AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
渠道技術大比武|優秀案例展播:電廠網絡安全等級保護建設方案
滄海一聲笑,滔滔兩岸潮
渠道技術大比武落幕后
那些值得回味的案例
總能引發我們不斷深思
?
案例,還原網絡安全的真相
案例,穿梭于用戶的日常
這次又是什么案例
能讓在場評委露出“老母親般”的微笑
本期我們有請渠道精英山東蜂安云涌代表選手,上臺為大家帶來《XX電廠網絡安全等級保護建設方案》。此方案巧妙的避開了傳統行業安全的局限,聚焦于面向公眾提供服務或支撐的關鍵信息基礎設施,并結合等保2.0中關于工業控制系統要求,獲得了現場專家評委的一致好評。
?
干貨滿滿,一起學習吧!
?
項目背景
隨著科技的快速發展,通信技術和網絡技術逐漸普及和市場化。在電力市場中對計算機網絡技術的應用越來越廣泛,對網絡信息系統的依賴程度也越來越大。
近年來,電廠中系統運行監管、管理、調度等各方面都應用了互聯網技術,所以做好電力企業信息安全工作是極為重要的,否則就會出現電力系統運行穩定性和電力保障等多方面問題。因此,確保電力系統信息網絡安全,防止黑客和病毒的入侵,促進網絡信息技術更好地應用,對于電力企業來說是一項必要的和重要的工作。
?
面臨的安全挑戰
#?工業控制網絡安全防護能力不足,系統之間缺乏訪問控制和入侵防范機制,不能防范非法終端接入網絡;
#?由于流程工業生產特點,目前未部署任何工業控制信息安全審計措施,出現信息安全事件沒有證據可查、可追溯;
#?由于工業系統特點,大量主機未安裝防病毒軟件或長期未更新病毒庫;
#?大量上位機的操作系統屬于老舊系統,漏洞風險嚴重;
#?工業控制信息安全不能做到統一管理,存在信息孤島。
?
XX火電廠網絡安全建設方案
1?總體原則?
電力業務的安全總體原則為安全分區、網絡專用、橫向隔離、縱向認證。
?
2?安全域劃分?
安全域是由一組具有相同安全保護需求、并相互信任的系統組成的邏輯區域,由在同一工作環境中、具有相同或相似的安全保護需求和保護策略、相互信任、相互關聯或相互作用的IT要素的集合。因此電力系統可分為生產控制大區和管理信息大區:
?
3?生產控制大區整體規劃?
本方案主要是對生產控制大區網絡安全建設進行規劃如下圖所示:
邊界隔離1---在生產控制大區與管理信息大區之間設置經檢測認證的電力專用橫向單向安全隔離裝置,隔離強度應接近或達到物理隔離;
邊界隔離2---安全區Ⅰ與安全區Ⅱ之間、安全區Ⅰ的各機組監控系統部署工業防火墻實現邏輯隔離、并可以對OPC、Modbus等工控協議報文過濾;
遠程傳輸安全---部署縱向加密認證裝置實現發電廠生產控制大區與調度端系統通過電力調度數據網進行遠程通信時認證、加密、訪問控制等需求;
入侵檢測---生產控制大區統一部署一套網絡入侵檢測系統,檢測發現入侵行為,分析潛在威脅并審計;
主機加固---發電廠SIS系統、Web服務器、操作站、工程師站部署EDR實現安全配置、安全補丁、訪問控制、勒索病毒防御等功能;
安全運維---部署堡壘機安全運維工具對生產控制大區的設備進行統一安全運維管理。
?
4?安全運營中心方案
通過建立工業安全運營中心實現資產可視化管理、網絡結構可視化管理、生產業務可視化管理、通信數據流模型可視化管理以及運行資源可視化管理,洞察異常,形成全網的安全大數據中心。
←工業資產脆弱性態勢
←工業資產資產安全運維
←工業網絡內部橫向威脅
←攻擊者追蹤溯源
?
5?產品清單
|
? |
產品名稱 |
部署 |
|
1 ? |
工業防火墻 |
安全區Ⅰ與安全區Ⅱ之間、安全區Ⅰ的各機組監控系統 |
|
2 ? |
入侵檢測 |
生產控制大區統一部署 |
|
3 ? |
主機衛士 |
操作站、工程師站及各服務器 |
|
4 ? |
堡壘機 |
生產控制大區統一部署 |
|
5 ? |
安全管理中心 |
生產控制大區統一部署 |
|
6 ? |
橫向隔離 |
生產控制大區與管理信息大區之間 |
|
7 ? |
縱向加密 |
生產控制大區與調度端系統 |
?
客戶價值
???獲得專業的安全評估服務,全面了解安全現狀,獲得專家級整改建議;
???實現工業控制系統網絡統一規劃、統一建設、統一維護;
???全面提升企業對網絡安全事件應急處理能力;
???建立安全運營中心,實現全天候、全方位網絡安全態勢感知。
