制造业整体安全设计方案.pptx

…可信赖的新IT综合服务商?ECCOMNetworkSystem制造业整体安全设计方案

目录1 业务挑战2解决方案3特点价值4技术产品5成功案例

层出不穷的安全事件

网络安全法规中国网络安全法进一步完善了个人信息保护规则提出了关键基础设施保护制度确立关键信息基础设施重要数据的跨境传输规则明确了网络空间主权原则明确了网络产品和服务提供者的安全义务明确了网络运营者的安全义务欧盟“通用数据保护规范”（GDPR）遭受安全事件并导致个人身份信息泄露的公司，需要在72小时内将事件报告给指定的数据保护机构引入数据保护官员，该角色必须是独立的、自治的，并直接向高层管理汇报数据控制者必须实现“足够的措施”，来确保其处理系统和所掌握信息的机密性和完整性注：任何收集了欧盟公民数据的企业，均受到GDPR的管辖

行业发展需要阶段二阶段一智能简单堆砌即可用没有建设标准和规范安全系数低业务承载能力弱连通以“连通”为特点的阶段一：基础网络仅仅作为系统数据传输的通道，由于业务规模限制导致IT投入成本较低，网络的建设不会考虑诸如安全、运维等因数。安全驱动下的阶段二简述为“隔离”：针对不同的网络使用群体，安全威胁直接影响到企业生产、研发的数据，打造高可用、稳定、安全以及便于管理的IT基础架构尤为重要。工业4.0以及智能制造的发展驱动着未来IT基础架构的发展，即“智能”：将传统IP网络和工业协议集成和融合，打造园区智慧化统一化平台，为制造业提供更加高效的生产和办公环境隔离未来以园区为单元的制造业基础网络发展趋势制定架构和安全建设标准功能区域构建完善安全性、业务承载能力以及扩展性方面不断完善运维的复杂度备受关注网络建设紧跟工业发展打造园区IT平台化，打破传统IP网络和工业网络的界限服务于业务的生产智能、工业智能

业务挑战如何建立有效的安全防护体系如何确定整体安全建设方向如何按需扩展，降低初始成本通过企业不断的兼并重组，业务规模的快速扩张。如何保证企业的IT基础架构高可用、稳定、安全以及便于管理是一项挑战.P6

目录1 业务挑战2解决方案3特点价值4技术产品5成功案例

信息系统安全要素物理安全物理位置的选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电温湿度控制电力供应电磁防护网络安全结构安全访问控制安全审计边界完整性检查入侵防范恶意代码防范网络设备防护主机安全身份鉴别访问控制安全审计剩余信息保护入侵防范恶意代码防范资源控制应用安全身份鉴别访问控制安全审计剩余信息保护通信完整性通信保密性抗抵赖软件容错资源控制数据安全及备份恢复数据完整性数据保密性备份和恢复

安全域划分原则非安全区非安全区是数据中心与外部直接连接的区域，属于非信任区域，对经过此区域的数据流应进行严格的安全控制；半安全区半安全区是数据中心的非安全区与安全区之间的过渡区域，用于分割它们之间的直接联系，隐藏安全区的内部资源。此区域内通常部署所有与外部连通、为非信任来源提供服务的系统和设备，如VPN、DNS、Proxy、前置系统等服务器；安全区安全级别最高，提供数据中心的核心网络交换、信任用户的接入、业务服务、网络安全和网络管理等服务，属于被信任区域；从非安全区到安全区不允许有直接访问，数据流应通过半安全区进行转发。安全区域应用重要级别安全风险级别安全区高/较高较低半安全区一般/较高较高非安全区较低/一般/较高最高

网络安全域划分和安全级别安全区半安全区非安全区安全区附注：有限制的通讯禁止直接通讯半安全区非安全区

边界隔离手段

总体安全建设建议拓补

网络安全加固

网络安全加固设备名称部署位置安全防护作用外网安全网关（NGFW）业务发布区办公上网区外联网接入区外网区域与内网区域的边界隔离对来自外部的访问进行控制，结合访问来源、访问目标、访问行为等要素，对访问的合法性进行判断，并阻断非法的访问对七层应用协议识别及过滤带宽管理对不同业务进行相关带宽资源的限制，从而保障重要业务得到更多的带宽资源查杀并过滤通过网络传播的病毒应用的入侵防御，深度检测访问数据包并对恶意渗透行为进行鉴别和阻断对来自外部的访问行为、安全事件、网络流量进行审计设备支持硬件bypass功能，设备故障时能够确保业务访问正常作为外联区域的VPN网关内网防火墙数据中心（含内外部服务器区）生产接入区带外管理区内网区域的边界隔离对来自内网的访问进行控制，结合访问来源、访问目标、访问行为等要素，对访问的合法性进行判断，并阻断非法的访问VPN网关业务发布区（安全服务子区）外部员工访问内网区域边界隔离外部员工访问内网建立加密隧道，对互传数据进行加密传输对来自外部的访问进行控制，结合访问来源、访问目标、访问行为等要素，对访问的合法性进行判断，并阻断非法的访问

网络安全加固（续）设备名称部署位置