火电作为我国发电的主流类型,是国民经济的支柱产业之—,火电发电的控制系统是火电厂的大脑。在两化融合的大趋势下,行业中的工控网络与办公网络的互联互通是一个必然的趋势。从行业普遍性角度来看,工控网络与办公网络的连接基本上仅有一个防火墙,但是不支持opc等主流工控设备,控制粒度非常粗糙,带来很大的安全隐患,工控网络基本上不具备任何发现、防御外部攻击行为的手段,外部威胁源一旦进入公司的办公网络,则可以连接到工业网络的现场控制层网络,直接影响工业生产。另一方面工控网络内部设备如各类操作站、终端等,大部分采用windows系统,为保证工业软件的稳定运行无法进行系统升级甚至不能安装杀毒软件,存在着大量漏洞,在自身安全性不高的情况下运行,综合而言工控系统的安全风险不言而喻。
根据电力行业电力监控系统安全防护总体方案(国能安全【2015】 36号)的相关规定,参照中国大康集团有限公司企业标准《工控系统网络信息安全技术监督标准》,结合辅控系统现场网络情况,经分析诊断目前存在以下几方面的网络安全问题。
·网络监控不足
·主机防护不足
·网络隔离防护缺乏有效措施
项目内容
建设原则及要点
● 稳定可靠
对发电厂热控系统来说安全稳定可靠是最重要的。在本次项目中建议的安全控制措施,包括其部署和应用的方式,都是在各集团网站中有众多先例的,已经被各电力集团所接受的技术和产品。
● 实时性和高效性
在本次信息安全架构设计中考虑到发电厂实际情况,建议采用高处理能力的安全产品,以保证实时性和高效性。
● 安全风险可控
根据发电厂的实际情况建议将整体网络分割为不同的区域,并在边界进行严格的访问控制。
● 灵活性和扩展性
在本次项目中设计的架构在充分保证满足用户的可靠性运行要求、灵活性和扩展性要求。
建设方案
根据目前阳城电厂辅控系统存在的工控网络安全问题,结合阳城电厂辅网实际的网络结构,并考虑后续辅控接入sis系统的情况,在"安全分区、网络专用、横向隔离、纵向认证、综合防护"原则的基础上针对性的建设方案。
● 划分安全隔离域
把电厂辅控网络划分成水系统安全隔离域、灰系统安全隔离域和煤系统安全隔离域,分别在水网、灰网、煤网的子系统网络出口处分别安装工业防火墙,合理配置安全策略,实现逻辑隔离、报文过滤、访问控制等功能,加强边界之间的安全防护和监控。
●增加工控网络安全审计
安全i区的各个子系统安装工控网络安全审计平台,对操作系统、数据库、业务应用的重要操作进行记录、分析,及时发现各种违规行为以及病毒和黑客的攻击行为。●提高工控系统入侵检测能力
安全ii区统一部署一套工业apt预警平台,合理设置监测规则,监测发现隐藏于流经网络边界正常信息中的入侵行为,分析潜在威胁并进行安全审计。
●增加日志审计功能
在安全i区和安全ii区部署综合日志审计平台,能够对网络运行日志、操作系统日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行集中收集、自动分析,并保存不少于6个月。
●增加网络安全监测装置详细说明
在安全区ii部署工控态势感知平台,实时监测域内电力工控系统的主机、网络设备、安全设备等运行状态及日志的采集、存储、转发,数据经网闸可传输至集团公司工控网络安全监测平台。
● 主机安全加固详细说明
电厂辅控操作员站、工程师站、接口机等工控机,一般投用后操作系统及应用软件不会有较大变动,为确保工控系统稳定性很少人为定期更新系统等操作,故采用白名单防护技术的工控安全主机卫士非常适合用来加固工控机,提高主机的防护能力。
项目价值
本方案通过体系化的设计方式,完成大唐阳城电厂辅控的安全体系设计,主要功能点如下∶
o 区域隔离防护
方案通过工业防火墙,达到以安全域为单位,严格限制通讯访问方式。
o 控制网络内部安全监测与审计
通过部署工业安全监测审计平台,实时检测出针对工业协议的网络攻击、误操作、违规操作、非法 ip 或非法设备接入以及病毒的传播并实时报警,帮助客户及时采取应对措施,减少系统异常风险。平台能够详实记录一切网络通信行为,包括指令级的工业控制协议通信记录,并且提供回溯功能,为工业控制系统的安全事故调查提供坚实的基础。
o 主机防病毒
控系统的恶意代码防范主要通过安装工业安全主机卫士方式实现。工控主机防护是指在工控上位机的操作系统平台层面,对网络端口、外设端口、重要文件进行管控,达到主机层面对恶意代码的有效防范。
o 全面安全监控