隨著信息化和工業(yè)化的不斷融合,電力監(jiān)控系統(tǒng)發(fā)生了巨大的變化,不同類型的工業(yè)產(chǎn)品和通訊協(xié)議,在交換機(jī)和工控機(jī)處交匯和互聯(lián),孤立的系統(tǒng)和車間被連接成一體。這種技術(shù)體系的開放性和網(wǎng)絡(luò)的互聯(lián)性為基于網(wǎng)絡(luò)的安全攻擊打來了方便之門,使電力工控系統(tǒng)安全面臨新的挑戰(zhàn):
一、安全問題
生產(chǎn)控制系統(tǒng)與信息管理系統(tǒng)的連接通訊,使系統(tǒng)受到來自上層系統(tǒng)的安全威脅,網(wǎng)絡(luò)容易遭受惡意攻擊,并使危險事件、惡意攻擊行為等泛濫到其他區(qū)域。
無有效的安全管控措施,生產(chǎn)控制大區(qū)的非法外聯(lián)現(xiàn)象時有發(fā)生,部分生產(chǎn)控制系統(tǒng)中的終端對U盤和移動硬盤等無限制措施。
主站系統(tǒng)操作系統(tǒng)無法防范惡意代碼和惡意軟件攻擊,主站系統(tǒng)操作系統(tǒng)未安裝殺毒軟件。
由于缺乏對管理和技術(shù)人員操作行為的有效安全監(jiān)管和審計,誤操作或者惡意操作安全風(fēng)險較大。
針對系統(tǒng)終端設(shè)備、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備產(chǎn)生的日志,無完善的安全審計平臺,對網(wǎng)絡(luò)運(yùn)行日志、操作系統(tǒng)運(yùn)行日志、安全設(shè)備運(yùn)行日志等進(jìn)行集中收集、自動分析。
針對信息系統(tǒng)的管理分散且困難,無法實時、集中地管理工控系統(tǒng)中的網(wǎng)絡(luò)相關(guān)設(shè)備,無法整體把握生產(chǎn)和管理各大區(qū)的網(wǎng)絡(luò)狀況,實現(xiàn)針對系統(tǒng)統(tǒng)一的安全事態(tài)監(jiān)控和態(tài)勢感知。
二、天地和興信息安全解決方案
針對電力行業(yè)的現(xiàn)狀和信息安全問題,天地和興結(jié)合自己多年的電力行業(yè)從業(yè)經(jīng)驗,提出面向電力行業(yè)的工控系統(tǒng)信息安全解決方案。在積極響應(yīng)國家政策方針情況下,圍繞“安全隔離、邊界防御、區(qū)域監(jiān)測、安全審計、集中管理、終端防護(hù)”,形成自有、完善的六位一體信息安全體系,對電廠電力系統(tǒng)進(jìn)行細(xì)致、全方位安全防護(hù)。
2.設(shè)備部署方案
工控防火墻
在電廠電力系統(tǒng)各大區(qū)之間、大區(qū)與互聯(lián)網(wǎng)邊界橫向部署工控防火墻,分別對大區(qū)進(jìn)行邏輯隔離。結(jié)合電廠應(yīng)用實際情況,制定防護(hù)規(guī)則,通過地址、協(xié)議等方式對流量進(jìn)行管控,只允許大區(qū)安全可通過流量進(jìn)行數(shù)據(jù)交互和訪問,深度解析各種工控協(xié)議,防范非法訪問。
工控安全審計平臺
在所需大區(qū)旁路鏡像部署安全審計平臺,通過監(jiān)測、預(yù)警和審計三模塊實現(xiàn)對生產(chǎn)控制大區(qū)的工控系統(tǒng)和業(yè)務(wù)的安全狀態(tài)進(jìn)行實時監(jiān)測和安全事件分析,發(fā)現(xiàn)網(wǎng)絡(luò)中的異常,從全局角度進(jìn)行安全事件實時分析處理, 為管理者提供網(wǎng)絡(luò)安全風(fēng)險的實時告警性 提升工控網(wǎng)絡(luò)的風(fēng)險防護(hù)深度。
工控信息安全管理平臺
在安全二區(qū)或信息管理大區(qū)部署信息安全管理平臺,方便對審計日志集中收集和分析管理,生成相關(guān)事件報告,掌握系統(tǒng)整體網(wǎng)絡(luò)狀況,針對收集的日志統(tǒng)一管理,生成可視化的安全態(tài)勢報告,方便管理員對危險事件進(jìn)行發(fā)現(xiàn)和處理。
主機(jī)安全防護(hù)軟件(主機(jī)加固)
在重要終端主機(jī)部署主機(jī)安全防護(hù)軟件,對非安全操作系統(tǒng)進(jìn)行有效的惡意代碼防護(hù)。通過白名單方式對安全程序進(jìn)行管理,防范非法程序和應(yīng)用安裝運(yùn)行以及未經(jīng)授權(quán)的任何行為,同時控制U盤、移動硬盤等移動設(shè)備的使用,規(guī)范終端用戶操作行為。
三、升級改造目標(biāo)
該方案以建立縱深防御策略為主要思想,確保工廠網(wǎng)絡(luò)中即使某一點(diǎn)發(fā)生網(wǎng)絡(luò)安全事故,工廠也能正常運(yùn)行,同時,工廠操作人員能夠很迅速的找到問題并進(jìn)行處理,主要達(dá)到以下目標(biāo):
深度檢查:面向應(yīng)用層對特有的工業(yè)通訊協(xié)議進(jìn)行內(nèi)容深度檢查,告別病毒庫升級缺陷;
通信管控:對數(shù)據(jù)流量進(jìn)行管控,通過端口、地址、協(xié)議等方式對數(shù)據(jù)流量進(jìn)行帥選,保證流量合法性。
實時報警:所有部署的防火墻都能由工控安全管理平臺進(jìn)行實時監(jiān)控,任何非法的(沒有被組態(tài)允許的)訪問,都會在安全管理平臺產(chǎn)生實時報警信息,從而故障問題會在原始發(fā)生區(qū)域被迅速的發(fā)現(xiàn)和解決。
主機(jī)防護(hù):安裝了主機(jī)防護(hù)的電腦在面對自身與外界的安全威脅有了更深的防護(hù)級別,深度執(zhí)行白名單數(shù)據(jù)庫的數(shù)據(jù)運(yùn)行。
流量審計:完善的安全審計平臺,對網(wǎng)絡(luò)運(yùn)行日志、操作系統(tǒng)運(yùn)行日志、安全設(shè)施運(yùn)行日志等進(jìn)行集中收集、自動分析,及時發(fā)現(xiàn)各種違規(guī)行為以及病毒和黑客的攻擊行為。
操作行為的監(jiān)控與審計:依靠主機(jī)防護(hù)軟件的主機(jī)審計和工控安全審計系統(tǒng)的網(wǎng)絡(luò)審計對整個電力監(jiān)控系統(tǒng)進(jìn)行操作行為的監(jiān)控與審計,記錄操作行為,便于事件追溯。