汽车制造业
MES系统 DNC系统 生产 安全域1
管理层
工控安全隔离装置
交换机 安全配置核查系统 HMI 历史数据库 运行监控系统 实时数据库 打印机
过程 安全域2
监控层 工控漏洞扫描系统
安全交换机 工控安全审计系统 工控入侵检测系统
工程师站 A 操作员站 A 实时数据库A 操作员站 B 工程师站 B 工程师站 C 终端管控系统 操作员站 C 实时数据库C
现场
控制层 工控安全网关 CNC 工控安全网关 工控安全网关 安全域3 安全域4 安全域53
现场
设备层 CNC-MT 仪表装置 三坐标测量仪
图 4.12 车厂安全防护图
- 外部边界隔离和监测。外部边界为 ICS区域与 IT区域的边界,即安全域划分示意图中安全域 1 与安全域 2 之间的边界,部署工控安全网关,作为外部威胁进入 ICS环境的第一道边界防护;
- 工控环境中的细分安全域边界之间部署工控安全网关,形成纵深防御的结构,对通信行为进行 严格控制。对应图中的安全域 3、安全域 4、安全域 5 与安全域 2 之间的边界分别部署控制设备;
- 在安全域 2 中部署工控安全审计系统,对流量和操作进行审计,并对工控环境中分布式部署的 所有工控设备的运行状态和日志进行集中监控;
- 在安全域 2 中部署工控漏洞扫描和工控安全配置核查系统,辅助运维过程中的脆弱性管理;
- 在工控环境中所有安全域中的 IT服务器和 PC 设备部署终端管控系统,实施外设管控、进程管 控和恶意代码防范;
- 如果在工业网中存在自动化设备厂商远程运维的情况,需要在网络中部署 VPN或者 CA认证系 统,用以识别远程运维人员的身份,提高工业网远程接入的可信化认证能力。
市政工控典型安全解决方案
水务场景
4.3.1.1 水务 SCADA系统架构
水务的 SCADA系统主要由操作员站,工程师站,取水泵房 SCADA系统,加药间 SCADA系统,反 冲洗 SCADA系统,送水泵房 SCADA系统,脱水泵房 SCADA系统等构成。其具体的结构图如图所示。
操作员站1 操作员站2 数据库服务器 视频服务器 WEB服务器