随着信息化和工业化的不断融合,电力监控系统发生了巨大的变化,不同类型的工业产品和通讯协议,在交换机和工控机处交汇和互联,孤立的系统和车间被连接成一体。这种技术体系的开放性和网络的互联性为基于网络的安全攻击打来了方便之门,使电力工控系统安全面临新的挑战:
一、安全问题
生产控制系统与信息管理系统的连接通讯,使系统受到来自上层系统的安全威胁,网络容易遭受恶意攻击,并使危险事件、恶意攻击行为等泛滥到其他区域。
无有效的安全管控措施,生产控制大区的非法外联现象时有发生,部分生产控制系统中的终端对U盘和移动硬盘等无限制措施。
主站系统操作系统无法防范恶意代码和恶意软件攻击,主站系统操作系统未安装杀毒软件。
由于缺乏对管理和技术人员操作行为的有效安全监管和审计,误操作或者恶意操作安全风险较大。
针对系统终端设备、网络设备、网络安全设备产生的日志,无完善的安全审计平台,对网络运行日志、操作系统运行日志、安全设备运行日志等进行集中收集、自动分析。
针对信息系统的管理分散且困难,无法实时、集中地管理工控系统中的网络相关设备,无法整体把握生产和管理各大区的网络状况,实现针对系统统一的安全事态监控和态势感知。
二、天地和兴信息安全解决方案
针对电力行业的现状和信息安全问题,天地和兴结合自己多年的电力行业从业经验,提出面向电力行业的工控系统信息安全解决方案。在积极响应国家政策方针情况下,围绕“安全隔离、边界防御、区域监测、安全审计、集中管理、终端防护”,形成自有、完善的六位一体信息安全体系,对电厂电力系统进行细致、全方位安全防护。
2.设备部署方案
工控防火墙
在电厂电力系统各大区之间、大区与互联网边界横向部署工控防火墙,分别对大区进行逻辑隔离。结合电厂应用实际情况,制定防护规则,通过地址、协议等方式对流量进行管控,只允许大区安全可通过流量进行数据交互和访问,深度解析各种工控协议,防范非法访问。
工控安全审计平台
在所需大区旁路镜像部署安全审计平台,通过监测、预警和审计三模块实现对生产控制大区的工控系统和业务的安全状态进行实时监测和安全事件分析,发现网络中的异常,从全局角度进行安全事件实时分析处理, 为管理者提供网络安全风险的实时告警性 提升工控网络的风险防护深度。
工控信息安全管理平台
在安全二区或信息管理大区部署信息安全管理平台,方便对审计日志集中收集和分析管理,生成相关事件报告,掌握系统整体网络状况,针对收集的日志统一管理,生成可视化的安全态势报告,方便管理员对危险事件进行发现和处理。
主机安全防护软件(主机加固)
在重要终端主机部署主机安全防护软件,对非安全操作系统进行有效的恶意代码防护。通过白名单方式对安全程序进行管理,防范非法程序和应用安装运行以及未经授权的任何行为,同时控制U盘、移动硬盘等移动设备的使用,规范终端用户操作行为。
三、升级改造目标
该方案以建立纵深防御策略为主要思想,确保工厂网络中即使某一点发生网络安全事故,工厂也能正常运行,同时,工厂操作人员能够很迅速的找到问题并进行处理,主要达到以下目标:
深度检查:面向应用层对特有的工业通讯协议进行内容深度检查,告别病毒库升级缺陷;
通信管控:对数据流量进行管控,通过端口、地址、协议等方式对数据流量进行帅选,保证流量合法性。
实时报警:所有部署的防火墙都能由工控安全管理平台进行实时监控,任何非法的(没有被组态允许的)访问,都会在安全管理平台产生实时报警信息,从而故障问题会在原始发生区域被迅速的发现和解决。
主机防护:安装了主机防护的电脑在面对自身与外界的安全威胁有了更深的防护级别,深度执行白名单数据库的数据运行。
流量审计:完善的安全审计平台,对网络运行日志、操作系统运行日志、安全设施运行日志等进行集中收集、自动分析,及时发现各种违规行为以及病毒和黑客的攻击行为。
操作行为的监控与审计:依靠主机防护软件的主机审计和工控安全审计系统的网络审计对整个电力监控系统进行操作行为的监控与审计,记录操作行为,便于事件追溯。
