一、背景簡介
國内某大型火電廠曆史悠久,總裝機容量189萬kW,一期建設三台循環流化床燃煤機組,二期建設兩台66萬kW級超超臨界燃煤發電機組。
該火電廠作為中電聯組織的電力企業電力工控系統資訊安全試點機關,開展工控安全試點建設工作。綠盟科技憑借專業的技術能力、可靠的安全産品和豐富的行業經驗,成為試點承建機關對該火電廠電力工控系統資訊安全進行整體規劃和建設。
二、安全現狀
圖 1 某火電廠電力工控系統現狀拓撲
經現場實地考察和風險評估分析後,該水電站安全現狀總結如下:
栅格狀邊界防線已建立,已按照發改委14号令及國家能源局36号文中要求的“安全分區、網絡專用、橫向隔離、縱向認證”,初步建立縱橫交錯的栅格狀邊界防線;
網絡邊界防護力度不足,安全區Ⅰ和安全區Ⅱ之間的邊界防護措施不夠完善,部署的傳統IT防火牆缺乏對工業協定的支援以及對工業病毒的防護;
惡意代碼防範機制缺失,安全區Ⅰ和安全區Ⅱ的上位機、接口機、伺服器等主機裝置均處于“裸奔”狀态,無法對惡意代碼進行有效防範;
移動媒體安全管控缺失,移動媒體濫用、亂用現象嚴重:随意拷貝資料造成敏感資訊洩露,移動媒體攜帶病毒造成主機感染進而導緻系統癱瘓;
入侵檢測防範機制缺失,生産控制大區與排程資料網之間缺少入侵檢測能力,無法對内部和外部發起的違規操作、誤操作以及病毒、木馬等攻擊行為進行檢測;
全網漏洞感覺能力缺失,無法對全網漏洞情況進行全面感覺,無法了解電力工控系統網絡資産的脆弱性狀況和薄弱節點,無法形成針對性的防護措施;
工控系統監測審計缺失,缺少針對上位機、伺服器、使用者行為和網絡行為等資訊的監測審計能力,更無法實作對電力工控系統安全裝置的統一監管。
三、解決方案
針對發現的安全風險和問題,綠盟專家技術團隊根據該火電廠DCS系統、NCS系統和SIS系統情況,結合發改委、工信部和國家能源局等主管機構對發電廠工控系統安全防護的具體要求,為該火電廠電力工控系統建構栅格狀、立體化的縱深防線。
圖 2 某火電廠電力工控系統安全設計圖
區域邊界防護:
1、在安全區Ⅰ的DCS系統、NCS系統和安全區Ⅱ的SIS系統之間部署工業防火牆,實作兩個安全區域的邊界防護和通路控制,同時對邊界處流經的OPC協定進行深度封包解析和動态端口控制;
2、在原有網絡架構基礎上劃分出安全管理區,在安全管理區的Ⅰ、Ⅱ區邊界部署電力專用正向隔離裝置,保障Ⅰ區安全裝置的資料僅經過E文本單向傳輸到Ⅱ區。
通信網絡監測:
1、在安全區Ⅰ的DCS、NCS交換機和安全區Ⅱ的SIS交換機上旁路部署工控安全審計,精準記錄火電廠電力工控系統關鍵節點的網絡通信行為,基于對火電廠業務系統的了解和工業協定的深度解碼,結合火電廠業務系統操作過程中相關的規程要求,感覺潛在的異常操作行為;
2、在安全區Ⅰ的RTU遠動系統和安全區Ⅱ的SIS系統、保信子站上旁路部署工控入侵檢測,及時發現來自電力工控系統内部和外部的攻擊行為,防止攻擊擴散蔓延,保障電力生産網絡的安全運作。
計算環境防範:
1、在安全區Ⅰ和安全區Ⅱ的上位機、接口機和伺服器等主機上安裝主機衛士用戶端軟體,利用一鍵固化白名單技術,對電力工控系統的應用程式、程序、服務等進行管控,并利用主機加強功能對重要檔案、系統資料庫、程序進行加強保護,解決工業主機入侵檢測、惡意代碼防範能力不強的問題;
2、同時通過主機衛士用戶端軟體進行白名單式的USB安全管控,防範移動媒體濫用,阻斷從移動媒體引發的病毒傳播攻擊;
3、在生産控制大區部署工控漏洞掃描,通過輕量化掃描、無損掃描等特定針對工控場景的掃描方式在系統上線前或機組檢修期對電力工控系統進行資産脆弱性和威脅識别,可以及時了解電力工控系統的薄弱環節,進而針對性進行預防與加強。
安全管理态勢:
1、将全網安全裝置彙集在安全管理區,通過在Ⅰ區和Ⅱ區部署的安全資料轉發器彙總區域内安全裝置、網絡裝置、主機白名單軟體、伺服器等資産的安全資料,以E文本形式經過電力專用正向隔離裝置單向傳輸到管理資訊大區部署的工業網絡安全監測管理平台;
2、通過工業網絡安全監測管理平台的大資料分析技術對收集到的安全資料進行範式化處理,同時開展行為分析、業務關聯和機械學習,實作對火電廠整體安全的态勢感覺和預警監測,發現異常行為,及時處置進而降低安全風險。
四、客戶價值
合規達标,風險可控:滿足國家和電力行業相關法律法規以及政策标準等合規方面的要求,将電力工控系統的網絡安全風險降低至可控範圍。
趨勢預警,成果可視:通過威脅情報和态勢感覺等新技術達到安全風險趨勢預警,将電力工控系統異常行為的告警和處置成果在平台上展示。
平穩運作,業務可靠:整體方案實施完成後未對火電廠正常生産業務造成異常的影響,保障電力工控系統平穩運作、業務系統資料可靠傳輸。
縱深防禦,安全可信:通過各類安全裝置建構電力栅格狀立體縱深防線,實作火電廠電力工控系統網絡的綜合防護,生産運作環境安全可信。
點選連結了解綠盟電力監控系統解決方案:電力監控系統解決方案 - 解決方案 - 綠盟科技-巨人背後的專家 (nsfocus.com.cn)