火電行業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)技術(shù)研究與應(yīng)用

隨著兩化融合、企業(yè)信息化建設(shè)進(jìn)程的加速,火電工控網(wǎng)絡(luò)從相對封閉到趨于開放,同時自動化核心組件國產(chǎn)率低、工控系統(tǒng)本身脆弱性等問題嚴(yán)重影響著電力行業(yè)的安全生產(chǎn)、穩(wěn)定運(yùn)營。本文基于火電行業(yè)工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的實(shí)際需求,參照政策法規(guī),綜合運(yùn)用多種安全技術(shù)加固手段,建立一套面向火電工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的整體安全解決方案,應(yīng)對工業(yè)網(wǎng)絡(luò)安全威脅。

本案例將在風(fēng)險評估的基礎(chǔ)上,深入剖析企業(yè)需求,依規(guī)定制化解決方案,方案將解決控制域網(wǎng)絡(luò)的疏漏分割問題;生產(chǎn)控制大區(qū)內(nèi)的區(qū)域邏輯隔離不清晰、安全防護(hù)不到位的問題;整體生產(chǎn)工控網(wǎng)絡(luò)的入侵監(jiān)測,網(wǎng)絡(luò)審計不到位的問題;工業(yè)PC安全需要頻繁更新補(bǔ)丁包、病毒庫的問題;信息安全防護(hù)孤島問題等。全方位滿足電力工控全生命周期安全需求,從專業(yè)化的角度幫助用戶實(shí)現(xiàn)無死角的電廠工控安全加固。

具體技術(shù)方案和產(chǎn)品應(yīng)用如下:

安全區(qū)域劃分與優(yōu)化

在電廠6個控制域的基礎(chǔ)上進(jìn)行安全域劃分與優(yōu)化,提升設(shè)備性能與可靠性,安全域的劃分,要兼顧電廠工控現(xiàn)場設(shè)備物理位置及網(wǎng)絡(luò)層級屬性,確保某一區(qū)域受影響后不影響其它區(qū)域網(wǎng)絡(luò)安全。

區(qū)域安全防護(hù)

在電廠生產(chǎn)網(wǎng)絡(luò)內(nèi)部各區(qū)域控制系統(tǒng)出口部署工業(yè)防火墻,對不同的安全區(qū)域之間進(jìn)行邏輯隔離,配置訪問控制策略并運(yùn)行在防護(hù)模式,對工控專有協(xié)議進(jìn)行深度分析,確保數(shù)據(jù)包的合法性,實(shí)現(xiàn)工控網(wǎng)絡(luò)的深度防護(hù),同時阻止來自內(nèi)網(wǎng)其它區(qū)域的攻擊、病毒、木馬等威脅。

生產(chǎn)工控網(wǎng)絡(luò)的入侵監(jiān)測,網(wǎng)絡(luò)審計

在電廠核心網(wǎng)絡(luò)區(qū)域部署杉嶺網(wǎng)絡(luò)工業(yè)監(jiān)測審計系統(tǒng),及時發(fā)現(xiàn)工控網(wǎng)絡(luò)中的異常行為和入侵行為,定位被攻擊點(diǎn)及故障點(diǎn),有效提升企業(yè)事件發(fā)現(xiàn)、安全處置和事件回溯等安全運(yùn)維能力水平。

上位機(jī)終端安全防護(hù)

在電廠操作員站、工程師站、服務(wù)器上部署杉嶺衛(wèi)士,通過其白名單機(jī)制為終端計算機(jī)創(chuàng)建一個安全的運(yùn)行環(huán)境,非法進(jìn)程和應(yīng)用程序無法通過安全檢查,確保將病毒、木馬以及惡意軟件阻擋在終端運(yùn)行環(huán)境之外,同時避開傳統(tǒng)工業(yè)PC安全需要頻繁更新補(bǔ)丁包、病毒庫、特征庫的弊端。

在工程師站安裝杉嶺網(wǎng)絡(luò)USB安全塢,對USB端口進(jìn)行管控,未授權(quán)U盤設(shè)備無法接入終端計算機(jī),有效防范通過USB接口發(fā)起的高級攻擊,實(shí)現(xiàn)對移動存儲介質(zhì)的可信、全生命周期管理。

統(tǒng)一安全管理

在過程監(jiān)控層部署工業(yè)網(wǎng)絡(luò)安全管理平臺,將電廠系統(tǒng)內(nèi)所有工控安全設(shè)備采集到的網(wǎng)絡(luò)流量信息、人員操作信息、異常告警信息進(jìn)行統(tǒng)一收集和整理分析,進(jìn)而掌握整個電廠工控系統(tǒng)中存在的安全隱患和風(fēng)險,對于明顯不符合當(dāng)前工控系統(tǒng)操作工藝流程和安全規(guī)定的異常行為和告警事件,可以做到事前有效預(yù)警和事中及時防護(hù),減少系統(tǒng)維護(hù)工作量,減少企業(yè)的維護(hù)成本。

定期風(fēng)險評估

當(dāng)處于年度安檢、系統(tǒng)升級等時期需要網(wǎng)絡(luò)安全評估時,將杉嶺網(wǎng)絡(luò)工業(yè)網(wǎng)絡(luò)風(fēng)險評估工具箱接入相應(yīng)區(qū)域交換機(jī)的鏡像口,進(jìn)行真實(shí)數(shù)據(jù)流量的收集和比對,主動發(fā)現(xiàn)潛在的安全威脅。從可視化和專業(yè)化的角度幫助用戶認(rèn)識當(dāng)前工控網(wǎng)絡(luò)所符合的安全等級,提供安全加固方案建議。

整體安全防護(hù)如下圖所示:

圖 整體安全防護(hù)示意圖

 

THEEND

最新評論

更多
暫無評論