火力發電工業控制系統安全防護解決方案
一、背景情況
火電廠工控系統主要由中央控制室和各配電室、電子間等子站組成,系統中布置有數千個開關、數百個模擬測量點以及數個PID調節回路的控制對象。其中,中央控制室設備通常包括建立在以太網連接上的操作員站、工程師站、數據采集服務器、報表打印設備等。中央控制網絡與各子站控制系統采用光纖為通信鏈路,各子站配有光纖收發器和工業交換機。
二、安全分析
(1)中央控制網絡與各控制子站網絡互聯,存在來自上層網絡的安全威脅,缺少重點邊界、區域的安全防護手段;
(2)工控系統及網絡缺乏監測手段,無法感知未知設備、非法應用和軟件的入侵,無法對網絡中傳輸的未知異常流量進行監測;
(3)工控系統缺乏對用戶操作行為的監控和審計,針對用戶操作行為缺乏有效可靠的審計手段;
(4)工業控制系統缺乏分區邊界防護,容易受到來自信息網絡和相鄰系統的安全影響。
三、火力發電行業工控系統安全防護解決方案
安全防護原則
(1)安全分區
按照《電力監控系統安全防護規定》,原則上將基于計算機及網絡技術的業務系統劃分為生產控制大區和管理信息大區,并根據業務系統的重要性和對一次系統的影響程度將生產控制大區劃分為控制區(安全區Ⅰ)及非控制區(安全區Ⅱ),重點保護生產控制以及直接影響電力生產(機組運行)的系統。
(2)網絡專用
電力調度數據網是與生產控制大區相連接的專用網絡,承載電力實時控制、在線交易等業務。生產控制大區的電力調度數據網應當在專用通道上使用獨立的網絡設備組網,在物理層面上實現與電力企業其他數據網及外部公共信息網的安全隔離。生產控制大區的電力調度數據網應當劃分為邏輯隔離的實時子網和非實時子網,分別連接控制區和非控制區。
(3)橫向隔離 縱向認證
橫向隔離是電力監控系統安全防護體系的橫向防線。應當采用不同強度的安全設備隔離各安全區,在生產控制大區與管理信息大區之間必須部署經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置,隔離強度應當接近或達到物理隔離。生產控制大區內部的安全區之間應當采用具有訪問控制功能的網絡設備、安全可靠的硬件防火墻或者相當功能的設施,實現邏輯隔離。防火墻的功能性能電磁兼容性必須經過國家相關部門的認證和測試。
縱向加密認證是電力監控系統安全防護體系的縱向防線。生產控制大區與調度數據網的縱向連接處應當設置經過國家指定部門檢測認證的電力專用縱向加密認證裝置,實現雙向身份認證、數據加密和訪問控制。
(4)綜合防護
綜合防護是結合國家信息安全等級保護工作的相關要求對電力監控系統從主機、網絡設備、惡意代碼防范、應用安全控制、審計、備份及容災等多個層面進行信息安全防護的過程。
生產控制大區可以統一部署一套網絡入侵檢測系統,應當合理設置檢測規則,檢測發現隱藏于流經網絡邊界正常信息流中的入侵行為,分析潛在威脅并進行安全審計。
非控制區的網絡設備與安全設備應當進行身份鑒別、訪問權限控制、會話控制等安全配置加固。可以應用電力調度輸子證書,在網絡設備和安全設備實現支持HTTPS的縱向安全WEB服務,能夠對瀏覽器客戶端訪問進行身份認證及加密傳輸。
生產控制大區的監控系統應當具備安全審計功能,能能夠對操作系統、數據庫、業務應用的重要操作盡心記錄、分析,及時發現各種違規行為以及病毒和黑客的攻擊行為。對于遠程用戶登陸到本地系統中的操作行為,應當進行嚴格的安全審計。
具體方案
四、解決方案拓撲圖
