随着“互联网+电力”的深度融合发展,电力生产对现场设备之间的信息互通提出了更高的要求。在两化融合、智能电网大趋势的背景下,电力企业工业控制系统的管理控制一体化、网络化、智能化已是大势所趋。
行业现状
电厂工业控制系统的网络化、智能化在提高生产效率和管理效率的同时,也为恶意攻击者增加了新的攻击途径。针对电力企业生产控制系统的攻击技术和手段不断发展,各种生产控制系统恶意软件以及安全事件层出不穷,使得电力企业生产控制系统面临越来越多的安全威胁和挑战,包括病毒、木马、蠕虫、黑客以及敌对势力等。
风险分析
·针对安全区 I 的工控系统网络中缺少病毒、木马等攻击行为的检测手段。
·多数工业主机操作系统为 WindowsXP 系统,系统进行打补丁不现实,部署杀毒软件与工业应用软件兼容性较差,冲突现象屡有发生。
·在发电厂内部通过网络访问业务系统时无法做到安全审计、事后可追溯。
·对于工控系统目前暴露出来的 2400 多个漏洞,无有效的漏洞整改方案,工控系统处于带“洞”运行状态。
风力发电厂工控安全解决方案
1、通信网络安全
在控制大区网络中旁路部署工控安全监测审计系统,对网络内传输的流量进行字段级解析,建立协议基线、流量基线、链路基线,对异常操作、非法入侵、恶意代码执行等行为进行事中告警、事后审计。
2、区域边界安全
I区和II区间部署工业防火墙,II区和III区间部署电力专用单向传输装置,实现横向隔离,安全分区;同时,部署网络准入控制系统,有效地阻止非法终端接入和违规外联。
3、计算环境安全
部署运维堡垒机,实现设备远程运维操作的全面审计和行为管控,满足远程运维管控要求。在操作员站、工程师站、服务器上部署终端防护系统客户端(也可单机部署),实现终端安全加固、进程白名单管控和USB移动介质管控。
4、安全管理中心
部署安全管理平台,对安全设备、网络设备、主机设备的日志和告警进行归一化采集和关联分析,展现安全态势和预警,全面提升安全防护效率和安全管理能力。
方案优势
1、合规性
满足《网络安全法》框架下关键信息基础设施保护制度要求、网络安全等级保护制度要求、网络与信息安全信息通报制度要求;满足36号文附件4《发电厂监控系统安全防护方案》的有关要求。
2、技术与管理并重
安全不是单纯的技术问题,需要在采用安全技术和产品的同时,重视安全管理,不断完善各类安全管理规章制度和操作规程,全面提高安全管理水平。
3、可视化
实现工控网络资产的可视化管理,动态识别非法接入设备,直观展示工控网络安全威胁。
4、全面防护
从网络、终端、通信、数据、运维、管理等多个层面提供完整的安全防护与管理手段,实现工控网络全面的安全保护。
5、最小干扰
所有安全组件均采用非侵入式安全监测与防护工作方式,可确保将设备对工控网络的干扰降低到最低。
6、多工业协议支持
支持常见工控协议:S7、Modbus、OPC、IEC61850、DLT645、BacNet、CDT、IEC101/102/103/104、CIP、DNP3、MMS、ProfiNet、EIP 等 50 多种工业协议的深度解析。解析深度可以达到功能码、寄存器、读写属性、甚至读写数据的阈值,同时还支持私有协议的定制开发。
