能源電力

ENERGY POWER

首頁 > 客戶案例 > 正文

大唐陽城電廠項目案例

閱讀量：

項目背景
火電作為我國發(fā)電的主流類型，是國民經濟的支柱產業(yè)之—，火電發(fā)電的控制系統(tǒng)是火電廠的大腦。在兩化融合的大趨勢下，行業(yè)中的工控網絡與辦公網絡的互聯(lián)互通是一個必然的趨勢。從行業(yè)普遍性角度來看，工控網絡與辦公網絡的連接基本上僅有一個防火墻，但是不支持OPC等主流工控設備，控制粒度非常粗糙，帶來很大的安全隱患，工控網絡基本上不具備任何發(fā)現(xiàn)、防御外部攻擊行為的手段，外部威脅源一旦進入公司的辦公網絡，則可以連接到工業(yè)網絡的現(xiàn)場控制層網絡，直接影響工業(yè)生產。另一方面工控網絡內部設備如各類操作站、終端等，大部分采用Windows系統(tǒng)，為保證工業(yè)軟件的穩(wěn)定運行無法進行系統(tǒng)升級甚至不能安裝殺毒軟件，存在著大量漏洞，在自身安全性不高的情況下運行，綜合而言工控系統(tǒng)的安全風險不言而喻。
根據(jù)電力行業(yè)電力監(jiān)控系統(tǒng)安全防護總體方案（國能安全【2015】 36號）的相關規(guī)定，參照中國大唐集團有限公司企業(yè)標準《工控系統(tǒng)網絡信息安全技術監(jiān)督標準》，結合輔控系統(tǒng)現(xiàn)場網絡情況，經分析診斷目前存在以下幾方面的網絡安全問題。

·網絡監(jiān)控不足

·主機防護不足

·網絡隔離防護缺乏有效措施

項目內容

建設原則及要點

● 穩(wěn)定可靠

對發(fā)電廠熱控系統(tǒng)來說安全穩(wěn)定可靠是最重要的。在本次項目中建議的安全控制措施，包括其部署和應用的方式，都是在各集團網站中有眾多先例的，已經被各電力集團所接受的技術和產品。

● 實時性和高效性

在本次信息安全架構設計中考慮到發(fā)電廠實際情況，建議采用高處理能力的安全產品，以保證實時性和高效性。

● 安全風險可控

根據(jù)發(fā)電廠的實際情況建議將整體網絡分割為不同的區(qū)域，并在邊界進行嚴格的訪問控制。

● 靈活性和擴展性

在本次項目中設計的架構在充分保證滿足用戶的可靠性運行要求、靈活性和擴展性要求。

建設方案

根據(jù)目前陽城電廠輔控系統(tǒng)存在的工控網絡安全問題，結合陽城電廠輔網實際的網絡結構，并考慮后續(xù)輔控接入SIS系統(tǒng)的情況，在"安全分區(qū)、網絡專用、橫向隔離、縱向認證、綜合防護"原則的基礎上針對性的建設方案。

● 劃分安全隔離域

把電廠輔控網絡劃分成水系統(tǒng)安全隔離域、灰系統(tǒng)安全隔離域和煤系統(tǒng)安全隔離域，分別在水網、灰網、煤網的子系統(tǒng)網絡出口處分別安裝工業(yè)防火墻，合理配置安全策略，實現(xiàn)邏輯隔離、報文過濾、訪問控制等功能，加強邊界之間的安全防護和監(jiān)控。

●增加工控網絡安全審計

安全I區(qū)的各個子系統(tǒng)安裝工控網絡安全審計平臺，對操作系統(tǒng)、數(shù)據(jù)庫、業(yè)務應用的重要操作進行記錄、分析，及時發(fā)現(xiàn)各種違規(guī)行為以及病毒和黑客的攻擊行為。
●提高工控系統(tǒng)入侵檢測能力
安全II區(qū)統(tǒng)一部署一套工業(yè)APT預警平臺，合理設置監(jiān)測規(guī)則，監(jiān)測發(fā)現(xiàn)隱藏于流經網絡邊界正常信息中的入侵行為，分析潛在威脅并進行安全審計。
●增加日志審計功能
在安全I區(qū)和安全II區(qū)部署綜合日志審計平臺，能夠對網絡運行日志、操作系統(tǒng)日志、數(shù)據(jù)庫訪問日志、業(yè)務應用系統(tǒng)運行日志、安全設施運行日志等進行集中收集、自動分析，并保存不少于6個月。
●增加網絡安全監(jiān)測裝置詳細說明

在安全區(qū)II部署工控態(tài)勢感知平臺，實時監(jiān)測域內電力工控系統(tǒng)的主機、網絡設備、安全設備等運行狀態(tài)及日志的采集、存儲、轉發(fā)，數(shù)據(jù)經網閘可傳輸至集團公司工控網絡安全監(jiān)測平臺。

● 主機安全加固詳細說明

電廠輔控操作員站、工程師站、接口機等工控機，一般投用后操作系統(tǒng)及應用軟件不會有較大變動，為確保工控系統(tǒng)穩(wěn)定性很少人為定期更新系統(tǒng)等操作，故采用白名單防護技術的工控安全主機衛(wèi)士非常適合用來加固工控機，提高主機的防護能力。

項目價值

本方案通過體系化的設計方式，完成大唐陽城電廠輔控的安全體系設計，主要功能點如下∶

?o?區(qū)域隔離防護

方案通過工業(yè)防火墻，達到以安全域為單位，嚴格限制通訊訪問方式。

?o?控制網絡內部安全監(jiān)測與審計

通過部署工業(yè)安全監(jiān)測審計平臺，實時檢測出針對工業(yè)協(xié)議的網絡攻擊、誤操作、違規(guī)操作、非法 IP 或非法設備接入以及病毒的傳播并實時報警，幫助客戶及時采取應對措施，減少系統(tǒng)異常風險。平臺能夠詳實記錄一切網絡通信行為，包括指令級的工業(yè)控制協(xié)議通信記錄，并且提供回溯功能，為工業(yè)控制系統(tǒng)的安全事故調查提供堅實的基礎。

?o?主機防病毒

控系統(tǒng)的惡意代碼防范主要通過安裝工業(yè)安全主機衛(wèi)士方式實現(xiàn)。工控主機防護是指在工控上位機的操作系統(tǒng)平臺層面，對網絡端口、外設端口、重要文件進行管控，達到主機層面對惡意代碼的有效防范。

?o 全面安全監(jiān)控

全面監(jiān)控現(xiàn)場設備運行狀況、網絡運行狀況，并將網絡結構與物理區(qū)域結合展示，實時報警，便于緊急事件安全處理。

云安全>

態(tài)勢感知>

物聯(lián)網安全>

工業(yè)互聯(lián)網安全>

新型智慧城市>

>

新一代安全服務>

偵測服務>

保護檢測服務>

監(jiān)控分析服務>

應急服務>

運營管理服務>

特色服務>

安全管理>

數(shù)據(jù)安全>

網絡安全>

應用安全>

端點安全>

>

商用密碼>