天地和兴:关键信息基础设施的等保2.0之路 | 火力发电篇

来源:it资讯网 · 2020-05-22 14:56

  2019年12月1日,《网络安全等级保护基本要求》的正式实施标志着等级保护制度整体进入 2.0 时代,等级保护对象范围从传统的网络和信息系统,向“云移物工大”上进行了扩展。GB/T22239由单独的基本要求演变为通用安全要求+新技术安全扩展要求,且技术要求和管理要求都做了调整。而关键信息基础设施也在定级要求上明确指出“定级原则上不低于三级”的要求。在“关键信息基础设施的等保2.0之路”系列文章中,天地和兴将从关键信息基础设施保护的实践出发,梳理并提供2.0时代等保安全建设的整体解决方案,旨在助力关键信息基础设施运营者网络安全防护能力和信息安全管理能力的提升,应对各类网络风险和挑战。

  一、安全现状

  自2007年《关于加快关停小火电机组若干意见的通知》,火电行业开始“上大压小”。新建、扩建、改建的火电厂发电机组规模越来越大,按照行业定级要求火电机组控制系统单机容量300兆瓦及以上的定级为三级来看,火电生产控制系统需要按等保三级要求重点防护的占比越来越高。电厂生产控制系统和电力监控系统是以计算机、通讯设备、测控单元为基本工具,为火电厂生产的实时数据采集、开关状态检测及远程控制提供了基础平台,它可以和检测、控制设备构成任意复杂的监控系统,在火电厂生产中发挥了核心作用,可以帮助企业消除信息孤岛,降低运作成本,提高生产效率,加快产电、变配电过程中的异常反应速度。当前火力发电企业生产控制大区信息普遍存在以下网络安全隐患

  火电企业系统众多、数据交互频繁,一旦防护不当会导致恶意攻击从信息网甚至互联网直接渗透到生产网络;

  生产控制大区的工程师站、操作员站等大部分上位机为Windows/Linux平台。为保证过程控制系统的相对独立性,同时考虑到系统的稳定运行,通常在系统运行后不会安装杀毒软件,更新安全补丁或变更策略配置,防止埋下巨大的安全隐患。一旦感染恶意代码,极易传播扩散,导致非计划停机;

  目前在火电DCS控制系统中,各类品牌设备普遍存在安全问题。近年来国内外漏洞平台陆续发布了针对工控系统HMI软件、PLC固件的多个漏洞。一旦漏洞没有及时修复被黑客利用,会造成严重影响;

  缺乏对管理和技术人员操作行为的有效安全监管和审计,误操作或恶意操作安全风险较大;

  从等保2.0的要求以及构建整体网络安全防护体系的需求来看,大部分火电企业并无统一的信息安全管理策略,亦并未配置独立的安全管理中心。

天地和兴:关键信息基础设施的等保2.0之路 | 火力发电篇

  *安全威胁分类摘自:《电力监控系统网络安全防护导则》5.2电力监控系统面临的网络安全威胁

  二、解决方案

  面对上述火力发电企业的安全现状,天地和兴做了深入的调查与研究,面对不同的应用场景,提供了全生命周期安全解决方案,为火力发电安全生产构建安全防御体系。

  1、风险评估方案

  风险评估是全面了解与验证火力发电企业生产控制网络和管理过程中存在各种风险和问题的一种必要手段,亦是安全防护体系建设的前提,天地和兴将针对火力发电企业生产控制网运行环境与安全管理制度,对生产控制系统网络做全面的安全检查与验证,并对当前网络环境进行深度工控漏洞挖掘,最终生成权威的安全风险评估报告,为用户全面了解生产控制系统网络安全风险提供依据。

天地和兴:关键信息基础设施的等保2.0之路 | 火力发电篇

  2、安全防护方案

  对火电厂生产监控系统的网络安全防护建设,遵循电力建立体系不断发展、分区分级保护重点、网络专用多道防线、全面融入安全生产、管控风险保障安全的原则,参照国家《网络安全等级保护基本要求》“一个中心、三重防护”的安全理念,通过部署工控防火墙、工控安全审计、入侵检测、网络安全监测装置等安全防护产品,提升生产监控系统网络整体防护能力,部署示意图如下:

天地和兴:关键信息基础设施的等保2.0之路 | 火力发电篇

  安全通信网络:在生产控制大区和信息管理大区之间串行部署电力专用单向隔离网闸,用于生产控制大区到管理信息大区的非网络方式单向数据传输;电力专用加密认证网关部署在电力控制系统的内部局域网与电力调度数据网络的路由器之间,用来保障电力调度系统纵向数据传输过程中的数据机密性、完整性。

  安全区域边界:在电力监控系统不同级别安全域之间部署工控防火墙/电力专用隔离装置,建立不同安全域之间的访问控制策略,实现网络隔离与细粒度控制。严格禁止E-mail、WEB、Telnet、Rlogin、FTP 等安全风险高的网络服务,以及通过 B/S或 C/S 方式的数据库访问穿越专用横向单向安全隔离装置。避免在一个系统或区域里爆发工控安全事件扩散到其他系统或区域当中,保障区域间通信网络安全。通过在核心交换机上旁路部署入侵检测系统、工控威胁检测系统、工控安全审计平台,实时监测网络边界、安全域内重要节点的异常行为并进行审计告警,异常行为包括各类已知、未知的入侵行为,网络病毒,非法访问等。

  安全计算环境:在主要的上位机上部署主机安全防护系统客户端,实现主机防病毒、防第三方软件的非授权安装与使用,主机系统外接口尤其是USB存储设备的认证管控、防病毒与操作行为审计。针对电力监控系统内所有上位机、人机交互站、安全设备以及服务器等进行人工加固服务,加固方式包括但不限于:安全配置、安全补丁、采用专用软件或硬件强化操作系统访问控制能力以及配置安全的应用程序。加固措施包括:升级到当前系统版本、安装后续补丁合集、加固系统TCP/IP配置、关闭不必要服务和端口、为超级用户或特权用户设定复杂口令、修改弱口令或空口令、禁止任何应用程序以超级用户身份运行、设定系统日志和审计行为等。

  安全管理中心:在火电厂生产控制大区中新建安全管理域,部署日志审计与分析系统、账号管理及运维审计系统、工控信息安全监管与分析平台,实现全网安全设备运行监控、安全日志收集与分析、安全事件集中处置,全网系统账户的统一管理与操作审计,全网资产无损扫描识别与管理,资产漏洞匹配与统计报告等安全集中管理能力。在NCS系统安全I区和安全II区各部署一台网络安全监测装置,通过探针软件和网管协议收集涉网设备的运行日志、安全设备运行日志,涉网业务系统的运行日志等,将告警信息经纵向加密统一上传至省调和地调的网络安全管理平台。

  3、安全检查方案

  建立生产监控系统定期安全检查和整改工作机制,每年至少自行开展一次安全检查,依据发现问题需制定整改计划及措施,并将整改情况上报主管单位和集团公司。等级保护定级为三级的系统,除每年自行开展一次安全检查外,还应按照等级保护要求,做好安全评估及整改工作。配合集团公司每年抽检,并协助开展生产监控系统网络安全专项检查,最终对检查结果进行通报。

  4、应急演练方案

  协助制订火电厂生产监控系统安全应急处置预案,每年至少进行一次演练,确保发生安全事件时能够有序处置、快速恢复。当生产控制大区内生产监控系统发生变化时,及时组织对应急处置预案进行评估,根据实际情况适时修改并进行演练,形成快速反应、快速处置能力。确保当生产控制大区出现安全事件,尤其是遭到黑客、恶意代码攻击和其他人为破坏时,立即向上级电力调度机构以及当地国家能源局派出机构、当地相应部门及集团公司报告,同时按应急处理预案采取安全应急措施。处理安全事件过程中应注意保护现场,以便进行调查取证和分析。最后将制定安全防护事件通报制度、有关安全问题做好记录。定期向调度中心报送生产监控系统安全防护情况,并及时上报生产监控系统安全防护出现的异常现象。

  5、安全服务方案

  针对主管、运维等部门的“专业壁垒”等问题,天地和兴为相关人员提供专业的培训、咨询、运维等服务,涉及网络安全培训、安全防护标准培训、当前攻防技术培训与应用、安全管理与规范操作日常运维等内容。协助企业全员提高专业知识与安全防范意识。同时,天地和兴还提供7*24小时的专家级安全咨询服务与运维、应急保障。

  6、安全运营方案

  安全运营的好坏直接影响工控系统网络安全防护体系的防护效能。安全运营涵盖内容较多,包括安全运营中心建立、安全意识培训、安全运营管理、安全体系管理、安全运维管理等多维度内容。针对企业实际情况进行详细方案设计,规范火电企业的整体安全运营工作。

  三、总结

  火电厂生产监控系统网络安全建设与管理是一个复杂的系统工程,是保证火电厂安全生产、运营和管理所必须进行的长期工作,其总体安全防护水平取决系统中最薄弱点的安全水平。本文所涉及方案依照国家等级保护要求,充分考虑了火电厂生产监控系统面临的主要安全威胁,结合电力企业网络安全建设与管理实际情况以及业务系统实际组网应用情况,侧重在网络层、主机层构建纵深安全防护体系,落实国家等级保护“一个中心、三重防护”的安全理念与安全架构要求,提供包括安全服务、安全建设、安全运营在内的全生命周期工控安全解决方案,为业务系统安全运行保驾护航。

+1

好文章,需要你的鼓励

热门阅读

一、前言 大家好,我是abrams2415。现在基本上家家户户都会装一个净水机,净水机买回来之后避免不了的一个问题就是换芯,常规换芯虽然不需要自己操作,但要打电话约专业售后上门,人得在...

2020-02-12 10:16:55

小米有品众筹平台上架了一款一目智能监测即热式净饮机,此次活动14天众筹金额突破402万,总支持人数超过2.1万。此款净饮机兼顾过滤、杀菌、监测、加热、远程操控,采用众多自主专利,真...

2020-04-26 11:46:51

随着疫情防控的常态化,全国小学、幼儿园等各级学校返校开课在即,上海、南京、杭州等城市的成人线下培训机构,在符合相关防疫条件的前提下也陆续公布了 解禁时间。自线下实体课程暂...

2020-05-20 17:45:26

五一小长假即将来临,非常好奇大家会怎样度过呢?携三五好友,带上美食、美酒,去大自然的草坪上野餐吧!安排上聚会小浪漫充满着法式浪漫气息的碧拉丹慕bullesd amour 起泡酒,举起小甜酒,...

2020-04-27 14:04:24

随着消费升级时代的转变,人们对于生活质量的要求逐渐上升。洗衣机已从满足用户洗衣的基本功能上升为品质生活、呵护家庭的综合应用。洗衣机的普及可以说是很大程度上解放了人们的双...

2020-03-18 14:08:40

4月17日,刚刚发布的一加 8 系列全面开售,首销战绩火爆,开售后仅 1 分钟全网销售额破亿,并获得京东、天猫、苏宁易购、分期乐全平台手机销量及销售额双冠军。 图:一加 8 系列首销火爆 一加...

2020-04-17 13:22:08

4月27日,一加 8 系列再次开售,全渠道销售额破亿。一加 8 Pro 斩获全平台手机单品销量、销售额双冠军。一加 8 系列上市后好评如潮,全平台持续热销,首销当天一加 8 系列就获得了开售一分钟全网...

2020-04-28 08:30:03

封面图: 由于疫情的关系,学校迟迟不能开学,孩子宅在家里放下手机便是电视。好不容易学校开展了网络教学,懒散的听课状态又令家长头痛不已。如何才能让孩子尽快收心,迅速进入到学...

2020-03-12 11:51:43

看过电影《在云端》的人,很难不喜欢上黑莓手机。在电影里,男主角一年365天有300多天是在飞机上度过的,因此黑莓手机是他进行移动办公的重要工具,黑莓帮助他高效处理工作事务。 很长...

2020-03-03 10:18:31

2020年2月18日,在由中国工控网发起的新世纪20年产业成就奖暨第十八届自动化及智能化年度评选中,经过与66款业内同类产品的激烈角逐过后,Moxa MRC-1002系列产品最终在专家评审中获得高票,...

2020-02-20 12:18:34

近年来,远程办公和在线协作成为了越来越多企业的工作新常态,与此同时,云SOHO( Small Office, Home Office)的趋势日益凸显。 远程办公其实作为常见的办公形式,随着企业数字化程度的提升也...

2020-02-13 17:59:34

在这个特殊时期,国人的健康意识也提升到了一个全新的高度。作为保持健康环境的重要一环,饮水安全首当其冲。有专家建议大家使用高精度过滤的反渗透净水机,以保障家庭饮水安全。但...

2020-04-03 17:12:21

近日,承启生物旗下武汉承启医学检验实验室以满分的优异成绩通过了卫健委新型(COVID-19)核酸检测室间质量评价(EQA),标志着承启在新型核酸检测方面具备了专业的检测技术力量和严格的质量...

2020-05-14 16:26:00

家电市场,可以划分为以冰箱、洗衣机、空调为代表的大家电市场;以食物料理电器、烹饪电器、家居环境电器、个人护理为代表的小家电市场。大家电主要受到我国房地产景气度影响,属于房...

2020-05-12 16:53:24

Nature视界(智能控制面板)是LifeSmart云起2019年重磅推出的一款全屋智能家居中央控制面板。自面世以来,其极简的设计风格、强大的功能表现备受关注。在刚刚获得iF 设计奖后,Nature视界再次...

2020-03-27 14:27:27

高通骁龙865采用外挂基带设计显然就受到了业界和网络用户的谴责,并在5G技术上聚焦毫米波,骁龙865正逐渐脱离以Sub-6 GhZ为中心的国内市场。目前,搭载骁龙865的5G手机不仅推迟上市,而且网...

2020-01-20 15:22:02

爱毕可中添加的酵母-葡聚糖来自全球酵母和益生菌技术领先的90年大厂Lallemand(加拿大)。Lallemand 公司拥有特殊的活化萃取技术,能让酵母-葡聚糖充分发挥功效。 酵母-葡聚糖 有什么好处? 增强免...

2020-04-24 11:20:19

电视跟我们的生活息息相关,随着电视产品的不断增多,电视功能的不断改进,家电同行市场的竞争也日剧剧烈,无论哪一个商家,只要想在市场中站稳脚步,得到消费者的认可,就必须要随...

2020-03-18 12:44:10

肝火旺是中医特有的病名,是肝的阳气亢盛表现出来的热象。正值春季,也是肝火比较旺的季节。最近各圈人士发的瓜也是又大又香,其中可能是有肝火在作祟!先是总裁夫人喊话知名网红、再...

2020-05-06 11:08:26

北京时间2月13日,2020年世界食品创新奖(World food innovation Awards)公布了获奖入围名单,良品铺子四款产品获得入围奖。其中,五彩水果粒入围最佳儿童食品、牛油火锅入围最佳方便食品创新、十...

2020-02-17 11:35:03