一背景簡(jiǎn)介
國(guó)內(nèi)某大型水電站是國(guó)家西電東送“十五”期間重點(diǎn)工程�����,該電站總裝機(jī)容量100萬kW�����,年發(fā)電量24億kW·h��,同時(shí)具備多年調(diào)節(jié)的性能����。
該水電站作為中電聯(lián)組織的電力企業(yè)電力工控系統(tǒng)信息安全試點(diǎn)單位,開展工控安全試點(diǎn)建設(shè)工作��。綠盟科技憑借專業(yè)的技術(shù)能力��、可靠的安全產(chǎn)品和豐富的行業(yè)經(jīng)驗(yàn)�,成為試點(diǎn)承建單位對(duì)水電站進(jìn)行電力工控系統(tǒng)信息安全進(jìn)行整體規(guī)劃和建設(shè)。
二安全現(xiàn)狀
某水電站電力工控系統(tǒng)現(xiàn)狀拓?fù)?
經(jīng)現(xiàn)場(chǎng)實(shí)地考察和風(fēng)險(xiǎn)評(píng)估分析后�,該水電站安全現(xiàn)狀總結(jié)如下:
柵格狀邊界防線已建立。已按照發(fā)改委14號(hào)令及國(guó)家能源局36號(hào)文中要求的“安全分區(qū)�����、網(wǎng)絡(luò)專用����、橫向隔離、縱向認(rèn)證”��,初步建立縱橫交錯(cuò)的柵格狀邊界防線;
網(wǎng)絡(luò)邊界防護(hù)力度不足���。安全區(qū)Ⅰ和安全區(qū)Ⅱ之間的邊界防護(hù)措施不夠完善�,部署的傳統(tǒng)IT防火墻缺乏對(duì)工業(yè)協(xié)議的支持以及對(duì)工業(yè)病毒的防護(hù)����;
水情測(cè)控接入防護(hù)缺失。安全區(qū)Ⅱ的水情系統(tǒng)前端測(cè)控站與后端服務(wù)器之間通過微波進(jìn)行無線通信��,缺乏安全防護(hù)設(shè)備在接收端對(duì)數(shù)據(jù)的無線輸入進(jìn)行安全防護(hù)��;
惡意代碼防范機(jī)制缺失��。安全區(qū)Ⅰ和安全區(qū)Ⅱ的上位機(jī)、服務(wù)器等主機(jī)設(shè)備均處于“裸奔”狀態(tài)���,無法對(duì)惡意代碼進(jìn)行有效防范����;
移動(dòng)介質(zhì)安全管控缺乏��。移動(dòng)介質(zhì)濫用�����、亂用現(xiàn)象嚴(yán)重:隨意拷貝數(shù)據(jù)造成敏感信息泄露����,移動(dòng)介質(zhì)攜帶病毒造成主機(jī)感染進(jìn)而導(dǎo)致系統(tǒng)癱瘓���;
監(jiān)控系統(tǒng)監(jiān)測(cè)審計(jì)缺少����。缺少針對(duì)上位機(jī)����、服務(wù)器�����、網(wǎng)絡(luò)行為等監(jiān)測(cè)審計(jì)能力�����,更無法實(shí)現(xiàn)對(duì)電力監(jiān)控系統(tǒng)安全設(shè)備的統(tǒng)一監(jiān)管��;
重要控制設(shè)備防護(hù)缺失。針對(duì)各控制系統(tǒng)PLC的防護(hù)措施不足����,無法對(duì)流經(jīng)的工業(yè)協(xié)議進(jìn)行深度包檢測(cè)���,發(fā)現(xiàn)異常操作和違規(guī)行為�����;
廠站安全管理制度不全。電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理制度不健全�����,無法落實(shí)網(wǎng)絡(luò)安全工作職責(zé)和責(zé)任����,相關(guān)軟硬件設(shè)備得不到有效保養(yǎng)維護(hù)。
三解決方案
針對(duì)發(fā)現(xiàn)的安全風(fēng)險(xiǎn)和問題���,綠盟科技專家技術(shù)團(tuán)隊(duì)根據(jù)該水電站計(jì)算機(jī)監(jiān)控系統(tǒng)和水情水調(diào)自動(dòng)化系統(tǒng)情況���,結(jié)合發(fā)改委�、工信部和國(guó)家能源局等主管機(jī)構(gòu)對(duì)發(fā)電廠工控系統(tǒng)安全防護(hù)的具體要求��,為水電站電力工控系統(tǒng)構(gòu)建柵格狀��、立體化的縱深防線����。
區(qū)域邊界防護(hù)
在安全區(qū)Ⅰ和安全區(qū)Ⅱ之間部署工業(yè)防火墻����,實(shí)現(xiàn)兩個(gè)安全區(qū)域的邊界防護(hù)和訪問控制;在安全區(qū)Ⅰ的監(jiān)控系統(tǒng)中各處LCU和站控層交換機(jī)之間部署工業(yè)防火墻����,實(shí)現(xiàn)對(duì)LCU內(nèi)部重要控制設(shè)備PLC的精準(zhǔn)防護(hù);在安全區(qū)Ⅱ的水情系統(tǒng)中測(cè)控裝置后端加設(shè)安全接入?yún)^(qū)����,在安全接入?yún)^(qū)中部署電力專用正向隔離裝置確保數(shù)據(jù)單向傳輸,防止攻擊通過無線通信蔓延至內(nèi)部網(wǎng)絡(luò)中�����。
通信網(wǎng)絡(luò)監(jiān)測(cè)
在安全區(qū)Ⅰ的調(diào)度實(shí)時(shí)交換機(jī)�����、集控實(shí)時(shí)交換機(jī)上旁路部署工控安全審計(jì)����,在安全區(qū)Ⅰ的監(jiān)控系統(tǒng)的站控層交換機(jī)上旁路部署工控安全審計(jì)��,在安全區(qū)Ⅱ的調(diào)度非實(shí)時(shí)交換機(jī)��、集控非實(shí)時(shí)交換機(jī)上旁路部署工控安全審計(jì)�����,精準(zhǔn)記錄水電站電力監(jiān)控系統(tǒng)關(guān)鍵節(jié)點(diǎn)的網(wǎng)絡(luò)通信行為�,基于對(duì)水電站業(yè)務(wù)系統(tǒng)的理解和工業(yè)協(xié)議的深度解碼���,結(jié)合水電站業(yè)務(wù)系統(tǒng)操作過程中相關(guān)的規(guī)程要求����,感知潛在的異常操作行為�����。
計(jì)算環(huán)境防范
在安全區(qū)Ⅰ和安全區(qū)Ⅱ的上位機(jī)�、服務(wù)器等主機(jī)上安裝主機(jī)衛(wèi)士客戶端軟件�,利用機(jī)器自學(xué)習(xí)白名單建模技術(shù)���,對(duì)電力監(jiān)控系統(tǒng)的應(yīng)用程序、進(jìn)程�����、服務(wù)以及外設(shè)進(jìn)行管控����,同時(shí)利用主機(jī)加固功能對(duì)重要文件�、注冊(cè)表���、進(jìn)程進(jìn)行加固保護(hù),解決工業(yè)主機(jī)入侵檢測(cè)�����、惡意代碼防范能力不強(qiáng)的問題�;并在這些主機(jī)上部署USB保護(hù)裝置,配置安全策略只允許可信U盤進(jìn)行接入����,禁止非授權(quán)移動(dòng)介質(zhì)的接入��,實(shí)現(xiàn)USB的安全管控��。
管理中心態(tài)勢(shì)
在安全區(qū)Ⅱ中部署工業(yè)網(wǎng)絡(luò)安全監(jiān)測(cè)管理平臺(tái)���,接入水電廠安全設(shè)備�����、網(wǎng)絡(luò)設(shè)備���、主機(jī)白名單軟件��、服務(wù)器等資產(chǎn)�,通過大數(shù)據(jù)技術(shù)進(jìn)行行為分析��、業(yè)務(wù)關(guān)聯(lián)和機(jī)械學(xué)習(xí),實(shí)現(xiàn)對(duì)水電站整體安全的態(tài)勢(shì)感知和預(yù)警監(jiān)測(cè),發(fā)現(xiàn)異常行為����,及時(shí)處置從而降低安全風(fēng)險(xiǎn)��。
物理環(huán)境監(jiān)測(cè)
在通訊機(jī)房���、計(jì)算機(jī)監(jiān)控機(jī)房���、集控機(jī)房�����、MIS機(jī)房部署6套精密工業(yè)空調(diào)����,并安裝水浸傳感器����、煙感傳感器等裝置�����,同時(shí)將機(jī)房UPS電源接入動(dòng)態(tài)環(huán)境監(jiān)測(cè)系統(tǒng)中,實(shí)現(xiàn)對(duì)機(jī)房物理環(huán)境的實(shí)時(shí)監(jiān)測(cè)�����。
管理制度健全
建設(shè)一套適用于該水電廠的安全管理以及應(yīng)急預(yù)案制度,安全管理制度包括組織建設(shè)���、外來人員���、網(wǎng)絡(luò)安全����、風(fēng)險(xiǎn)評(píng)估��、變更��、供應(yīng)商��、介質(zhì)等一系列管理制度���。
四客戶價(jià)值
★ 合規(guī)達(dá)標(biāo)�����,風(fēng)險(xiǎn)可控
滿足國(guó)家�、行業(yè)法律法規(guī)以及政策標(biāo)準(zhǔn)等合規(guī)方面的要求��,通過等保三級(jí)測(cè)評(píng)����,將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)降低到可控范圍內(nèi)。
★ 趨勢(shì)預(yù)警�����,成果可視
通過大數(shù)據(jù)��、威脅情報(bào)和態(tài)勢(shì)感知等新技術(shù)達(dá)到安全風(fēng)險(xiǎn)趨勢(shì)預(yù)警��,網(wǎng)絡(luò)安全成果可在平臺(tái)進(jìn)行展示。
★ 平穩(wěn)運(yùn)行���,業(yè)務(wù)可靠
整體方案實(shí)施完成后未對(duì)水電站正常生產(chǎn)業(yè)務(wù)造成影響�,保障電力監(jiān)控系統(tǒng)平穩(wěn)運(yùn)行�,業(yè)務(wù)系統(tǒng)數(shù)據(jù)傳輸可靠。
★ 縱深防御�,安全可信
通過各類安全設(shè)備構(gòu)建電力柵格狀立體縱深防線,實(shí)現(xiàn)水電站生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)安全的縱深防御和綜合防護(hù)�,生產(chǎn)運(yùn)行環(huán)境安全可信。
