Skip to content Skip to navigation Skip to footer

概述

运营技术(OT)和信息技术(IT)的融合影响了工业控制系统(ICS)以及监控和数据采集(SCADA)系统的安全性。随着气隙的消除,这些系统面临着不断扩大的威胁趋势,是参与恐怖主义、网络战争和间谍活动黑客的目标。对发电厂、工厂、水处理系统、石油钻井平台和交通控制系统等关键基础设施的攻击远远超出了传统的工厂车间,可能会对国家安全、财务损失、品牌声誉甚至生命造成威胁。

十多年来,Fortinet 一直保护着能源、国防、制造、食品和运输等关键基础设施领域的 OT 环境。通过 Fortinet Security Fabric 安全架构将安全性设计到复杂的基础设施中,组织可以采用高效、无干扰的方式来确保 OT 环境得到保护且合规。


FortiOS 操作系统 7.2 的新功能

FortiOS 操作系统具有 300 多项新功能和增强功能,可以通过引入新的安全功能、提高融合程度和简化运营技术(OT)环境的安全管理来增强 Fortinet Security Fabric 安全架构。

这些新功能显示了 Fortinet 应对 OT 环境挑战的承诺:

  • 资产身份识别中心:通过使用 Purdue 模型显示网络拓扑面板,将 OT 网络中已连接的资产可视化。查看在 Purdue 级别内和跨 Purdue 级别进行通信的资产。
  • 安全政策改进:了解 OT 流量如何利用新的监控和学习功能流动,然后通过简化的政策界面创建新政策。
  • 访问网络可见性:增强型 FortiSwitch 交换机拓扑视图现在可在单一管理平台中显示重要的统计信息。
  • 气隙许可证激活:即使与互联网隔离,也要简化环境中的许可。
Securing OT in the Face of IIoT and 5G

Securing OT in the Face of IIoT and 5G

现在读
Causes and Consequences of IT and OT Network Convergence

Causes and Consequences of IT and OT Network Convergence

现在读


 

Fortinet ICS/SCADA 解决方案

Fortinet 解决方案将 OT 安全解决方案与同类最佳威胁保护集成,适用于从数据中心到云再到网络边界的企业 IT 环境。它还提供 OT 环境中的可见性、控制和自动速度分析检测,同时为行业标准提供内置支持。此外,与孤立的 IT 和 OT 环境中的点安全解决方案相比,它可最大限度地降低复杂性并减少 OT 安全管理的运营费用(OpEx)。

工业区是进行生产的区域。此区域包括将 IP 通信转换为串行命令的数字控制元件,如 PLC 和 RPU。它还包括额外的网络,如摄像头监控网络和支持 IoT 设备的网络。此区域的 Fortinet 产品包括:FortiSwitch 交换机、FortiAP 无线接入端、FortiPresence 和 FortiCamera。选择无线网络,了解有关工业区 FortiAP 无线接入端的更多信息。

无线网络:由于 OT 环境可以通过无线网络为一系列设备提供连接,因此保护这一边缘至关重要。由 FortiGate 设备管理和保护的 FortiAP 无线接入端可以提供全面的无线网络保护,它坚固耐用,可在工业区域的恶劣环境中工作。FortiPresence 通过利用 Fortinet 现有的现场接入端来检测每个人的智能手机 WiFi 信号,实时和跨时间段地深入了解 OT 站点内人员的物理移动。使用 FortiCamera 从内到外获得完整的视觉覆盖。FortiCamera 提供室内和室外、防破坏、防风雨、低光夜视、固定和电动变焦镜头以及双向音频选项,适合各种 OT 环境。使用 FortiCamera 从内到外获得完整的视觉覆盖。FortiCamera 提供室内和室外、防破坏、防风雨、低光夜视、固定和电动变焦镜头以及双向音频选项,适合各种 OT 环境。使用 FortiCamera 从内到外获得完整的视觉覆盖。FortiCamera 提供室内和室外、防破坏、防风雨、低光夜视、固定和电动变焦镜头以及双向音频选项,适合各种 OT 环境。
scada-industry-zone 无线网络 FortiCamera FortiCamera FortiPresence FortiPresence

站点运营能够集中控制和监控在设施中运行流程的所有系统。这就是 OT 系统与 IT 系统共享数据的地方。FortiGate 下一代防火墙设备经常部署在这里,可以提供顶级保护和分段,从而实现产品的可见性和控制。选择无线网络,了解有关工业区域中FortiAP 无线接入端的更多信息。

无线网络:由于 OT 环境可以通过无线网络为一系列设备提供连接,因此保护这一边缘至关重要。由 FortiGate 设备管理和保护的 FortiAP 无线接入端可以提供全面的无线网络保护,它坚固耐用,可在工业区域的恶劣环境中工作。
scada-ot-zone 无线网络

企业和现场运营区域之间存在工业隔离区(IDMZ)。IDMZ 允许组织安全地连接具有不同安全要求的网络。安全保护包括身份验证和业务细分,可以提供可见性、控制和状况感知,从而管理已知和未知威胁。可以验证网络上的人员和内容,并为用户、设备、应用和协议提供基于角色的访问控制。通过沙盒和欺骗检测解决未知威胁。使用门控和交换机实施逻辑业务细分。解决网络面临的已知威胁。了解 OT 和 IT 环境中的情况。选择 Fortinet 产品以了解更多信息。

FortiNAC 提供了可见性,可以查看连接到网络的所有内容,并控制这些设备和用户(包括动态和自动响应)。 FortiAuthenticator 通过确保只有合适的人员才能在合适的时间访问敏感网络和数据来增强安全性。 FortiSandbox 提供高端威胁侦测、自动缓解、可运行的透视分析和灵活部署等强大功能组合,以防止有针对性的攻击和继发的数据丢失。FortiDeceptor 提供准确的检测,将攻击者的活动详情和横向移动关联起来,从而为更广泛的威胁活动提供动力。从攻击者处收集的威胁情报可以自动应用于内联安全控制,以在造成任何实际损害之前阻止攻击。 FortiGate 下一代防火墙设备经常部署在这里,可以提供顶级保护和分段,从而实现产品的可见性和控制。 FortiSwitch 交换机提供一系列安全、简单和可扩展的以太网交换机产品组合,非常适合 SD 分支和从桌面到数据中心的应用。 通过 FortiManager 轻松管理 Fortinet 解决方案。它支持由集中管理、最佳实务合规性和工作流程自动化提供的网络运营,能够更好地防止入侵。FortiGate 下一代防火墙设备经常部署在这里,可以提供顶级保护和分段,从而实现产品的可见性和控制。 FortiAnalyzer 提供了分析报告,可以更好地检测漏洞和已知威胁。 FortiSIEM 在一个可扩展的解决方案中提供可见性、相关性、自动响应和补救,以改善响应并预防入侵。
diagram-scada-dmz-zone FortiNAC FortiAuthenticator FortiSandbox FortiDeceptor FortiGate1 FortiSwitch 交换机 FortiManager FortiGate2 FortiAnalyzer FortiSIEM

企业区域通常位于公司层面,跨越多个设施、地点或工厂,业务系统在其中工作以执行调度、物流和供应链管理等任务。从各个位置收集数据并累积以支持业务决策。选择 Fortinet 产品以了解更多信息。

FortiMail 邮件安全网关提供始终如一的顶级保护,防止常见和高级的威胁,同时集成强大的数据保护功能,以避免数据丢失。FortiWeb Web 应用防火墙保护关键业务网页应用免受针对已知和未知漏洞的攻击。FortiADC 可优化企业应用的可用性、用户体验和应用安全。它利用第 4 层/第 7 层负载均衡、数据中心弹性、应用优化和 Web 应用防火墙提供应用可用性,保护网页应用。FortiGate 下一代防火墙设备经常部署在这里,可以提供顶级保护和分段,从而实现产品的可见性和控制。 FortiGate 下一代防火墙设备经常部署在这里,可以提供顶级保护和分段,从而实现产品的可见性和控制。FortiSwitch 交换机提供一系列安全、简单和可扩展的以太网交换机产品组合,非常适合 SD 分支和从桌面到数据中心的应用。
diagram-scada-enterprise-zone FortiMail 邮件安全网关 FortiWeb Web 应用防火墙 FortiADC FortiGate1 FortiGate2 FortiSwitch 交换机

Internet/WAN 区域提供基于云的计算和分析服务,以支持运营环境中的 ERP 和 MRP 系统。远程员工和第三方也是从这里进行网络访问。 对于强身份验证来说,可以使用双重身份验证和 VPN 隧道来验证身份并保持数据的私密性。选择 Fortinet 产品以了解更多信息。 

FortiClient 终端防御软件可以通过集成的可见性、控制和主动防御来增强端点安全性,而 VPN 隧道则有助于验证身份和保护数据。发现、监控和评估端点风险,可以确保合规性并降低风险。FortiClient 终端防御软件可以通过集成的可见性、控制和主动防御来增强端点安全性,而 VPN 隧道则有助于验证身份和保护数据。发现、监控和评估端点风险,可以确保合规性并降低风险。FortiToken 使各种规模的企业能够在任何有互联网连接的地方管理双重身份验证。 FortiToken 使各种规模的企业能够在任何有互联网连接的地方管理双重身份验证。Fortinet 为 Amazon Web Services(AWS)提供与 Fortinet 行业领先的硬件设备相同的强大安全控制。Fortinet 为 Microsoft Azure 和 Office 365 用户提供广泛的保护、原生集成和自动化管理,从而在多重型云基础设施中实现一致的执行和可见性。Fortinet 为 Google Cloud Platform(GCP)提供自信安全地在多重型云和数据中心部署应用的能力。
diagram-scada-internet FortiClient 终端防御软件 FortClient2 FortiToken1 FortiToken2 AWS Azure Google Cloud

可见性

了解网络上任何位置的任何设备,确定信任程度并持续监控行为以维持信任水平。定义攻击表面,确保实现积极的设备和流量分析。流量可见性确保了可操作情报的执行情况,团队可以对允许的流量、端口、协议、应用和服务进行选择。环境内的执行点可确保对南北流量和东西流量的保护。

马上观看

控制

取决于每个系统和子系统执行工作的情况,且仅执行自己的工作。多重身份验证可确保合适的人员拥有分配和访问的权限,且能够得到执行区域的支持。网络分段和微分段提供了分层、分级控制区域的方法。隔离和沙盒可预防威胁的发生。

马上观看

行为分析

持续行为分析通过收集已知和未知威胁的情报,帮助团队了解内容、地点、时间、人员和方式。中央安全工具有助于记录、报告和分析,并评估整个系统中的收集活动。它还提供安全信息和事件管理,以及安全协调自动化和响应能力。通过用户和设备行为分析和威胁评估获得见解,确保保护能够持续下去。

马上观看

其他资源