解决方案
SOLUTION
水力发电行业解决方案
背景介绍
近几年来,针对电力企业生产控制系统的攻击技术和手段不断发展,各种生产控制系统恶意软件以及安全事件层出不穷,使得电力企业生产控制系统面临越来越多的安全威胁和挑战,包括病毒、木马、蠕虫、黑客以及敌对势力等。水电厂的网络结构一般采用分层分布、开放式网络系统结构,具有典型的三层结构:主控层、通信层、现地层。随着两化融合概念的提出以及科技的发展,越来越多的企业希望可以远程控制现场生产情况,云、物联网等概念必然推动工业控制网络与公共网络的共享。
安全挑战
● 边界防护:安全I区和安全II区边界未进行有效的边界防护,不能针对工业协议的动态端口进行有效防护。
● 综合防护:
入侵检测:针对安全I区的工控系统网络中缺少病毒、木马等攻击行为的检测手段。
主机加固:多数工业主机操作系统为WindowsXP系统,系统进行打补丁不现实,部署杀毒软件与工业应用软件兼容性较差,冲突现象屡有发生。
应用安全控制:在发电厂内部通过网络访问业务系统时无法做到安全审计、事后可追溯。
安全审计:电力监控系统中的违规操作、误操作以及病毒、木马等攻击行为没有监测手段,远程运维行为无法监控。
恶意代码防范:在安全I区的操作员站、工程师站、OPC接口机等工业主机上的工业应用软件因与杀毒软件兼容性差、有冲突,在安全I区未进行部署杀毒软件。在安全II区和管理大区主机部署了杀毒软件,但是由于长期不更新病毒库,杀毒软件往往对零日漏洞爆发的病毒无法进行防护。
漏洞整改:对于工控系统目前暴露出来的漏洞,无有效的漏洞整改方案,工控系统处于带“洞”运行。
典型部署
监测审计
在单元机组DCS交换机旁路部署工控安全监测审计系统,对网络内传输的流量进行采集、分析和处理,结合特定的安全策略,对异常操作、攻击等行为进行事中告警、事后审计。
入侵检测
在单元机组DCS交换机旁路部署入侵检测系统,对流量进行特征提取并与规则库进行匹配,快速有效识别出工业控制网络中存在的异常、攻击行为。
边界防护
在接口机与SIS系统交界处部署工控防火墙,确保数据安全传输的同时实现区域边界防护。
终端防护
在DCS系统操作员站、工程师站上部署终端防护客户端实现终端安全加固、进程白名单管控和USB移动介质管控。
运维管控
部署运维堡垒机,实现设备远程运维操作的全面审计和行为管控,满足远程运维管控要求;
安全管理平台
能对安全设备进行统一管理,建立设备清单,对设备运行状态及运行参数进行实时监测,并对安全设备进行统一管理和策略下发。同时对安全设备、网络设备、主机设备的日志和告警进行归一化采集和关联分析。
客户价值
● 为DCS/SCADA控制系统提供安全防护能力,抵御黑客及恶意代码对控制系统发起的攻击和破坏,降低因攻击造成的损失。
● 通过可视化的安全信息展现,安全组件的统一管理,提供便捷的安全管理手段,为安全运维人员减轻工作量。
● 深度解析工控协议和操作行为,对控制系统中的通信协议深度理解形成基线,并识别偏离基线模型的攻击行为。
● 落实国家关键基础设施保护和国家能源局对发电企业电力监控系统安全防护要求,为电力安全生产保驾护航。
上一页
下一页
上一页
下一页
在线申请产品资料
版权所有 © 2021 杭州中电安科现代科技有限公司