MENU
首页 > 关于安盟 > 新闻资讯 > 正文
2024-04-11
安盟信息为关基护航 水力发电工控安全解决方案
背景概述
  近年来,针对电力企业生产控制系统的攻击技术和手段不断衍变升级,各种生产控制系统恶意软件以及安全事件层出不穷,使得电力企业生产控制系统面临越来越多的安全威胁和挑战,包括病毒、木马、蠕虫、黑客以及敌对势力等。水电厂的网络结构一般采用分层分布、开放式网络系统结构,具有典型的三层结构:主控层、通信层、现地层。随着两化融合概念的提出以及科技的发展,越来越多的企业希望可以远程控制现场生产情况,云、物联网等概念必然推动工业控制网络与公共网络的共享。
  目前水力发电站正逐渐向着智能化和智慧化发展。然而工控设施的智能化建设可能会带来信息安全风险。与此同时,水力发电站的工控安全建设通常滞后于智能化和智慧化建设,无法应对日益严峻的网络安全威胁。这可能导致水力发电站遭受网络攻击,导致生产停滞。因此,需要加快水力发电站的工控系统安全建设,以确保其安全稳定运行。
需求分析
01标准合规性需求
  水力发电站要加快完成工控安全防护体系的建设工作,使之符合《信息安全技术网络安全等级保护基本要求》 (GBT22239-2019)、《工业控制系统信息安全防护指南》、发改委《电力监控系统安全防护规定》(14号令)及国能安全36号《电力监控系统安全防护总体方案》等电网安全相关政策、标准及监管要求。

02业务安全性需求
  从水力发电站分为安全I区、安全II区、安全III区等3个控制区,针对各个控制区进行需求分析:
  • 安全区I、安全区II:安全区I及安全区II段内部,各类安全威胁不断涌入控制系统,而安全区I及安全区II缺少对工业流量监测审计的手段,无法针对工控系统协议层面存在的恶意攻击、异常流量进行审计,更无法对工控指令攻击和控制参数篡改进行实时监测和告警,大大增加了网络入侵的风险,最终导致了事故的发生。
  • 内部缺少对工业流量监测审计的手段,无法针对工控系统协议层面存在的恶意攻击、异常流量进行审计,更无法对工控指令攻击和控制参数篡改进行实时监测和告警,极易产生网络入侵事件,最终导致安全生产事故的发生。
  • 各工控系统的上位机、服务器等主机工控系统上位机、服务器漏洞无处不在,对打补丁比较排斥,身份鉴别过于单一等情况;各主机也未部署对已知与未知病毒的防护措施;安全区I及安全区II存在误操作、非法攻击、勒索病毒感染等风险,安全区I及安全区II迫切需要对工控主机进行加固及病毒免疫等。
  • 安全区I运行着SCADA系统、AGC/AGV等重要业务系统。同时连接安全区II。因此需加强边界安全、入侵检测、日志审计、终端管理、运维审计、安全管理平台等防护能力。
  • 安全区II运行着梯调自动化、电能量计量、故障录波、保信子站、水情测报系统等重要业务系统。同时连接安全区III。因此同样需要加强边界安全、入侵检测日志审计、终端管理、运维审计、安全管理平台等防护能力。

解决方案
  针对按照国能安全36号《电力监控系统安全防护总体方案》的要求,根据安全分区、网络专用、横向隔离、纵向认证的原则,将电网络划分为生产控制大区和管理信息大区(定义为安全区III)两大部分,而生产控制大区又分为生产控制区(定义为安全区I)和非控制区(定义为安全区II)的要求,进行分层、分区、划域,各层次、区域之间采用合理的安全防护措施。

水力发电工控安全防护拓扑示意图

安全区I
安全区I分别在通信机与安全区II、安全区I与安全区I现场设备层连接处部署工业防火墙,精准按域进行防护。
在安全区I部署工业应用审计系统对网络中的全流量通信、操作行为、异常行为等进行审计及预警,对异常操作行为与数据进行实时监测和报警。
在安全区I监控层工控主机部署工控主机卫士软件系统,以白名单方式阻止非法进程运行及非法USB等外设接入,防止工业主机被破坏。
安全区II 安全区II与安全III区采用正反向隔离装置进行高安全隔离防护,提升外联安全接入区隔离强度,实现接近于物理隔离的高安全隔离目标。
在安全区II采用工业应用审计系统对网络中的全流量通信、操作行为、异常行为等进行审计及预警,对异常操作行为与数据进行实时监测和报警。
在安全区II值长站集功能站部署工控主机卫士软件系统,以白名单方式阻止非法进程运行及非法USB等外设接入,防止工业主机被破坏。
安全管理中心 
建设水力发电站的安全管理中心,实现终端防护、运维安全管控、安全管理平台等系统等。
对水力发电站生产全景进行安全态势感知、分析、预警及准入控制,并对异常报警行为形成工单分配给人工进行干预处理,同时与相应防护设备进行协同防御。
方案价值
满足标准合规性要求
符合《信息安全技术网络安全等级保护基本要求》 (GBT22239-2019)、《工业控制系统信息安全防护指南》、发改委《电力监控系统安全防护规定》(14号令)及国能安全36号《电力监控系统安全防护总体方案》等电网安全相关政策、标准及监管要求。
构建水力发电站体系化安全
通过强化水力发电站区域内网络、主机及数据的安全防护,大大增强了水力发电站的整体安全防护能力,确保强化水力发电站生产可持续运营,构建边界安全、物联设备安全的纵深防护体系。
提升水力发电站生产安全性
方案深度融合水力发电站工控设施,降低水力发电站的安全运营风险,提高安全运维效率,为水力发电站智能化、智慧化建设提供可靠的安全保障。
促进水力发电站智能化发展
通过建设水力发电站工控安全防护体系,可解决水力发电站智能化建设过程中带来的信息安全风险,保障水力发电站工控设施、智能化系统安全及设备可靠运转的目标。

关闭
上一篇: 无

相关新闻