解决方案|如何解决水力发电行业工控安全隐患?这里有独家秘诀
创新互联公司2013年至今,是专业互联网技术服务公司,拥有项目成都网站制作、成都网站设计网站策划,项目实施与项目整合能力。我们以让每一个梦想脱颖而出为使命,1280元唐河做网站,已为上家服务,为唐河各地企业和个人服务,联系电话:13518219792tion>点击蓝字 关注我们水力资源作为当前最成熟、最重要的可再生清洁能源,水电在我国经历了多个发展阶段,装机容量从1980年代的1000万千瓦左右,跃升为当前超过3亿千瓦。近些年来,国家从经济快速发展、能源的可持续供应、环境保护,以及西部大开发等方面考虑,制定了优先开发水电的方针,水电建设迎来了前所未有的发展机遇。是什么威胁着水力发电厂工业控制系统安全?随着“互联网+电力”的深度耦合发展,电力生产对现场设备之间的信息互通提出了更高的要求,以工业以太网为代表的组网技术不断得到广泛应用,电力系统建设已不再是系统的简单集成,而是向网络化、智能化方向全面拓展。在两化融合、智能电网大趋势的背景下,电力企业工业控制系统的管理控制一体化、网络化、智能化已是大势所趋。电厂工业控制系统的网络化、智能化在提高生产效率和管理效率的同时,也为恶意攻 击者增加了新的攻 击途径,针对电力企业生产控制系统的攻 击技术和手段不断发展,2018年台积电 WannaCry变种病毒 感染事件以及2019年委内瑞拉全国范围停电事件表明工业控制系统的安全威胁已经来临甚至已经进入 APT2.0时代。风险分析边界防护1、边界未进行有效的边界防护,不能针对例如modbus、IEC-104、OPC协议的动态端口进行有效防护。2、控制区的机组监控系统之间、监控系统之间以及现地控制单元(LCU)之间未进行边界防护 。综合防护1、入 侵检测针对安全区I的工控系统网络中缺少病毒、木 马等 攻 击行为的检测手段。2、主机加固多数工业主机操作系统为WindowsXP系统,系统进行打补丁不现实,部署杀毒软件与工业应用软件兼容性较差,冲突现象屡有发生。3、应用安全控制在访问系统资源、操作行为和在发电厂内部远程访问业务系统时无法做到安全审计、事后可追溯。4、安全审计电力监控系统中的违规操作、误操作以及病毒、木 马等攻 击行为没有监测手段,远程运维行为无法监控。对网络运行日志、操作系统运行日志、数据库访问日志、业务系统运行日志以及安全设备运行日志等日志信息未进行集中收集与分析。5、恶意代码防范在安全区I区的操作员站、工程师站、OPC接口机等工业主机上的工业应用软件因与杀毒软件兼容性差,有冲突,在安全区I区未部署杀毒软件。在安全区II区和管理大区主机部署了360、瑞 星等杀毒软件和防病毒服务器,但是由于长期不更病毒库,杀毒软件往往对0day漏 洞爆发的病毒无法进行防护。6、漏 洞整改对于工控系统目前暴露出来的2400多个漏 洞,无有效的漏 洞整改方案,工控系统处于带“洞”运行状态 。安全需求针对水力发电工业控制系统的网络安全建设解决方案,需满足以下需求:· 符合国能安全36号文附件4《发电厂监控系统安全防护方案》要求· 安全措施的引入不能影响工业生产的业务持续性 · 重点解决生产控制大区内部不同区域之间的隔离问题 · 重点解决上位机及服务器主机加固和防病毒问题 · 要有技术手段支撑用户了解工控网络整体安全状态,如审计、日志、告警等 · 针对已经投产并存在漏 洞的PLC等设备要采取有效的防护手段 行业解决方案针对以上问题和安全需求,立思辰提出了水电厂工控解决方案。1、入 侵防范&监测审计在控制系统网络中旁路部署工控安全监测审计系统,对网络内传输的流量进行字段级解析,建立协议基线、流量基线、链路基线;对异常操作、非法入 侵、执行恶意代码等行为进行事中告警、事后审计。2、边界防护I区和II区间部署工控防火墙,II区和III区间部署工业隔离网闸,实现横向隔离、安全分区;同时,部署网络准入控制系统,有效阻止非法终端接入和违规外联。3、运维管控部署运维堡垒机,实现设备远程运维操作的全面审计和行为管控,满足远程运维管控要求。4、终端防护在操作员站、工程师站、服务器上部署终端防护系统客户端(也可单机部署),实现终端安全加固、进程白名单管控和USB移动介质管控。5、安全管理中心部署工控安全管理平台,对安全设备、网络设备、主机设备的日志和告警进行归一化采集、关联分析,展现安全态势和预警,全面提升安全防护效率和安全管理能力。方案优势1、合规性满足《网络安全法》框架下关键信息基础设施保护制度要求、网络安全等级保护制度要求、网络与信息安全信息通报制度要求 ;满足36号文附件4《发电厂监控系统安全防护方案》的有关要求。2、技术与管理并重安全不是单纯的技术问题,需要在采用安全技术和产品的同时,重视安全管理,不断完善各类安全管理规章制度和操作规程,全面提高安全管理水平。3、可视化实现工控网络资产的可视化管理,动态识别非法接入设备,直观展示工控网络安全威胁。4、全面防护从网络、终端、通信、数据、运维、管理等多个层面提供完整的安全防护与管理手段,实现工控网络全面的安全保护。5、最小干 扰所有安全组件均采用非侵入式安全监测与防护工作方式,可确保将设备对工控网络的干 扰降低到最低。6、多工业协议支持支持常见工控协议:MMS、 ProfiNet、 EIP、S7、 Modbus、BacNet、CDT、CIP、DNP、OPC、IEC61850、IEC101/102/103/104、DLT645等50多种工业协议的深度解析。解析深度可以达到功能码、寄存器、读写属性、甚至读写数据的阈值,同时还支持私有协议的定制开发。免责申明:本公众号所载文章为本公众号原创或根据网络搜索编辑整理,文章版权归原作者所有。对于文中所使用的图片,资料等,如有侵权,请跟我们联系协商或删除,谢谢!往期推荐“工业4.0”时代下的智能制造行业工控安全何去何从?烟草行业工控安全解决方案制药行业工控安全解决方案汽车制造行业工控安全解决方案电力行业-风力发电厂工控安全解决方案北京立思辰信息安全科技集团北京立思辰信息安全科技集团是国内领先的集科研生产、市场营销、系统集成、运维服务为一体的数据安全服务提供商,致力于信息技术应用创新、工业安全等领域的技术研究与行业应用,为党政、军队、军工、电力、石油、石化、煤炭、轨道交通、智能制造、市政、金融等行业提供数据安全产品及整体解决方案。杭州域晓科技有限公司杭州域晓科技有限公司(CeresSec)基于立思辰二十年的安全基因和业务团队的自动化背景,在满足《网络安全法》、等保2.0等合规性要求的前提下,全新定位、研发工控网络安全产品,将安全技术和产品与工业互联网平台、工业自动化系统深度融合,形成具有核心竞争力的工控网络安全整体解决方案。公司拥有“立思辰”、“谷神星”两大产品品牌,二十多条产品线,广泛应用到电力、石油石化、交通、智能制造、矿业开采、港口码头、军队军工等行业。立思辰安全守护工控安全信息技术应用创新security 网站标题:解决方案|如何解决水力发电行业工控安全隐患?这里有独家秘诀
转载来于:http://6mz.cn/article/soohip.html