一背景簡介
國內(nèi)某大型水電站是國家西電東送“十五”期間重點工程���,該電站總裝機容量100萬kW,年發(fā)電量24億kW·h��,同時具備多年調(diào)節(jié)的性能�。
該水電站作為中電聯(lián)組織的電力企業(yè)電力工控系統(tǒng)信息安全試點單位,開展工控安全試點建設(shè)工作��。綠盟科技憑借專業(yè)的技術(shù)能力����、可靠的安全產(chǎn)品和豐富的行業(yè)經(jīng)驗����,成為試點承建單位對水電站進行電力工控系統(tǒng)信息安全進行整體規(guī)劃和建設(shè)。
二安全現(xiàn)狀
某水電站電力工控系統(tǒng)現(xiàn)狀拓撲
經(jīng)現(xiàn)場實地考察和風(fēng)險評估分析后����,該水電站安全現(xiàn)狀總結(jié)如下:
柵格狀邊界防線已建立。已按照發(fā)改委14號令及國家能源局36號文中要求的“安全分區(qū)�、網(wǎng)絡(luò)專用����、橫向隔離����、縱向認(rèn)證”,初步建立縱橫交錯的柵格狀邊界防線����;
網(wǎng)絡(luò)邊界防護力度不足。安全區(qū)Ⅰ和安全區(qū)Ⅱ之間的邊界防護措施不夠完善�����,部署的傳統(tǒng)IT防火墻缺乏對工業(yè)協(xié)議的支持以及對工業(yè)病毒的防護���;
水情測控接入防護缺失���。安全區(qū)Ⅱ的水情系統(tǒng)前端測控站與后端服務(wù)器之間通過微波進行無線通信,缺乏安全防護設(shè)備在接收端對數(shù)據(jù)的無線輸入進行安全防護����;
惡意代碼防范機制缺失。安全區(qū)Ⅰ和安全區(qū)Ⅱ的上位機、服務(wù)器等主機設(shè)備均處于“裸奔”狀態(tài)�,無法對惡意代碼進行有效防范;
移動介質(zhì)安全管控缺乏�。移動介質(zhì)濫用、亂用現(xiàn)象嚴(yán)重:隨意拷貝數(shù)據(jù)造成敏感信息泄露��,移動介質(zhì)攜帶病毒造成主機感染進而導(dǎo)致系統(tǒng)癱瘓��;
監(jiān)控系統(tǒng)監(jiān)測審計缺少���。缺少針對上位機�、服務(wù)器�、網(wǎng)絡(luò)行為等監(jiān)測審計能力,更無法實現(xiàn)對電力監(jiān)控系統(tǒng)安全設(shè)備的統(tǒng)一監(jiān)管�����;
重要控制設(shè)備防護缺失��。針對各控制系統(tǒng)PLC的防護措施不足����,無法對流經(jīng)的工業(yè)協(xié)議進行深度包檢測����,發(fā)現(xiàn)異常操作和違規(guī)行為���;
廠站安全管理制度不全。電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理制度不健全����,無法落實網(wǎng)絡(luò)安全工作職責(zé)和責(zé)任,相關(guān)軟硬件設(shè)備得不到有效保養(yǎng)維護����。
三解決方案
針對發(fā)現(xiàn)的安全風(fēng)險和問題,綠盟科技專家技術(shù)團隊根據(jù)該水電站計算機監(jiān)控系統(tǒng)和水情水調(diào)自動化系統(tǒng)情況�,結(jié)合發(fā)改委、工信部和國家能源局等主管機構(gòu)對發(fā)電廠工控系統(tǒng)安全防護的具體要求���,為水電站電力工控系統(tǒng)構(gòu)建柵格狀�、立體化的縱深防線��。
區(qū)域邊界防護
在安全區(qū)Ⅰ和安全區(qū)Ⅱ之間部署工業(yè)防火墻�,實現(xiàn)兩個安全區(qū)域的邊界防護和訪問控制;在安全區(qū)Ⅰ的監(jiān)控系統(tǒng)中各處LCU和站控層交換機之間部署工業(yè)防火墻��,實現(xiàn)對LCU內(nèi)部重要控制設(shè)備PLC的精準(zhǔn)防護�����;在安全區(qū)Ⅱ的水情系統(tǒng)中測控裝置后端加設(shè)安全接入?yún)^(qū),在安全接入?yún)^(qū)中部署電力專用正向隔離裝置確保數(shù)據(jù)單向傳輸����,防止攻擊通過無線通信蔓延至內(nèi)部網(wǎng)絡(luò)中。
通信網(wǎng)絡(luò)監(jiān)測
在安全區(qū)Ⅰ的調(diào)度實時交換機�����、集控實時交換機上旁路部署工控安全審計���,在安全區(qū)Ⅰ的監(jiān)控系統(tǒng)的站控層交換機上旁路部署工控安全審計�,在安全區(qū)Ⅱ的調(diào)度非實時交換機����、集控非實時交換機上旁路部署工控安全審計,精準(zhǔn)記錄水電站電力監(jiān)控系統(tǒng)關(guān)鍵節(jié)點的網(wǎng)絡(luò)通信行為�,基于對水電站業(yè)務(wù)系統(tǒng)的理解和工業(yè)協(xié)議的深度解碼,結(jié)合水電站業(yè)務(wù)系統(tǒng)操作過程中相關(guān)的規(guī)程要求�����,感知潛在的異常操作行為��。
計算環(huán)境防范
在安全區(qū)Ⅰ和安全區(qū)Ⅱ的上位機�����、服務(wù)器等主機上安裝主機衛(wèi)士客戶端軟件�����,利用機器自學(xué)習(xí)白名單建模技術(shù)����,對電力監(jiān)控系統(tǒng)的應(yīng)用程序、進程�����、服務(wù)以及外設(shè)進行管控�����,同時利用主機加固功能對重要文件��、注冊表��、進程進行加固保護�,解決工業(yè)主機入侵檢測���、惡意代碼防范能力不強的問題;并在這些主機上部署USB保護裝置�����,配置安全策略只允許可信U盤進行接入���,禁止非授權(quán)移動介質(zhì)的接入��,實現(xiàn)USB的安全管控�。
管理中心態(tài)勢
在安全區(qū)Ⅱ中部署工業(yè)網(wǎng)絡(luò)安全監(jiān)測管理平臺�,接入水電廠安全設(shè)備、網(wǎng)絡(luò)設(shè)備�����、主機白名單軟件��、服務(wù)器等資產(chǎn)��,通過大數(shù)據(jù)技術(shù)進行行為分析��、業(yè)務(wù)關(guān)聯(lián)和機械學(xué)習(xí)���,實現(xiàn)對水電站整體安全的態(tài)勢感知和預(yù)警監(jiān)測��,發(fā)現(xiàn)異常行為��,及時處置從而降低安全風(fēng)險���。
物理環(huán)境監(jiān)測
在通訊機房、計算機監(jiān)控機房��、集控機房��、MIS機房部署6套精密工業(yè)空調(diào)����,并安裝水浸傳感器、煙感傳感器等裝置���,同時將機房UPS電源接入動態(tài)環(huán)境監(jiān)測系統(tǒng)中�,實現(xiàn)對機房物理環(huán)境的實時監(jiān)測���。
管理制度健全
建設(shè)一套適用于該水電廠的安全管理以及應(yīng)急預(yù)案制度���,安全管理制度包括組織建設(shè)��、外來人員���、網(wǎng)絡(luò)安全、風(fēng)險評估�、變更、供應(yīng)商��、介質(zhì)等一系列管理制度�����。
四客戶價值
★ 合規(guī)達標(biāo)�����,風(fēng)險可控
滿足國家�、行業(yè)法律法規(guī)以及政策標(biāo)準(zhǔn)等合規(guī)方面的要求,通過等保三級測評�����,將網(wǎng)絡(luò)安全風(fēng)險降低到可控范圍內(nèi)��。
★ 趨勢預(yù)警�����,成果可視
通過大數(shù)據(jù)、威脅情報和態(tài)勢感知等新技術(shù)達到安全風(fēng)險趨勢預(yù)警�,網(wǎng)絡(luò)安全成果可在平臺進行展示。
★ 平穩(wěn)運行�,業(yè)務(wù)可靠
整體方案實施完成后未對水電站正常生產(chǎn)業(yè)務(wù)造成影響,保障電力監(jiān)控系統(tǒng)平穩(wěn)運行�,業(yè)務(wù)系統(tǒng)數(shù)據(jù)傳輸可靠�����。
★ 縱深防御����,安全可信
通過各類安全設(shè)備構(gòu)建電力柵格狀立體縱深防線,實現(xiàn)水電站生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)安全的縱深防御和綜合防護�,生產(chǎn)運行環(huán)境安全可信。
