企業(yè)發(fā)布

天地和興：關鍵信息基礎設施的等保2.0之路 | 火力發(fā)電篇

2020/5/22 13:25:00 來源：中國企業(yè)新聞網評論：(0)

導言：在“關鍵信息基礎設施的等保2.0之路”系列文章中，天地和興將從關鍵信息基礎設施保護的實踐出發(fā)，梳理并提供2.0時代等保安全建設的整體解決方案，旨在助力關鍵信息基礎設施運營者網絡安全防護能力和信息安全管理能力的提升，應對各類網絡風險和挑戰(zhàn)。

　　2019年12月1日，《網絡安全等級保護基本要求》的正式實施標志著等級保護制度整體進入 2.0 時代，等級保護對象范圍從傳統(tǒng)的網絡和信息系統(tǒng)，向“云移物工大”上進行了擴展。GB/T22239由單獨的基本要求演變?yōu)橥ㄓ冒踩?新技術安全擴展要求，且技術要求和管理要求都做了調整。而關鍵信息基礎設施也在定級要求上明確指出“定級原則上不低于三級”的要求。在“關鍵信息基礎設施的等保2.0之路”系列文章中，天地和興將從關鍵信息基礎設施保護的實踐出發(fā)，梳理并提供2.0時代等保安全建設的整體解決方案，旨在助力關鍵信息基礎設施運營者網絡安全防護能力和信息安全管理能力的提升，應對各類網絡風險和挑戰(zhàn)。

　　一、安全現狀

　　自2007年國務院《關于加快關停小火電機組若干意見的通知》，火電行業(yè)開始“上大壓小”。新建、擴建、改建的火電廠發(fā)電機組規(guī)模越來越大，按照行業(yè)定級要求火電機組控制系統(tǒng)單機容量300兆瓦及以上的定級為三級來看，火電生產控制系統(tǒng)需要按等保三級要求重點防護的占比越來越高。電廠生產控制系統(tǒng)和電力監(jiān)控系統(tǒng)是以計算機、通訊設備、測控單元為基本工具，為火電廠生產的實時數據采集、開關狀態(tài)檢測及遠程控制提供了基礎平臺，它可以和檢測、控制設備構成任意復雜的監(jiān)控系統(tǒng)，在火電廠生產中發(fā)揮了核心作用，可以幫助企業(yè)消除信息孤島，降低運作成本，提高生產效率，加快產電、變配電過程中的異常反應速度。當前火力發(fā)電企業(yè)生產控制大區(qū)信息普遍存在以下網絡安全隱患：

　　火電企業(yè)系統(tǒng)眾多、數據交互頻繁，一旦防護不當會導致惡意攻擊從信息網甚至互聯網直接滲透到生產網絡;

　　生產控制大區(qū)的工程師站、操作員站等大部分上位機為Windows/Linux平臺。為保證過程控制系統(tǒng)的相對獨立性，同時考慮到系統(tǒng)的穩(wěn)定運行，通常在系統(tǒng)運行后不會安裝殺毒軟件，更新安全補丁或變更策略配置，防止埋下巨大的安全隱患。一旦感染惡意代碼，極易傳播擴散，導致非計劃停機;

　　目前在火電DCS控制系統(tǒng)中，各類品牌設備普遍存在安全問題。近年來國內外漏洞平臺陸續(xù)發(fā)布了針對工控系統(tǒng)HMI軟件、PLC固件的多個漏洞。一旦漏洞沒有及時修復被黑客利用，會造成嚴重影響;

　　缺乏對管理和技術人員操作行為的有效安全監(jiān)管和審計，誤操作或惡意操作安全風險較大;

　　從等保2.0的要求以及構建整體網絡安全防護體系的需求來看，大部分火電企業(yè)并無統(tǒng)一的信息安全管理策略，亦并未配置獨立的安全管理中心�！　�

　　天地和興：關鍵信息基礎設施的等保2.0之路 | 火力發(fā)電篇

　　*安全威脅分類摘自：《電力監(jiān)控系統(tǒng)網絡安全防護導則》5.2電力監(jiān)控系統(tǒng)面臨的網絡安全威脅

　　二、解決方案

　　面對上述火力發(fā)電企業(yè)的安全現狀，天地和興做了深入的調查與研究，面對不同的應用場景，提供了全生命周期安全解決方案，為火力發(fā)電安全生產構建安全防御體系。

　　1、風險評估方案

　　風險評估是全面了解與驗證火力發(fā)電企業(yè)生產控制網絡和管理過程中存在各種風險和問題的一種必要手段，亦是安全防護體系建設的前提，天地和興將針對火力發(fā)電企業(yè)生產控制網運行環(huán)境與安全管理制度，對生產控制系統(tǒng)網絡做全面的安全檢查與驗證，并對當前網絡環(huán)境進行深度工控漏洞挖掘，最終生成權威的安全風險評估報告，為用戶全面了解生產控制系統(tǒng)網絡安全風險提供依據�！　�

　　天地和興：關鍵信息基礎設施的等保2.0之路 | 火力發(fā)電篇

　　2、安全防護方案

　　對火電廠生產監(jiān)控系統(tǒng)的網絡安全防護建設，遵循電力建立體系不斷發(fā)展、分區(qū)分級保護重點、網絡專用多道防線、全面融入安全生產、管控風險保障安全的原則，參照國家《網絡安全等級保護基本要求》“一個中心、三重防護”的安全理念，通過部署工控防火墻、工控安全審計、入侵檢測、網絡安全監(jiān)測裝置等安全防護產品，提升生產監(jiān)控系統(tǒng)網絡整體防護能力，部署示意圖如下：　　

　　天地和興：關鍵信息基礎設施的等保2.0之路 | 火力發(fā)電篇

　　安全通信網絡：在生產控制大區(qū)和信息管理大區(qū)之間串行部署電力專用單向隔離網閘，用于生產控制大區(qū)到管理信息大區(qū)的非網絡方式單向數據傳輸;電力專用加密認證網關部署在電力控制系統(tǒng)的內部局域網與電力調度數據網絡的路由器之間，用來保障電力調度系統(tǒng)縱向數據傳輸過程中的數據機密性、完整性。

　　安全區(qū)域邊界：在電力監(jiān)控系統(tǒng)不同級別安全域之間部署工控防火墻/電力專用隔離裝置，建立不同安全域之間的訪問控制策略，實現網絡隔離與細粒度控制。嚴格禁止E-mail、WEB、Telnet、Rlogin、FTP 等安全風險高的網絡服務，以及通過 B/S或 C/S 方式的數據庫訪問穿越專用橫向單向安全隔離裝置。避免在一個系統(tǒng)或區(qū)域里爆發(fā)工控安全事件擴散到其他系統(tǒng)或區(qū)域當中，保障區(qū)域間通信網絡安全。通過在核心交換機上旁路部署入侵檢測系統(tǒng)、工控威脅檢測系統(tǒng)、工控安全審計平臺，實時監(jiān)測網絡邊界、安全域內重要節(jié)點的異常行為并進行審計告警，異常行為包括各類已知、未知的入侵行為，網絡病毒，非法訪問等。

　　安全計算環(huán)境：在主要的上位機上部署主機安全防護系統(tǒng)客戶端，實現主機防病毒、防第三方軟件的非授權安裝與使用，主機系統(tǒng)外接口尤其是USB存儲設備的認證管控、防病毒與操作行為審計。針對電力監(jiān)控系統(tǒng)內所有上位機、人機交互站、安全設備以及服務器等進行人工加固服務，加固方式包括但不限于：安全配置、安全補丁、采用專用軟件或硬件強化操作系統(tǒng)訪問控制能力以及配置安全的應用程序。加固措施包括：升級到當前系統(tǒng)版本、安裝后續(xù)補丁合集、加固系統(tǒng)TCP/IP配置、關閉不必要服務和端口、為超級用戶或特權用戶設定復雜口令、修改弱口令或空口令、禁止任何應用程序以超級用戶身份運行、設定系統(tǒng)日志和審計行為等。

　　安全管理中心：在火電廠生產控制大區(qū)中新建安全管理域，部署日志審計與分析系統(tǒng)、賬號管理及運維審計系統(tǒng)、工控信息安全監(jiān)管與分析平臺，實現全網安全設備運行監(jiān)控、安全日志收集與分析、安全事件集中處置，全網系統(tǒng)賬戶的統(tǒng)一管理與操作審計，全網資產無損掃描識別與管理，資產漏洞匹配與統(tǒng)計報告等安全集中管理能力。在NCS系統(tǒng)安全I區(qū)和安全II區(qū)各部署一臺網絡安全監(jiān)測裝置，通過探針軟件和網管協(xié)議收集涉網設備的運行日志、安全設備運行日志，涉網業(yè)務系統(tǒng)的運行日志等，將告警信息經縱向加密統(tǒng)一上傳至省調和地調的網絡安全管理平臺。

　　3、安全檢查方案

　　建立生產監(jiān)控系統(tǒng)定期安全檢查和整改工作機制，每年至少自行開展一次安全檢查，依據發(fā)現問題需制定整改計劃及措施，并將整改情況上報主管單位和集團公司。等級保護定級為三級的系統(tǒng)，除每年自行開展一次安全檢查外，還應按照等級保護要求，做好安全評估及整改工作。配合集團公司每年抽檢，并協(xié)助開展生產監(jiān)控系統(tǒng)網絡安全專項檢查，最終對檢查結果進行通報。

　　4、應急演練方案

　　協(xié)助制訂火電廠生產監(jiān)控系統(tǒng)安全應急處置預案，每年至少進行一次演練，確保發(fā)生安全事件時能夠有序處置、快速恢復。當生產控制大區(qū)內生產監(jiān)控系統(tǒng)發(fā)生變化時，及時組織對應急處置預案進行評估，根據實際情況適時修改并進行演練，形成快速反應、快速處置能力。確保當生產控制大區(qū)出現安全事件，尤其是遭到黑客、惡意代碼攻擊和其他人為破壞時，立即向上級電力調度機構以及當地國家能源局派出機構、當地政府相應部門及集團公司報告，同時按應急處理預案采取安全應急措施。處理安全事件過程中應注意保護現場，以便進行調查取證和分析。最后將制定安全防護事件通報制度、有關安全問題做好記錄。定期向調度中心報送生產監(jiān)控系統(tǒng)安全防護情況，并及時上報生產監(jiān)控系統(tǒng)安全防護出現的異�，F象。

　　5、安全服務方案

　　針對主管、運維等部門的“專業(yè)壁壘”等問題，天地和興為相關人員提供專業(yè)的培訓、咨詢、運維等服務，涉及網絡安全培訓、安全防護標準培訓、當前攻防技術培訓與應用、安全管理與規(guī)范操作日常運維等內容。協(xié)助企業(yè)全員提高專業(yè)知識與安全防范意識。同時，天地和興還提供7*24小時的專家級安全咨詢服務與運維、應急保障。

　　6、安全運營方案

　　安全運營的好壞直接影響工控系統(tǒng)網絡安全防護體系的防護效能。安全運營涵蓋內容較多，包括安全運營中心建立、安全意識培訓、安全運營管理、安全體系管理、安全運維管理等多維度內容。針對企業(yè)實際情況進行詳細方案設計，規(guī)范火電企業(yè)的整體安全運營工作。

　　三、總結

　　火電廠生產監(jiān)控系統(tǒng)網絡安全建設與管理是一個復雜的系統(tǒng)工程，是保證火電廠安全生產、運營和管理所必須進行的長期工作，其總體安全防護水平取決系統(tǒng)中最薄弱點的安全水平。本文所涉及方案依照國家等級保護要求，充分考慮了火電廠生產監(jiān)控系統(tǒng)面臨的主要安全威脅，結合電力企業(yè)網絡安全建設與管理實際情況以及業(yè)務系統(tǒng)實際組網應用情況，側重在網絡層、主機層構建縱深安全防護體系，落實國家等級保護“一個中心、三重防護”的安全理念與安全架構要求，提供包括安全服務、安全建設、安全運營在內的全生命周期工控安全解決方案，為業(yè)務系統(tǒng)安全運行保駕護航。

免責聲明：

※ 以上所展示的信息來自媒體轉載或由企業(yè)自行提供，其原創(chuàng)性以及文中陳述文字和內容未經本網站證實，對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本網站不作任何保證或承諾，請讀者僅作參考，并請自行核實相關內容。如果以上內容侵犯您的版權或者非授權發(fā)布和其它問題需要同本網聯系的，請在30日內進行。
※ 有關作品版權事宜請聯系中國企業(yè)新聞網：020-34333079 郵箱：cenn_gd@126.com 我們將在24小時內審核并處理。

分享到：

[責任編輯：姚小冰]