隨著信息化和工業(yè)化的不斷融合,電力監(jiān)控系統(tǒng)發(fā)生了巨大的變化,不同類型的工業(yè)產(chǎn)品和通訊協(xié)議,在交換機和工控機處交匯和互聯(lián),孤立的系統(tǒng)和車間被連接成一體。這種技術體系的開放性和網(wǎng)絡的互聯(lián)性為基于網(wǎng)絡的安全攻擊打來了方便之門,使電力工控系統(tǒng)安全面臨新的挑戰(zhàn):
一、安全問題
生產(chǎn)控制系統(tǒng)與信息管理系統(tǒng)的連接通訊,使系統(tǒng)受到來自上層系統(tǒng)的安全威脅,網(wǎng)絡容易遭受惡意攻擊,并使危險事件、惡意攻擊行為等泛濫到其他區(qū)域。
無有效的安全管控措施,生產(chǎn)控制大區(qū)的非法外聯(lián)現(xiàn)象時有發(fā)生,部分生產(chǎn)控制系統(tǒng)中的終端對U盤和移動硬盤等無限制措施。
主站系統(tǒng)操作系統(tǒng)無法防范惡意代碼和惡意軟件攻擊,主站系統(tǒng)操作系統(tǒng)未安裝殺毒軟件。
由于缺乏對管理和技術人員操作行為的有效安全監(jiān)管和審計,誤操作或者惡意操作安全風險較大。
針對系統(tǒng)終端設備、網(wǎng)絡設備、網(wǎng)絡安全設備產(chǎn)生的日志,無完善的安全審計平臺,對網(wǎng)絡運行日志、操作系統(tǒng)運行日志、安全設備運行日志等進行集中收集、自動分析。
針對信息系統(tǒng)的管理分散且困難,無法實時、集中地管理工控系統(tǒng)中的網(wǎng)絡相關設備,無法整體把握生產(chǎn)和管理各大區(qū)的網(wǎng)絡狀況,實現(xiàn)針對系統(tǒng)統(tǒng)一的安全事態(tài)監(jiān)控和態(tài)勢感知。
二、天地和興信息安全解決方案
針對電力行業(yè)的現(xiàn)狀和信息安全問題,天地和興結合自己多年的電力行業(yè)從業(yè)經(jīng)驗,提出面向電力行業(yè)的工控系統(tǒng)信息安全解決方案。在積極響應國家政策方針情況下,圍繞“安全隔離、邊界防御、區(qū)域監(jiān)測、安全審計、集中管理、終端防護”,形成自有、完善的六位一體信息安全體系,對電廠電力系統(tǒng)進行細致、全方位安全防護。
2.設備部署方案
工控防火墻
在電廠電力系統(tǒng)各大區(qū)之間、大區(qū)與互聯(lián)網(wǎng)邊界橫向部署工控防火墻,分別對大區(qū)進行邏輯隔離。結合電廠應用實際情況,制定防護規(guī)則,通過地址、協(xié)議等方式對流量進行管控,只允許大區(qū)安全可通過流量進行數(shù)據(jù)交互和訪問,深度解析各種工控協(xié)議,防范非法訪問。
工控安全審計平臺
在所需大區(qū)旁路鏡像部署安全審計平臺,通過監(jiān)測、預警和審計三模塊實現(xiàn)對生產(chǎn)控制大區(qū)的工控系統(tǒng)和業(yè)務的安全狀態(tài)進行實時監(jiān)測和安全事件分析,發(fā)現(xiàn)網(wǎng)絡中的異常,從全局角度進行安全事件實時分析處理, 為管理者提供網(wǎng)絡安全風險的實時告警性 提升工控網(wǎng)絡的風險防護深度。
工控信息安全管理平臺
在安全二區(qū)或信息管理大區(qū)部署信息安全管理平臺,方便對審計日志集中收集和分析管理,生成相關事件報告,掌握系統(tǒng)整體網(wǎng)絡狀況,針對收集的日志統(tǒng)一管理,生成可視化的安全態(tài)勢報告,方便管理員對危險事件進行發(fā)現(xiàn)和處理。
主機安全防護軟件(主機加固)
在重要終端主機部署主機安全防護軟件,對非安全操作系統(tǒng)進行有效的惡意代碼防護。通過白名單方式對安全程序進行管理,防范非法程序和應用安裝運行以及未經(jīng)授權的任何行為,同時控制U盤、移動硬盤等移動設備的使用,規(guī)范終端用戶操作行為。
三、升級改造目標
該方案以建立縱深防御策略為主要思想,確保工廠網(wǎng)絡中即使某一點發(fā)生網(wǎng)絡安全事故,工廠也能正常運行,同時,工廠操作人員能夠很迅速的找到問題并進行處理,主要達到以下目標:
深度檢查:面向應用層對特有的工業(yè)通訊協(xié)議進行內(nèi)容深度檢查,告別病毒庫升級缺陷;
通信管控:對數(shù)據(jù)流量進行管控,通過端口、地址、協(xié)議等方式對數(shù)據(jù)流量進行帥選,保證流量合法性。
實時報警:所有部署的防火墻都能由工控安全管理平臺進行實時監(jiān)控,任何非法的(沒有被組態(tài)允許的)訪問,都會在安全管理平臺產(chǎn)生實時報警信息,從而故障問題會在原始發(fā)生區(qū)域被迅速的發(fā)現(xiàn)和解決。
主機防護:安裝了主機防護的電腦在面對自身與外界的安全威脅有了更深的防護級別,深度執(zhí)行白名單數(shù)據(jù)庫的數(shù)據(jù)運行。
流量審計:完善的安全審計平臺,對網(wǎng)絡運行日志、操作系統(tǒng)運行日志、安全設施運行日志等進行集中收集、自動分析,及時發(fā)現(xiàn)各種違規(guī)行為以及病毒和黑客的攻擊行為。
操作行為的監(jiān)控與審計:依靠主機防護軟件的主機審計和工控安全審計系統(tǒng)的網(wǎng)絡審計對整個電力監(jiān)控系統(tǒng)進行操作行為的監(jiān)控與審計,記錄操作行為,便于事件追溯。