1同行回答
我们的网络设计在初期的时候是计划所有的财务部门禁止访问互联网的,但由于种种原因。并没有同意这样的规划。
按现在的结构和以后的规划来说。
我觉得钢铁企业的网络安全可以从以下几部分来考虑。
1.内网,
对于一级,二级网络,原本是各自独立的网络。在以后的规划中难免这些会和现有的信息网络连同。安全性也就更值得重视,特别是二级网络的终端,很多都连接工业设备,操作人员又多半是非IT人员,所以对这些终端,应该采取严格的管控,限制白名单意外的执行程序运行,禁用任何额外的设备连接,比如U盘,usb网卡,随身WIFI等设备,安装针对工业系统的防病毒,安全准入系统。对于这些岗位上有办公操作需求的。我觉得可以考虑采用WIFI,利用移动终端来进行办公的处理。
二级到三级的边界应该又工业防火墙来隔离工业系统和信息系统的数据交互,严格的吧工业系统控制在一个安全方位内。减少病毒对工业系统的影响,
三级往上,终端采用ac准入,。上网行为,防病毒的方式来进行安全防护。也可以考虑桌面虚拟化来统一管理所有终端。一切权利由核心分配。紧致终端上安装非工作软件带来的风险。
2,外往,目前钢铁行业的重点业务都在内网,外网多半是一些邮件和门户网站,访问量和重要程度都不算高,但将来移动办公,远程办公的发展会让外网也成为重要的办公环境,对于外网设备的防护也就变得更加重要,
入侵检测,防病毒,放篡改,waf,审计用来保证外网业务的安全,CDN提高外网访问的速度。备份,混合云的冗余来保证数据的安全。