電力行业工控安全解決方案

1. 遵循标准

  • 《工業控制系統信息安全防護指南》(工信軟函〔2016〕338號)

  • 《電力监控系统安全防护总体方案》(国家能源局36号文)

  • 《GB/T 22239-2008信息安全等级保护基本要求》

2. 解決方案

  • 邊界隔離(生産控制區和非控制區之間)

部署具備隔離保護功能的安全設備實現網絡分層分區,邊界訪問控制,避免無授權設備對區域的訪問,實現基于通信“白環境”邊界攻擊防禦;

  • 區域隔離(生産控制大區內部)

采取接入控制措施實現基于區域和功能的網絡劃分及隔離,對工業專有協議進行深度解析,建立通訊“白環境”,阻止區域間的越權訪問,病毒、蠕蟲擴散和入侵,將危險源控制在有限範圍內;

  • 重要系統隔離

采取安全隔離措施,對PLC、DCS等工控設備或系統安全漏洞利用等行爲進行阻斷,同時阻止操作員或工程師有意無意的非法操作;

  • 工控網絡監測與審計

采用安全審計功能,對網絡運行日志、操作系統運行日志、數據庫訪問日志、業務應用系統運行日志、安全設施運行日志等進行集中收集、自動分析,及時發現各種違規行爲和病毒、黑客的攻擊行爲;

  • 主機安全防護

對主機進行安全防護,阻止非授權及惡意軟件運行,同時對操作系統進行加固,如注冊表、配置文件等;

  • 入侵檢測系統

檢測網絡通訊流量中的入侵行爲,分析潛在威脅並進行安全審計;

  • 統一安全管理

集中管理安全设备,如工業防火牆、工控主機衛士、監測審計平台等,实现工控网络的拓扑管理、安全配置及安全策略管理、设备状态监控、告警日志等。

3. 典型部署

3.1. 火电

 電力行业工控安全解決方案

  • 在安全I区所属的一号机组、二号机组、辅助车间控制网与安全II区的SIS系统网络边界部署工業防火牆;

  • 在安全I区内一号机组、二号机组与共同使用中央空调系统、压缩空气系统、凝结水系统、脱硫公用系统、电气公用系统的公用系统网络边界部署工業防火牆,保证安全I区内一号机组、二号机组控制系统免受来自于公用系统的安全风险;

  • 在安全I区的操作员站、工程师站、历史服务器上安装工控主機衛士,只允许白名单列表中的程序执行,避免非授权访问,同时实施移动存储介质安全管控,保证主机间数据交换安全;

  • 在一号、二号机组控制系统交换机上旁路部署監測審計平台,对控制系统进行监控、告警、审计,及时发现安全问题;

  • 旁路部署統一安全管理平台,实现主辅网安全系统的统一管理和日志汇总分析。

3.2. 水电

 水电行业工控安全解決方案

  • 在安全I区内的LCU本地控制单元前部署工業防火牆,通过工控协议深度解析及应用协议白名单机制,实现安全I区内不同LCU本地控制单元的独立安全;

  • 安全I区与安全II区之间部署工業防火牆,通过对OPC数据采集协议进行深度解析,实现两个不同安全等级区域间的信息安全保护及网络隔离;

  • 在安全I区内旁路部署安全監測審計平台,实时监测记录误操作和各类违规行为;

  • 在安全I区内所有操作员站、工程师站、应用服务器、数据库服务器上部署工控主機衛士,避免相应恶意软件、误操作等带来的安全风险;

  • 在安全I区、安全II区内,旁路部署入侵檢測系統,实现监测控制大区内病毒、木马及恶意攻击行为等,保护生产控制大区内工控设备及系统免遭恶意代码的攻击;

  • 在生产控制大区内部署統一安全管理平台,实现工業防火牆、監測審計平台、工控主機衛士等的集中管理和日志归并分析,降低运维难度难度,提升安全防护效率。

3.3. 风电

 风电行业工控安全解決方案

  • 在集中控制网与调度数据网、风控率预测网、站内控制网、风机控制网间加装工業防火牆,通过协议深度解析和严格访问控制策略,避免各控制网络遭受来自于其它系统的网络攻击行为;

  • 在各控制網內旁路署安全監測與審計系統,實現對安全I區內各種惡意攻擊行爲的及時告警及記錄,爲工控網絡安全問題提供追蹤溯源技術手段;

  • 在安全I区和各控制网操作员站、工程师站、应用服务器、数据库服务器上部署工控主機衛士软件,保护主机和服务器免遭恶意攻击;

  • 在集中管理区部署統一安全管理平台,实现工業防火牆、監測審計平台、工控主機衛士的集中管理。


利盈国际网址官方二維碼

扫一扫关注我们利盈国际网址官方网站 来了解我们更多资讯

地址:北京市海澱區上地三街9號嘉華大廈F座901室
郵箱:support@hhhhhof.vip
微信公衆號:winicssec_bj
4000-680-620 24小時服務熱線
Copyright 2016 Winicssec All Rights Reserved 版權所有 京ICP备14062383号-1