文章来源：由「百度新聞」平台非商業用途取用"https://baijiahao.baidu.com/s?id=1631655203997869232&wfr=spider&for=pc"

蝦哥聊網絡安全發布時間：19-04-2409:01隨著工業控制系統產品越來越多地采用通用協議、通用硬件和通用軟件，以各種方式與企業網或互聯網互通，使得其他網絡的安全風險很容易滲透到工控網絡。與此同時，工業生產網內部各業務單元之間如果未采取邊界防護措施，一旦某個業務單元遭受病毒感染和惡意公司，將可能蔓延至整個工業網絡，造成嚴重后果。勒索病毒在局域網中感染工業網絡一般分為控制系統、業務局域網以及在某些情況下處于兩者之間的監管隔離區（DMZ），與管理網和互聯網的連接一般受到控制，獨立性較高，因此對于邊界的防護分為以下三種情況：(1) 工控網絡與其他網絡沒有連接，則需要做好設備自身的安全防護，不需要新增邊界防護的設備(2) 工控網絡與其他網有連接，則需要使用防火墻和網閘等防護設備進行邊界防護(3) 工控網絡與其他網絡由連接，且通信實時性要求非常高，則需要企業采取彌補措施或依托專業機構提供定制化的解決方案。工控網絡拓撲圖為了保護網絡邊界，企業一般采用如下措施來進行邊界安全防護：(1) 梳理網絡拓撲結構，確定工控網絡邊界在部署網絡邊界防護設備之前，要清晰梳理網絡拓撲結構，確認工控網絡的內外部邊界。除了要對工控網與其他網絡之間的邊界進行安全防護以外，還需要對工控網絡內部各業務單元（功能組）間的邊界進行保護，以防止來自內部的攻擊以及某些繞過邊界防御的攻擊（如使用物理設備把惡意軟件引入控制系統中等）。石化行業工控系統結構圖在識別、劃分出工控網絡的各個區域以后，還需要：(1)確定每個區域的邊界，保障邊界防御能夠部署在正確的未知；(2)對網絡做出必要的變更，以保證網絡架構與所定義的區域一致；(3)對區域進行記錄，保證策略的制定與執行以及安全配置邊界、安全防護設備的準確性。(2) 部署邊界防護設備為了有效地實現工控網絡和其他網絡之間的邊界安全防護，在每個網絡邊界處部署一個或多個邊界安全設備，包括工業防火墻、工業網閘、單向隔離設備或者企業定制的邊界安全防護網關等。防火墻生產網內部各業務單元的邊界防護應采取工業防火墻，根據各業務單元的業務特點、業務需求、安全防護等級等制定不同的安全訪問控制策略，保證只有授權的訪問操作才能進入到各個區域。生產網與其他網絡的邊界防護可采用網閘、工業防火墻以及結合其業務特點，采取定制化的解決方案。電力行業工控系統結構圖舉報反饋

關鍵字標籤：無風扇工業電腦