行业背景
电力行业作为国家关键基础设施的重要组成部分,一直备受瞩目。因此,电力行业的发展对于控制系统要求也极为严格。目前国家电网变电站普遍采用了高度自动化的生产技术装备和高度信息化的运营管理手段。与此同时,严峻的网络安全风险也如影随形。水电发电网络信息安全防护有其特殊性:一是其防护的攻击主体特殊,入侵者不会是一般意义上的"黑客",而很可能是恐怖组织甚至是敌对国家力量支撑的组织;二是遭受攻击破坏后果严重,发变电设备等关键设施一旦遭受攻击,会直接威胁到国民经济的发展和社会安定。
在电力行业,电监会早在2005年就颁布了《电力二次系统安全防护规定》(5 号令)。同时,为了加强电力监控系统的信息安全管理 , 防范黑客及恶意代码等对电力监控系统的攻击,国家发改委于2014年颁布《电力监控系统安全防护规定》(14 号令),国家能源局颁布《电力监控系统安全防护总体方案》(国能安全〔2015〕36号 ),而随着国家《网络安全法》的颁布,更是明确了主体单位应尽的责任和义务。
需求分析
协议安全需求
由于水电发电电力监控系统中充斥着大量工艺组件以及工业协议,对于工控协议安全检测和防护应进行有效的安全管控和防护措施,对于异常通信协议应进行有效的安全审计和拦截,以保障电力监控系统安全防护为目标。
安全审计需求
发电系统缺少必要的网络审计手段和针对工业级恶意代码的入侵检测,缺乏对系统日常流量数据的实时监控,同时对于操作指令下发、操作行为等没有进行安全审计管理,无法溯源。
安全管理需求
保证所有安全设备、系统、配置、数据,以及安全中间件能够被集中、高效、安全管控,安全策略能够动态配置,并且不影响现有生产网的运行。
边界安全需求
一区、二区之间的逻辑隔离强度不够;针对与生产无关的协议没有禁止,对OPC、Modbus的读写操作没有有效管控和记录;生产子系统之间有互联,没有进行有效分域隔离。
操作系统安全需求
水电发电电力监控系统中充斥着大量的终端,对于操作系统版本以及操作系统的使用和检查应建立有效的安全管控和防护措施,避免主机系统出现安全事件而造成电力监控系统网络安全威胁事件,应对木马病毒进行有效的管控和拦截措施。
病毒攻击防护需求
电力监控系统对于病毒和木马应建立有效的安全防护,应对工程师站、操作员站应建立有效的安全保障和主机防护措施,经过溯源分析,发现管理网及生产网防护措施不到位、终端主机没有安装安全防护专用软件。
解决方案
安全区域边界
为保障水电发电生产控制大区安全防护标准以满足行业防护需求和建设原则,秉承安全分区网络专用原则生产控制大区安全一区和二区通过建立工控防火墙实现边界业务逻辑隔离,生产网和办公网部署电力专用隔离装置实现边界物理隔离防护标准。
安全监测审计
在各区网络流量汇聚交换机或核心交换机处,采用旁路方式,部署工控网络安全审计系统,实现人员异常操作行为挂空、安全事件实时审计、入侵行为实时告警、提供安全追述,以及电力监控系统全局化安全运营。
安全管理中心
根据等保标准“安全管理中心”相关要求,部署集中安全管理平台,采集生产网络中各工控安全设备及系统的数据,实现全局化安全管控,加强电力监控系统安全管理水平和监管能力。
安全计算环境
为保证水电发电发电生产网络中工业主机的运行安全,在各生产网络区域内上位机及服务器上部署工业主机安全防护系统,加强主机安全防护标准和电力监控系统安全保障措施。
安全运维管控
为保证电力监控系统生产网络的安全运维,部署运维安全审计系统,通过账号集中管理、细粒度访问权限、操作审计,让运维人员的操作处于可管、可控的状态下,规范运维操作。
日志审计分析
电力监控系统通过建立日志审计系统,满足电力监控系统防护标准以及网络安全法要求,通过日志审计实现全网资产统一管理,提供处理和关联分析,及时对安全事件进行追溯。
相关安全产品
主机安全加固系统
工业防火墙
工业安全隔离与信息交换系统
工控安全审计系统
工控入侵检测系统
日志审计与分析系统
运维安全审计系统
工控集中安全管理系统
工业安全管理与态势分析系统