隨著信息化和工業(yè)化的不斷融合,電力監(jiān)控系統(tǒng)發(fā)生了巨大的變化,不同類(lèi)型的工業(yè)產(chǎn)品和通訊協(xié)議,在交換機(jī)和工控機(jī)處交匯和互聯(lián),孤立的系統(tǒng)和車(chē)間被連接成一體。這種技術(shù)體系的開(kāi)放性和網(wǎng)絡(luò)的互聯(lián)性為基于網(wǎng)絡(luò)的安全攻擊打來(lái)了方便之門(mén),使電力工控系統(tǒng)安全面臨新的挑戰(zhàn):
一、安全問(wèn)題
生產(chǎn)控制系統(tǒng)與信息管理系統(tǒng)的連接通訊,使系統(tǒng)受到來(lái)自上層系統(tǒng)的安全威脅,網(wǎng)絡(luò)容易遭受惡意攻擊,并使危險(xiǎn)事件、惡意攻擊行為等泛濫到其他區(qū)域。
無(wú)有效的安全管控措施,生產(chǎn)控制大區(qū)的非法外聯(lián)現(xiàn)象時(shí)有發(fā)生,部分生產(chǎn)控制系統(tǒng)中的終端對(duì)U盤(pán)和移動(dòng)硬盤(pán)等無(wú)限制措施。
主站系統(tǒng)操作系統(tǒng)無(wú)法防范惡意代碼和惡意軟件攻擊,主站系統(tǒng)操作系統(tǒng)未安裝殺毒軟件。
由于缺乏對(duì)管理和技術(shù)人員操作行為的有效安全監(jiān)管和審計(jì),誤操作或者惡意操作安全風(fēng)險(xiǎn)較大。
針對(duì)系統(tǒng)終端設(shè)備、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備產(chǎn)生的日志,無(wú)完善的安全審計(jì)平臺(tái),對(duì)網(wǎng)絡(luò)運(yùn)行日志、操作系統(tǒng)運(yùn)行日志、安全設(shè)備運(yùn)行日志等進(jìn)行集中收集、自動(dòng)分析。
針對(duì)信息系統(tǒng)的管理分散且困難,無(wú)法實(shí)時(shí)、集中地管理工控系統(tǒng)中的網(wǎng)絡(luò)相關(guān)設(shè)備,無(wú)法整體把握生產(chǎn)和管理各大區(qū)的網(wǎng)絡(luò)狀況,實(shí)現(xiàn)針對(duì)系統(tǒng)統(tǒng)一的安全事態(tài)監(jiān)控和態(tài)勢(shì)感知。
二、天地和興信息安全解決方案
針對(duì)電力行業(yè)的現(xiàn)狀和信息安全問(wèn)題,天地和興結(jié)合自己多年的電力行業(yè)從業(yè)經(jīng)驗(yàn),提出面向電力行業(yè)的工控系統(tǒng)信息安全解決方案。在積極響應(yīng)國(guó)家政策方針情況下,圍繞“安全隔離、邊界防御、區(qū)域監(jiān)測(cè)、安全審計(jì)、集中管理、終端防護(hù)”,形成自有、完善的六位一體信息安全體系,對(duì)電廠電力系統(tǒng)進(jìn)行細(xì)致、全方位安全防護(hù)。
2.設(shè)備部署方案
工控防火墻
在電廠電力系統(tǒng)各大區(qū)之間、大區(qū)與互聯(lián)網(wǎng)邊界橫向部署工控防火墻,分別對(duì)大區(qū)進(jìn)行邏輯隔離。結(jié)合電廠應(yīng)用實(shí)際情況,制定防護(hù)規(guī)則,通過(guò)地址、協(xié)議等方式對(duì)流量進(jìn)行管控,只允許大區(qū)安全可通過(guò)流量進(jìn)行數(shù)據(jù)交互和訪問(wèn),深度解析各種工控協(xié)議,防范非法訪問(wèn)。
工控安全審計(jì)平臺(tái)
在所需大區(qū)旁路鏡像部署安全審計(jì)平臺(tái),通過(guò)監(jiān)測(cè)、預(yù)警和審計(jì)三模塊實(shí)現(xiàn)對(duì)生產(chǎn)控制大區(qū)的工控系統(tǒng)和業(yè)務(wù)的安全狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)測(cè)和安全事件分析,發(fā)現(xiàn)網(wǎng)絡(luò)中的異常,從全局角度進(jìn)行安全事件實(shí)時(shí)分析處理, 為管理者提供網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的實(shí)時(shí)告警性 提升工控網(wǎng)絡(luò)的風(fēng)險(xiǎn)防護(hù)深度。
工控信息安全管理平臺(tái)
在安全二區(qū)或信息管理大區(qū)部署信息安全管理平臺(tái),方便對(duì)審計(jì)日志集中收集和分析管理,生成相關(guān)事件報(bào)告,掌握系統(tǒng)整體網(wǎng)絡(luò)狀況,針對(duì)收集的日志統(tǒng)一管理,生成可視化的安全態(tài)勢(shì)報(bào)告,方便管理員對(duì)危險(xiǎn)事件進(jìn)行發(fā)現(xiàn)和處理。
主機(jī)安全防護(hù)軟件(主機(jī)加固)
在重要終端主機(jī)部署主機(jī)安全防護(hù)軟件,對(duì)非安全操作系統(tǒng)進(jìn)行有效的惡意代碼防護(hù)。通過(guò)白名單方式對(duì)安全程序進(jìn)行管理,防范非法程序和應(yīng)用安裝運(yùn)行以及未經(jīng)授權(quán)的任何行為,同時(shí)控制U盤(pán)、移動(dòng)硬盤(pán)等移動(dòng)設(shè)備的使用,規(guī)范終端用戶(hù)操作行為。
三、升級(jí)改造目標(biāo)
該方案以建立縱深防御策略為主要思想,確保工廠網(wǎng)絡(luò)中即使某一點(diǎn)發(fā)生網(wǎng)絡(luò)安全事故,工廠也能正常運(yùn)行,同時(shí),工廠操作人員能夠很迅速的找到問(wèn)題并進(jìn)行處理,主要達(dá)到以下目標(biāo):
深度檢查:面向應(yīng)用層對(duì)特有的工業(yè)通訊協(xié)議進(jìn)行內(nèi)容深度檢查,告別病毒庫(kù)升級(jí)缺陷;
通信管控:對(duì)數(shù)據(jù)流量進(jìn)行管控,通過(guò)端口、地址、協(xié)議等方式對(duì)數(shù)據(jù)流量進(jìn)行帥選,保證流量合法性。
實(shí)時(shí)報(bào)警:所有部署的防火墻都能由工控安全管理平臺(tái)進(jìn)行實(shí)時(shí)監(jiān)控,任何非法的(沒(méi)有被組態(tài)允許的)訪問(wèn),都會(huì)在安全管理平臺(tái)產(chǎn)生實(shí)時(shí)報(bào)警信息,從而故障問(wèn)題會(huì)在原始發(fā)生區(qū)域被迅速的發(fā)現(xiàn)和解決。
主機(jī)防護(hù):安裝了主機(jī)防護(hù)的電腦在面對(duì)自身與外界的安全威脅有了更深的防護(hù)級(jí)別,深度執(zhí)行白名單數(shù)據(jù)庫(kù)的數(shù)據(jù)運(yùn)行。
流量審計(jì):完善的安全審計(jì)平臺(tái),對(duì)網(wǎng)絡(luò)運(yùn)行日志、操作系統(tǒng)運(yùn)行日志、安全設(shè)施運(yùn)行日志等進(jìn)行集中收集、自動(dòng)分析,及時(shí)發(fā)現(xiàn)各種違規(guī)行為以及病毒和黑客的攻擊行為。
操作行為的監(jiān)控與審計(jì):依靠主機(jī)防護(hù)軟件的主機(jī)審計(jì)和工控安全審計(jì)系統(tǒng)的網(wǎng)絡(luò)審計(jì)對(duì)整個(gè)電力監(jiān)控系統(tǒng)進(jìn)行操作行為的監(jiān)控與審計(jì),記錄操作行為,便于事件追溯。