工控防火墙洞察报告 工控防火墙洞察报告 * 目 录 前言 .................................................................... ................. 1 1. 工控防火墙概念 ................................................................. 3 1) 深度解析工控协议 .................................................... 3 2) 白名单机制 ...................

等级保护 2.0 拓扑图案例 整体技术体系架构 产品清单 下一代防火墙 数据库审计 负载均衡 感知平台 + （检测探针） 上网行为管理 SSL VPN 信服云眼 / 信服云盾 日志审计系统 漏洞扫描系统 主机杀毒 运维堡垒主机 云平台安全建设拓扑图 法院等级保护 高校等级保护 广播电视等级保护 监狱等级保护 医院等级保护解决方案 医院整体拓扑图 内网终端接入域 机（下一代防火墙）机 业务内网 外网运维管理域 日志审计系统 运维堡垒主机 补丁分发系统 漏洞扫描系统 防病毒服务器 外网核心域 对外服务器域 下一代防火墙 （增强级） 负载均衡 门户网站 于安全服务 于防御 + 安全与家职守 对外业务安全于监测、于防护 对外服务器域 亏联网域 办公外网 终端接入域 预约挂号系 统 APP 平台 下一代防火墙 （基础级） 链路负载均 衡 下一代防火 墙 流量管理 银联 卫生 局 社保 局 交换机 广域网优 化 下一代防火墙 （基础级） 交换机 检测探针 下一代防火墙 （基础级） 交换机 下一代防火墙 （基础级） 交换机 门诊区 行政区 住院区 药房区 上网行 为管理 下一代防火 墙 （基础级） 交换机 检测探针 交换机 下一代防火墙 检测探针 （增强级）

技术的网络系统为智 慧 林业提供多级管理体系 • 3S 及北斗导航技术 基于地图和地理定位的现代信息技术 智慧林业关键技术 人工巡护效率 低 火场定位困难 指挥手段落后 主要问题 解决防火问题 破坏盗窃无 预警手段 无联动响应 机制 盗窃取证难 主要问题 解决防盗问题 病虫害无法 及时发现 无病虫害测报 机制 病虫害辨认 困难 月季年大 数 据智能分析总结管理 ，应急辅助决策管理。 行政办公 、业务办理 、项 目 审批自动化办公。 通过在林区部署防火、 防盗 、 防虫智能感知传 感 器， 自动感知火情 、 自动感知特定位置人车 、 自 动采集病虫或通过巡护巡航发现病虫自动上 传。 重点林区防火监测 、 卡 口人车防盗监测 、巡护 或 巡航病虫害监测 、 大气环境监测 、野生动物 监测 等。 业务需求 行 政 监 测 管 理 野 保 三 防 业务需求 4 指挥调度 应急指挥平台 2 林火准确定位 1 火情监测与预警 防火业务需求分析 - 业务流程 3 扑救会商 手持设备 a e e " … " 火情监测与预警 ae " a e e " 林火准确定位 扑救会商 全天候 24 小时自动巡 护 自动识别火情并报警

模拟演练不足 二次伤亡难以避免 大部林区位于藏区，人烟 稀少、交通不便……总体 防火形势十分严峻 难 防火大数据云平台建设模式 能 感 能 见 能 识 •感觉得到 •看得见 •识别得清 能 控 •处置得了 硬件产品提供商 软件平台产品提供商 业务解决方案提供商 大智慧、大融合的森林防火体系 监控点 救灾现场 指挥中心 监控中心 卫星 应用平台 操作环境 云环境 • 林区防火规划优化提升 • 全天侯全覆盖的林火监控 • 多种监测预测手段保障 • 音视频网络资源完全整合 • 防火资源准备可视化 • 防火业务数据仪表化 • 统一联动的指挥网络 • 救灾演练体系化 • 科学的指挥体系 • 指挥工作有序化、数据化、过程 化 • 灾后评估自动化 提 升 提 升 森林防火应急指挥大数据云平台 构建省、市、县三级架构 国家森林防火指挥中心 省森林防火指挥中心 市森林防火指挥中心 县森林防火指挥中心 国有 林场 乡镇指 挥中心 大型林区 第 0 级 第一级 第二级 第三级 前端 接入点 辅助决策支 持平台 监测预警应 急联动平台 调度指挥 平台 信息共 享平台 三级 平台 根据国家四级减灾应急、指挥大数据云平台体系架构进 行构建 实现制度落实、组织落实、责任落实、管理落实 大数据云平台总体架构

模进行规划 虚拟网络服务规划 资源池规划设计方案 - 网络资源池（资源层） 24 IaaS 网络服务 VPC 虚拟路由器 负载均衡 安全服务 安全组 密钥对 防火墙 存储服务 云存储 快照 计算服务 云主机 主机高可用 …… …… …… …… 备份 镜像 / 快照  云服务设计的主要原则：产品响应描述 注： 政务外网 政务外网 接入区 市县网 接入区 网闸 接入路由器 市县网 市县网 接入区 互联网区 核心交换机 安全管理区 交换机 交换机 交换机 交换机 运维管 理 认证 Ă 防火墙 防火墙 计算区 存储区 云管区 负载均衡 负载均衡 交换机 运维管理区 网络设计方案 - 架构设计（基础设施层） 31  交换机配置和数量需通过计算服务器和存储服务器等进行推导 区域 针对不同区域进行不同的安全防 护手段；如区域边界采用防火墙 隔离；安全管理区部署数据库审 计、日志审计等、漏扫等服务、 运维管理区部署堡垒机等 满足等保 2.0 三级的基本要求 37  基于等保 2.0 三级基本要求，为信创云打造“一个中心三重防护”安全防护体系 控制域 技术产品 安全通信网络 / 安全区域边界 智慧防火墙（含 AV ） 安全通信网络 / 安全区域边界 安全接入网关系统（

模进行规划 虚拟网络服务规划 资源池规划设计方案 - 网络资源池（资源层） 24 IaaS 网络服务 VPC 虚拟路由器 负载均衡 安全服务 安全组 密钥对 防火墙 存储服务 云存储 快照 计算服务 云主机 主机高可用 …… …… …… …… 备份 镜像 / 快照  云服务设计的主要原则：产品响应描述 注： 政务外网 政务外网 接入区 市县网 接入区 网闸 接入路由器 市县网 市县网 接入区 互联网区 核心交换机 安全管理区 交换机 交换机 交换机 交换机 运维管 理 认证 Ă 防火墙 防火墙 计算区 存储区 云管区 负载均衡 负载均衡 交换机 运维管理区 网络设计方案 - 架构设计（基础设施层） 31  交换机配置和数量需通过计算服务器和存储服务器等进行推导 区域 针对不同区域进行不同的安全防 护手段；如区域边界采用防火墙 隔离；安全管理区部署数据库审 计、日志审计等、漏扫等服务、 运维管理区部署堡垒机等 满足等保 2.0 三级的基本要求 37  基于等保 2.0 三级基本要求，为信创云打造“一个中心三重防护”安全防护体系 控制域 技术产品 安全通信网络 / 安全区域边界 智慧防火墙（含 AV ） 安全通信网络 / 安全区域边界 安全接入网关系统（

应急处置工具箱 全生命周期安全咨询 全生命周期安全服务 等级保护基本要求框架（三级） 安全管理中心 安全通信网络 安全物理环境 物理位置选择 物理访问控制 防盗窃和防破坏 防雷击 防火 防水和防潮 防静电 安全区域边界 安全计算环境 温湿度控制 电力供应 电磁防护 系统管理 审计管理 安全管理 集中管控 网络架构 通信传输 可信验证 边界防护 访问控制 入侵防范 安全审计 明御 NTA 明御 WAF 数据库 审计 日志 审计 EDR 数据库 防火墙 网络结 构优化 安全策 略调整 通信传 输加密 安全管理中心 堡垒机 日志审计 漏洞扫描 EDR 管控 等级保护三级典型拓扑 NGFW Internet 路由器 联网区 NGFW 研 发 区 WAF 数据库 防火墙 数据库 审计 数 据 中 心 区 办 公 区 核心交换机 核心交换区 移动办公 分支机构 SSL VPN IPSEC VPN 网络设计合理： 选择具有冗余性能的路由器、交换机、防火墙等设备； 链路带宽需要根据业务高峰期的峰值带宽进行设计。 1 2 3 4 网络分区： 根据不同的功能进行网络区域划分，区域内划分 VLAN ，区域之间通过防火墙进行区域隔离和访问 控制。 加密通信： 采用 SSL VPN 对移动办公用户数据进行加密； 采用 IPSEC VPN

根据《2022 年中国国土绿化状况公报》我国森林面积 2.31 亿公顷，森 林覆盖率达 24.02%；草地面积 2.65 亿公顷，草原综合植被盖度达 50.32%。 在我国防灾减灾工作中，林草防火占据重要地位，是林草日常管理最 重要的工作之一，同样也是公共应急体系建设的核心所在。但是，森林火 灾的突发性极强，如果发生火灾，火势的蔓延速度极快，将给林木带来最 具毁灭性的后果：其不但烧毁大片的林木，降低了森林自身的繁殖能力， 林火 灾发展的状况才能够落实防火工作，保证人民群众的生命安全。当前，受 全球气候变暖、极端天气增多等因素影响，我国森林草原防灾减灾工作面 临自然因素和社会因素叠加的严峻挑战。 1.2 全国林草防灭火工作背景 1）森林草原火灾和气候存在紧密的联系 在森林中，乔木、灌木与杂草等都属于可燃物，气候干燥时容易发生 火灾。即便政府部门已经采取诸多措施，在森林防火中加大投入的力度， 但火灾危害 但火灾危害仍然十分严重，而且气候环境变化也增加了火灾的发生频率。 2）森林防火季节的特征明显改变 在我国，秋季与冬季都是重点的森林防火期，但根据目前森林火灾统 计数据发现，夏季森林的火灾发生也逐渐频繁。为此，春夏秋冬四个季节 都成为森林防火的重要时期，所以森林防火的任务更为严峻。 根据森林火灾发生的地点、蔓延速度、火情的严重程度，可分为不同 类等级的森林火灾，因而也必须采取相应的火灾预防和处理措施。

网络的安全威胁往往被忽略 办公网络成为安全洼地！！ 网络外部 网络 内网终端有没有肉鸡不清楚？ 终端用户有没有异常的行为不知道？ 数据的流转和拷贝，无法管控？ 有哪些 BYOD 接入使用网络，不感知？ 防火墙 防病毒 IPS 阻挡来自外部 边界的威胁 原因是：传统安全建设现状 边界防御为主 网闸 虚拟机 CRM 供应链系统 财务共享中心等 互联网 办公 PC 办公 PC 办公 PC 办公终端区 专线 互联网 VPN 汇聚交换 汇聚交换 核心交换 汇聚交换 核心交换 华为防火墙 华为防火墙 数据安全层面 • 缺乏数据库审计、 DLP 防泄密、数字水印、数据库准入等； • 无数据分类、数据加密脱敏等安全防护 云安全层面 • 缺乏云平台安全、云东西向流量安全防护 某著名企业 安全集中监控、管理层面薄弱；没安全运营中心，可视化展示。 安全技术体系需求 已有措施 • 结合当前网络结构和安全建设结构可以分析出，将会建设阿里 的私有云、直销分支等，基础机构已经比较完善，但是安全防 御能力弱，只有出口华为防火墙。其他安全措施都需要加强。 1 2 3 目录 安全趋势及风险分析 总体规划框架思路 Contents 具体落地方法及解决方案 4 典型案例 思考：企业需要怎么样设计安全体系？

覆盖，深化应用，专项突破， 应急管理信息化体系基本完 成。 第 3 阶段： 2022 年，提质增 放，技术升级，自我进化， 实现智慧应急，救援工作现 代化。 【行业痛点】 消防物资管理 难度高 灭火救援难度大 防火监督工作 “点多面广” 消防工作社 会化难落实  指挥调度中，无法保 证消防物资的可用性， 导致指挥调度低效；  缺乏动态感知的精细 化管理手段；  物资采购、维护、保 养、报废缺乏数据支 现场指挥、灭火救 援基本凭经验，缺 乏有效辅助指挥手 段；  战评基本靠回忆， 缺乏自动记录手段；  城市化进程加快， 重点单位和火灾隐 患不断增加；  消防监督人力有限， 防火监督工作超负 荷；  隐患排查依赖现场 督察，科技支撑不 足，效率低；  消控室缺岗、消防 通道堵塞等现象层 出不穷；  社会单位消防安全主 体责任落实不到位；  行业主管部门消防工 层 【两个平台 - 智慧消防物联网管理平 台】 火灾自动报警系统 消防用水系统 无线火灾报警系统 电气火灾监控系统 智慧巡查管理系统 电瓶车充电桩系统 风机、水泵控制柜监控 系统 防火门监控系统 依托中国 x 有线、无线通信技术，接入和整合各类消防产品，构建数据共享融合的 物联网管理平台，提升社会单位消防安全管理水平，提升消防监督执法效能，实现城市整体 安全的巡查与管理。