解決方案
工(gōng)業互聯網安全 電力企業安全解決方案
電力企業安全解決方案
2021-05-08 工(gōng)業互聯網安全 浏覽量:1092

概述

電力行業是國民經濟的基礎産業,保證持續、高效的電力供應是關系到國計 民生(shēng)的大(dà)事,也是電力部門工(gōng)作注目的焦點。電力系統的運行涉及到發電廠、變 電站、調度中(zhōng)心;發、輸、配電系統一(yī)體(tǐ)化,系統包括了各種獨立系統和聯合電 網的控制保護技術、通信技術、運行管理技術等。随着電力行業的不斷發展,基 于互聯網的跨地區、全行業系統内部信息網開(kāi)始逐步建立,網上應用着各種電力業務及辦公系統,電力信息網絡系統的網絡安全問題愈來愈顯得重要,迫切需要 做好各類電力系統的安全防護,避免“烏克蘭電網事件”重演。

安全風險

1) 工(gōng)業控制網絡安全防護能力不足,系統之間缺乏訪問控制和入侵防禦 機制,不能防範非法終端接入網絡;

2) 由于流程工(gōng)業生(shēng)産特點,目前未部署任何工(gōng)業控制信息安全審計措施, 出現信息安全事件沒有證據可查、可追溯;

3) 由于工(gōng)業系統特點,大(dà)量主機未安裝防病毒軟件或長期未更新病毒庫;

4) 大(dà)量上位機的操作系統屬于老舊(jiù)系統,存在高危漏洞;

5) 工(gōng)業控制信息安全不能做到統一(yī)管理,存在信息孤島。

解決方案

1) 邊界隔離(lí)(生(shēng)産控制區和非控制區之間)

部署具備隔離(lí)保護功能的安全設備實現網絡分(fēn)層分(fēn)區,邊界訪問控制,避免

無授權設備對區域的訪問,實現基于通信“白(bái)環境”邊界攻擊防禦;

2) 區域隔離(lí)(生(shēng)産控制大(dà)區内部)

采取接入控制措施實現基于區域和功能的網絡劃分(fēn)及隔離(lí),對工(gōng)業專有協議進行深度解析,建立通訊“白(bái)環境”,阻止區域間的越權訪問,病毒、蠕蟲擴散 和入侵,将危險源控制在有限範圍内;

3) 重要系統隔離(lí)

采取安全隔離(lí)措施,對 PLC、DCS 等工(gōng)控設備或系統安全漏洞利用等行爲 進行阻斷,同時阻止操作員(yuán)或工(gōng)程師有意無意的非法操作;

4) 工(gōng)控網絡監測與審計

采用安全審計功能,對網絡運行日志(zhì)、操作系統運行日志(zhì)、數據庫訪問日志(zhì)、業務應用系統運行日志(zhì)、安全設施運行日志(zhì)等進行集中(zhōng)收集、自動分(fēn)析,及時發 現各種違規行爲和病毒、黑客的攻擊行爲;

5) 主機安全防護

對主機進行安全防護,阻止非授權及惡意軟件運行,同時對操作系統進行加固,如注冊表、配置文件等;

6) 入侵檢測系統

檢測網絡通訊流量中(zhōng)的入侵行爲,分(fēn)析潛在威脅并進行安全審計;

7) 統一(yī)安全管理

集中(zhōng)管理安全設備,如工(gōng)業防火(huǒ)牆、工(gōng)控主機衛士、監測審計平台等,實現工(gōng)控網絡的拓撲管理、安全配置及安全策略管理、設備狀态監控、告警日志(zhì)等。

典型部署

²  火(huǒ)電務場景

upload/editor/image/1620468553/20210508180924_54094.png

1) 在安全 I 區所屬的一(yī)号機組、二号機組、輔助車(chē)間控制網與安全 II 區 的 SIS 系統網絡邊界部署工(gōng)業防火(huǒ)牆;

2) 在安全 I 區内一(yī)号機組、二号機組與共同使用中(zhōng)央空調系統、壓縮空 氣系統、凝結水系統、脫硫公用系統、電氣公用系統的公用系統網絡邊界部署工(gōng) 業防火(huǒ)牆,保證安全 I 區内一(yī)号機組、二号機組控制系統免受來自于公用系統的 安全風險;

3) 在安全 I 區的操作員(yuán)站、工(gōng)程師站、曆史服務器上安裝工(gōng)控主機衛士, 隻允許白(bái)名單列表中(zhōng)的程序執行,避免非授權訪問,同時實施移動存儲介質 安全管控,保證主機間數據交換安全;

4) 在一(yī)号、二号機組控制系統交換機上旁路部署監測審計平台,對控制 系統進行監控、告警、審計,及時發現安全問題;

5) 旁路部署統一(yī)安全管理平台,實現主輔網安全系統的統一(yī)管理和日志(zhì) 彙總分(fēn)析。

² 水電業務場景

upload/editor/image/1620468553/20210508181006_18335.png

1) 在安全 I 區内的 LCU 本地控制單元前部署工(gōng)業防火(huǒ)牆,通過工(gōng)控協議 深度解析及應用協議白(bái)名單機制,實現安全 I 區内不同 LCU 本地控制單元的獨 立安全;

2) 安全 I 區與安全 II 區之間部署工(gōng)業防火(huǒ)牆,通過對 OPC 數據采集協 議進行深度解析,實現兩個不同安全等級區域間的信息安全保護及網絡隔離(lí);

3) 在安全 I 區内旁路部署安全監測審計平台,實時監測記錄誤操作和各 類違規行爲;

4) 在安全 I 區内所有操作員(yuán)站、工(gōng)程師站、應用服務器、數據庫服務器 上部署工(gōng)控主機衛士,避免相應惡意軟件、誤操作等帶來的安全風險;

5) 在安全 I 區、安全 II 區内,旁路部署入侵檢測系統,實現監測控制大(dà) 區内病毒、木馬及惡意攻擊行爲等,保護生(shēng)産控制大(dà)區内工(gōng)控設備及系統免遭惡意代碼的攻擊;

6) 在生(shēng)産控制大(dà)區内部署統一(yī)安全管理平台,實現工(gōng)業防火(huǒ)牆、監測審 計平台、工(gōng)控主機衛士等的集中(zhōng)管理和日志(zhì)歸并分(fēn)析,降低運維難度難度,提升 安全防護效率。

² 風電業務場景

upload/editor/image/1620468553/20210508181019_14324.png

風電場景安全部署圖

1) 在集中(zhōng)控制網與調度數據網、風控率預測網、站内控制網、風機控制 網間加裝工(gōng)業防火(huǒ)牆,通過協議深度解析和嚴格訪問控制策略,避免各控制網絡 遭受來自于其它系統的網絡攻擊行爲;

2) 在各控制網内旁路部署安全監測與審計系統,實現對安全 I 區内各種 惡意攻擊行爲的及時告警及記錄,爲工(gōng)控網絡安全問題提供追蹤溯源技術手段;

3) 在安全 I 區和各控制網操作員(yuán)站、工(gōng)程師站、應用服務器、數據庫服 務器上部署工(gōng)控主機衛士軟件,保護主機和服務器免遭惡意攻擊;

4) 在集中(zhōng)管理區部署統一(yī)安全管理平台,實現工(gōng)業防火(huǒ)牆、監測審計平 台、工(gōng)控主機衛士的集中(zhōng)管理。