-
解决方案
2025-04-17军工网络边界安全丨工控网与内网隔离交换解决方案背景概述随着信息化不断发展,数字化与智能化需求越来越迫切,数据互通、底层数据的及时传输至关重要。根据军工生产加工状况实现作业派工、数据采集、质量和资源管理等各个环节中数据的信息共享。同时存在对生产计划进行拆分、管理、下达的需求。通过精细管理对计划执行情况进行监控,将车间生产计划、作业派工、生产数据采集、生产信息反馈等数据流形成一个闭环。实现快速响应计划变更、及时追溯产品制造过程信息,做到生产管理最大化的透明,减轻管理人员及员工的工作量,提高工作效率。
但是由于安全问题,多数军工企业工控网与内网之间仍然采取物理隔离、人工光盘刻录、纸质传递等落后的方式,严重影响智能制造在军工领域的推进。数据信息的孤立已经不能满足现阶段智能加工的需求,工控网和内网互联迫在眉睫。
需求分析
01/ 标准合规性需求两网信息交换建设过程中需要满足最新指南标准要求。
02/ 业务安全性需求
从内网、跨网数据交换隔离、工控网的安全需求进行分析:内网安全防护需求:数据在导出时,进行人工审核,避免内网重要数据泄露。
及时发现入侵及相关威胁,避免未知风险。
对导出数据进行日志留存,方便追溯和查询。跨网数据交换隔离需求:
在数据交换区边界进行安全防护只允许身份认证过的设备进行数据导入、导出。
导入、导出数据进行病毒检查,通过技术手段对数据进行封装,保证其不被非授权用户截取、获得,以避免对重要数据造成安全隐患。
数据物理单向进行数据导入及导出动作,不允许逆向访问。工控网安全防护需求:
数据在导入时,进行人工审核或病毒恶意代码查杀,避免非法数据入侵内网。
及时发现入侵及相关威胁,避免未知风险。
对导入数据进行日志留存,方便追溯和查询。
生产设备、加工设备等工控设备及系统独自组网,按照最新相关指南要求对现有工业控制网络进行改造,建设符合规定的具有安全防护的工业控制网络。
解决方案
根据军工工业控制网络的特点,依据行业相关最新指南要求,结合军工企业工业控制系统数据交换的需求、安全合规建设需求及工控生产整体安全需求,针对军工生产对可用性、实时性的要求,对工控网络进行详细设计形成数据交换方案,确保军工生产安全、稳定运行。
工控网与内网隔离交换解决方案拓扑结构示意图01/ 内网安全防护设计
对应用系统进行改造,所有导出文件、数据经过严格审批流程后方可进行数据导出,避免重要数据泄露风险。
数据交换区边界部署入侵检测系统,发现异常入侵行为及威胁进行预警。
安全管理区部署日志审计系统对隔离交换区所有设备进行日志留存。同时对导出数据进行记录审计,包括文件类型、文件名、源地址、目的地址、结果等相关内容。
02/ 隔离交换区安全防护设计
内网防火墙和工控网工业防火墙之间划分隔离交换区,上行通道与下行通道分别完成不同方向的单向无反馈数据传输,两条独立平行单向通道,互不干涉。1.上行通道
内网业务应用服务器需要导出的文件经相关负责人审批后,工控网中的业务应用系统通过在网络边界设置合理的防火墙策略,仅允许指定数据通过,并部署单向导出设备对文件进行格式检查,病毒与恶意代码查杀,内容检测,文件完整性校验,单向传输至工控网业务应用服务器,实现自动下发,摆脱人工摆渡方式,提高生产效率。导出的数据全程监控与综合审计、恶意代码检查、内容检查、文件完整性校验、严格审批流程等要求。2.下行通道
通过部署在网络边界防火墙设置合理的策略,仅允许指定数据通过,部署单向导入设备对导入数据进行恶意代码检测。完成文件单向传输至内网业务应用服务器,实现文件自动上传,提升效率。
03/ 工控网安全防护设计
军工工业控制网络安全防护:通过强化网络边界的安全隔离,以及区域内各生产子系统的工控主机、工控环境及数据的安全防护,采取介质安全、病毒与恶意代码防护、运行管理、身份鉴别、访问控制、系统安全性能检测、安全审计、入侵监控等防护措施要求进行详细设计。
方案价值
01/ 解决跨网隔离和数据安全交换需求和痛点两条物理光纤单向通道,互不干涉。既保证信息准确、及时地传输,又提升信息交换整体安全性,对传输请求进行审批、内容检查、实时监控、非法拦截等相应的动作,实现知悉范围可查,跨边界传输可控。对异常操作行为与数据进行实时监测和报警,保障文件传输过程中的核心数据资产的安全。确保军工企业跨网业务及数据安全可靠交换,有效提高军工企业生产制造效率。
02/ 增强军工企业工控网防护能力
通过强化军工企业工控网络、主机及数据的安全防护,大大增强了工控网的整体安全防护能力,确保军工企业安全生产、可持续运营。
相关新闻
-
2025-04-28
-
2025-04-17
-
2025-04-17
-
2025-04-17
-
2025-04-17
-