電力行業工控安全解決方案

1. 遵循標準

  • 《工業控制系統信息安全防護指南》(工信軟函〔2016〕338號)

  • 《電力監控系統安全防護總體方案》(國家能源局36號文)

  • 《GB/T 22239-2008信息安全等級保護基本要求》

2. 解決方案

  • 邊界隔離(生產控制區和非控制區之間)

部署具備隔離保護功能的安全設備實現網絡分層分區,邊界訪問控制,避免無授權設備對區域的訪問,實現基于通信“白環境”邊界攻擊防御;

  • 區域隔離(生產控制大區內部)

采取接入控制措施實現基于區域和功能的網絡劃分及隔離,對工業專有協議進行深度解析,建立通訊“白環境”,阻止區域間的越權訪問,病毒、蠕蟲擴散和入侵,將危險源控制在有限范圍內;

  • 重要系統隔離

采取安全隔離措施,對PLC、DCS等工控設備或系統安全漏洞利用等行為進行阻斷,同時阻止操作員或工程師有意無意的非法操作;

  • 工控網絡監測與審計

采用安全審計功能,對網絡運行日志、操作系統運行日志、數據庫訪問日志、業務應用系統運行日志、安全設施運行日志等進行集中收集、自動分析,及時發現各種違規行為和病毒、黑客的攻擊行為;

  • 主機安全防護

對主機進行安全防護,阻止非授權及惡意軟件運行,同時對操作系統進行加固,如注冊表、配置文件等;

  • 入侵檢測系統

檢測網絡通訊流量中的入侵行為,分析潛在威脅并進行安全審計;

  • 統一安全管理

集中管理安全設備,如工業防火墻、工控主機衛士、監測審計平臺等,實現工控網絡的拓撲管理、安全配置及安全策略管理、設備狀態監控、告警日志等。

3. 典型部署

3.1. 火電

 電力行業工控安全解決方案

  • 在安全I區所屬的一號機組、二號機組、輔助車間控制網與安全II區的SIS系統網絡邊界部署工業防火墻;

  • 在安全I區內一號機組、二號機組與共同使用中央空調系統、壓縮空氣系統、凝結水系統、脫硫公用系統、電氣公用系統的公用系統網絡邊界部署工業防火墻,保證安全I區內一號機組、二號機組控制系統免受來自于公用系統的安全風險;

  • 在安全I區的操作員站、工程師站、歷史服務器上安裝工控主機衛士,只允許白名單列表中的程序執行,避免非授權訪問,同時實施移動存儲介質安全管控,保證主機間數據交換安全;

  • 在一號、二號機組控制系統交換機上旁路部署監測審計平臺,對控制系統進行監控、告警、審計,及時發現安全問題;

  • 旁路部署統一安全管理平臺,實現主輔網安全系統的統一管理和日志匯總分析。

3.2. 水電

 水電行業工控安全解決方案

  • 在安全I區內的LCU本地控制單元前部署工業防火墻,通過工控協議深度解析及應用協議白名單機制,實現安全I區內不同LCU本地控制單元的獨立安全;

  • 安全I區與安全II區之間部署工業防火墻,通過對OPC數據采集協議進行深度解析,實現兩個不同安全等級區域間的信息安全保護及網絡隔離;

  • 在安全I區內旁路部署安全監測審計平臺,實時監測記錄誤操作和各類違規行為;

  • 在安全I區內所有操作員站、工程師站、應用服務器、數據庫服務器上部署工控主機衛士,避免相應惡意軟件、誤操作等帶來的安全風險;

  • 在安全I區、安全II區內,旁路部署入侵檢測系統,實現監測控制大區內病毒、木馬及惡意攻擊行為等,保護生產控制大區內工控設備及系統免遭惡意代碼的攻擊;

  • 在生產控制大區內部署統一安全管理平臺,實現工業防火墻、監測審計平臺、工控主機衛士等的集中管理和日志歸并分析,降低運維難度難度,提升安全防護效率。

3.3. 風電

 風電行業工控安全解決方案

  • 在集中控制網與調度數據網、風控率預測網、站內控制網、風機控制網間加裝工業防火墻,通過協議深度解析和嚴格訪問控制策略,避免各控制網絡遭受來自于其它系統的網絡攻擊行為;

  • 在各控制網內旁路署安全監測與審計系統,實現對安全I區內各種惡意攻擊行為的及時告警及記錄,為工控網絡安全問題提供追蹤溯源技術手段;

  • 在安全I區和各控制網操作員站、工程師站、應用服務器、數據庫服務器上部署工控主機衛士軟件,保護主機和服務器免遭惡意攻擊;

  • 在集中管理區部署統一安全管理平臺,實現工業防火墻、監測審計平臺、工控主機衛士的集中管理。


威努特官方二維碼

掃一掃關注我們威努特官方網站 來了解我們更多資訊

地址:北京市海淀區上地三街9號嘉華大廈F座901室
郵箱:[email protected]
微信公眾號:winicssec_bj
4000-680-620 24小時服務熱線
Copyright ? 2016 Winicssec All Rights Reserved 版權所有 京ICP備14062383號-1
极速时时彩选号数据