背景概述
解決方案
SOLUTION
電力行業
電力行業解決方案
——
電力是國家的支柱能源和經濟命脈,其安全穩定運行不僅關系到國家的經濟發展,而且維系國家安全。隨著電力系統的發展和計算機通信技術的革新,火電企業自動化、數字化和智能化程度越來越高,火力發電企業電力監控系統網絡之間的信息交互也越來越復雜,在日益嚴峻的工控安全形勢下,必須有一個完善的電力監控系統安全防護策略,來保障機組的安全穩定運行。
解決方案
合理劃分安全分區,擴充完善電力調度專用數據網;采取必要的安全防護技術和防護設備,剝離非生產性業務;實現電力調度數據網絡與其他網絡的物理隔離;有效提高電力監控系統抵御黑客、病毒、惡意代碼等各種形式的惡意破壞和攻擊的能力。
縱向認證:
● 對于重點防護區域當設置經過認證的縱向加密認證裝置
● 縱向加密認證裝置及加密認證網關用于生產控制大區的廣域網邊界防護
● 對處于外部網絡邊界的其他通信網關,應當進行操作系統的安全加固
● 調度中心和重要廠站兩側均應當配置縱向加密認證裝置或縱向加密認證網關
橫向隔離:
● 按照數據通信方向將電力專用橫向單向安全隔離裝置分為正向性和反向性
● 嚴格禁止E-Mail、WEB、Telnet、Rlogin、FTP等安全風險高的通用網絡服務
● 采用不同強度的安全設備隔離各安全區
安全分區:
● 生產控制大區和管理信息大區
● 生產控制大區可以分為控制區(又稱安全區I)和非控制區(又稱安全區II)
網絡專用:
● 安全區外部邊界網絡之間的安全防護隔離強度應和所連接的安全區之間的安全防護隔離強度匹配
● 在專用通道上使用獨立的網絡組網
● 在物理層面上與電力企業其他數據網隔離
● 劃分為邏輯隔離的實時子網和非實時子網,分別連接控制區和非控制區
1.通過在生產控制大區和管理信息大區之間部署專用單向隔離裝置,隔離裝置分為正向隔離和反向隔離
2.通過部署工業防火墻,實現阻止來自區域之間的越權訪問,入侵攻擊和非法訪問等
3.在包含主控、輔控的所有業務系統之間部署工業防火墻,智能學習工控操作指令和參數建立網絡和通訊“白環境”
4.位于電力控制系統的內部局域網與電力調度數據網絡路由之間,為上下級系統之間提供認證與加密服務
5.在控制區的網絡邊界放置單向隔離裝置,利用單向隔離裝置實現生產控制網數據單向流入
6.在上位機及非控制區的服務器上安裝操作系統加固的軟件,建立安全模型和安全基線,監控分析應用程序和人工操作的行為特征,生成白名單
7.在區域和邊界旁路部署工業審計,收集全網工控設備流量,未知威脅識別,多維審計,記錄異常行為,追溯異常事件
8.在生產控制區邊界處旁路部署工控入侵檢測設備,實時監控各種數據報文及來自網絡外部或內部的多種攻擊行為
9.逐步在非控制網內部署CA系統,實現對用戶的身份鑒別,應用訪問控制
10.旁路部署網絡堡壘機,接管數據庫、網絡等設備的登錄,運維人員、第三方人員統一在堡壘機上操作。旁路部署數據庫審計設備,對應用系統的訪問進行審計。
11.在管理信息區的終端電腦上部署防病毒軟件并實現病毒庫和殺毒引擎的及時更新
12.對入網的終端主機進行合規性狀態檢查,如殺毒軟件、安全軟件、系統安全配置、必備軟件等,通過驗證的進入內網,未通過的進入隔離區修復
13.通過漏洞掃描和等保合規工具,對工控系統和工控產品進行漏洞掃描和挖掘,建立安全工控產品采購清單,從源頭上控制安全風險
實施流程圖
架構圖
客戶價值
從管理角度對電力二次系統安全防護做了規定,明確了分級負責責任制,強化系統安全評估,應急處理等事項
從技術角度對電力二次系統安全防護做了規定,包括安全區劃分、專網專用、數字證書認證等
符合“一個中心,三重防護”要求的安全統一管理要求,集中運維管理
關注我們