杉树岭针对水厂工控系统网络安全的设计思路充分考虑到水厂工业控制系统的业务连续性和工业特性,形成如下安全解决方案:
1.边界安全防护
在工控环网对控制管理网络接口处,部署工业防火墙,针对工业协议进行细颗粒度的过滤,防止控制管理网络向工控网络传输基于工控协议的各类攻击,保证通路可靠数据指令传输。在环网各个PLC控制器前,部署工业防火墙,针对工业协议进行细颗粒度的过滤,防止误操作,以及防止恶意数据或者病毒通过环网横向传播,保证通路传输可靠数据。
2.网络安全审计
在在工控环网核心交换机上部署网络监测审计平台,审计全网工控数据流量,监测网络行为,发现在网络中存在的异常工控数据或病毒、木马等恶意攻击,及时报警并定位攻击源,并记录做到可事后追溯。
3.主机安全防护
在主控级主机和服务器上部署工控安全卫士主机应用白名单安全防护软件,利用白名单的安全防护原理,隔离屏蔽可能危害工控系统的应用与服务,确保其所有控制行为安全合法。
4.统一安全管理
统一安全管理平台是对网络安全保护设备进行统一监控和管理的设备,是一套集硬件、软件为一体,用于统一配置、集中管理、监测工控网络安全的硬件平台产品。平台与多台分散型终端组成一整套保护监测系统,终端由安全管理平台统一控制配置、管理,安全监管平台能够对终端统一部署安全规则,监测终端所在网络的通信流量与安全事件,能对工控网络内的安全威胁进行分析,提供包括行为审计、事件追踪、威胁分析、日志管理、设备管理、安全性分区等多项功能,对整个系统的持续性安全运维提供了一个安全保障。