说明:
业务背景目前,各地市正在大力推进平安城市建设,平安城市的使用主体是公安部门,一般分为三个级别,自下而上分别为派出所、区县、市。通过部署高清摄像头,对城市的重点单位、社区、公共场所、道路等区域进行实时的视频监控,预防违法犯罪事件发生,同时为事后取证提供保证。这种监控网络采用了多级级联的VPN专网,通过专线由不同的监控平台分别控制下面数量众多的监控探头,探头采集视频数据并实时通过3G/4G、无线、有线网络传输到公安系统统一的存储区域,方便公安机构留档和分析调用。安全挑战各地的视频监控设备不断爆出存在漏洞,很容易被黑客入侵、控制,这不仅会导致视频专网连接异常,并且网络攻击还会造成磁盘损坏及录像数据丢失和设备故障,进而影响公安内网的安全,导致公安系统网络出现病毒、木马、僵尸、DoS攻击、敏感信息泄露等安全问题。虽然监控视频数据采用VPN专线传输,但VPN技术本身依赖于公网传输,VPN技术虽然能一定程度上保障封装数据的安全性和保密性,但很难对传输的数据内容安全性进行检查,因而也无法阻止病毒、入侵、恶意流量等风险在网络中传播。视频监控专网的产生的监控数据,需要在公安内网存档封样,以便公安机关必要时取用,同时这些视频数据也会被电子政务外网一些相关的视频业务系统授权使用,需要保证数据存储和传输过程中的安全需求。对于庞大的公安监控网络来说,如何有效的简化视频摄像头的安全管理,便于及时发现和定位掉线或异常的网络摄像头,快速实现业务恢复也是需要考虑的安全问题。解决方案在公安通信网、电子政务网及运营商网络边界处部署捷普下一代智能防火墙系统对各网络边界数据交换进行有效的安全管控和防护,对视频专网数据进行有效清洗,防止病毒、入侵、恶意流量等风险在网络中传播;在公安的核心网络处部署捷普的入侵检测系统,为了防止重要的视频数据的丢失或损坏,需要对核心数据采用数据备份与容灾系统。按照公安网络的安全要求,在视频...
说明:
现状与挑战计算机及网络技术的不断发展,推动着高校信息化建设,并对高校深化教育改革、提高高校管理水平、培养新型人才等方面提出了新的要求。在这个新形势下,各大高校尝试利用私有云计算技术,为高校建设各种网站和应用系统。但云计算以及虚拟化技术的发展和应用除了给高校工作带来易扩展、易管理等特性外,同时也带来了新的安全威胁,云安全已成为制约高校私有云发展的最大因素。1.数据安全数据安全是高校建设私有云最为担心的问题,很多场景都可能会导致云中数据的丢失和泄漏。私有云中的数据泄露可能是因为有针对性的攻击,也可能是人为错误,应用程序漏洞或糟糕的安全措施导致的。一旦高校私有云中的数据泄露,那麽将对高校带来一定的价值问题,因此如何预防数据泄露变成了高校建设私有云最关心的问题。2.不安全的接口和API云计算服务商需要提供大量的网络接口和API来整合上下游,发展业务伙伴,甚至直接提供业务。但是,从业界的安全实践来看,开发过程的安全测试、运行过程中的渗透测试等,不管从测试工具还是测试方法等,针对网络接口和API 都还不够成熟,这些通常工作于后台相对安全环境的功能被开放出来后,带来了额外的安全入侵入口。3.恶意的内部员工恶意的内部人员(如系统管理员)可以访问高校私有云中潜在的敏感信息,并且可以逐渐对更关键的系统进行更高级别的访问,并最终访问数据。仅仅依靠私有云自身的一些防护措施,那麽系统将会面临巨大的安全风险。4.账号和服务劫持在云环境中,如果攻击者能够获得高校私有云的账号相关信息,就可以窃听高校的活动和交易,操纵处理高校相关数据、返回伪造的信息,将高校的私有云用户导向到假冒的站点。使用窃取的凭证,攻击者可以访问高校私有云服务的关键部分,从而破坏这些服务的机密性、完整性和可用性。5.安全监测私有云平台上的网络环境、信息系统架构与传统环境大不相同,原本单一的检查工具已经渐渐不能满足,用户越来越需要全方位的...
说明:
伴随着互联网信息技术、工业自动化技术的革命性突破和全球经济一体化的发展,工业互联网应运而生,工业互联网涵盖了六大重点领域:工业互联网网络、工业传感与控制、工业互联网软件、工业互联网平台、安全保障以及系统集成服务等。由于工业互联网打破了传统工业相对封闭可信的制造环境,病毒、木马、高级持续性攻击等安全风险,对工业生产的威胁日益加剧,一旦受到网络攻击,将会造成巨大经济损失,并可能带来环境灾难和人员伤亡,危及公众安全和国家安全。工业互联网自身安全可控是确保其在各生产领域能够落地实施的前提,也是产业安全和国家安全的重要基础和保。行业隐患■ 大部分现场设备的操作系统陈旧,升级更新周期长,存在的大量漏洞极易被恶意病毒或代码感染,脆弱性高。■ 安全防护的建设速度远远落后于机械设备的数字化、信息化、网络化改造速度,越来越多的机械设备暴露于互联网中。■ 办公网络边界防护不清,存在大量安全漏洞,被不法分子利用跳板渗透工业系统控制层。■ 工业互联网的数据体重大、种类多、结构复杂,数据通信缺乏加密认证,数据的存储、传输、分析与共享存在安全风险。■ 在云平台中,作为底层支撑技术的虚拟化技术在带来效率提升和开销降低的同时,也带来了一系列由于物理的共享与逻辑隔离的冲突而导致的数据安全问题。 解决方案● 通过边界防护、入侵检测、安全审计、运维审计、未知威胁检测、容灾备份、恶意代码防护等技术手段形成对工业互联网安全的“监测、报警、处置、溯源、恢复、检查”工作闭环;● 在区域的交界处部署具有深度协议解析功能的工控防火墙,实现常规及工业协议的逻辑隔离、报文过滤访问控制等功能。● 针对各种病毒传输、攻击事件、可疑流量...
说明:
智能制造技术包括自动化、信息化、互联网和制造成型四个层面,产业链涵盖工业互联网、系统集成、工业软件、数据处理系统、高端数控机床和机器人等。2015 年5 月国务院印发《中国制造2025》,将智能制造作为工业现代化的主攻方向,而云计算、大数据、物联网等技术的发展为制造业转型升级提供了重大机遇的同时,也打破了ICS 的封闭环境,工控系统面临的安全形势将更为严峻,诸如更复杂的网络风险、更大量的数据上传、更开放的生产网络、更针对性的攻击入侵等问题将时刻敦促企业生产网络安全建设。行业隐患■ 生产管理网的DNC服务器在从生产控制网中采集生产数据时,使得生产控制网存在被恶意攻击、感染病毒的风险。■ 未对工业控制网络区域间进行隔离、恶意代码监测、异常监测、访问控制等一系列的防护措施,很容易一点发生病毒或攻击,影响全部车间甚至全公司。■ 未对操作站主机及服务器进行合规的安全配置,使得暴露的终端被攻击成功的可能性很高。■ 主要设备依赖国外品牌,第三方运维人员(尤其是国外的技术人员)在进行现场或者远程运维时可能会泄露重要生产数据或DNC文件。■ 未统一对设备及日志进行统一管理,使得相关工控系统事件不能统一收集、分析,不易关联分析设备间的事件和日志,难于及时发现复杂的问题。解决方案 ● 在各系统区域的交界处部署具有深度协议解析功能的工业防火墙,实现两个区域间针对常规及工业协议的逻辑隔离、报文过滤、访问控制等功能。● 针对目标网络中存在的各种病毒传输、攻击事件、可疑流量等进行实时监测,采用不影响原有网络环境的“轻接触”接入方式分析来自网络内外的入侵信号及APT攻击,做到早发现、早响应。● 依靠病毒治理...
说明:
钢铁冶金行业作为传统的生产制造型产业,近年来在国家对钢铁行业进行供给侧结构性改革的大背景下,钢铁企业为了应对日益激烈的市场竞争,积极响应国家“两化融合”的体系建设。国内大型的钢铁企业目前已经建成了生产经营管理一体的现代化钢铁生产厂,工业控制网络与企业管理信息网络高度融合,同时,随着节能减排、增产降耗带来的生产装置升级改造使得更多的工控设备暴露,外来运维人员及远程运维带来更多危险因素,为企业的安全生产带来了新的挑战。早在2016 年,钢铁协会就已下发了《关于做好防范PLC-Blaster 蠕虫病毒工作的通知》,针对工业控制系统及工控设备的安全防护已经迫在眉睫。行业隐患■ 现场控制层、过程控制层、生产管理层网络之间未部署能够针对工业协议进行安全防护的安全隔离设备。■ 各厂区缺少恶意代码监测、异常检测、安全审计等一系列的监测审计措施,不能及时发现进入工控网的安全威胁。■ 未对工程师站、操作站主机及服务器进行安全加固,不能有效的管理移动外设,工控主机作为上位机极易受到病毒及误操作的影响。■ 第三方运维人员(尤其是国外的技术人员)在进行现场或远程运维时对工业控制系统及网络会带来病毒、误操作等安全隐患。■ 未建立统一的安全管理监控系统,使得相关工控系统事件不能统一收集、分析,不易关联分析设备间的事件和日志,难于及时发现复杂的问题。解决方案● 在过程控制层与生产管理层之间的关键位置部署具有工业协议深度解析功能的工业防火墙,实现针对工控网络及工业协议的逻辑隔离、报文过滤、访问控制等功能。● 部署工业入侵检测系统,设置合理的检测策略,检测发现隐藏于流经网络边界正常信息流中的入侵行为,分析潜在威胁并进行安全审计。● ...