Nexus OTArmor工业网络安全解决方案

通过应用程序白名单选项，基于Windows®的设备有通过降低恶意软件的风险和成本，改进了安全态势提高网络的稳定性和可靠性。

这个特性自动识别被授权在控制系统HMIs上运行的受信任软件，防止未知或不需要的软件。

自动集中备份和恢复过程控制领域的节省时间和成本由部署快速灾难恢复计划停机时间最短。

所有备份活动为日志记录和易于访问生成报告这符合法规遵循报告。

一个基于硬件的电子设备设计有两个独立的电路-一个只发送，一个只接收——这在物理上限制了数据传输到一个方向，并在源网络和目标网络之间形成了一个“气隙”。

数据二极管是一种物理硬件作为一种单向网络通信设备，促进网络之间的安全、单向数据传输。它们的设计本质上在源网络和目标网络之间创建了物理分离。数据二极管有效地消除任何和所有外部入口点发送到发送系统，从而防止未经授权的用户访问受保护的网络。

通过保护网络的数据流出，数据二极管使任何第三方都不可能注入恶意软件，访问您的系统，或对您的网络进行任何有害的更改。

数据二极管可用于保护所有大小的网段从单个控制器到整个设备。

这可定制的网络安全选项监视和阻止恶意活动和攻击提供异常活动和潜在威胁的持续可见性到控制系统网络。

修补你的系统是这是保护你财产的首要步骤之一并确保运行的操作系统和程序有更新，以提供最新的安全保护，而不危及您的操作。被SANS研究所列为“前五个快速胜利”中的两个是一家在信息安全和网络安全培训方面备受尊敬的权威机构，应用程序和系统软件的补丁是至关重要的改善和保持高度安全的态势。

的网络资产保护订阅每月提供软件和固件更新为您的HMI，历史学家，交换机，防火墙，OSM和RSG，包括基本的安全补丁。使用Nexus OTArmor，补丁可以集中部署，平均每个HMI减少4小时的工作时间，这可以为每个工厂每月节省高达2万美元。

提供了针对控制环境的集中控制和管理，可根据权限管理工控系统的访问权限．RBAC的好处包括:

加强对管理员的监督RBAC为管理员和管理人员提供了更深入的可见性和更强的监督，同时还控制了系统上的授权用户和访客，以便他们只能访问各自角色所需的内容。

〇降低风险通过实现RBAC，您固有地限制了对敏感信息的访问，同时为拥有适当权限的人创建访问日志，从而大大降低了数据泄露的风险。

〇降低成本通过限制用户对某些进程和应用程序的访问，管理员可以有效地节省关键系统资源，如带宽、内存和存储空间。

〇提高运作效率通过采用有效的RBAC策略，组织可以在新员工入职或用户必须在组织内切换角色时减少更改密码的需要。RBAC允许您快速添加和更改用户定义的角色，同时大大减少跨平台、操作系统和应用程序实现这些角色所需的时间和资源。此外，RBAC允许组织通过为他们指定专门为承包商和类似人员设计的预定义角色，轻松地将外部第三方用户集成到他们的网络中。

〇改善依从性每个行业都有自己的政府强制合规标准。大多数组织倾向于实现RBAC系统以满足法规和法定要求，从而允许其IT部门更有效地管理数据的访问和使用方式。这对电力供应商及其支持工厂/地点尤其重要，因为未经授权访问其网络对管理敏感数据构成重大威胁。

我们提供可扩展的解决方案，具有网络活动的实时和历史仪表盘视图，例如交换机配置的更改、登录失败、未授权的端口访问和USB使用。

运营商网络安全仪表板

• Nexus Controls设计了仪表盘
• 数据丰富的安全事件和事件管理(SIEM)
• 为安全操作中心(SOC)集成做好准备

采用更强的员工和供应商身份验证是一种降低风险的简单方法。

多因素身份验证(MFA)，有时也称为双因素身份验证或2FA，是一种安全协议要求用户在登录到给定的帐户或应用程序时出示两件证据．您通常会遇到的最常见的多因素身份验证示例是查看您的个人银行账户。你将拥有一组验证器，即你的网站/应用程序的用户名和密码，以及第二组验证器，通常是通过单独的设备，即你的手机，在那里你将收到一个一次性的代码，必须输入到你的银行网站/应用程序才能继续进行。这大大降低了与暴力暴力和窃取证书攻击相关的风险，因为这种2FA协议需要访问单独的设备，而且身份验证窗口通常非常短。

多因素身份验证结合了基于硬件的身份验证和公钥加密确保强大的认证和消除帐户接管。

对网络流量的状态跟踪，以允许连接的设备与“外部”网络之间进行批准的通信。此外,下一代防火墙可以检查某些网络流量类型识别通信过程中可能发生变化的端口，以确保流量可以通过(例如FTP、TFTP)。

下一代防火墙有能力对流量进行附加检查，包括应用级检查和网络流量过滤。

Nexus Controls提供控制系统不可知论的网络安全风险评估服务支持符合行业标准，例如Isa99 / iec 62443, nei 08-09，和NERC-CIP这将有助于提高您的网络安全意识，并识别潜在的漏洞。评估完成后，提供最终报告支持创建可操作的优先缓解路线图，以改善您的安全状况。

Iec 62443-2-4 -IEC 62443-2-4是已发布的国际标准，定义了工业自动化和控制系统(IACS)服务提供商可以实现和提供的网络安全能力。该标准可以帮助资产所有者始终如一地获取和管理控制系统安全专业知识。IEC 62443-2-4是由IEC技术委员会65与国际仪器仪表用户协会(以前的WIB)和ISA 99委员会成员合作开发的。Nexus Controls通过技术和程序措施(包括补丁管理)的组合来加强客户系统，这些措施已经过认证，符合IEC 62443-2-4安全标准。这些标准为IACS的安装和维护规定了一套全面的安全要求。

内08-09 -联邦政府授权美国核电公司提供高度保证，确保数字计算机和通信系统及网络得到充分保护，以抵御网络攻击。作为网络安全计划的一部分，运营商需要解决已知的ICS安全漏洞，并为操作系统、应用程序和第三方软件更新、主机入侵检测(HID)和不可抵赖性等制定相应的解决方案。

Nerc cip -许多美国电力公司现在被联邦政府强制要求遵守NERC CIP要求，这些要求规定了工业安全和补救技术，包括所要求的合规。在使操作适应这些规则时要考虑的是工业控制补丁的困难和对设备的频繁攻击。此外，客户需要在不中断运营的情况下解决已知的ICS安全漏洞。由于这些因素，电力公司需要一个容易实现的解决方案，并提供工业网络的可见性和遵从性。

Nexus Controls网络安全风险评估的特点

以下是在评估期间审查的一些重要项目的清单:

• 控制系统应用:控制系统配置审查、网络安全配置、控制系统集成方法和技术支持协议状态
• HMI服务器硬件配置:硬件保修状态、健康状况、环境条件、物理安全
• HMI操作系统配置:访问控制、帐户和密码审查、反病毒配置、补丁管理、日志记录、备份和恢复、服务器性能和资源快照、已安装的应用程序、TCP/IP网络集成和体系结构、性能、可用性和运行状况监视
• Mark/EX/LSI保护系统:密码强度、控制系统集成方法、TCP/IP网络集成架构、环境条件、物理安全
• TCP/IP网络基础设施回顾:回顾防火墙、路由器、交换机配置、固件更新、管理流程、访问控制和授权、系统性能和可用性管理、物理安全和环境条件
• 过程审核:变更管理、IT事件管理、补丁管理、系统访问授权和实现、丢失/忘记的密码、密钥管理和治理文档

Nexus Controls的网络安全分析师团队就是这样大数据解决方案的专家，如弹性搜索，Splunk和Hadoop。这些技术高超的法医分析师检查相关日志以减少误报和最大限度地检测到威胁．

无论你是否已经有了安全操作中心(SOC)，我们的24X7托管安全服务可扩展，以满足您的独特需求．

• 有工业过程控制经验
• 摄取相关日志，以减少误报，以最大限度地检测和取证
• 专家系统帮助分析人员对最重要的威胁进行人工评估
• 全天候作业，地理分布
• 与整体威胁情报的完全集成(而不仅仅是另一个提要)
• 以人为主导，OT/IT技术加速发展

网络资产保护(CAP)是用于涡轮、工厂和发电机控制环境的纵深防御系统的关键部分。该补丁程序包括操作系统和应用程序补丁以及反病毒/入侵检测签名，以覆盖针对HMIs、服务器、交换机和网络入侵检测设备的更新。每月的更新可以应用到单个的HMIs或通过NexusOTArmor™平台用于全网部署。

它是如何工作的:

网络资产保护订阅每月为您的HMI、数据历史记录器、交换机、防火墙、OSM和RSG提供更新。软件更新包括:

• 微软Windows®操作系统
• Nexus OnCore
• GE简单度(ICS-CERT-specific)
• 入侵检测签名
• 反病毒签名
• 当受安全漏洞影响时，交换机固件更新

CAP订阅服务还每月提供需要安装的补丁和需要注意的关键领域的报告。只提供必要的补丁。安装不必要的补丁，比如那些直接来自微软的补丁，会增加工厂的风险。

好处:

• 提供经过测试的更新，以保持遗留的关键基础设施是最新的
• 通过只提供必要的经过验证的补丁，以确保适用性和兼容性，减少停机时间
• CAP每月更新您的风险概况，并通过保护您的关键资产免受已知漏洞的伤害，不断改进您的安全态势
• 帮助您满足监管要求，避免罚款
• 防止视线丢失，提高安全性和可靠性
• 为网络安全问题提供专门的服务管理器