AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
能源電力
ENERGY POWER
大唐陽城電廠項目案例
火電作為我國發電的主流類型,是國民經濟的支柱產業之—,火電發電的控制系統是火電廠的大腦。在兩化融合的大趨勢下,行業中的工控網絡與辦公網絡的互聯互通是一個必然的趨勢。從行業普遍性角度來看,工控網絡與辦公網絡的連接基本上僅有一個防火墻,但是不支持OPC等主流工控設備,控制粒度非常粗糙,帶來很大的安全隱患,工控網絡基本上不具備任何發現、防御外部攻擊行為的手段,外部威脅源一旦進入公司的辦公網絡,則可以連接到工業網絡的現場控制層網絡,直接影響工業生產。另一方面工控網絡內部設備如各類操作站、終端等,大部分采用Windows系統,為保證工業軟件的穩定運行無法進行系統升級甚至不能安裝殺毒軟件,存在著大量漏洞,在自身安全性不高的情況下運行,綜合而言工控系統的安全風險不言而喻。
根據電力行業電力監控系統安全防護總體方案(國能安全【2015】 36號)的相關規定,參照中國大唐集團有限公司企業標準《工控系統網絡信息安全技術監督標準》,結合輔控系統現場網絡情況,經分析診斷目前存在以下幾方面的網絡安全問題。
·網絡監控不足
·主機防護不足
·網絡隔離防護缺乏有效措施
項目內容
建設原則及要點
● 穩定可靠
對發電廠熱控系統來說安全穩定可靠是最重要的。在本次項目中建議的安全控制措施,包括其部署和應用的方式,都是在各集團網站中有眾多先例的,已經被各電力集團所接受的技術和產品。
● 實時性和高效性
在本次信息安全架構設計中考慮到發電廠實際情況,建議采用高處理能力的安全產品,以保證實時性和高效性。
● 安全風險可控
根據發電廠的實際情況建議將整體網絡分割為不同的區域,并在邊界進行嚴格的訪問控制。
● 靈活性和擴展性
在本次項目中設計的架構在充分保證滿足用戶的可靠性運行要求、靈活性和擴展性要求。
建設方案
根據目前陽城電廠輔控系統存在的工控網絡安全問題,結合陽城電廠輔網實際的網絡結構,并考慮后續輔控接入SIS系統的情況,在"安全分區、網絡專用、橫向隔離、縱向認證、綜合防護"原則的基礎上針對性的建設方案。
● 劃分安全隔離域
把電廠輔控網絡劃分成水系統安全隔離域、灰系統安全隔離域和煤系統安全隔離域,分別在水網、灰網、煤網的子系統網絡出口處分別安裝工業防火墻,合理配置安全策略,實現邏輯隔離、報文過濾、訪問控制等功能,加強邊界之間的安全防護和監控。
●增加工控網絡安全審計
安全I區的各個子系統安裝工控網絡安全審計平臺,對操作系統、數據庫、業務應用的重要操作進行記錄、分析,及時發現各種違規行為以及病毒和黑客的攻擊行為。●提高工控系統入侵檢測能力
安全II區統一部署一套工業APT預警平臺,合理設置監測規則,監測發現隱藏于流經網絡邊界正常信息中的入侵行為,分析潛在威脅并進行安全審計。
●增加日志審計功能
在安全I區和安全II區部署綜合日志審計平臺,能夠對網絡運行日志、操作系統日志、數據庫訪問日志、業務應用系統運行日志、安全設施運行日志等進行集中收集、自動分析,并保存不少于6個月。
●增加網絡安全監測裝置詳細說明
在安全區II部署工控態勢感知平臺,實時監測域內電力工控系統的主機、網絡設備、安全設備等運行狀態及日志的采集、存儲、轉發,數據經網閘可傳輸至集團公司工控網絡安全監測平臺。
● 主機安全加固詳細說明
電廠輔控操作員站、工程師站、接口機等工控機,一般投用后操作系統及應用軟件不會有較大變動,為確保工控系統穩定性很少人為定期更新系統等操作,故采用白名單防護技術的工控安全主機衛士非常適合用來加固工控機,提高主機的防護能力。
項目價值
本方案通過體系化的設計方式,完成大唐陽城電廠輔控的安全體系設計,主要功能點如下∶
?o?區域隔離防護
方案通過工業防火墻,達到以安全域為單位,嚴格限制通訊訪問方式。
?o?控制網絡內部安全監測與審計
通過部署工業安全監測審計平臺,實時檢測出針對工業協議的網絡攻擊、誤操作、違規操作、非法 IP 或非法設備接入以及病毒的傳播并實時報警,幫助客戶及時采取應對措施,減少系統異常風險。平臺能夠詳實記錄一切網絡通信行為,包括指令級的工業控制協議通信記錄,并且提供回溯功能,為工業控制系統的安全事故調查提供堅實的基礎。
?o?主機防病毒
控系統的惡意代碼防范主要通過安裝工業安全主機衛士方式實現。工控主機防護是指在工控上位機的操作系統平臺層面,對網絡端口、外設端口、重要文件進行管控,達到主機層面對惡意代碼的有效防范。
?o 全面安全監控
