六方云—水利行业解决方案

水利枢纽灌区工程引水调水
背景概述

Background Overview

在网络安全形势日趋严峻的情况下，信息化程度高度发达的关键水电工程的网络安全保护尤为重要。水利枢纽泄水闸计算机监控系统亟需确保生产系统、监控系统、关联系统的网络安全，实现水力发电、工业控制系统的安全防护，提升未知威胁和高级威胁检测能力，实现工控系统安全的综合预警和风险展示。通过网络安全摸底风险评估服务更加明确了建设的重要性。
解决方案

Solution
建设目标：符合网络安全等级保护三级要求；

建设原则：分层分区，本体保护，智能分析，集中管控；

安全理念：基于“一个中心，三重防护”的纵深防御理念；

安全区域边界：将泄水闸计算机监控系统分划分为不同区域。区域间采用工业防火墙、隔离装置进行有效隔离，对工业协议进行识别与深度解析，阻止未经授权的访问，防范病毒入侵，保障PLC 控制系统的安全。

安全通信网络：通过工业审计系统对网络中的流量、协议进行实时检测，对包括工业协议在内的各种协议进行识别与深度解析，对未知接入进行及时告警、对各种入侵行为进行实时检测形成事件记录与报告。

安全计算环境：通过在操作员站、工程师站、服务器等工业主机上安装基于白名单技术的防护软件，控制不明程序、移动存储介质和网络通信的滥用，有效提高工控网络的综合“免疫”能力。

安全管理中心：在系统内部旁路署监管平台，对网络安全设备统一管理、配置、安全策略统一部署，设备状态监控，监测网络的通信流量与安全事件，并能对网络内的安全威胁进行分析等功能；在系统内旁路部署安全运维与管理系统，对工业网络中的需要远程管理的设备进行身份认证统一管理、全行为审计，身份鉴别等；在系统内旁路部署日志分析与审计系统，对工业网络中的的安全设备、网络设备、服务器等的日志进行收集、存储与分析，满足等保及网络安全法的相关要求；在系统内部署全流量威胁检测与回溯系统，对网络中的资产进行梳理，及时发现已知和未知威胁。
客户价值

Customer Value
安全合规：符合国家网络安全法、等级保护2.0等政策法规的要求。

业务保障：通过工控协议白名单、人工智能等技术，及时高效地检测已知和未知安全威胁，从而构建起事前预防、事中监测、事后审计的主动式纵深防御体系。
背景概述

Background Overview

水利灌区行业作为关键信息基础设施之一，整体信息安全建设处于初级阶段，其中工业控制系统的信息安全防护普遍比较薄弱，人员安全防护意识有待加强，信息安全制度还有待完善。随着信息技术的飞速发展，工业控制系统安全防护已不能仅停留在物理隔离的层面上，需要部署完善的，基于保护安全物理环境安全要求、安全通信网络、安全区域边界、安全计算环境、安全管理中心等多层次、多方面的综合的安全防护体系。
解决方案

Solution
建设目标：符合网络安全等级保护要求；

建设原则：分层分区，本体保护，智能分析，集中管控；

安全理念：基于“一个中心，三重防护”的纵深防御理念；

安全区域边界：将不同系统划分为不同区域。区域间采用工业防火墙、隔离装置进行有效隔离，对工业协议进行识别与深度解析，阻止未经授权的访问，防范病毒入侵，保障PLC 控制系统的安全。

安全通信网络：通过工业审计系统对网络中的流量、协议进行实时检测，对包括工业协议在内的各种协议进行识别与深度解析，对未知接入进行及时告警、对各种入侵行为进行实时检测形成事件记录与报告。

安全计算环境：通过在操作员站、工程师站、服务器等工业主机上安装基于白名单技术的防护软件，控制不明程序、移动存储介质和网络通信的滥用，有效提高工控网络的综合“免疫”能力。

安全管理中心：在系统内部旁路署监管平台，对网络安全设备统一管理、配置、安全策略统一部署，设备状态监控，监测网络的通信流量与安全事件，并能对网络内的安全威胁进行分析等功能；在系统内旁路部署安全运维与管理系统，对工业网络中的需要远程管理的设备进行身份认证统一管理、全行为审计，身份鉴别等；在系统内旁路部署日志分析与审计系统，对工业网络中的的安全设备、网络设备、服务器等的日志进行收集、存储与分析，满足等保及网络安全法的相关要求；在系统内部署全流量威胁检测与回溯系统，对网络中的资产进行梳理，及时发现已知和未知威胁。
客户价值

Customer Value
安全合规：符合国家网络安全法、等级保护2.0等政策法规的要求。

业务保障：通过工控协议白名单、人工智能等技术，及时高效地检测已知和未知安全威胁，从而构建起事前预防、事中监测、事后审计的主动式纵深防御体系。
背景概述

Background Overview

水利管理处的工业控制网络通常仅完成了基础的组网搭建，实现各级泵站与调度中心和水库的系统连接，但总体的工控网络安全运维防护体系尚未形成，只根据现有的数据上传需求在工控网络与业务内网的边界架设隔离网闸进行单向数据摆渡和区域隔离，其工业控制网络在整体上仍缺少安全保护的措施，依旧存在一定的安全隐患。
解决方案

Solution
建设目标：符合网络安全等级保护要求；

安全理念：基于“一个中心，三重防护”的纵深防御理念；

安全区域边界：将业务内网和业务外网以及数据生产区和工业控制区划分为不同区域。区域间采用工业防火墙、隔离装置进行有效隔离，对工业协议进行识别与深度解析，阻止未经授权的访问，防范病毒入侵，保障PLC 控制系统的安全。

安全通信网络：通过工业审计系统对网络中的流量、协议进行实时检测，对包括工业协议在内的各种协议进行识别与深度解析，对未知接入进行及时告警、对各种入侵行为进行实时检测形成事件记录与报告。

安全计算环境：通过在操作员站、工程师站、服务器等工业主机上安装基于白名单技术的防护软件，控制不明程序、移动存储介质和网络通信的滥用，有效提高工控网络的综合“免疫”能力。

安全管理中心：在系统内部旁路署监管平台，对网络安全设备统一管理、配置、安全策略统一部署，设备状态监控，监测网络的通信流量与安全事件，并能对网络内的安全威胁进行分析等功能；在系统内旁路部署安全运维与管理系统，对工业网络中的需要远程管理的设备进行身份认证统一管理、全行为审计，身份鉴别等；在系统内旁路部署日志分析与审计系统，对工业网络中的的安全设备、网络设备、服务器等的日志进行收集、存储与分析，满足等保及网络安全法的相关要求
客户价值

Customer Value
安全合规：符合国家网络安全法、等级保护2.0等政策法规的要求。

业务保障：通过工控协议白名单、人工智能等技术，及时高效地检测已知和未知安全威胁，从而构建起事前预防、事中监测、事后审计的主动式纵深防御体系。

解决方案

Solution

背景概述

解决方案

客户价值

背景概述

解决方案

客户价值

背景概述

解决方案

客户价值