解决方案
SOLUTION
高铁PSCADA安全解决方案
背景介绍
铁路电力监控系统PSCADA是采用铁路内部专用数据网,实现对铁路局集团公司管内所有铁路沿线牵引供电和电力配电设施监控的工业控制系统。该系统能够实现供电系统的电压、电流、功率因数等电气参数的实时采集和监测,电力设备运行状况的动态显示,开关设备的远程控制等功能。系统通过准确记录历史数据,并通过报表、图形等显示形式还原各个时刻运行状态。在正常情况下,帮助调度员全面掌握供电系统的运行状态;在事故情况下,帮助调度员及时了解事故的原因和范围,快速进行事故处置。
安全挑战
铁路电力监控系统PSCADA采用标准化系统平台和应用开放标准的网络协议,其网络和数据存在如下安全隐患:
● 与常规的信息系统一样,会感染来自信息网络的恶意代码。
● 各种终端,工作站、服务器具有大量USB口、串口、光驱等输入通道,存在直接感染复制恶意代码到系统中的风险。
● 网络缺少准入控制,在各区域很容易接入非经授权的网络终端而不被发现,存在被网络攻击的风险。
● 缺少基于深度协议分析的异常检测和审计系统,当系统感染了恶意代码后,存在对底层执行系统发送非法指令的风险。
● 集成互联了多个子系统,本身的远程维护,以及各子系统的远程维护缺少相应的记录和过程审计,存在大量安全隐患。
典型部署
监测审计
在各所远动通道区、调度工作站的交换机上旁路部署工控安全监测审计系统,对网络内传输的流量进行采集、分析和处理,结合特定的安全策略,对异常操作、攻击等行为进行事中告警、事后审计。
入侵检测
主干交换机旁路部署入侵检测系统,对流量进行特征提取并与规则库进行匹配,快速有效识别出工业控制网络中存在的异常、攻击行为。
边界防护
在各所远动通道区、复示工作站区接入交换机与主干交换机之间部署工控防火墙,实现区域边界防护。
运维管控
在安全管理区部署运维堡垒机,实现设备远程运维操作的全面审计和行为管控,满足远程运维管控要求。
终端防护
在操作员站、工程师站上部署终端防护系统客户端实现终端安全加固、进程白名单管控和USB移动介质管控。
安全管理平台
在安全管理区部署安全管理平台(含日志审计),对安全设备、网络设备、主机设备的日志和告警进行归一化采集和关联分析,展现安全态势和预警,全面提升安全防护效率和安全管理能力。
客户价值
● 全面提升高铁PSCADA系统网络安全防护管理的合规性,符合国家主管部门、行业监管部门的管理要求以及工控安全防护要求。
● 全面提升高铁PSCADA系统生产网络的整体安全性,确保设备、系统、网络的可靠性、稳定性和安全性,为保障民生保驾护航。
● 全面改进高铁行业业务人员的安全水平和安全意识,提升安全管理水平、工作效率和管理效率。
上一页
下一页
上一页
下一页
在线申请产品资料
版权所有 © 2021 杭州中电安科现代科技有限公司