生產、管理、經營過程中,通過信息基礎設施,在集成平臺上,實現信息的采集、信息的傳輸、信息的處理以及信息的綜合利用等。將先進和自動控制、通訊、信息技術和現化管理技術結合,將企業的生產過程控制、運行與管理作為一個整體進行控制與管理,提供整體解決方案,以實現企業的優化運行、控制和管理。  

二、安全分析  

(1)缺乏整體信息安全規劃;  

(2)缺乏工控安全管理制度、應急預案、培訓與意識培養;  

(3)調度人員有時通過連通互聯網的手機在調度室主機U口上充電,導致生產網絡通過手機被打通,造成邊界模糊。  

(4)主機操作系統老舊,從不升級,極易出現安全漏洞和缺陷;新建系統主機雖然會安裝殺毒軟件,但是為保障生產運行,殺毒軟件一般處于關閉狀態,這些都存在安全隱患,無法防御“0-DAY”病毒和勒索病毒。  

(5)調度人員或運維人員使用帶有病毒的U盤插入主機中,造成整個網絡感染病毒。  

(6)煤炭生產現場PLC多為西門子或AB的產品,而PLC本身存在漏洞,西門子和AB近些年被曝出存在高危漏洞,攻擊者可以利用漏洞控制現場設備,執行錯誤命令,嚴重影響安全生產。  

(7)黑客也可通過技術手段潛入生產網絡,獲取關鍵生產數據,牟取利益。  



三、煤礦行業工控系統安全防護解決方案  

安全防護原則  

(1)安全分區  

       對于生產網絡與辦公網絡、企業集團內網存在互聯互通的現象,首先需要進行網絡優化,明確生產網絡邊界,盡量避免多個生產網絡邊界的現象。  

(2)安全審計  

       對生產網絡內部的日常操作行為進行基于白名單策略監控,及時發現網絡中存在的異常流量、違規操作、非法訪問、惡意程序等異常行為,并要求對生產網絡的運行日志進行記錄保存,至少保留6個月;對于已經發生攻擊事件的情況,要求可以對攻擊事件進行追蹤、溯源,定位網絡攻擊的位置或具體用戶。  

(3)邊界防護  

       根據業務網絡實際情況,在生產網絡外部邊界處部署工業防火墻或單向隔離網閘設備,保證生產網絡向辦公網絡或其他外部網絡數據單向傳輸。工業控制系統上位操作主機(操作站、工程師站、服務器)作為生產網絡的內部邊界,需要對用戶登陸、操作、運行等行為進行安全監控與審計,并對通過上位主機外設接口與生產網絡進行數據通訊的行為進行授權管理。  

(4)惡意代碼防范  

       對于以“白名單”防護策略為主的工控安全防護方案,除了對外部網絡邊界進行有效的訪問控制和威脅監測以外,需要對上位主機的USB接口使用過程進行安全有效管理,對于臨時接入工控網絡的移動存儲設備,必須先進行病毒查殺,才可以使用。  

具體方案  

?    部署工控安全綜合監管平臺、工業安全防火墻,深度解析工控協議,防范非法訪問,迅速檢測異常網絡節點,及時預警,并監控工業防火墻運行狀態,實時獲取工控網安全事件日志和報警任務;  

?    在操作員站和工程師站部署工控主機安全防護系統,防范非法程序和應用以及未經授權的任何行為;  

?    部署堡壘機及工控安全綜合審計系統,對違規操作行為進行控制和審計,保障網絡和數據不受外部和內部用戶的入侵和破壞;  

?    采用工控安全隔離網閘設備,物理隔離煤礦辦公網和生產網,提供兩網數據交換安全通道,阻止來自上層網絡的非法訪問以及病毒和惡意代碼的傳播。

                                                                                                                    焦化工業控制系統安全防護解決方案  

一、背景情況  
       焦化企業普遍采用基于信息網、管理網和控制網三層架構的的管控一體化信息模型,焦化企業是典型的資金和技術密集型企業,生產的連續性很強,裝置和重要設備的意外停產都會導致巨大的經濟損失,因此生產過程控制大多采用DCS等先進的控制系統,且以國外廠商為主。經過多年的發展,焦化行業信息化建設已經有了較好的基礎,企業在管理層的指揮、協調和監控能力在實時性、完整性和一致性上都有了很大的提升,相應的網絡安全防護也有了較大提高。隨著焦化企業管控一體化的實現,越來越多的控制網絡系統通過信息網絡連接到互聯上,潛在的威脅就越來越大。  

二、安全分析  
(1)控制網絡與管理網絡互聯,存在來自上層網絡的安全威脅存在。  

(2)存在來自工作站(接入U盤、便攜設備等)的病毒傳染隱患。  

(3)網絡中沒有設置安全監控平臺,無法對網絡安全事故進行預警和分析,影響問題識別和系統修復效率。  

(4)控制系統缺少分級、分區的安全防護,容易受到信息網絡及相鄰系統的潛在威脅。  

(5)對違規操作缺乏控制和審計。  

三、焦化行業工控系統安全防護解決方案  
防護原則  

(1)安全分區  

對于生產網絡與辦公網絡、企業集團內網存在互聯互通的現象,首先需要進行網絡優化,明確生產網絡邊界,盡量避免多個生產網絡邊界的現象。  

(2)安全審計  

對生產網絡內部的日常操作行為進行基于白名單策略監控,及時發現網絡中存在的異常流量、違規操作、非法訪問、惡意程序等異常行為,并要求對生產網絡的運行日志進行記錄保存,至少保留6個月;對于已經發生攻擊事件的情況,要求可以對攻擊事件進行追蹤、溯源,定位網絡攻擊的位置或具體用戶。  

(3)邊界防護  

根據業務網絡實際情況,在生產網絡外部邊界處部署工業防火墻或單向隔離網閘設備,保證生產網絡向辦公網絡或其他外部網絡數據單向傳輸。工業控制系統上位操作主機(操作站、工程師站、服務器)作為生產網絡的內部邊界,需要對用戶登陸、操作、運行等行為進行安全監控與審計,并對通過上位主機外設接口與生產網絡進行數據通訊的行為進行授權管理。  

(4)惡意代碼防范  

對于以“白名單”防護策略為主的工控安全防護方案,除了對外部網絡邊界進行有效的訪問控制和威脅監測以外,需要對上位主機的USB接口使用過程進行安全有效管理,對于臨時接入工控網絡的移動存儲設備,必須先進行病毒查殺,才可以使用。  

具體方案  

(1)根據焦化行業的網絡拓撲圖,結合相關標準及技術規范與要求,將整個網絡劃分為操作管理層、現場監控層、生產控制層和生產執行層四個區域。  

(2)在現有網絡架構下,協同部署工控系統安全防護產品,全面防護包括OPC數據采集、控制設備和工程師工作站的安全。  

(3)采用工控網絡隔離網關設備隔離內外網,提供內外網數據交換安全通道,阻止來自上層網絡的非法訪問、病毒及惡意代碼的傳播。  

(4)部署分布式工業防火墻和工控安全監控平臺,深度解析多種工控協議,防范非法訪問,迅速檢測異常網絡節點,及時預警,并監控工業防火墻工作狀態,實時獲取工控網絡安全事件日志和報警任務。  

(5)在工作站應用工控安全主機防護系統,防范非法程序、應用以及未經授權的任何行為,給予終端計算機全生命周期的安全防護。  

(6)在操作管理層部署審計平臺和堡壘機,對違規操作行為進行控制和審計,保障網絡和數據不受外部和內部用戶的入侵和破壞。

                                                                                                                 冶金鋼鐵工業控制系統安全防護解決方案  

一、背景情況  
       冶金鋼鐵行業工業以太網一般采用環網結構,為實時控制網,負責控制器、操作站和工程師站之間過程控制數據實時通訊,網絡上所有操作站、數采機和PLC都采用以太網接口,網絡中遠距離傳輸介質為光纜,本地傳輸介質為網線(如PLC與操作站之間)。生產監控主機利用雙網卡結構與管理網互聯。  

二、安全分析  
(1)鋼鐵冶金企業沒有對其內部生產控制系統及網絡進行分區、分層,無法將惡意軟件、黑客攻擊、非法操作等行為控制在特定區域內,易發生全局性網絡安全風險。  

(2)分廠控制網絡采用同網段組網,PLC、DCS等重要控制系統缺乏安全防護和訪問控制措施。  

(3)各分廠控制網與骨干環網之間無隔離防護措施。  

(4)鋼鐵冶金企業辦公網和生產監控網之間無物理隔離措施,導致病毒、木馬、黑客攻擊等極易以辦公網為跳板對生產控制系統發起攻擊。  

(5)由于鋼鐵冶金企業控制流程復雜、設備種類繁多、通信協議多樣,導致采集數據安全性無法得到保障。  

(6)鋼鐵冶金企業內部控制系統及網絡缺乏安全監測與審計措施,無法及時發現非法訪問、非法操作、惡意攻擊等行為。  

(7)鋼鐵冶金企業內部缺乏統一的安全管理平臺。  

三、冶金鋼鐵行業工控系統安全防護解決方案  
防護原則  

(1)安全分區  

       對于生產網絡與辦公網絡、企業集團內網存在互聯互通的現象,首先需要進行網絡優化,明確生產網絡邊界,盡量避免多個生產網絡邊界的現象。  

(2)安全審計  

       對生產網絡內部的日常操作行為進行基于白名單策略監控,及時發現網絡中存在的異常流量、違規操作、非法訪問、惡意程序等異常行為,并要求對生產網絡的運行日志進行記錄保存,至少保留6個月;對于已經發生攻擊事件的情況,要求可以對攻擊事件進行追蹤、溯源,定位網絡攻擊的位置或具體用戶。  

(3)邊界防護  

       根據業務網絡實際情況,在生產網絡外部邊界處部署工業防火墻或單向隔離網閘設備,保證生產網絡向辦公網絡或其他外部網絡數據單向傳輸。工業控制系統上位操作主機(操作站、工程師站、服務器)作為生產網絡的內部邊界,需要對用戶登陸、操作、運行等行為進行安全監控與審計,并對通過上位主機外設接口與生產網絡進行數據通訊的行為進行授權管理。  

(4)惡意代碼防范  

       對于以“白名單”防護策略為主的工控安全防護方案,除了對外部網絡邊界進行有效的訪問控制和威脅監測以外,需要對上位主機的USB接口使用過程進行安全有效管理,對于臨時接入工控網絡的移動存儲設備,必須先進行病毒查殺,才可以使用。  

具體方案  

(1)部署工控安全監控系統和工業防火墻,對工控協議深度解析,防范非法訪問,迅速檢測異常網絡節點,及時預警,并監控工業防火墻工作狀態,實時獲取工控網安全事件日志和報警任務,保障PLC設備和各服務器安全。  

(2)在各高爐操作站和工程師站應用工控安全主機防護系統,防范非法程序和應用以及未經授權的任何行為。  

(3)部署堡壘機及工控安全綜合審計系統,對違規操作行為進行控制和審計,保障網絡和數據不受外部和內部用戶的入侵和破壞。  

(4)采用工控網絡隔離網關設備隔離生產控制網和控制子站環網,提供兩網數據交換安全通道,阻止來自上層網絡的非法訪問以及病毒和惡意代碼的傳播。

                                                                                                 火力發電工業控制系統安全防護解決方案  

一、背景情況  

       火電廠工控系統主要由中央控制室和各配電室、電子間等子站組成,系統中布置有數千個開關、數百個模擬測量點以及數個PID調節回路的控制對象。其中,中央控制室設備通常包括建立在以太網連接上的操作員站、工程師站、數據采集服務器、報表打印設備等。中央控制網絡與各子站控制系統采用光纖為通信鏈路,各子站配有光纖收發器和工業交換機。  

二、安全分析  

(1)中央控制網絡與各控制子站網絡互聯,存在來自上層網絡的安全威脅,缺少重點邊界、區域的安全防護手段;  

(2)工控系統及網絡缺乏監測手段,無法感知未知設備、非法應用和軟件的入侵,無法對網絡中傳輸的未知異常流量進行監測;  

(3)工控系統缺乏對用戶操作行為的監控和審計,針對用戶操作行為缺乏有效可靠的審計手段;  

(4)工業控制系統缺乏分區邊界防護,容易受到來自信息網絡和相鄰系統的安全影響。  

三、火力發電行業工控系統安全防護解決方案  

安全防護原則  

(1)安全分區  

       按照《電力監控系統安全防護規定》,原則上將基于計算機及網絡技術的業務系統劃分為生產控制大區和管理信息大區,并根據業務系統的重要性和對一次系統的影響程度將生產控制大區劃分為控制區(安全區Ⅰ)及非控制區(安全區Ⅱ),重點保護生產控制以及直接影響電力生產(機組運行)的系統。  

(2)網絡專用  

       電力調度數據網是與生產控制大區相連接的專用網絡,承載電力實時控制、在線交易等業務。生產控制大區的電力調度數據網應當在專用通道上使用獨立的網絡設備組網,在物理層面上實現與電力企業其他數據網及外部公共信息網的安全隔離。生產控制大區的電力調度數據網應當劃分為邏輯隔離的實時子網和非實時子網,分別連接控制區和非控制區。  

(3)橫向隔離 縱向認證  

       橫向隔離是電力監控系統安全防護體系的橫向防線。應當采用不同強度的安全設備隔離各安全區,在生產控制大區與管理信息大區之間必須部署經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置,隔離強度應當接近或達到物理隔離。生產控制大區內部的安全區之間應當采用具有訪問控制功能的網絡設備、安全可靠的硬件防火墻或者相當功能的設施,實現邏輯隔離。防火墻的功能性能電磁兼容性必須經過國家相關部門的認證和測試。  

       縱向加密認證是電力監控系統安全防護體系的縱向防線。生產控制大區與調度數據網的縱向連接處應當設置經過國家指定部門檢測認證的電力專用縱向加密認證裝置,實現雙向身份認證、數據加密和訪問控制。  

(4)綜合防護  

       綜合防護是結合國家信息安全等級保護工作的相關要求對電力監控系統從主機、網絡設備、惡意代碼防范、應用安全控制、審計、備份及容災等多個層面進行信息安全防護的過程。  

       生產控制大區可以統一部署一套網絡入侵檢測系統,應當合理設置檢測規則,檢測發現隱藏于流經網絡邊界正常信息流中的入侵行為,分析潛在威脅并進行安全審計。  

       非控制區的網絡設備與安全設備應當進行身份鑒別、訪問權限控制、會話控制等安全配置加固。可以應用電力調度輸子證書,在網絡設備和安全設備實現支持HTTPS的縱向安全WEB服務,能夠對瀏覽器客戶端訪問進行身份認證及加密傳輸。  

       生產控制大區的監控系統應當具備安全審計功能,能能夠對操作系統、數據庫、業務應用的重要操作盡心記錄、分析,及時發現各種違規行為以及病毒和黑客的攻擊行為。對于遠程用戶登陸到本地系統中的操作行為,應當進行嚴格的安全審計。  

具體方案  

部署工控安全綜合監管平臺、工業安全防火墻,深度解析工控協議,防范非法訪問,迅速檢測異常網絡節點,及時預警,并監控工業防火墻運行狀態,實時獲取工控網安全事件日志和報警任務;

在操作員站和工程師站部署工控主機安全防護系統,防范非法程序和應用以及未經授權的任何行為;

部署堡壘機及工控安全綜合審計系統,對違規操作行為進行控制和審計,保障網絡和數據不受外部和內部用戶的入侵和破壞;

采用工控安全隔離網閘設備,物理隔離中央控制室和各子站網,提供兩網數據交換安全通道,阻止來自上層網絡的非法訪問以及病毒和惡意代碼的傳播。

    1-智(zhi)慧(hui)城(cheng)市數據溯源保密安全解決方案

    根(gen)據(ju)智(zhi)慧城市(shi)(shi)數據(ju)交換(huan)平(ping)臺(tai)的需求(qiu)情況,提出采(cai)用(yong)自主可控(kong)數據(ju)共享與(yu)溯(su)(su)源綜(zong)合(he)管(guan)理(li)平(ping)臺(tai)(以下簡(jian)稱數據(ju)溯(su)(su)源系統)來實現智(zhi)慧城市(shi)(shi)信息數據(ju)交換(huan)共享中的數據(ju)脫敏及溯(su)(su)源追蹤保(bao)密安(an)全的痛點問題。

系統(tong)部署(shu)于(yu)智慧(hui)城(cheng)(cheng)市(shi)數(shu)(shu)據(ju)(ju)(ju)(ju)交(jiao)換(huan)共(gong)享(xiang)中(zhong)(zhong)(zhong)心(xin)內部網絡當中(zhong)(zhong)(zhong)(不(bu)同安(an)全(quan)(quan)域(yu)之間),當智慧(hui)城(cheng)(cheng)市(shi)數(shu)(shu)據(ju)(ju)(ju)(ju)共(gong)享(xiang)交(jiao)換(huan)系統(tong)通過RestAPI獲(huo)取(qu)到DB數(shu)(shu)據(ju)(ju)(ju)(ju)提(ti)供(gong)(gong)者提(ti)供(gong)(gong)的相關數(shu)(shu)據(ju)(ju)(ju)(ju)后(hou),該系統(tong)會將這些數(shu)(shu)據(ju)(ju)(ju)(ju)及其相應的數(shu)(shu)據(ju)(ju)(ju)(ju)屬性信息提(ti)交(jiao)到數(shu)(shu)據(ju)(ju)(ju)(ju)交(jiao)換(huan)安(an)全(quan)(quan)處(chu)理中(zhong)(zhong)(zhong)心(xin),該中(zhong)(zhong)(zhong)心(xin)安(an)全(quan)(quan)域(yu)內部署(shu)了兩種數(shu)(shu)據(ju)(ju)(ju)(ju)安(an)全(quan)(quan)處(chu)理系統(tong),一(yi)為數(shu)(shu)據(ju)(ju)(ju)(ju)脫(tuo)敏(min)系統(tong),第二為數(shu)(shu)據(ju)(ju)(ju)(ju)溯源(yuan)交(jiao)換(huan)系統(tong)。在(zai)該安(an)全(quan)(quan)處(chu)理中(zhong)(zhong)(zhong)心(xin)會對相關的數(shu)(shu)據(ju)(ju)(ju)(ju)進行數(shu)(shu)據(ju)(ju)(ju)(ju)脫(tuo)敏(min)操作(zuo)和數(shu)(shu)據(ju)(ju)(ju)(ju)溯源(yuan)標識操作(zuo)。

1)  數(shu)(shu)(shu)據溯源(yuan)種子(zi)(zi)植入。該操作步(bu)驟(zou)會(hui)按照溯源(yuan)種子(zi)(zi)植入策略進行敏感(gan)數(shu)(shu)(shu)據的(de)(de)溯源(yuan)種子(zi)(zi)植入,處理完(wan)成后的(de)(de)數(shu)(shu)(shu)據將提交給(gei)智慧城市數(shu)(shu)(shu)據共享交換(huan)系統轉發(fa)給(gei)具體的(de)(de)數(shu)(shu)(shu)據使用者。

2)  數據(ju)(ju)(ju)溯(su)源標識。相應(ying)的(de)(de)(de)DB數據(ju)(ju)(ju)提(ti)供者的(de)(de)(de)數據(ju)(ju)(ju)將(jiang)會(hui)被打上知(zhi)識產權標簽,相關的(de)(de)(de)宿主屬性會(hui)無縫地嵌入(ru)到現有(you)的(de)(de)(de)數據(ju)(ju)(ju)之上,并且不改變現有(you)數據(ju)(ju)(ju)的(de)(de)(de)任何結構,當(dang)這種數據(ju)(ju)(ju)進入(ru)數據(ju)(ju)(ju)使(shi)用(yong)者的(de)(de)(de)時(shi)候,不會(hui)影響數據(ju)(ju)(ju)使(shi)用(yong)者的(de)(de)(de)使(shi)用(yong),但是如果數據(ju)(ju)(ju)使(shi)用(yong)者將(jiang)該(gai)數據(ju)(ju)(ju)泄露給其他公司或個人,智慧城市交(jiao)換中(zhong)心可以(yi)借助(zhu)于該(gai)溯(su)源追(zhui)蹤平臺進行審計和跟蹤,從而實(shi)現數據(ju)(ju)(ju)的(de)(de)(de)非授(shou)權擴散監管問(wen)題。

   

    2-大數據安全脫敏系統解決方案

    數(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)(ju)(ju)安全脫(tuo)敏系統采用(yong)(yong)大(da)數(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)(ju)(ju)分析技(ji)術來實現(xian)(xian)隱(yin)私(si)數(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)(ju)(ju)發現(xian)(xian)、數(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)(ju)(ju)提取(qu)、數(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)(ju)(ju)漂白(bai)、測試數(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)(ju)(ju)管理、數(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)(ju)(ju)裝(zhuang)載(zai)等(deng)功能于一(yi)體(ti)的(de)(de)高(gao)(gao)性能數(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)(ju)(ju)脫(tuo)敏設備。系統采用(yong)(yong)專用(yong)(yong)的(de)(de)脫(tuo)敏處(chu)理算(suan)法對敏感數(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)(ju)(ju)進行變形、屏(ping)蔽、替(ti)換、加(jia)密(格式保留加(jia)密處(chu)理和高(gao)(gao)強度加(jia)密處(chu)理),將(jiang)敏感數(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)(ju)(ju)進行處(chu)理后(hou)屏(ping)蔽了原(yuan)有數(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)(ju)(ju)的(de)(de)敏感性,實現(xian)(xian)了數(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)(ju)(ju)的(de)(de)隱(yin)私(si)性保護。同(tong)時脫(tuo)敏后(hou)的(de)(de)數(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)(ju)(ju)保留了原(yuan)有數(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)(ju)(ju)的(de)(de)數(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)(ju)(ju)結構和數(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)(ju)(ju)的(de)(de)業(ye)務邏(luo)輯一(yi)致(zhi),也能維持脫(tuo)敏前后(hou)的(de)(de)數(shu)(shu)(shu)據(ju)(ju)(ju)(ju)(ju)(ju)(ju)唯一(yi)性,如:身(shen)份證、銀行卡(ka)、手機號(hao)、IMSI等(deng)。使得上層應(ying)用(yong)(yong)無需(xu)改變相應(ying)的(de)(de)業(ye)務邏(luo)輯。

系(xi)統具有流(liu)程化(hua)、自動化(hua)和(he)作(zuo)(zuo)業復用(yong)等特點(dian)。作(zuo)(zuo)為軟(ruan)硬(ying)一體化(hua)的(de)(de)設備,它擁有強大的(de)(de)功能、易于部署和(he)使用(yong)等特點(dian),開箱即(ji)用(yong)式的(de)(de)優勢能夠極大減輕工作(zuo)(zuo)人員的(de)(de)工作(zuo)(zuo)強度以及項(xiang)目周期。

系(xi)統對主(zhu)流(liu)數(shu)據類型(xing)均能友(you)好支(zhi)持。包括支(zhi)持國產關(guan)系(xi)型(xing)主(zhu)流(liu)數(shu)據庫系(xi)統Oracle、Informix、SQL Server、DB2、MySQL。國產主(zhu)流(liu)數(shu)據庫南大(da)通(tong)用(yong)GBase、人(ren)大(da)金倉(cang)、虛(xu)谷等(deng)、非關(guan)系(xi)型(xing)主(zhu)流(liu)數(shu)據庫Hive、MongoDB、Redis、Hbase等(deng)。

   

    3-數據庫保密檢查解決方案

    1. 需(xu)求

需(xu)要用新的技術手段實現對(dui)數據(ju)(ju)庫進行高效涉密(mi)數據(ju)(ju)檢查。具體需(xu)求如下。

1)檢查范圍廣(guang)。包(bao)括結構化數據(ju)庫、非結構化數據(ju)庫、云(yun)計算(suan)的虛擬(ni)機和壓(ya)縮文件、大數據(ju)集(ji)群系統(tong)、服務器系統(tong)等

2)檢查(cha)效率高。需要快速對高達(da)100T的數據庫(ku)進行保密檢查(cha),檢查(cha)效率是傳統方式的100-1000倍

3)檢查類型多。需要(yao)對數據(ju)庫中涉及到(dao)的(de)多種文本文件(Word、PDF等)、圖(tu)片文件中的(de)數據(ju)進行數據(ju)敏感性檢查

4)檢(jian)查精(jing)度(du)高(gao)。需(xu)要能在海量數(shu)據庫內容中精(jing)準定位涉密信息(xi)或數(shu)據,誤報率低

5)多種(zhong)檢查方法(fa)。需(xu)要(yao)提供多種(zhong)檢查算法(fa),能從多維度定(ding)位目標數據系統(tong)。

2. 功能概述(shu)

系統采用大(da)數(shu)據(ju)技術創新性(xing)地用于(yu)數(shu)據(ju)庫涉(she)密信息(xi)檢查,能有效(xiao)達(da)到以(yi)下目標。

1)高效采集。大(da)數(shu)據Sqoop技術實現數(shu)據的分布(bu)式采集。

2)高效(xiao)分析。大數據MapReduce技(ji)術實現對數據庫內容的快速分析和檢(jian)查

3)精準(zhun)定位。結(jie)合檢查專家(jia)庫,快速(su)對政務(wu)敏感信息(xi)定位,并能(neng)生成詳盡的分析報告

數(shu)據庫保密檢(jian)查(cha)系(xi)統安裝部署方便,只需要保證與被檢(jian)查(cha)數(shu)據庫網(wang)絡(luo)可達即可;出于檢(jian)查(cha)效率(lv)的(de)考慮,建議采用千兆及以上網(wang)絡(luo)環境。


資料更(geng)新中...

一、背景情況
       校(xiao)(xiao)園(yuan)網(wang)(wang)(wang)(wang)絡(luo)(luo)(luo)(luo)是(shi)學(xue)(xue)(xue)校(xiao)(xiao)為(wei)教(jiao)職員工(gong)和(he)學(xue)(xue)(xue)生提供網(wang)(wang)(wang)(wang)絡(luo)(luo)(luo)(luo)接(jie)入,滿足(zu)教(jiao)學(xue)(xue)(xue)、科研、管理服務需求(qiu)的(de)信息化基(ji)礎(chu)設施,包括(kuo)有線寬帶網(wang)(wang)(wang)(wang)絡(luo)(luo)(luo)(luo)、無線局域網(wang)(wang)(wang)(wang)絡(luo)(luo)(luo)(luo)和(he)移動通信網(wang)(wang)(wang)(wang)絡(luo)(luo)(luo)(luo),因此提高高等(deng)學(xue)(xue)(xue)校(xiao)(xiao)網(wang)(wang)(wang)(wang)絡(luo)(luo)(luo)(luo)管理和(he)服務質量(liang),提升校(xiao)(xiao)園(yuan)網(wang)(wang)(wang)(wang)絡(luo)(luo)(luo)(luo)用(yong)戶上網(wang)(wang)(wang)(wang)體(ti)驗,保障(zhang)校(xiao)(xiao)園(yuan)網(wang)(wang)(wang)(wang)絡(luo)(luo)(luo)(luo)安全是(shi)當前教(jiao)育行(xing)業的(de)重要(yao)(yao)工(gong)作(zuo)。對于學(xue)(xue)(xue)校(xiao)(xiao)而(er)言(yan),維(wei)護校(xiao)(xiao)園(yuan)網(wang)(wang)(wang)(wang)絡(luo)(luo)(luo)(luo)安全,是(shi)保障(zhang)教(jiao)育教(jiao)學(xue)(xue)(xue)正常開展(zhan)的(de)基(ji)礎(chu)性工(gong)作(zuo),也是(shi)構建新時代(dai)育人(ren)環境的(de)重要(yao)(yao)工(gong)作(zuo)。


二、安全分析
1.校園各類信息服務系統的數據安全。由于校園內各種二級、三級域名系統管理相對分散,針對各類漏洞風險可能會存在安全維護不及時等問題。這會導致部分網站或信息系統存在被拖庫、竄改等風險,從而導致師生的各類敏感信息泄露。
2.校園網絡、移動通信網無線接入安全。由于校園網絡中WiFi(行動熱點)接入點眾多且大多采用802.1x(一種訪問控制和認證協議)方式,人員密集使其成為具有較高價值的攻擊目標,因此存在大量的偽熱點、基站試圖竊取用戶敏感賬號信息,進行釣魚欺詐等。
3.校園信息系統中輿情內容安全(不良信息及言論的傳播)。由于大學生初步掌握了各種獲取信息的工具,可以輕易接觸到色情、暴力、反動等不良信息,這會影響其人生觀、世界觀的形成和發展。
4.學(xue)校網(wang)(wang)絡(luo)安(an)(an)(an)全(quan)管(guan)理(li)(li)制度(du)存(cun)在不(bu)足。學(xue)校內計(ji)算機和網(wang)(wang)絡(luo)已經(jing)普及,需要(yao)學(xue)校對網(wang)(wang)絡(luo)安(an)(an)(an)全(quan)加以重視,并(bing)建(jian)立完善(shan)的管(guan)理(li)(li)制度(du)。但是(shi),學(xue)校還沒有認識到網(wang)(wang)絡(luo)安(an)(an)(an)全(quan)的重要(yao)性,且考慮不(bu)全(quan)面(mian),建(jian)立的管(guan)理(li)(li)制度(du)存(cun)在不(bu)足;同時,沒有對管(guan)理(li)(li)人員進行專業技術和職業素養方(fang)面(mian)的培(pei)訓,影響網(wang)(wang)絡(luo)安(an)(an)(an)全(quan)管(guan)理(li)(li)效率與質量。


三、教育行業系統安全防護解決方案
網絡層面:關注安全域劃分、訪問控制、抗拒絕服務攻擊,針對區域邊界采取隔離手段,并在隔離后的各個安全區域邊界執行嚴格的訪問控制,防止非法訪問,利用漏洞管理系統、網絡安全審計等網絡安全產品,為客戶構建嚴密、專業的網絡安全保障體系。
應用層面:WEB應用防火墻能夠對WEB應用漏洞進行預先掃描,同時具備對SQL注入、跨站腳本等通過應用層的入侵動作實時阻斷,并結合網頁防篡改子系統,真正達到雙重層面的“網頁防篡改”效果。
數(shu)據層(ceng)面:數(shu)據庫將被隱藏在(zai)安全(quan)(quan)區域,同時(shi)通過專業的(de)(de)安全(quan)(quan)加固(gu)服務對數(shu)據庫進行(xing)安全(quan)(quan)評估和配置(zhi),對數(shu)據庫的(de)(de)訪問(wen)權限進行(xing)嚴(yan)格設定,最大限度(du)(du)保(bao)證(zheng)數(shu)據庫安全(quan)(quan)。同時(shi),有效保(bao)護重要數(shu)據信(xin)息的(de)(de)健康度(du)(du)。

一、背景情況
       醫療(liao)衛生行(xing)(xing)業(ye)的(de)(de)(de)(de)健康發(fa)展(zhan),直接(jie)關系(xi)(xi)到民生問(wen)題。隨著(zhu)醫院(yuan)信息(xi)(xi)化(hua)(hua)建(jian)設的(de)(de)(de)(de)逐步深入,網(wang)上業(ye)務由單一到多元(yuan)化(hua)(hua),各(ge)類應用系(xi)(xi)統(tong)數(shu)十個,信息(xi)(xi)系(xi)(xi)統(tong)承受的(de)(de)(de)(de)壓力(li)日益(yi)增長,醫院(yuan)信息(xi)(xi)系(xi)(xi)統(tong)已(yi)經成為醫院(yuan)正常運行(xing)(xing)不可或缺的(de)(de)(de)(de)支撐環境和(he)工作(zuo)平臺。醫院(yuan)業(ye)務系(xi)(xi)統(tong)作(zuo)為我國重要的(de)(de)(de)(de)關鍵信息(xi)(xi)基礎設施,是(shi)黑客的(de)(de)(de)(de)重點(dian)攻擊對象,醫療(liao)行(xing)(xing)業(ye)網(wang)絡攻擊事件層(ceng)出不窮。因此,建(jian)設完善的(de)(de)(de)(de)網(wang)絡安全防(fang)御體系(xi)(xi),落實醫院(yuan)網(wang)絡安全等(deng)級化(hua)(hua)建(jian)設工作(zuo)勢在必行(xing)(xing)。


二、安全分析
       近年來,各類勒索病毒、挖礦病毒、黑客木馬等自動化攻擊程序的出現和持續增加,如何快速有效的解決醫院資產全生命周期閉環管理,完成安全合規的落地化工作并盡量少地影響醫院核心臨床應用,也成為當前醫院面臨的嚴峻安全挑戰之一。

三、醫療行業安全防護解決方案
●安全物理環境
依據《信息安全技術-網絡安全等級保護基本要求》中的“安全物理環境”要求對對機房進行整改建設。
●安全通信網絡
安全通信網絡從網絡架構、通信傳輸和可信驗證三個方面進行設計和安全防護。
保證網絡設備的業務處理能力滿足業務高峰期需要;
關鍵業務區和管理區采取可靠的技術手段與其他區域進行隔離;
重要數據的通信傳輸采取加密措施;
●安全區邊界
根據業務網絡實際情況,在內網區和外網區的邊界部署安全隔離設備,保證HIS、LIS等系統面臨的APT攻擊、非法外聯/違規接入網絡等安全威脅進行有針對性的安全控制。
針對數據的傳輸、使用和存儲等過程,使用數據加密傳輸、數據脫敏等措施,保護醫院重要數據資產的安全。
●安全計算環境
安全計(ji)算環(huan)境防護建設(she)主要通過主機(ji)加固(gu)、入侵防范、漏洞掃描(miao)、惡意代碼防護等多種安全機(ji)制實現。

解決方案

Image

SOLUTION

                                                                                                          煤礦行業工業控制系統安全防護解決方案  

一、背景情況  
       煤炭工業控制系統是整個煤炭企業安全生產監控系統信息的集成,它需要一個快速、安全、可靠的網絡平臺為大量的信息流動提供支撐,同時要有一個功能全面的安全生產信息應用系統為礦井安全生產提供科學調度、決策的依據。做好煤炭企業工控安全建設是實現生產安全的必要保障。  

       綜合自動化系統是指在工業生產、管理、經營過程中,通過信息基礎設施,在集成平臺上,實現信息的采集、信息的傳輸、信息的處理以及信息的綜合利用等。將先進和自動控制、通訊、信息技術和現化管理技術結合,將企業的生產過程控制、運行與管理作為一個整體進行控制與管理,提供整體解決方案,以實現企業的優化運行、控制和管理。  

二、安全分析  

(1)缺乏整體信息安全規劃;  

(2)缺乏工控安全管理制度、應急預案、培訓與意識培養;  

(3)調度人員有時通過連通互聯網的手機在調度室主機U口上充電,導致生產網絡通過手機被打通,造成邊界模糊。  

(4)主機操作系統老舊,從不升級,極易出現安全漏洞和缺陷;新建系統主機雖然會安裝殺毒軟件,但是為保障生產運行,殺毒軟件一般處于關閉狀態,這些都存在安全隱患,無法防御“0-DAY”病毒和勒索病毒。  

(5)調度人員或運維人員使用帶有病毒的U盤插入主機中,造成整個網絡感染病毒。  

(6)煤炭生產現場PLC多為西門子或AB的產品,而PLC本身存在漏洞,西門子和AB近些年被曝出存在高危漏洞,攻擊者可以利用漏洞控制現場設備,執行錯誤命令,嚴重影響安全生產。  

(7)黑客也可通過技術手段潛入生產網絡,獲取關鍵生產數據,牟取利益。  



三、煤礦行業工控系統安全防護解決方案  

安全防護原則  

(1)安全分區  

       對于生產網絡與辦公網絡、企業集團內網存在互聯互通的現象,首先需要進行網絡優化,明確生產網絡邊界,盡量避免多個生產網絡邊界的現象。  

(2)安全審計  

       對生產網絡內部的日常操作行為進行基于白名單策略監控,及時發現網絡中存在的異常流量、違規操作、非法訪問、惡意程序等異常行為,并要求對生產網絡的運行日志進行記錄保存,至少保留6個月;對于已經發生攻擊事件的情況,要求可以對攻擊事件進行追蹤、溯源,定位網絡攻擊的位置或具體用戶。  

(3)邊界防護  

       根據業務網絡實際情況,在生產網絡外部邊界處部署工業防火墻或單向隔離網閘設備,保證生產網絡向辦公網絡或其他外部網絡數據單向傳輸。工業控制系統上位操作主機(操作站、工程師站、服務器)作為生產網絡的內部邊界,需要對用戶登陸、操作、運行等行為進行安全監控與審計,并對通過上位主機外設接口與生產網絡進行數據通訊的行為進行授權管理。  

(4)惡意代碼防范  

       對于以“白名單”防護策略為主的工控安全防護方案,除了對外部網絡邊界進行有效的訪問控制和威脅監測以外,需要對上位主機的USB接口使用過程進行安全有效管理,對于臨時接入工控網絡的移動存儲設備,必須先進行病毒查殺,才可以使用。  

具體方案  

?    部署工控安全綜合監管平臺、工業安全防火墻,深度解析工控協議,防范非法訪問,迅速檢測異常網絡節點,及時預警,并監控工業防火墻運行狀態,實時獲取工控網安全事件日志和報警任務;  

?    在操作員站和工程師站部署工控主機安全防護系統,防范非法程序和應用以及未經授權的任何行為;  

?    部署堡壘機及工控安全綜合審計系統,對違規操作行為進行控制和審計,保障網絡和數據不受外部和內部用戶的入侵和破壞;  

?    采用工控安全隔離網閘設備,物理隔離煤礦辦公網和生產網,提供兩網數據交換安全通道,阻止來自上層網絡的非法訪問以及病毒和惡意代碼的傳播。

                                                                                                                    焦化工業控制系統安全防護解決方案  

一、背景情況  
       焦化企業普遍采用基于信息網、管理網和控制網三層架構的的管控一體化信息模型,焦化企業是典型的資金和技術密集型企業,生產的連續性很強,裝置和重要設備的意外停產都會導致巨大的經濟損失,因此生產過程控制大多采用DCS等先進的控制系統,且以國外廠商為主。經過多年的發展,焦化行業信息化建設已經有了較好的基礎,企業在管理層的指揮、協調和監控能力在實時性、完整性和一致性上都有了很大的提升,相應的網絡安全防護也有了較大提高。隨著焦化企業管控一體化的實現,越來越多的控制網絡系統通過信息網絡連接到互聯上,潛在的威脅就越來越大。  

二、安全分析  
(1)控制網絡與管理網絡互聯,存在來自上層網絡的安全威脅存在。  

(2)存在來自工作站(接入U盤、便攜設備等)的病毒傳染隱患。  

(3)網絡中沒有設置安全監控平臺,無法對網絡安全事故進行預警和分析,影響問題識別和系統修復效率。  

(4)控制系統缺少分級、分區的安全防護,容易受到信息網絡及相鄰系統的潛在威脅。  

(5)對違規操作缺乏控制和審計。  

三、焦化行業工控系統安全防護解決方案  
防護原則  

(1)安全分區  

對于生產網絡與辦公網絡、企業集團內網存在互聯互通的現象,首先需要進行網絡優化,明確生產網絡邊界,盡量避免多個生產網絡邊界的現象。  

(2)安全審計  

對生產網絡內部的日常操作行為進行基于白名單策略監控,及時發現網絡中存在的異常流量、違規操作、非法訪問、惡意程序等異常行為,并要求對生產網絡的運行日志進行記錄保存,至少保留6個月;對于已經發生攻擊事件的情況,要求可以對攻擊事件進行追蹤、溯源,定位網絡攻擊的位置或具體用戶。  

(3)邊界防護  

根據業務網絡實際情況,在生產網絡外部邊界處部署工業防火墻或單向隔離網閘設備,保證生產網絡向辦公網絡或其他外部網絡數據單向傳輸。工業控制系統上位操作主機(操作站、工程師站、服務器)作為生產網絡的內部邊界,需要對用戶登陸、操作、運行等行為進行安全監控與審計,并對通過上位主機外設接口與生產網絡進行數據通訊的行為進行授權管理。  

(4)惡意代碼防范  

對于以“白名單”防護策略為主的工控安全防護方案,除了對外部網絡邊界進行有效的訪問控制和威脅監測以外,需要對上位主機的USB接口使用過程進行安全有效管理,對于臨時接入工控網絡的移動存儲設備,必須先進行病毒查殺,才可以使用。  

具體方案  

(1)根據焦化行業的網絡拓撲圖,結合相關標準及技術規范與要求,將整個網絡劃分為操作管理層、現場監控層、生產控制層和生產執行層四個區域。  

(2)在現有網絡架構下,協同部署工控系統安全防護產品,全面防護包括OPC數據采集、控制設備和工程師工作站的安全。  

(3)采用工控網絡隔離網關設備隔離內外網,提供內外網數據交換安全通道,阻止來自上層網絡的非法訪問、病毒及惡意代碼的傳播。  

(4)部署分布式工業防火墻和工控安全監控平臺,深度解析多種工控協議,防范非法訪問,迅速檢測異常網絡節點,及時預警,并監控工業防火墻工作狀態,實時獲取工控網絡安全事件日志和報警任務。  

(5)在工作站應用工控安全主機防護系統,防范非法程序、應用以及未經授權的任何行為,給予終端計算機全生命周期的安全防護。  

(6)在操作管理層部署審計平臺和堡壘機,對違規操作行為進行控制和審計,保障網絡和數據不受外部和內部用戶的入侵和破壞。

                                                                                                                 冶金鋼鐵工業控制系統安全防護解決方案  

一、背景情況  
       冶金鋼鐵行業工業以太網一般采用環網結構,為實時控制網,負責控制器、操作站和工程師站之間過程控制數據實時通訊,網絡上所有操作站、數采機和PLC都采用以太網接口,網絡中遠距離傳輸介質為光纜,本地傳輸介質為網線(如PLC與操作站之間)。生產監控主機利用雙網卡結構與管理網互聯。  

二、安全分析  
(1)鋼鐵冶金企業沒有對其內部生產控制系統及網絡進行分區、分層,無法將惡意軟件、黑客攻擊、非法操作等行為控制在特定區域內,易發生全局性網絡安全風險。  

(2)分廠控制網絡采用同網段組網,PLC、DCS等重要控制系統缺乏安全防護和訪問控制措施。  

(3)各分廠控制網與骨干環網之間無隔離防護措施。  

(4)鋼鐵冶金企業辦公網和生產監控網之間無物理隔離措施,導致病毒、木馬、黑客攻擊等極易以辦公網為跳板對生產控制系統發起攻擊。  

(5)由于鋼鐵冶金企業控制流程復雜、設備種類繁多、通信協議多樣,導致采集數據安全性無法得到保障。  

(6)鋼鐵冶金企業內部控制系統及網絡缺乏安全監測與審計措施,無法及時發現非法訪問、非法操作、惡意攻擊等行為。  

(7)鋼鐵冶金企業內部缺乏統一的安全管理平臺。  

三、冶金鋼鐵行業工控系統安全防護解決方案  
防護原則  

(1)安全分區  

       對于生產網絡與辦公網絡、企業集團內網存在互聯互通的現象,首先需要進行網絡優化,明確生產網絡邊界,盡量避免多個生產網絡邊界的現象。  

(2)安全審計  

       對生產網絡內部的日常操作行為進行基于白名單策略監控,及時發現網絡中存在的異常流量、違規操作、非法訪問、惡意程序等異常行為,并要求對生產網絡的運行日志進行記錄保存,至少保留6個月;對于已經發生攻擊事件的情況,要求可以對攻擊事件進行追蹤、溯源,定位網絡攻擊的位置或具體用戶。  

(3)邊界防護  

       根據業務網絡實際情況,在生產網絡外部邊界處部署工業防火墻或單向隔離網閘設備,保證生產網絡向辦公網絡或其他外部網絡數據單向傳輸。工業控制系統上位操作主機(操作站、工程師站、服務器)作為生產網絡的內部邊界,需要對用戶登陸、操作、運行等行為進行安全監控與審計,并對通過上位主機外設接口與生產網絡進行數據通訊的行為進行授權管理。  

(4)惡意代碼防范  

       對于以“白名單”防護策略為主的工控安全防護方案,除了對外部網絡邊界進行有效的訪問控制和威脅監測以外,需要對上位主機的USB接口使用過程進行安全有效管理,對于臨時接入工控網絡的移動存儲設備,必須先進行病毒查殺,才可以使用。  

具體方案  

(1)部署工控安全監控系統和工業防火墻,對工控協議深度解析,防范非法訪問,迅速檢測異常網絡節點,及時預警,并監控工業防火墻工作狀態,實時獲取工控網安全事件日志和報警任務,保障PLC設備和各服務器安全。  

(2)在各高爐操作站和工程師站應用工控安全主機防護系統,防范非法程序和應用以及未經授權的任何行為。  

(3)部署堡壘機及工控安全綜合審計系統,對違規操作行為進行控制和審計,保障網絡和數據不受外部和內部用戶的入侵和破壞。  

(4)采用工控網絡隔離網關設備隔離生產控制網和控制子站環網,提供兩網數據交換安全通道,阻止來自上層網絡的非法訪問以及病毒和惡意代碼的傳播。

                                                                                                 火力發電工業控制系統安全防護解決方案  

一、背景情況  

       火電廠工控系統主要由中央控制室和各配電室、電子間等子站組成,系統中布置有數千個開關、數百個模擬測量點以及數個PID調節回路的控制對象。其中,中央控制室設備通常包括建立在以太網連接上的操作員站、工程師站、數據采集服務器、報表打印設備等。中央控制網絡與各子站控制系統采用光纖為通信鏈路,各子站配有光纖收發器和工業交換機。  

二、安全分析  

(1)中央控制網絡與各控制子站網絡互聯,存在來自上層網絡的安全威脅,缺少重點邊界、區域的安全防護手段;  

(2)工控系統及網絡缺乏監測手段,無法感知未知設備、非法應用和軟件的入侵,無法對網絡中傳輸的未知異常流量進行監測;  

(3)工控系統缺乏對用戶操作行為的監控和審計,針對用戶操作行為缺乏有效可靠的審計手段;  

(4)工業控制系統缺乏分區邊界防護,容易受到來自信息網絡和相鄰系統的安全影響。  

三、火力發電行業工控系統安全防護解決方案  

安全防護原則  

(1)安全分區  

       按照《電力監控系統安全防護規定》,原則上將基于計算機及網絡技術的業務系統劃分為生產控制大區和管理信息大區,并根據業務系統的重要性和對一次系統的影響程度將生產控制大區劃分為控制區(安全區Ⅰ)及非控制區(安全區Ⅱ),重點保護生產控制以及直接影響電力生產(機組運行)的系統。  

(2)網絡專用  

       電力調度數據網是與生產控制大區相連接的專用網絡,承載電力實時控制、在線交易等業務。生產控制大區的電力調度數據網應當在專用通道上使用獨立的網絡設備組網,在物理層面上實現與電力企業其他數據網及外部公共信息網的安全隔離。生產控制大區的電力調度數據網應當劃分為邏輯隔離的實時子網和非實時子網,分別連接控制區和非控制區。  

(3)橫向隔離 縱向認證  

       橫向隔離是電力監控系統安全防護體系的橫向防線。應當采用不同強度的安全設備隔離各安全區,在生產控制大區與管理信息大區之間必須部署經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置,隔離強度應當接近或達到物理隔離。生產控制大區內部的安全區之間應當采用具有訪問控制功能的網絡設備、安全可靠的硬件防火墻或者相當功能的設施,實現邏輯隔離。防火墻的功能性能電磁兼容性必須經過國家相關部門的認證和測試。  

       縱向加密認證是電力監控系統安全防護體系的縱向防線。生產控制大區與調度數據網的縱向連接處應當設置經過國家指定部門檢測認證的電力專用縱向加密認證裝置,實現雙向身份認證、數據加密和訪問控制。  

(4)綜合防護  

       綜合防護是結合國家信息安全等級保護工作的相關要求對電力監控系統從主機、網絡設備、惡意代碼防范、應用安全控制、審計、備份及容災等多個層面進行信息安全防護的過程。  

       生產控制大區可以統一部署一套網絡入侵檢測系統,應當合理設置檢測規則,檢測發現隱藏于流經網絡邊界正常信息流中的入侵行為,分析潛在威脅并進行安全審計。  

       非控制區的網絡設備與安全設備應當進行身份鑒別、訪問權限控制、會話控制等安全配置加固。可以應用電力調度輸子證書,在網絡設備和安全設備實現支持HTTPS的縱向安全WEB服務,能夠對瀏覽器客戶端訪問進行身份認證及加密傳輸。  

       生產控制大區的監控系統應當具備安全審計功能,能能夠對操作系統、數據庫、業務應用的重要操作盡心記錄、分析,及時發現各種違規行為以及病毒和黑客的攻擊行為。對于遠程用戶登陸到本地系統中的操作行為,應當進行嚴格的安全審計。  

具體方案  

部署工控安全綜合監管平臺、工業安全防火墻,深度解析工控協議,防范非法訪問,迅速檢測異常網絡節點,及時預警,并監控工業防火墻運行狀態,實時獲取工控網安全事件日志和報警任務;

在操作員站和工程師站部署工控主機安全防護系統,防范非法程序和應用以及未經授權的任何行為;

部署堡壘機及工控安全綜合審計系統,對違規操作行為進行控制和審計,保障網絡和數據不受外部和內部用戶的入侵和破壞;

采用工控安全隔離網閘設備,物理隔離中央控制室和各子站網,提供兩網數據交換安全通道,阻止來自上層網絡的非法訪問以及病毒和惡意代碼的傳播。

    1-智慧城市數據溯源保密安全解決方案

    根據(ju)智慧城(cheng)市數(shu)(shu)據(ju)交換平(ping)臺(tai)(tai)的(de)(de)(de)需求情況,提出采(cai)用自主(zhu)可(ke)控(kong)數(shu)(shu)據(ju)共享與溯源(yuan)綜合管理平(ping)臺(tai)(tai)(以下簡(jian)稱數(shu)(shu)據(ju)溯源(yuan)系統)來實現智慧城(cheng)市信息數(shu)(shu)據(ju)交換共享中的(de)(de)(de)數(shu)(shu)據(ju)脫(tuo)敏及(ji)溯源(yuan)追蹤保密安全(quan)的(de)(de)(de)痛點問題。

系統(tong)部(bu)署于(yu)智慧城市(shi)數據(ju)(ju)交(jiao)換(huan)共享(xiang)中心(xin)內(nei)(nei)部(bu)網絡當中(不同安(an)(an)全(quan)域(yu)之間(jian)),當智慧城市(shi)數據(ju)(ju)共享(xiang)交(jiao)換(huan)系統(tong)通過(guo)RestAPI獲取到DB數據(ju)(ju)提供者提供的(de)相關(guan)數據(ju)(ju)后,該系統(tong)會(hui)將這些數據(ju)(ju)及其相應的(de)數據(ju)(ju)屬性信息提交(jiao)到數據(ju)(ju)交(jiao)換(huan)安(an)(an)全(quan)處(chu)理(li)中心(xin),該中心(xin)安(an)(an)全(quan)域(yu)內(nei)(nei)部(bu)署了兩種數據(ju)(ju)安(an)(an)全(quan)處(chu)理(li)系統(tong),一為數據(ju)(ju)脫敏系統(tong),第(di)二為數據(ju)(ju)溯(su)源交(jiao)換(huan)系統(tong)。在(zai)該安(an)(an)全(quan)處(chu)理(li)中心(xin)會(hui)對相關(guan)的(de)數據(ju)(ju)進行數據(ju)(ju)脫敏操作和數據(ju)(ju)溯(su)源標(biao)識(shi)操作。

1)  數(shu)據溯源種子(zi)(zi)(zi)植入。該操作步驟會(hui)按照溯源種子(zi)(zi)(zi)植入策略進行(xing)敏(min)感數(shu)據的(de)溯源種子(zi)(zi)(zi)植入,處理(li)完成后的(de)數(shu)據將提交給(gei)智(zhi)慧(hui)城市數(shu)據共享交換系統轉發給(gei)具體的(de)數(shu)據使用(yong)者。

2)  數(shu)(shu)據(ju)(ju)(ju)溯(su)源標識。相(xiang)應的(de)(de)(de)DB數(shu)(shu)據(ju)(ju)(ju)提供者的(de)(de)(de)數(shu)(shu)據(ju)(ju)(ju)將會(hui)被打上(shang)知識產權標簽(qian),相(xiang)關的(de)(de)(de)宿主屬性會(hui)無縫地嵌入到現有的(de)(de)(de)數(shu)(shu)據(ju)(ju)(ju)之上(shang),并(bing)且(qie)不(bu)(bu)改變現有數(shu)(shu)據(ju)(ju)(ju)的(de)(de)(de)任何(he)結構(gou),當(dang)這種數(shu)(shu)據(ju)(ju)(ju)進入數(shu)(shu)據(ju)(ju)(ju)使用(yong)者的(de)(de)(de)時候(hou),不(bu)(bu)會(hui)影響數(shu)(shu)據(ju)(ju)(ju)使用(yong)者的(de)(de)(de)使用(yong),但(dan)是如果數(shu)(shu)據(ju)(ju)(ju)使用(yong)者將該數(shu)(shu)據(ju)(ju)(ju)泄(xie)露給其他公司或個人(ren),智(zhi)慧(hui)城市交換中心(xin)可以借助于(yu)該溯(su)源追蹤平臺(tai)進行審計(ji)和跟蹤,從而實(shi)現數(shu)(shu)據(ju)(ju)(ju)的(de)(de)(de)非授(shou)權擴散監管問(wen)題。

   

    2-大數據安全脫敏系統解決方案

    數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)安(an)全脫敏(min)(min)(min)系統采用(yong)大數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)分(fen)析(xi)技術來實現(xian)隱私(si)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)發(fa)現(xian)、數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)提取、數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)漂白、測試數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)管理(li)(li)、數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)裝(zhuang)載等功能(neng)(neng)于一(yi)(yi)體的(de)高(gao)性能(neng)(neng)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)脫敏(min)(min)(min)設備。系統采用(yong)專(zhuan)用(yong)的(de)脫敏(min)(min)(min)處(chu)(chu)理(li)(li)算(suan)法對(dui)敏(min)(min)(min)感(gan)(gan)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)進行(xing)變(bian)形、屏(ping)蔽(bi)、替換、加(jia)(jia)密(mi)(格式(shi)保留(liu)加(jia)(jia)密(mi)處(chu)(chu)理(li)(li)和高(gao)強度加(jia)(jia)密(mi)處(chu)(chu)理(li)(li)),將敏(min)(min)(min)感(gan)(gan)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)進行(xing)處(chu)(chu)理(li)(li)后(hou)屏(ping)蔽(bi)了原(yuan)有數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)的(de)敏(min)(min)(min)感(gan)(gan)性,實現(xian)了數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)的(de)隱私(si)性保護。同時脫敏(min)(min)(min)后(hou)的(de)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)保留(liu)了原(yuan)有數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)的(de)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)結(jie)構(gou)和數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)的(de)業務(wu)邏輯一(yi)(yi)致(zhi),也能(neng)(neng)維持脫敏(min)(min)(min)前后(hou)的(de)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)唯一(yi)(yi)性,如:身份證、銀行(xing)卡、手機號、IMSI等。使得上(shang)層應用(yong)無(wu)需改變(bian)相應的(de)業務(wu)邏輯。

系(xi)統(tong)具有流程化、自動化和作業復(fu)用(yong)等特點(dian)。作為軟硬一體(ti)化的設(she)備,它擁(yong)有強(qiang)大(da)的功能、易于部署和使用(yong)等特點(dian),開箱即(ji)用(yong)式的優勢能夠極大(da)減輕(qing)工(gong)作人員的工(gong)作強(qiang)度以及項目(mu)周期。

系(xi)(xi)統對主流(liu)(liu)數(shu)據(ju)類(lei)型均能友好支(zhi)持(chi)。包(bao)括支(zhi)持(chi)國產關(guan)系(xi)(xi)型主流(liu)(liu)數(shu)據(ju)庫(ku)系(xi)(xi)統Oracle、Informix、SQL Server、DB2、MySQL。國產主流(liu)(liu)數(shu)據(ju)庫(ku)南大通用GBase、人(ren)大金倉、虛谷(gu)等、非(fei)關(guan)系(xi)(xi)型主流(liu)(liu)數(shu)據(ju)庫(ku)Hive、MongoDB、Redis、Hbase等。

   

    3-數據庫保密檢查解決方案

    1. 需求

需(xu)要用新的技術(shu)手段實現(xian)對數據庫進行高效涉密數據檢(jian)查。具(ju)體需(xu)求如下(xia)。

1)檢查范圍廣。包括結(jie)構(gou)化數據庫、非結(jie)構(gou)化數據庫、云(yun)計算的虛擬機和(he)壓縮文件、大數據集群系(xi)統、服(fu)務器系(xi)統等

2)檢(jian)查(cha)效(xiao)率高。需要快速對高達100T的(de)(de)數據庫進(jin)行保密檢(jian)查(cha),檢(jian)查(cha)效(xiao)率是傳(chuan)統方(fang)式的(de)(de)100-1000倍

3)檢(jian)查類型多。需要對數(shu)據(ju)(ju)庫中(zhong)涉及到的(de)(de)多種文本文件(jian)(Word、PDF等(deng))、圖片文件(jian)中(zhong)的(de)(de)數(shu)據(ju)(ju)進行數(shu)據(ju)(ju)敏感性檢(jian)查

4)檢(jian)查精度(du)高(gao)。需要能(neng)在海量數據(ju)庫內容(rong)中精準定位(wei)涉密信息(xi)或數據(ju),誤報(bao)率低

5)多種檢(jian)查(cha)方法。需要提供多種檢(jian)查(cha)算法,能從多維度(du)定位目標數據系(xi)統(tong)。

2. 功(gong)能概(gai)述(shu)

系統(tong)采用大數據技術創新性地用于(yu)數據庫涉密信(xin)息(xi)檢(jian)查,能有效達到以下(xia)目標。

1)高效采(cai)集(ji)。大數(shu)據Sqoop技(ji)術實現數(shu)據的分布式(shi)采(cai)集(ji)。

2)高效分析(xi)。大數據MapReduce技(ji)術實現對(dui)數據庫內容的快速分析(xi)和檢查

3)精(jing)準(zhun)定位。結合檢查專家庫,快速對政務敏感(gan)信息定位,并能生成詳(xiang)盡(jin)的分(fen)析報(bao)告

數據庫保密檢查(cha)系(xi)統安裝(zhuang)部署方便,只需要保證(zheng)與被檢查(cha)數據庫網絡可達即可;出于檢查(cha)效率的考慮,建議采用千兆(zhao)及以上網絡環境。


資料更新中...

山西天科(ke)信息(xi)安全科(ke)技有(you)限(xian)公司(si)
Image

聯(lian)系地址:山(shan)西省太原(yuan)市綜改示范區(qu)學府園區(qu)長治路227號高新國(guo)際B座

郵編:030006

企業郵(you)箱:sxtk_mail@163.com

電話:400-0351-366    18903512955

 版權所有:山西天(tian)科信息(xi)安(an)全(quan)科技有限(xian)公司  備(bei)案號: