铭冠网安火电厂监控系统安全解决方案

发布日期:2023-08-01

行业面临问题

行业背景


在我国发电企业中,火电厂二次系统主要有:机组分散控制系统(DCS)、辅机控制系统、各种控制装置(调速系统、励磁系统、快关汽门装置等) ;发电厂电力监控系统涉网部分,主要是自动发电控制系统(AGC)、自动电压控制系统(AVC) 、五防系统、相量测量装置(PMU )继电保护等。这些系统关系到电厂业务运行,有必要采取网络安全防护措施,确保核心业务正常运行。根据能源局电力监控系统安全防护规定、等级保护相关要求,设计防护方案。



安全问题


电厂监控系统使用了一系列的控制系统,这些系统存在着多种安全隐患,如:工业协议自身安全问题、工业组态软件与控制器缺乏安全性设计、工控机操作系统漏洞、工业病毒攻击、未经授权访问、非法网络嗅探、APT攻击等等网络安全风险和漏洞。同时以往的IT网络安全防护技术以不能适应现有的工业控制系统安全防护需求(如无法实现OPC动态端口协议以及其他工业协议深度解析的安全防护需求),系统中任何一点受到攻击都有可能导致整个系统的瘫痪。


铭冠网安火电厂监控系统安全解决方案


基于电力行业要求,电厂在“安全分区、网络专用、横向隔离、纵向认证”方面已经做了工作,划分安全区域,在生产控制大区与管理信息大区采用电力专用装置进行隔离,专网专用,在纵向连接处采用电力纵向加密认证设备。在此基础上,结合“综合安全防护”和等级保护要求,设计安全方案。


边界防护

在生产控制大区内部,根据综合考虑业务系统及网络结构,划分安全区域,机组DCS、辅控系统、公用系统、NCS系统到安全区II的数据传输通道上,部署工控防火墙实现逻辑隔离、访问控制、协议白名单管控、病毒防护。生产控制大区与管理信息大区之间采用电力专用隔离设备。


流量审计

生产控制大区各个安全域,如:机组DCS、辅控系统、NCS、SIS系统,旁路部署工控流量审计设备,对各个系统进行全流量审计分析,实现资产管理、漏洞管理,掌握工控流量内容,及时发现工控异常操作、协议异常、非法接入、非法外联等。


入侵检测

在电厂安全区II,部署全流量溯源检测设备,检测发现隐藏于流经网络边界正常信息流中的入侵行为,分析潜在威胁并进行安全审计。


工控机安全加固

生产控制大区的工程师站、操作员站、实时服务器、SIS接口机、OPC接口机,部署工业主机白名单产品,对工控主机系统、工控软件、接入设备等计算环境进行安全加固与白名单管理。实现主机恶意代码防范,提升主机本体防御能力。


安全运维

在安全区II,通过工业堡垒机进行认证管理、账号管理、权限管理、操作审计等策略,实现运维操作的准入、控制以及审计,根据身份与权限进行访问控制,并且对操作行为进行安全审计。


安全管理运营

为满足等级保护相关要求,提高工业安全运营管理的效率,应建立工业安全管理中心,通过部署工控安全管理平台进行企业工业网络安全的统一管理,实现安全设备集中状态监控、日志收集、策略下发等,实现对整个工控系统网络安全威胁的集中管控与展示;部署日志审计系统,实现日志留存、审计分析,为安全专员提供有效技术手段。