2022工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)解決方案

工控網(wǎng)絡(luò)安全防護(hù)解決方案01 DNC網(wǎng)絡(luò)工控安全背景目錄 02 DNC網(wǎng)絡(luò)工控安全風(fēng)險分析03 DNC網(wǎng)絡(luò)工控安全解決方案&什么是工業(yè)控制系統(tǒng)信息安全工業(yè)控制系統(tǒng)信息安全與通用信息技術(shù)（IT）安全有一定的區(qū)別，有一定的共性，有時也有一定的交集，取決于工業(yè)控制系統(tǒng)的架構(gòu)。在IEC62443中對工業(yè)信息安全的定義：1；3.能夠免于對系統(tǒng)資源的非授權(quán)訪問和非授權(quán)或意外的變更、破壞或者損失；4.統(tǒng)及無法修改軟件及其數(shù)據(jù)又無法訪問系統(tǒng)功能，保證授權(quán)人員和系統(tǒng)不被阻止；5.者干擾其正確和計劃的操作。01第一部分01DNC網(wǎng)絡(luò)工控安全背景安全趨勢 安全事件 國家政策、標(biāo)準(zhǔn)近年來工控安全事件安全事件Ⅰ 安全事件IV2005年，Zotob蠕蟲事件導(dǎo)致全美13個汽車制造廠被迫關(guān)閉，造成巨大經(jīng)濟(jì)損失超過$1,400,000安全事件Ⅱ安全專家從2016款奧迪Q3發(fā)現(xiàn)遙控鑰匙密碼可被置于附近的設(shè)備捕捉到，存在這一缺陷總數(shù)接近1億輛安全事件Ⅲ2017年5月12日，“WannaCry”勒索病毒爆發(fā)，全球100多個國家和地區(qū)超過10萬臺電腦遭到了攻擊、感染，包含了大量的工業(yè)現(xiàn)場主機(jī)

2014年，Havex病毒病毒席卷歐美，劫持電力工控設(shè)備，阻斷電力供應(yīng)，在中國也發(fā)現(xiàn)少量樣本傳播安全事件Ｖ2010年，伊朗核燃料工廠遭遇“震網(wǎng)病毒”襲擊，導(dǎo)致控制系統(tǒng)失效，1000臺離心機(jī)損壞安全事件VI2014年，美國俄亥俄州核電站受到SQLSlammer蠕蟲病毒攻擊，網(wǎng)絡(luò)數(shù)據(jù)傳輸量劇增，導(dǎo)致系統(tǒng)變慢，控制計算機(jī)連續(xù)數(shù)小時無法工作

20092010201120122013201420152016中國是全球網(wǎng)絡(luò)攻擊受害國自200915倍據(jù)ICS-Cert報告，201533%網(wǎng)絡(luò)安全法 2017年6月落地執(zhí)行第二十一條國家實行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)。第二十一條國家實行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)。第三章（第一節(jié)）第三十一條國家對能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域…關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等實行重點保護(hù)。第三章（第二節(jié)）第三十八條關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險每年至少進(jìn)行一次檢測評估。第三章（第二節(jié)）第五十七條因網(wǎng)絡(luò)安全事件，發(fā)生突發(fā)事件或者生產(chǎn)安全事故的，應(yīng)當(dāng)依照《中華人民共和國突發(fā)事件應(yīng)對法》、《中華人民共和國安全生產(chǎn)法》等有關(guān)法律、行政法規(guī)的規(guī)定處置。第五章第五十九條關(guān)鍵信息基礎(chǔ)設(shè)施的運營者不履行本法……第三十八條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬元以上一百萬元以下罰款;對直接負(fù)責(zé)的主管人員處一萬元以上十萬元以下罰款。第六章工控系統(tǒng)等級保護(hù)標(biāo)準(zhǔn)正在出臺 公安執(zhí)行檢查摘錄7.1.2a)應(yīng)對控制網(wǎng)絡(luò)和非摘錄7.1.2a)應(yīng)對控制網(wǎng)絡(luò)和非控制網(wǎng)絡(luò)的邊界，以及控制系統(tǒng)內(nèi)安全域和安全域之間的邊界進(jìn)行監(jiān)視和控制區(qū)域邊界通信;c)應(yīng)在控制網(wǎng)絡(luò)和非控制網(wǎng)絡(luò)的邊界，以及控制系統(tǒng)內(nèi)安全域和安全域之間的邊界上，阻止任何通過的非必要通信；邊界防護(hù)摘錄應(yīng)采取技術(shù)措施對網(wǎng)絡(luò)行為進(jìn)行分析，實現(xiàn)對網(wǎng)絡(luò)攻擊特別是未知的新型網(wǎng)絡(luò)攻擊的檢測和分析；當(dāng)檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴(yán)重入侵事件時應(yīng)提供報警；b)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對惡意代碼進(jìn)行檢測和清除。網(wǎng)絡(luò)和通信安全摘錄應(yīng)在所有入口和出口提供惡意代碼防護(hù)機(jī)制；應(yīng)能管理惡意代碼防護(hù)機(jī)制；b)審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用、重要系統(tǒng)命令的使用等系統(tǒng)重要的安全相關(guān)事件；設(shè)備和計算安全摘錄應(yīng)提供覆蓋到每個用戶的安全審計功能對應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計；應(yīng)保證無法單獨中斷審計進(jìn)程，無法刪除、修改或覆蓋審計記錄；審計記錄的內(nèi)容至少應(yīng)包括事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等應(yīng)用和數(shù)據(jù)安全工業(yè)控制系統(tǒng)信息安全防護(hù)指南指導(dǎo)建設(shè)（一）在工業(yè)主機(jī)上采用經(jīng)過離線環(huán)境中充分驗證測試的防病毒軟件或應(yīng)用程序白名單軟件，只允許經(jīng)過工業(yè)企業(yè)自身授權(quán)和安全評估的軟件運行。一、安全軟件選擇與管理（一）在工業(yè)主機(jī)上采用經(jīng)過離線環(huán)境中充分驗證測試的防病毒軟件或應(yīng)用程序白名單軟件，只允許經(jīng)過工業(yè)企業(yè)自身授權(quán)和安全評估的軟件運行。一、安全軟件選擇與管理（一）做好工業(yè)控制網(wǎng)絡(luò)、工業(yè)主機(jī)和工業(yè)控制設(shè)備的安全配置，建立工業(yè)控制系統(tǒng)配置清單，定期進(jìn)行配置審計。二、配置和補(bǔ)丁管理（二）通過工業(yè)控制網(wǎng)絡(luò)邊界防護(hù)設(shè)備對工業(yè)控制網(wǎng)絡(luò)與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間的邊界進(jìn)行安全防護(hù)，禁止沒有防護(hù)的工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接。（三）通過工業(yè)防火墻、網(wǎng)閘等防護(hù)設(shè)備對工業(yè)控制網(wǎng)絡(luò)安全區(qū)域之間進(jìn)行邏輯隔離安全防護(hù)。三、邊界安全防護(hù)（二）拆除或封閉工業(yè)主機(jī)上不必要的USB、光驅(qū)、無線等接口。若確需使用，通過主機(jī)外設(shè)安全管理技術(shù)手段實施嚴(yán)格訪問控制。四、物理和環(huán)境安全防護(hù)（一）在工業(yè)控制網(wǎng)絡(luò)部署網(wǎng)絡(luò)安全監(jiān)測設(shè)備，及時發(fā)現(xiàn)、報告并處理網(wǎng)絡(luò)攻擊或異常行為。（二）在重要工業(yè)控制設(shè)備前端部署具備工業(yè)協(xié)議深度包檢測功能的防護(hù)設(shè)備，限制違法操作。七、安全監(jiān)測和應(yīng)急預(yù)案演練DNC工控網(wǎng)絡(luò)安全要求 政策要求涉密政策要求 國家及行業(yè)政策要求涉密政策要求國家及行業(yè)政策要求要求“因特殊工作需要，審查。”第125條規(guī)定：測試、調(diào)試、仿真、工控、數(shù)控等專用信息設(shè)備或者信息系統(tǒng)，門審查的，扣10分的。第159條規(guī)定：測試、調(diào)統(tǒng)，未明確涉密等級和保護(hù)要求的，或者應(yīng)安全控制措施的，扣2分。

國務(wù)院《關(guān)于印發(fā)工業(yè)轉(zhuǎn)型升級規(guī)劃（2011—2015年）的通知》國發(fā)〔2011〕47號,要求…推進(jìn)信息化…2015年5月82025》規(guī)劃，要求推進(jìn)信息化與工業(yè)深度融合，把智能制造。。2016年5月13（國發(fā)〔2016〕28號）。《意見》明確指出“以建設(shè)制造業(yè)與互聯(lián)網(wǎng)融合'雙創(chuàng)’平臺為抓手，發(fā)展智能制造……與互聯(lián)網(wǎng)融合新模式，……提高工業(yè)信息系統(tǒng)安全水平……”第二部分02 DNC網(wǎng)絡(luò)信息安全風(fēng)險分析安全風(fēng)險分析 安全建設(shè)現(xiàn)狀分析 安全建設(shè)必要性DNC工控網(wǎng)絡(luò)的安全現(xiàn)狀高精尖數(shù)控設(shè)備絕大多數(shù)依賴進(jìn)口，無法進(jìn)行自主維護(hù)，依賴國外廠商；DNC工控控制網(wǎng)絡(luò)防護(hù)建設(shè)不夠完善，僅通過傳統(tǒng)防火墻、防病毒軟件等進(jìn)行防護(hù)；

缺乏對信息安全問題的高度重視，對企業(yè)核心技術(shù)知識和國家機(jī)密的信息安全風(fēng)險并未有足夠的認(rèn)識；核心設(shè)備受制于人安全現(xiàn)狀管理上核心設(shè)備受制于人安全現(xiàn)狀管理上缺乏重視技術(shù)防護(hù)手段有限互聯(lián)互通是大勢所趨智能制造工控網(wǎng)絡(luò)入侵途徑分析 WIFI無線連接

企業(yè)辦公網(wǎng) 遠(yuǎn)程維護(hù)通道手機(jī)等智能終端

USB移動存儲介質(zhì)心懷不滿的惡意員工智能制造工控網(wǎng)絡(luò)的安全風(fēng)險分析DNC服務(wù)器、客戶端等大部分是Windows系統(tǒng)，使用傳統(tǒng)的數(shù)據(jù)庫，系統(tǒng)老舊且不更新補(bǔ)丁，存在很大安全隱患；數(shù)控機(jī)床所使用通訊協(xié)議存在安全上的設(shè)計缺陷，漏洞較多；數(shù)控專用工控操作系統(tǒng)無適配的殺毒軟件；使用外來數(shù)據(jù)傳輸介質(zhì)進(jìn)行NC程序傳輸，無技術(shù)監(jiān)控手段，管理難度大，危及設(shè)備安全；數(shù)控設(shè)備或系統(tǒng)在業(yè)務(wù)指令發(fā)生異常時無法及時發(fā)現(xiàn)；備，帶來潛在安全隱患；來自管理網(wǎng)的病毒和攻擊行為影響DNC系統(tǒng)；DNC系統(tǒng)大量使用無線網(wǎng)絡(luò)進(jìn)行生產(chǎn)活動，無線非法接入、篡改、偽造等行為可能會造成生產(chǎn)中斷、效率降低、良品率下降等。第三部分03 智能制造工控安全防護(hù)解決方案方案理念 設(shè)計依

行業(yè)案例說明威努特工控安全解決方案模型國內(nèi)首家提出工業(yè)網(wǎng)絡(luò)安全“白環(huán)境”解決方案體系的工控安全廠商，迄今已為上百家關(guān)鍵行業(yè)客戶建立自主可控、安全可靠的工控安全整體防護(hù)體系核心技術(shù)理念：縱深防御白名單機(jī)制工業(yè)協(xié)議深度解析實時監(jiān)控審計統(tǒng)一平臺管理工業(yè)控制系統(tǒng)“白環(huán)境”解決方案理念 方案核心 安全理念

創(chuàng)新性提出了建立工控系統(tǒng)的可信任網(wǎng)絡(luò)白環(huán)境和工控軟件白名單的理只有可信任的設(shè)備，才能接入控制網(wǎng)絡(luò)只有可信任的消息，才能在網(wǎng)絡(luò)上傳輸只有可信任的軟件，才允許被執(zhí)行

技術(shù)亮點 及創(chuàng)新點 從“黑”到“白”從“被動防御”到“主動防護(hù)”設(shè)計依據(jù)DNC

《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》《GB／T26333-2010工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險評估規(guī)范》5求》5部分工控安全擴(kuò)展要求5部分：工業(yè)控制安全要求本方案重點解決以上政策標(biāo)準(zhǔn)中的核心問題等級保護(hù)介紹等級級別名稱對象侵害客體侵害程度監(jiān)管強(qiáng)度第一級自主保護(hù)級一般系統(tǒng)合法權(quán)益損害自主保護(hù)第二級系統(tǒng)審計保護(hù)級合法權(quán)益嚴(yán)重?fù)p害指導(dǎo)社會秩序和公共利益損害第三級安全標(biāo)記保護(hù)級重要系統(tǒng)社會秩序和公共利益嚴(yán)重?fù)p害監(jiān)督檢查第四級結(jié)構(gòu)化保護(hù)級重要系統(tǒng)社會秩序和公共利益特別嚴(yán)重?fù)p害每半年強(qiáng)制監(jiān)督檢查國家安全嚴(yán)重?fù)p害第五級訪問驗證保護(hù)級極端重要系統(tǒng)國安安全特別嚴(yán)重?fù)p害專門監(jiān)督檢查工控等級保護(hù)介紹網(wǎng)絡(luò)和通信安全設(shè)備和計算安全網(wǎng)絡(luò)和通信安全設(shè)備和計算安全應(yīng)用和數(shù)據(jù)安全技術(shù)要求 管理要求物理 邊 集界中和界中護(hù)防控管環(huán)境安全護(hù)防控管

安 安全 全 安 安策 管 全 全建運略 理建運設(shè)維和 機(jī)設(shè)維管管 構(gòu)管理 和 管制 人 理 理度 員生產(chǎn)管理層、過程監(jiān)控層、現(xiàn)場控制層、現(xiàn)場設(shè)備層所共同要求DNC系統(tǒng)網(wǎng)絡(luò)架構(gòu)智能制造工廠管理中心管理區(qū)

監(jiān)控中心

MIS系統(tǒng) ERP系統(tǒng)

CAD設(shè)計系統(tǒng)PDM數(shù)據(jù)庫

互聯(lián)網(wǎng)

DNC系統(tǒng)網(wǎng)絡(luò)架構(gòu)介紹 車間3匯聚車間3匯聚交換機(jī)

管理網(wǎng)核心系統(tǒng)層級自下而上共五層，分別為設(shè)備層、控制層、車間層、企業(yè)層和協(xié)同層。具體包括：系統(tǒng)層級自下而上共五層，分別為設(shè)備層、控制層、車間層、企業(yè)層和協(xié)同層。具體包括：物質(zhì)技術(shù)基礎(chǔ)；（PLC）集與監(jiān)視控制系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）和現(xiàn)場總線控制系統(tǒng)（FCS）等；車間層級實現(xiàn)面向工廠/造執(zhí)行系統(tǒng)（MES）等；計劃系統(tǒng)（ERP）（PLM）、供應(yīng)鏈管理系統(tǒng)（SCM）（CRM）等；等。車間1交換機(jī)車間1

車間2匯聚交換機(jī)車間2

車間3

車間N匯聚交換機(jī)車間N

服務(wù)器區(qū)交換機(jī)生產(chǎn)服務(wù)器區(qū)生DNC服務(wù)器區(qū)

DNC服務(wù)器

DNC

客戶端

DNC服務(wù)器

DNC服務(wù)器

客戶端

數(shù)據(jù)庫服務(wù)器

DNC

MES系統(tǒng)服務(wù)器數(shù)控機(jī)床 數(shù)控機(jī)床方案設(shè)計之邊界防護(hù)&網(wǎng)絡(luò)和通信安全標(biāo)準(zhǔn)規(guī)范基本要求《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》第5部分：工業(yè)控制系統(tǒng)安全擴(kuò)展要求7.1.2邊界防護(hù)統(tǒng)內(nèi)安全域和安全域之間的邊界，進(jìn)行監(jiān)視和控制區(qū)域邊界通信；應(yīng)在控制網(wǎng)絡(luò)和非控制網(wǎng)絡(luò)的邊界，以及控制非必要的網(wǎng)絡(luò)數(shù)據(jù)流，允許例外網(wǎng)絡(luò)數(shù)據(jù)流；生產(chǎn)管理層安全要求網(wǎng)絡(luò)和通信安全.3訪問控制應(yīng)在網(wǎng)絡(luò)邊界或安全域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，非允許的通信；制列表，并保證訪問控制規(guī)則數(shù)量最小化。過程監(jiān)控層安全要求.4訪問控制現(xiàn)場控制層安全要求網(wǎng)絡(luò)和通信安全.4訪問控制方案設(shè)計之網(wǎng)絡(luò)和通信安全標(biāo)準(zhǔn)規(guī)范基本要求《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》第5部分：工業(yè)控制系統(tǒng)安全擴(kuò)展要求過程監(jiān)控層安全要求網(wǎng)絡(luò)和通信安全.6安全審計應(yīng)能生成安全相關(guān)審計記錄錯誤、操作系統(tǒng)事件、備份和恢復(fù)事件、配置改變、潛在的偵察活動和審計日志事件。單個審計記錄應(yīng)包括時間戳、來源（源設(shè)備、軟件進(jìn)程或人員用戶帳戶）、分類、類型、事件ID和事件結(jié)果；應(yīng)能集中管理審計事件并從系統(tǒng)多個組件收集審計如，安全信息和事件管理；當(dāng)分配審計記錄存儲值達(dá)到最大審計記錄存儲容量的配置比例時，系統(tǒng)應(yīng)能發(fā)出警告….5 入侵防范e)應(yīng)采取技術(shù)措施對網(wǎng)絡(luò)行為進(jìn)行分析，實現(xiàn)對網(wǎng)絡(luò)攻擊特別是未知的新型網(wǎng)絡(luò)攻擊的檢測和分析；方案設(shè)計之網(wǎng)絡(luò)和通信安全標(biāo)準(zhǔn)規(guī)范基本要求《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》第5部分：工業(yè)控制系統(tǒng)安全擴(kuò)展要求過程監(jiān)控層安全要求網(wǎng)絡(luò)和通信安全.5 入侵防范a) 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為；現(xiàn)場控制層安全要求網(wǎng)絡(luò)和通信安全.5入侵防范應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測從外部發(fā)起的網(wǎng)絡(luò)攻擊行為；應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處行為；絡(luò)攻擊特別是未知的新型網(wǎng)絡(luò)攻擊的檢測和分析；當(dāng)檢測到攻擊行為時，記錄攻擊源IP攻擊目的、攻擊時間，在發(fā)生嚴(yán)重入侵事件時應(yīng)提供報警。方案設(shè)計之網(wǎng)絡(luò)和通信安全標(biāo)準(zhǔn)規(guī)范基本要求.3 無線使用控制a)應(yīng)對所有參與無線通信的用戶（設(shè)備）提供唯《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》第5部分：工業(yè)控制系統(tǒng)安全擴(kuò)展要求現(xiàn)場控制層安全要求網(wǎng)絡(luò)和通信安全一性標(biāo)識和鑒別；b)根據(jù)普遍接受的安全工業(yè)實踐，對無線連接的授權(quán)、監(jiān)視以及執(zhí)行使用限制；c)識別在控制系統(tǒng)物理環(huán)境中發(fā)射的未經(jīng)授權(quán)的無線設(shè)備，報告未經(jīng)授權(quán)試圖接入或干擾控制系統(tǒng)行為。結(jié)構(gòu)調(diào)整&邊界防護(hù)&訪問控制管理中心監(jiān)控中心MIS系統(tǒng)ERP系統(tǒng) 管理中心監(jiān)控中心MIS系統(tǒng)ERP系統(tǒng) CAD設(shè)計系統(tǒng)PDM數(shù)據(jù)庫互聯(lián)網(wǎng)管理網(wǎng)核心交換機(jī)管理網(wǎng)核心交換機(jī)DMZ網(wǎng)站DNC服務(wù)器 郵件系統(tǒng)MESMES系統(tǒng) 數(shù)據(jù)庫服務(wù)器 服務(wù)器車間1交換機(jī)車間1車間2匯聚交換機(jī)車間2車間3匯聚交換機(jī)車間3車間N匯聚交換機(jī)車間DNC服務(wù)器DNC服務(wù)器DNC服務(wù)器客戶端DNC服務(wù)器DNC服務(wù)器客戶端數(shù)控機(jī)床數(shù)控機(jī)床數(shù)控機(jī)床構(gòu)建DMZ區(qū)中國制造2025要求發(fā)揮互聯(lián)網(wǎng)聚集優(yōu)化各類要素資源的優(yōu)勢，構(gòu)建開放式生產(chǎn)組織體系，大力發(fā)展構(gòu)建DMZ區(qū)中國制造2025要求發(fā)揮互聯(lián)網(wǎng)聚集優(yōu)化各類要素資源的優(yōu)勢，構(gòu)建開放式生產(chǎn)組織體系，大力發(fā)展個性化定制、服務(wù)型制造等新模式，需通過互聯(lián)網(wǎng)訪問DNC系統(tǒng)實現(xiàn)個性化生產(chǎn)定制，在數(shù)控網(wǎng)與管理網(wǎng)之間部署防火墻，構(gòu)建DMZ區(qū)實現(xiàn)數(shù)控網(wǎng)與辦公網(wǎng)的安全邏輯隔離。訪問控制生產(chǎn)網(wǎng)管理中心監(jiān)控中心MIS系統(tǒng)管理中心監(jiān)控中心MIS系統(tǒng)ERP系統(tǒng) CAD設(shè)計系統(tǒng)PDM數(shù)據(jù)庫互聯(lián)網(wǎng)管理網(wǎng)核心交換機(jī) 交換機(jī)DMZ網(wǎng)站DNC服務(wù)器 郵件系統(tǒng)MESMES系統(tǒng) 數(shù)據(jù)庫服務(wù)器 服務(wù)器車間1交換機(jī)車間1車間2匯聚交換機(jī)車間2車間3匯聚交換機(jī)車間3車間N匯聚交換機(jī)車間DNC服務(wù)器DNC服務(wù)器DNC服務(wù)器客戶端DNC服務(wù)器DNC服務(wù)器客戶端數(shù)控機(jī)床數(shù)控機(jī)床數(shù)控機(jī)床管理網(wǎng)生產(chǎn)網(wǎng)

解決方案在車間匯聚交換機(jī)上旁路部署監(jiān)測審計系統(tǒng)；解決的問題1）實時檢測DNC網(wǎng)絡(luò)中的惡意攻擊、誤操解決方案在車間匯聚交換機(jī)上旁路部署監(jiān)測審計系統(tǒng)；解決的問題1）實時檢測DNC網(wǎng)絡(luò)中的惡意攻擊、誤操對措施，避免發(fā)生安全事故；2）詳實記錄一切網(wǎng)絡(luò)通信流量，包括網(wǎng)絡(luò)等，為安全事故調(diào)查取證提供技術(shù)支撐。管理中心監(jiān)控中心MIS系統(tǒng)管理中心監(jiān)控中心MIS系統(tǒng) ERP系統(tǒng)CAD設(shè)計系統(tǒng)PDM數(shù)據(jù)庫互聯(lián)網(wǎng)管理網(wǎng)核心交換機(jī) 交換機(jī)DMZ網(wǎng)站DNC服務(wù)器 郵件系統(tǒng)MESMES系統(tǒng) 數(shù)據(jù)庫服務(wù)器 服務(wù)器車間1交換機(jī)車間1車間2匯聚交換機(jī)車間2車間3匯聚交換機(jī)車間3車間N匯聚交換機(jī)車間NDNC服務(wù)器DNC服務(wù)器DNC服務(wù)器客戶端DNC服務(wù)器DNC服務(wù)器客戶端數(shù)控機(jī)床數(shù)控機(jī)床數(shù)控機(jī)床管理網(wǎng)生產(chǎn)網(wǎng)

解決方案在核心交換機(jī)上旁路入侵檢測系統(tǒng)，實時檢測可能存在的惡意攻擊行為；解決的問題1）實時檢測來自管理網(wǎng)、互聯(lián)網(wǎng)和各個車解決方案在核心交換機(jī)上旁路入侵檢測系統(tǒng)，實時檢測可能存在的惡意攻擊行為；解決的問題1）實時檢測來自管理網(wǎng)、互聯(lián)網(wǎng)和各個車發(fā)生安全事故；2）通過網(wǎng)絡(luò)入侵檢測系統(tǒng)，形成圖形化的絡(luò)中潛在的安全威脅和安全級別。DMZ網(wǎng)站DNC服務(wù)器DMZ網(wǎng)站DNC服務(wù)器 郵件系統(tǒng)管理中心監(jiān)控中心MIS系統(tǒng) ERP系統(tǒng)CAD設(shè)計系統(tǒng)PDM數(shù)據(jù)庫互聯(lián)網(wǎng)管理網(wǎng)核心交換機(jī) 交換機(jī)MESMES系統(tǒng) 數(shù)據(jù)庫服務(wù)器 服務(wù)器車間1匯聚交換機(jī)車間1車間2匯聚交換機(jī)車間2車間3匯聚交換機(jī)車間3車間N匯聚交換機(jī)車間DNC服務(wù)器DNC服務(wù)器DNC服務(wù)器客戶端DNC服務(wù)器DNC服務(wù)器客戶端數(shù)控機(jī)床數(shù)控機(jī)床數(shù)控機(jī)床解決的問題為DNC時，掃除潛在的車間生產(chǎn)信號干擾風(fēng)險，使生產(chǎn)運行更加可靠，為構(gòu)建高安全的DNC網(wǎng)絡(luò)生產(chǎn)環(huán)境打下了堅實基礎(chǔ)。解決方案1）在無線局域網(wǎng)內(nèi)部署無線安全防護(hù)系統(tǒng)；解決方案管理網(wǎng)生產(chǎn)網(wǎng)生標(biāo)準(zhǔn)規(guī)范基本要求《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》第5部分：工業(yè)控制系統(tǒng)安全擴(kuò)展要求標(biāo)準(zhǔn)規(guī)范基本要求《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》第5部分：工業(yè)控制系統(tǒng)安全擴(kuò)展要求7.1.5過程監(jiān)控層安全要求設(shè)備和計算安全.2訪問控制）；.6資源控制d)應(yīng)對工程師站、操作員站、服務(wù)器等系統(tǒng)運行資源進(jìn)行監(jiān)視，包括CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；設(shè)置預(yù)警限值并在觸發(fā)時預(yù)警。7.1.6現(xiàn)場控制層安全要求設(shè)備和計算安全.1身份鑒別……；關(guān)措施；.2安全審計a)應(yīng)提供生成安全相關(guān)審計記錄的能力……，單個審計記錄應(yīng)包括時間戳、來源（源設(shè)備、軟件進(jìn)程或人員用戶帳戶）、分類、類型、事件ID和事件結(jié)果；.3入侵防范方案設(shè)計之設(shè)備和計算安全標(biāo)準(zhǔn)規(guī)范基本要求.4入侵防范《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》第5部分：工業(yè)控制系統(tǒng)安全擴(kuò)展要求.5.2和計算安全d)軟件外，只安裝與自身業(yè)務(wù)相關(guān)的操作系統(tǒng)組件及應(yīng)用軟件，如工程師站、組態(tài)軟件與此相關(guān)的操作系統(tǒng)組件。.5惡意代碼防范a)應(yīng)對可能造成損害的移動代碼技術(shù)執(zhí)行使用限制，包括：防止移動代碼的執(zhí)行……，限制移動代碼傳入/傳出控制系統(tǒng) ；c)應(yīng)采取保護(hù)機(jī)制，防止、檢測、報告和減輕惡意代碼或未經(jīng)授權(quán)軟件的影響，應(yīng)更新防護(hù)機(jī)制。解決方案主機(jī)加固解決方案管理網(wǎng)DMZ網(wǎng)站DNCDMZ網(wǎng)站DNC服務(wù)器 郵件系統(tǒng)管理中心監(jiān)控中心MIS系統(tǒng) ERP系統(tǒng)CAD設(shè)計系統(tǒng)PDM數(shù)據(jù)庫互聯(lián)網(wǎng)管理網(wǎng)核心交換機(jī) 交換機(jī)MESMES系統(tǒng) 數(shù)據(jù)庫服務(wù)器 服務(wù)器車間1匯聚交換機(jī)車間1車間2匯聚交換機(jī)車間2車間3匯聚交換機(jī)車間3車間N匯聚交換機(jī)車間DNC服務(wù)器DNC服務(wù)器DNC服務(wù)器客戶端DNC服務(wù)器DNC服務(wù)器客戶端數(shù)控機(jī)床數(shù)控機(jī)床數(shù)控機(jī)床解決方案在各車間的DNC客戶端、服務(wù)器及MES服務(wù)器、數(shù)據(jù)庫服務(wù)器和單串口服務(wù)器部署主機(jī)加固類軟件；解決的問題1）防止惡意代碼攻擊；3）防止使用移動介質(zhì)拷貝NC入病毒在數(shù)控網(wǎng)中擴(kuò)散；4）杜絕信息被非法竊取。解決方案主機(jī)安全防護(hù)解決方案管理網(wǎng)DMZ網(wǎng)站DNCDMZ網(wǎng)站DNC服務(wù)器 郵件系統(tǒng)管理中心監(jiān)控中心MIS系統(tǒng) ERP系統(tǒng)CAD設(shè)計系統(tǒng)PDM數(shù)據(jù)庫互聯(lián)網(wǎng)管理網(wǎng)核心交換機(jī) 交換機(jī)MESMES系統(tǒng) 數(shù)據(jù)庫服務(wù)器 服務(wù)器車間1交換機(jī)車間1車間2匯聚交換機(jī)車間2車間3匯聚交換機(jī)車間3車間N匯聚交換機(jī)車間NDNC服務(wù)器DNC服務(wù)器DNC服務(wù)器客戶端DNC服務(wù)器DNC服務(wù)器客戶端數(shù)控機(jī)床數(shù)控機(jī)床數(shù)控機(jī)床解決方案在各車間的DNC客戶端、服務(wù)器及MES服務(wù)器、數(shù)據(jù)庫服務(wù)器和單串口服務(wù)器上部署工控主機(jī)安全防護(hù)類軟件；解決的問題1）防止惡意代碼攻擊；2）動；3）防止使用移動介質(zhì)拷貝NC入病毒在數(shù)控網(wǎng)中擴(kuò)散；4）杜絕信息被非法竊取。標(biāo)準(zhǔn)規(guī)范基本要求7.1.5過程監(jiān)控層安全要求標(biāo)準(zhǔn)規(guī)范基本要求7.1.5過程監(jiān)控層安全要求用和數(shù)據(jù)安全.2身份鑒別a)應(yīng)唯一地標(biāo)識和鑒別有員……。當(dāng)有人員用戶訪問時 施責(zé)離最權(quán)限；c)應(yīng)防止任何已有的用戶賬戶重復(fù)使用同一批口令，并加強(qiáng)用戶口令的最大和最小有效期的使用 ；d)應(yīng)在可配置時間周期內(nèi)……，當(dāng)訪問次數(shù)超出限制后，應(yīng)進(jìn)行報警；對于代表關(guān)鍵服務(wù)或者服務(wù)器運行的系統(tǒng)賬戶，應(yīng)不允許交互式登錄；《信息安全技.3訪問控制術(shù)網(wǎng)絡(luò)安全a)應(yīng)支持授權(quán)用戶來管理所有帳戶，包括添加、激活、修改、禁用和刪除帳戶；等級保護(hù)基本b)應(yīng)支持統(tǒng)一賬戶管理；要求》第5部c)應(yīng)通過手動或在一個可配置非活動周期后，系統(tǒng)自動啟動會話鎖定防止進(jìn)一步訪問，…...分：工業(yè)控制直到擁有會話的人員用戶或其它授權(quán)的人員用戶使用適當(dāng)?shù)纳矸輼?biāo)識和鑒別規(guī)程重新建立訪系統(tǒng)安全擴(kuò)展問；要求；；.4安全審計a)應(yīng)生成安全相關(guān)審計記錄，類別有：訪問控制、請求錯誤、配置改變和審計日志事件。單個審計記錄應(yīng)包括時間戳、來源（源設(shè)備、軟件進(jìn)程或人員用戶帳戶）、分類、類型、事件ID和事件結(jié)果；d)應(yīng)具備以可配置頻率的，與系統(tǒng)時鐘同步的能力；f)授權(quán)人員和/或工具應(yīng)使用只讀方式訪問審計日志；方案設(shè)計之應(yīng)用和數(shù)據(jù)安全標(biāo)準(zhǔn)規(guī)范基本要求《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》第5部分：工業(yè)控制系統(tǒng)安全擴(kuò)展要求7.1.6 現(xiàn)場控制層安全要求 應(yīng)用和數(shù)據(jù)安全.1 無線使用控制a）應(yīng)對所有參與無線通信的用戶（人員和軟件進(jìn)程提供唯一性標(biāo)識和鑒別。管理中心管理網(wǎng)

監(jiān)控中心MIS系統(tǒng)

ERP系統(tǒng)

運維安全審計解決方案庫CAD設(shè)計系統(tǒng) PDM數(shù)據(jù)解決方案庫解決方案在生產(chǎn)網(wǎng)交換機(jī)上旁路部署運維安全管理系統(tǒng)；解決方案在生產(chǎn)網(wǎng)交換機(jī)上旁路部署運維安全管理系統(tǒng)；解決的問題阻止非授權(quán)用戶訪問網(wǎng)絡(luò)、安全設(shè)備；站、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等；止誤操作、惡意操作；取證。管理網(wǎng)核心交換機(jī)

交換機(jī)

MESMES服務(wù)器

數(shù)據(jù)庫服務(wù)器車間1交換機(jī)車間1

車間2匯聚交換機(jī)車間2

車間3匯聚交換機(jī)車間3

車間N匯聚交換機(jī)車間N生DNC服產(chǎn) 務(wù)器網(wǎng)

務(wù)器

DNC務(wù)器

客戶端

務(wù)器

DNC

DMZ網(wǎng)站DMZ網(wǎng)站DNC服務(wù)器 郵件系統(tǒng)

數(shù)控機(jī)床

數(shù)控機(jī)床無線使用控制解決的問題1）解決的問題1）識，防止非法用戶的訪問；2）聽。解決方案1）在無線局域網(wǎng)內(nèi)部署無線安全防護(hù)系統(tǒng)；解決方案DMZ網(wǎng)站DNC服務(wù)器 郵件系統(tǒng)管理中心監(jiān)控中心MIS系統(tǒng) ERP系統(tǒng)CAD設(shè)計系統(tǒng)PDM數(shù)據(jù)庫互聯(lián)網(wǎng)管理網(wǎng)核心交換機(jī) 交換機(jī)MESMES系統(tǒng) 數(shù)據(jù)庫服務(wù)器 服務(wù)器車間1匯聚交換機(jī)車間1車間2匯聚交換機(jī)車間2車間3匯聚交換機(jī)車間3車間N匯聚交換機(jī)車間DNC服務(wù)器DNC服務(wù)器DNC服務(wù)器客戶端DNC服務(wù)器DNC服務(wù)器客戶端數(shù)控機(jī)床數(shù)控機(jī)床數(shù)控機(jī)床生產(chǎn)網(wǎng)方案設(shè)計之統(tǒng)一管理標(biāo)準(zhǔn)規(guī)范基本要求《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》附錄D基于可信計算技術(shù)的工業(yè)控制系統(tǒng)安全等級防護(hù)D.2可信保障的三重防御多級互聯(lián)技術(shù)框架d)可信/統(tǒng)一管理解決的問題1）統(tǒng)一管理安全設(shè)備，如策略制定、下發(fā)等；2）對安全日志進(jìn)行關(guān)聯(lián)分析，并通過圖解決的問題1）統(tǒng)一管理安全設(shè)備，如策略制定、下發(fā)等；2）對安全日志進(jìn)行關(guān)聯(lián)分析，并通過圖展示；3）便于上級級維護(hù)人員進(jìn)行維護(hù)管理，實現(xiàn)安全事件報警管理。解決方案1）在生產(chǎn)網(wǎng)交換機(jī)上旁路部署集中安全管理系統(tǒng)；解決方案DMZ網(wǎng)站DNC服務(wù)器 郵件系統(tǒng)管理中心監(jiān)控中心MIS系統(tǒng)ERP系統(tǒng) CAD設(shè)計系統(tǒng)PDM數(shù)據(jù)庫互聯(lián)網(wǎng)管理網(wǎng)核心交換機(jī) 交換機(jī)MESMES系統(tǒng) 數(shù)據(jù)庫服務(wù)器 車間1匯聚交換機(jī)車間2匯聚交換機(jī)車間3匯聚交換機(jī)車間N匯聚交換機(jī)車間1車間2車間3車間NDNC服務(wù)器DNC服務(wù)器DNC服務(wù)器客戶端DNC服務(wù)器DNC客戶端數(shù)控機(jī)床數(shù)控機(jī)床數(shù)控機(jī)床生產(chǎn)網(wǎng)客戶需求

典型案例—某汽車集團(tuán)有限公司管理網(wǎng)絡(luò)與生產(chǎn)網(wǎng)絡(luò)之間、生產(chǎn)網(wǎng)絡(luò)生產(chǎn)區(qū)與控制區(qū)之間、各生產(chǎn)區(qū)域之間缺乏必要的隔離控制措施，迫切需要對其進(jìn)行安全防護(hù)；保護(hù)工程師站、操作員站等主機(jī)免遭病毒、蠕蟲、木馬等惡意軟件入侵；采用技術(shù)手段實現(xiàn)對工業(yè)網(wǎng)絡(luò)中的惡意攻擊行為、誤操作行為等的實時檢測和記錄。解決方案在管理網(wǎng)核心交換機(jī)和生產(chǎn)網(wǎng)核心交換機(jī)之間部署工業(yè)防火墻，A網(wǎng)B網(wǎng)冷備，與原有傳統(tǒng)防火墻組成全面的邊界安全隔離措施，完善網(wǎng)絡(luò)邊界的安全防護(hù)；在虛擬服務(wù)器與生產(chǎn)服務(wù)器之間部署工業(yè)防火墻，對生產(chǎn)服務(wù)器設(shè)置對外只讀控制策略，防止生產(chǎn)服務(wù)器數(shù)據(jù)被惡意篡改。客戶價值滿足國家政策法規(guī)要求及自身安全需求；增強(qiáng)了企業(yè)自身信息安全防護(hù)能力，降低生產(chǎn)安全風(fēng)險；提升了企業(yè)的精益化管理水平?？蛻粜枨?/p>

典型案例—某集團(tuán)有限公司進(jìn)行有效的區(qū)域劃分及安全訪問控制；解決系統(tǒng)及設(shè)備漏洞難以及時處理、工業(yè)控制協(xié)議先天安全性不足等的安全隱患問題；解決缺乏安全審計手段的問題；通過技術(shù)手段防范因安全政策、管理制度執(zhí)行力度不夠以及人員安全意識缺乏導(dǎo)致的安全隱患。解決方案在生產(chǎn)網(wǎng)邊界和內(nèi)部區(qū)域部署工業(yè)防火墻，阻止任何來自安全區(qū)域外的非授權(quán)訪問；在操作站、服務(wù)器上部署基于白名單機(jī)制的主機(jī)安全加固軟件，有效防止病毒感染及U盤濫用導(dǎo)致的安全問題；在生產(chǎn)車間的各區(qū)域網(wǎng)絡(luò)旁路部署監(jiān)測審計平臺，實時發(fā)現(xiàn)針對PLC、DCS等重要工業(yè)控制設(shè)備或系統(tǒng)的攻擊破壞行為，為工業(yè)控制網(wǎng)絡(luò)安全事件調(diào)查提供依據(jù)?？蛻魞r值提高了企業(yè)安全防護(hù)能力，降低了核心數(shù)據(jù)被竊取的風(fēng)險；全面提升了業(yè)務(wù)人員的安全意識，提高了安全管理水平和效率；協(xié)助企業(yè)完善工控安全防護(hù)體系，鞏固了行業(yè)標(biāo)桿地位，形成了良好的示范效應(yīng)。第四部分方案合規(guī)性分析工控等保邊界防護(hù)&訪問控制標(biāo)準(zhǔn)規(guī)范基本要求方案符合度涉及產(chǎn)品第5部分：工業(yè)控制系統(tǒng)安全擴(kuò)展要求7.1.2邊界防護(hù)；例外網(wǎng)絡(luò)數(shù)據(jù)流；符合。在控制網(wǎng)絡(luò)和非控制網(wǎng)絡(luò)的邊界，以及控制系統(tǒng)內(nèi)安全域和安全域之間的邊界部署邊界防護(hù)設(shè)備，采用拒絕非必要訪問流量，只允許正常生產(chǎn)相關(guān)的流量出入。工業(yè)防火墻工業(yè)網(wǎng)閘網(wǎng)絡(luò)和通信安全.3訪問控制受控接口；化訪問控制列表，并過程監(jiān)控層安全要求.4訪問控制現(xiàn)場控制層安全要求網(wǎng)絡(luò)和通信安全.4訪問控制工控等保安全審計&入侵防范標(biāo)準(zhǔn)規(guī)范基本要求方案符合度涉及產(chǎn)品《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》第5部分：工業(yè)控制系統(tǒng)安全擴(kuò)展要求過程監(jiān)控層安全要求網(wǎng)絡(luò)和通信安全.6安全審計，包括:訪問控制、請求錯誤、操作系統(tǒng)事件、備份和恢復(fù)事件、配置改變、潛在的偵察活動和審計日志事件。（應(yīng)能集中管理審計事件并從系統(tǒng)多個組件收集審計記錄當(dāng)分配審計記錄存儲值達(dá)到最大審計記錄存儲容量的配置比例時，系統(tǒng)應(yīng)能發(fā)出警告…符合。在過程監(jiān)控層核心交換機(jī)上部署監(jiān)測審計類系統(tǒng)，記錄各類安全事件和信息，特別是不符合工業(yè)現(xiàn)場正常生產(chǎn)行為的事件為事件追蹤溯源提供依據(jù)。監(jiān)測審計系統(tǒng).5 入侵防范e)應(yīng)采取技術(shù)措施對網(wǎng)絡(luò)行為進(jìn)行分析，實現(xiàn)對網(wǎng)絡(luò)攻擊特別是未知的新型網(wǎng)絡(luò)攻擊的檢測和分析；工控等保入侵防范標(biāo)準(zhǔn)規(guī)范基本要求方案符合度涉及產(chǎn)品《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》第5部分：工業(yè)控制系統(tǒng)安全擴(kuò)展要求過程監(jiān)控層安全要求網(wǎng)絡(luò)和通信安全.5 入侵防范a)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為；符合點旁路部署（檢測并限制網(wǎng)絡(luò)攻擊行為。入侵檢測系統(tǒng)工業(yè)防火墻現(xiàn)場控制層安全要求網(wǎng)絡(luò)和通信安全.5入侵防范應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處的網(wǎng)絡(luò)攻擊行為；應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處的網(wǎng)絡(luò)攻擊行為；IP、。工控等保無線安全防護(hù)標(biāo)準(zhǔn)規(guī)范基本要求方案符合度涉及產(chǎn)品.3 無線使用控制符合。在AP所在LAN交換機(jī)上旁路部署無線入侵安全防護(hù)系統(tǒng)，掃除潛在的生產(chǎn)信號干擾風(fēng)險，使生產(chǎn)運行更加可靠，構(gòu)建高安全的網(wǎng)絡(luò)生產(chǎn)環(huán)境。a)應(yīng)對所有參與無線通信的用戶（設(shè)備）提供唯一性標(biāo)識和鑒別；7.1.6 現(xiàn)場控制層安全要求b)根據(jù)普遍接受的安全工業(yè)實踐，對無線連《信息安全技術(shù) 網(wǎng)絡(luò)和通信安全接的授權(quán)、監(jiān)視以及執(zhí)行使用限制；基本要求》第5部分：工業(yè)控制系統(tǒng)c)識別在控制系統(tǒng)物理環(huán)境中發(fā)射的未經(jīng)授權(quán)的無線設(shè)備，報告未經(jīng)授權(quán)試圖接入或干擾控制系統(tǒng)行為。無線安全防護(hù)系統(tǒng)安全擴(kuò)展要求7.1.6 現(xiàn)場控制層安全要求 應(yīng)用和數(shù)據(jù)安全.1 無線使用控制應(yīng)對所有參與無線通信的用戶（人員和軟件進(jìn)程）提供唯一性標(biāo)識和鑒別。工控等保主機(jī)安全防護(hù)標(biāo)準(zhǔn)規(guī)范基本要求方案符合度涉及產(chǎn)品.4入侵防范符合。在關(guān)鍵主機(jī)和服務(wù)站上部署白名單類產(chǎn)品，阻止一切不在白名程序的安裝和執(zhí)行。d)所有主機(jī)設(shè)備操作系統(tǒng)采用最小化系統(tǒng)安裝原則，除了必要的安全組件或軟件外，只安裝與自身業(yè)務(wù)相關(guān)的操作系統(tǒng)組件及應(yīng)用軟件，《信息安全技術(shù)基本要求》第5部安全擴(kuò)展要求7.1.5過程監(jiān)控層安全要求設(shè)備和計算安全如工程師站、組態(tài)軟件 與此關(guān)的作系統(tǒng)組件。單產(chǎn)品.5惡意代碼防范a)應(yīng)對可能造成損害的移動代碼技術(shù)執(zhí)行使用限制，包括：防止移動代碼的執(zhí)行……，限制移動代碼傳入/傳出控制系統(tǒng) ；c)應(yīng)采取保護(hù)機(jī)制，防止、檢測、報告和減輕惡意代碼或未經(jīng)授權(quán)軟件的影響，應(yīng)更新防護(hù)機(jī)制。工控等保主機(jī)加固標(biāo)準(zhǔn)規(guī)范基本要求方案符合度涉及產(chǎn)品《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》第5部分：工業(yè)控制系統(tǒng)安全擴(kuò)展要求7.1.5過程監(jiān)控層安全要求設(shè)備和計算安全.2訪問控制）；符合。在工控網(wǎng)絡(luò)中的關(guān)鍵主機(jī)和服務(wù)器上部署主機(jī)加固類產(chǎn)品，對主機(jī)基線、主機(jī)資源的訪問權(quán)限、用戶的身份鑒別等進(jìn)主機(jī)加固系統(tǒng).6資源控制d)應(yīng)對工程師站、操作員站、服務(wù)器等系統(tǒng)運行資源進(jìn)行監(jiān)視，包括CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；設(shè)置預(yù)警限值并在觸發(fā)時預(yù)警。7.1.6現(xiàn)場控制層安全要求設(shè)備和計算安全.1身份鑒別……；有效期限，并定期更換；連接超時自動退出等相關(guān)措施；.2安全審計a)工控等保主機(jī)加固&漏洞挖掘&漏洞掃描標(biāo)準(zhǔn)規(guī)范基本要求方案符合度涉及產(chǎn)品符合。在工控網(wǎng)絡(luò)中的關(guān)《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》第5部分：工業(yè)控制系統(tǒng)安全擴(kuò)展要求7.1.6現(xiàn)場控制層安全要求設(shè)備和計算安全.3入侵防范c)應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口；主機(jī)加固類產(chǎn)品，對主機(jī)基用戶的身份鑒別等進(jìn)行嚴(yán)格的管控。主機(jī)加固系統(tǒng).3入侵防范d)可能存在的漏洞符合。采用品未知漏洞發(fā)現(xiàn)，并提出修工控漏掃掃描產(chǎn)品工控漏洞挖掘產(chǎn)品漏洞。改建議方案合規(guī)性分析運維審計標(biāo)準(zhǔn)規(guī)范基本要求方案符合度涉及產(chǎn)品7.1.5過程監(jiān)控層安全要求應(yīng)用和數(shù)據(jù)安全.2身份鑒別符合。在工控網(wǎng)絡(luò)的核心管理區(qū)出口部署運維審計類產(chǎn)品，對運維人員的操作權(quán)限、操作內(nèi)容等進(jìn)行嚴(yán)格的管控。運維堡壘機(jī)a)應(yīng)唯一地標(biāo)識和鑒別有員……。當(dāng)有人員用戶訪問時 施責(zé)離最小權(quán)限；c)應(yīng)防止任何已有的用戶賬戶重復(fù)使用同一批口令，并加強(qiáng)用戶口令的最大和最小有效期的使用 ；d)應(yīng)在可配置時間周期內(nèi)……，當(dāng)訪問次數(shù)超出限制后，應(yīng)進(jìn)行報警；對于代表關(guān)鍵《信息安全服務(wù)或者服務(wù)器運行的系統(tǒng)賬戶，應(yīng)不