omniture

天地和興:關(guān)鍵信息基礎(chǔ)設(shè)施的等保2.0之路 | 火力發(fā)電篇

在“關(guān)鍵信息基礎(chǔ)設(shè)施的等保2.0之路”系列文章中,天地和興將從關(guān)鍵信息基礎(chǔ)設(shè)施保護的實踐出發(fā),梳理并提供2.0時代等保安全建設(shè)的整體解決方案,旨在助力關(guān)鍵信息基礎(chǔ)設(shè)施運營者網(wǎng)絡(luò)安全防護能力和信息安全管理能力的提升,應(yīng)對各類網(wǎng)絡(luò)風(fēng)險和挑戰(zhàn)。

北京2020年5月22日 /美通社/ -- 2019年12月1日,《網(wǎng)絡(luò)安全等級保護基本要求》的正式實施標志著等級保護制度整體進入 2.0 時代,等級保護對象范圍從傳統(tǒng)的網(wǎng)絡(luò)和信息系統(tǒng),向“云移物工大”上進行了擴展。GB/T22239由單獨的基本要求演變?yōu)橥ㄓ冒踩?新技術(shù)安全擴展要求,且技術(shù)要求和管理要求都做了調(diào)整。而關(guān)鍵信息基礎(chǔ)設(shè)施也在定級要求上明確指出“定級原則上不低于三級”的要求。在“關(guān)鍵信息基礎(chǔ)設(shè)施的等保2.0之路”系列文章中,天地和興將從關(guān)鍵信息基礎(chǔ)設(shè)施保護的實踐出發(fā),梳理并提供2.0時代等保安全建設(shè)的整體解決方案,旨在助力關(guān)鍵信息基礎(chǔ)設(shè)施運營者網(wǎng)絡(luò)安全防護能力和信息安全管理能力的提升,應(yīng)對各類網(wǎng)絡(luò)風(fēng)險和挑戰(zhàn)。

 

一、安全現(xiàn)狀

自2007年國務(wù)院《關(guān)于加快關(guān)停小火電機組若干意見的通知》,火電行業(yè)開始“上大壓小”。新建、擴建、改建的火電廠發(fā)電機組規(guī)模越來越大,按照行業(yè)定級要求火電機組控制系統(tǒng)單機容量300兆瓦及以上的定級為三級來看,火電生產(chǎn)控制系統(tǒng)需要按等保三級要求重點防護的占比越來越高。電廠生產(chǎn)控制系統(tǒng)和電力監(jiān)控系統(tǒng)是以計算機、通訊設(shè)備、測控單元為基本工具,為火電廠生產(chǎn)的實時數(shù)據(jù)采集、開關(guān)狀態(tài)檢測及遠程控制提供了基礎(chǔ)平臺,它可以和檢測、控制設(shè)備構(gòu)成任意復(fù)雜的監(jiān)控系統(tǒng),在火電廠生產(chǎn)中發(fā)揮了核心作用,可以幫助企業(yè)消除信息孤島,降低運作成本,提高生產(chǎn)效率,加快產(chǎn)電、變配電過程中的異常反應(yīng)速度。當前火力發(fā)電企業(yè)生產(chǎn)控制大區(qū)信息普遍存在以下網(wǎng)絡(luò)安全隱患

  • 火電企業(yè)系統(tǒng)眾多、數(shù)據(jù)交互頻繁,一旦防護不當會導(dǎo)致惡意攻擊從信息網(wǎng)甚至互聯(lián)網(wǎng)直接滲透到生產(chǎn)網(wǎng)絡(luò);
  • 生產(chǎn)控制大區(qū)的工程師站、操作員站等大部分上位機為Windows/Linux平臺。為保證過程控制系統(tǒng)的相對獨立性,同時考慮到系統(tǒng)的穩(wěn)定運行,通常在系統(tǒng)運行后不會安裝殺毒軟件,更新安全補丁或變更策略配置,防止埋下巨大的安全隱患。一旦感染惡意代碼,極易傳播擴散,導(dǎo)致非計劃停機;
  • 目前在火電DCS控制系統(tǒng)中,各類品牌設(shè)備普遍存在安全問題。近年來國內(nèi)外漏洞平臺陸續(xù)發(fā)布了針對工控系統(tǒng)HMI軟件、PLC固件的多個漏洞。一旦漏洞沒有及時修復(fù)被黑客利用,會造成嚴重影響;
  • 缺乏對管理和技術(shù)人員操作行為的有效安全監(jiān)管和審計,誤操作或惡意操作安全風(fēng)險較大;
  • 從等保2.0的要求以及構(gòu)建整體網(wǎng)絡(luò)安全防護體系的需求來看,大部分火電企業(yè)并無統(tǒng)一的信息安全管理策略,亦并未配置獨立的安全管理中心。
天地和興:關(guān)鍵信息基礎(chǔ)設(shè)施的等保2.0之路 | 火力發(fā)電篇

 

*安全威脅分類摘自:《電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護導(dǎo)則》5.2電力監(jiān)控系統(tǒng)面臨的網(wǎng)絡(luò)安全威脅

 

二、解決方案

面對上述火力發(fā)電企業(yè)的安全現(xiàn)狀,天地和興做了深入的調(diào)查與研究,面對不同的應(yīng)用場景,提供了全生命周期安全解決方案,為火力發(fā)電安全生產(chǎn)構(gòu)建安全防御體系。

1、風(fēng)險評估方案

風(fēng)險評估是全面了解與驗證火力發(fā)電企業(yè)生產(chǎn)控制網(wǎng)絡(luò)和管理過程中存在各種風(fēng)險和問題的一種必要手段,亦是安全防護體系建設(shè)的前提,天地和興將針對火力發(fā)電企業(yè)生產(chǎn)控制網(wǎng)運行環(huán)境與安全管理制度,對生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)做全面的安全檢查與驗證,并對當前網(wǎng)絡(luò)環(huán)境進行深度工控漏洞挖掘,最終生成權(quán)威的安全風(fēng)險評估報告,為用戶全面了解生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險提供依據(jù)。

天地和興:關(guān)鍵信息基礎(chǔ)設(shè)施的等保2.0之路 | 火力發(fā)電篇

2、安全防護方案

對火電廠生產(chǎn)監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全防護建設(shè),遵循電力建立體系不斷發(fā)展、分區(qū)分級保護重點、網(wǎng)絡(luò)專用多道防線、全面融入安全生產(chǎn)、管控風(fēng)險保障安全的原則,參照國家《網(wǎng)絡(luò)安全等級保護基本要求》“一個中心、三重防護”的安全理念,通過部署工控防火墻、工控安全審計、入侵檢測、網(wǎng)絡(luò)安全監(jiān)測裝置等安全防護產(chǎn)品,提升生產(chǎn)監(jiān)控系統(tǒng)網(wǎng)絡(luò)整體防護能力,部署示意圖如下:

天地和興:關(guān)鍵信息基礎(chǔ)設(shè)施的等保2.0之路 | 火力發(fā)電篇
 

安全通信網(wǎng)絡(luò)在生產(chǎn)控制大區(qū)和信息管理大區(qū)之間串行部署電力專用單向隔離網(wǎng)閘,用于生產(chǎn)控制大區(qū)到管理信息大區(qū)的非網(wǎng)絡(luò)方式單向數(shù)據(jù)傳輸;電力專用加密認證網(wǎng)關(guān)部署在電力控制系統(tǒng)的內(nèi)部局域網(wǎng)與電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的路由器之間,用來保障電力調(diào)度系統(tǒng)縱向數(shù)據(jù)傳輸過程中的數(shù)據(jù)機密性、完整性。

安全區(qū)域邊界在電力監(jiān)控系統(tǒng)不同級別安全域之間部署工控防火墻/電力專用隔離裝置,建立不同安全域之間的訪問控制策略,實現(xiàn)網(wǎng)絡(luò)隔離與細粒度控制。嚴格禁止E-mail、WEB、Telnet、Rlogin、FTP 等安全風(fēng)險高的網(wǎng)絡(luò)服務(wù),以及通過 B/S或 C/S 方式的數(shù)據(jù)庫訪問穿越專用橫向單向安全隔離裝置。避免在一個系統(tǒng)或區(qū)域里爆發(fā)工控安全事件擴散到其他系統(tǒng)或區(qū)域當中,保障區(qū)域間通信網(wǎng)絡(luò)安全。通過在核心交換機上旁路部署入侵檢測系統(tǒng)、工控威脅檢測系統(tǒng)、工控安全審計平臺,實時監(jiān)測網(wǎng)絡(luò)邊界、安全域內(nèi)重要節(jié)點的異常行為并進行審計告警,異常行為包括各類已知、未知的入侵行為,網(wǎng)絡(luò)病毒,非法訪問等。

安全計算環(huán)境在主要的上位機上部署主機安全防護系統(tǒng)客戶端,實現(xiàn)主機防病毒、防第三方軟件的非授權(quán)安裝與使用,主機系統(tǒng)外接口尤其是USB存儲設(shè)備的認證管控、防病毒與操作行為審計。針對電力監(jiān)控系統(tǒng)內(nèi)所有上位機、人機交互站、安全設(shè)備以及服務(wù)器等進行人工加固服務(wù),加固方式包括但不限于:安全配置、安全補丁、采用專用軟件或硬件強化操作系統(tǒng)訪問控制能力以及配置安全的應(yīng)用程序。加固措施包括:升級到當前系統(tǒng)版本、安裝后續(xù)補丁合集、加固系統(tǒng)TCP/IP配置、關(guān)閉不必要服務(wù)和端口、為超級用戶或特權(quán)用戶設(shè)定復(fù)雜口令、修改弱口令或空口令、禁止任何應(yīng)用程序以超級用戶身份運行、設(shè)定系統(tǒng)日志和審計行為等。

安全管理中心在火電廠生產(chǎn)控制大區(qū)中新建安全管理域,部署日志審計與分析系統(tǒng)、賬號管理及運維審計系統(tǒng)、工控信息安全監(jiān)管與分析平臺,實現(xiàn)全網(wǎng)安全設(shè)備運行監(jiān)控、安全日志收集與分析、安全事件集中處置,全網(wǎng)系統(tǒng)賬戶的統(tǒng)一管理與操作審計,全網(wǎng)資產(chǎn)無損掃描識別與管理,資產(chǎn)漏洞匹配與統(tǒng)計報告等安全集中管理能力。在NCS系統(tǒng)安全I區(qū)和安全II區(qū)各部署一臺網(wǎng)絡(luò)安全監(jiān)測裝置,通過探針軟件和網(wǎng)管協(xié)議收集涉網(wǎng)設(shè)備的運行日志、安全設(shè)備運行日志,涉網(wǎng)業(yè)務(wù)系統(tǒng)的運行日志等,將告警信息經(jīng)縱向加密統(tǒng)一上傳至省調(diào)和地調(diào)的網(wǎng)絡(luò)安全管理平臺。

3、安全檢查方案

建立生產(chǎn)監(jiān)控系統(tǒng)定期安全檢查和整改工作機制,每年至少自行開展一次安全檢查,依據(jù)發(fā)現(xiàn)問題需制定整改計劃及措施,并將整改情況上報主管單位和集團公司。等級保護定級為三級的系統(tǒng),除每年自行開展一次安全檢查外,還應(yīng)按照等級保護要求,做好安全評估及整改工作。配合集團公司每年抽檢,并協(xié)助開展生產(chǎn)監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全專項檢查,最終對檢查結(jié)果進行通報。

4、應(yīng)急演練方案

協(xié)助制訂火電廠生產(chǎn)監(jiān)控系統(tǒng)安全應(yīng)急處置預(yù)案,每年至少進行一次演練,確保發(fā)生安全事件時能夠有序處置、快速恢復(fù)。當生產(chǎn)控制大區(qū)內(nèi)生產(chǎn)監(jiān)控系統(tǒng)發(fā)生變化時,及時組織對應(yīng)急處置預(yù)案進行評估,根據(jù)實際情況適時修改并進行演練,形成快速反應(yīng)、快速處置能力。確保當生產(chǎn)控制大區(qū)出現(xiàn)安全事件,尤其是遭到黑客、惡意代碼攻擊和其他人為破壞時,立即向上級電力調(diào)度機構(gòu)以及當?shù)貒夷茉淳峙沙鰴C構(gòu)、當?shù)卣鄳?yīng)部門及集團公司報告,同時按應(yīng)急處理預(yù)案采取安全應(yīng)急措施。處理安全事件過程中應(yīng)注意保護現(xiàn)場,以便進行調(diào)查取證和分析。最后將制定安全防護事件通報制度、有關(guān)安全問題做好記錄。定期向調(diào)度中心報送生產(chǎn)監(jiān)控系統(tǒng)安全防護情況,并及時上報生產(chǎn)監(jiān)控系統(tǒng)安全防護出現(xiàn)的異常現(xiàn)象。

5、安全服務(wù)方案

針對主管、運維等部門的“專業(yè)壁壘”等問題,天地和興為相關(guān)人員提供專業(yè)的培訓(xùn)、咨詢、運維等服務(wù),涉及網(wǎng)絡(luò)安全培訓(xùn)、安全防護標準培訓(xùn)、當前攻防技術(shù)培訓(xùn)與應(yīng)用、安全管理與規(guī)范操作日常運維等內(nèi)容。協(xié)助企業(yè)全員提高專業(yè)知識與安全防范意識。同時,天地和興還提供7*24小時的專家級安全咨詢服務(wù)與運維、應(yīng)急保障。

6、安全運營方案

安全運營的好壞直接影響工控系統(tǒng)網(wǎng)絡(luò)安全防護體系的防護效能。安全運營涵蓋內(nèi)容較多,包括安全運營中心建立、安全意識培訓(xùn)、安全運營管理、安全體系管理、安全運維管理等多維度內(nèi)容。針對企業(yè)實際情況進行詳細方案設(shè)計,規(guī)范火電企業(yè)的整體安全運營工作。

 

三、總結(jié)

火電廠生產(chǎn)監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)與管理是一個復(fù)雜的系統(tǒng)工程,是保證火電廠安全生產(chǎn)、運營和管理所必須進行的長期工作,其總體安全防護水平取決系統(tǒng)中最薄弱點的安全水平。本文所涉及方案依照國家等級保護要求,充分考慮了火電廠生產(chǎn)監(jiān)控系統(tǒng)面臨的主要安全威脅,結(jié)合電力企業(yè)網(wǎng)絡(luò)安全建設(shè)與管理實際情況以及業(yè)務(wù)系統(tǒng)實際組網(wǎng)應(yīng)用情況,側(cè)重在網(wǎng)絡(luò)層、主機層構(gòu)建縱深安全防護體系,落實國家等級保護“一個中心、三重防護”的安全理念與安全架構(gòu)要求,提供包括安全服務(wù)、安全建設(shè)、安全運營在內(nèi)的全生命周期工控安全解決方案,為業(yè)務(wù)系統(tǒng)安全運行保駕護航。

消息來源:北京天地和興科技有限公司
China-PRNewsire-300-300.png
全球TMT
微信公眾號“全球TMT”發(fā)布全球互聯(lián)網(wǎng)、科技、媒體、通訊企業(yè)的經(jīng)營動態(tài)、財報信息、企業(yè)并購消息。掃描二維碼,立即訂閱!
collection