|
水务集团等保建设是我们目前重要的一项任务,梳理出主要的问题点如下: 络架构扁平化,逻辑隔离形同虚设:由于建设时间较早,核心交换机缺乏明确的区域划分,控制网、业务网与办公网虽分别设置段,但ACL策略极其宽泛。生产核心控制网甚至在物理层面直接接入办公核心交换机,一旦办公网终端被攻陷,极易横向扩散至工控系统,造成水压失控或水质参数篡改。 安全设备老化,无法形成闭环防御:现场仅有一台传统状态防火墙用于出口,且规则库长期未更新,不具备入侵防御(IPS)和防病毒(AV)模块;终端(含工控机)无恶意代码防护,无法检测新型勒索病毒。 缺乏统一的安全感知与态势监控:没有专门的日志审计系统,海量安全日志被直接废弃。当出现网络攻击或违规操作时,无法进行事中监测与事后溯源,导致运维团队常年处于“瞎子摸象”状态的情况。 我们以“安全可视、持续检测、协同防御、多级联动”为核心设计理念,依托深信服成熟水务行业方案模型,部署了如下安全体系: 1.网络纵深防御(下一代防火墙AF) :在水厂数据中心出口部署深信服下一代防火墙AF,开启入侵防御IPS、防病毒AV、僵尸网络C2防御等模块化安全能力,结合联动封锁策略,构筑外防攻击、内防扩散的高性能边界。 2.终端侧加固(终端安全检测平台EDR) :在业务服务器及工控上位机上部署轻量化EDR客户端,利用其全貌资产清点、微隔离及勒索病毒实时拦截技术,杜绝由U盘或运维终端带入的恶意程序感染核心生产系统。 3.全网态势感知与协同联动(安全感知平台SIP) :部署深信服安全感知平台SIP,对接AF、EDR、AC及数据库审计组件日志。通过其大数据智能分析模型,生成全域安全态势大屏,实现“攻击源头取证-横向扩散轨迹呈现-一键封堵联动”的全流程自动化闭环。 4.全网准入与审计检测(全网行为管理AC) :在办公网部署AC终控全局,对入网人员进行身份识别和精细化的上网权限控制,监测非法外联和数据泄密风险。 5.生产网工控安全专项加固(工控防火墙及审计) :在生产控制网关键节点串联部署具备工业协议DPI解析能力的工控安全网关,学习SCADA指令白名单基线,阻断一切非法的参数篡改和设备启停指令。整体架构遵循“一个中心、三重防护”的纵深防御体系,全面满足等保三级合规要求 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于