首頁(yè) > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2020 > 正文

渠道技術(shù)大比武｜優(yōu)秀案例展播：電廠網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)方案

閱讀量：次

滄海一聲笑，滔滔兩岸潮

渠道技術(shù)大比武落幕后

那些值得回味的案例

總能引發(fā)我們不斷深思

案例，還原網(wǎng)絡(luò)安全的真相

案例，穿梭于用戶的日常

這次又是什么案例

能讓在場(chǎng)評(píng)委露出“老母親般”的微笑

本期我們有請(qǐng)渠道精英山東蜂安云涌代表選手，上臺(tái)為大家?guī)?lái)《XX電廠網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)方案》。此方案巧妙的避開(kāi)了傳統(tǒng)行業(yè)安全的局限，聚焦于面向公眾提供服務(wù)或支撐的關(guān)鍵信息基礎(chǔ)設(shè)施，并結(jié)合等保2.0中關(guān)于工業(yè)控制系統(tǒng)要求，獲得了現(xiàn)場(chǎng)專(zhuān)家評(píng)委的一致好評(píng)。

干貨滿滿，一起學(xué)習(xí)吧！

項(xiàng)目背景

隨著科技的快速發(fā)展，通信技術(shù)和網(wǎng)絡(luò)技術(shù)逐漸普及和市場(chǎng)化。在電力市場(chǎng)中對(duì)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的應(yīng)用越來(lái)越廣泛，對(duì)網(wǎng)絡(luò)信息系統(tǒng)的依賴(lài)程度也越來(lái)越大。

近年來(lái)，電廠中系統(tǒng)運(yùn)行監(jiān)管、管理、調(diào)度等各方面都應(yīng)用了互聯(lián)網(wǎng)技術(shù)，所以做好電力企業(yè)信息安全工作是極為重要的，否則就會(huì)出現(xiàn)電力系統(tǒng)運(yùn)行穩(wěn)定性和電力保障等多方面問(wèn)題。因此，確保電力系統(tǒng)信息網(wǎng)絡(luò)安全，防止黑客和病毒的入侵，促進(jìn)網(wǎng)絡(luò)信息技術(shù)更好地應(yīng)用，對(duì)于電力企業(yè)來(lái)說(shuō)是一項(xiàng)必要的和重要的工作。

面臨的安全挑戰(zhàn)

#?工業(yè)控制網(wǎng)絡(luò)安全防護(hù)能力不足，系統(tǒng)之間缺乏訪問(wèn)控制和入侵防范機(jī)制，不能防范非法終端接入網(wǎng)絡(luò)；

#?由于流程工業(yè)生產(chǎn)特點(diǎn)，目前未部署任何工業(yè)控制信息安全審計(jì)措施，出現(xiàn)信息安全事件沒(méi)有證據(jù)可查、可追溯；

#?由于工業(yè)系統(tǒng)特點(diǎn)，大量主機(jī)未安裝防病毒軟件或長(zhǎng)期未更新病毒庫(kù)；

#?大量上位機(jī)的操作系統(tǒng)屬于老舊系統(tǒng)，漏洞風(fēng)險(xiǎn)嚴(yán)重；

#?工業(yè)控制信息安全不能做到統(tǒng)一管理，存在信息孤島。

XX火電廠網(wǎng)絡(luò)安全建設(shè)方案

1?總體原則?

電力業(yè)務(wù)的安全總體原則為安全分區(qū)、網(wǎng)絡(luò)專(zhuān)用、橫向隔離、縱向認(rèn)證。

2?安全域劃分?

安全域是由一組具有相同安全保護(hù)需求、并相互信任的系統(tǒng)組成的邏輯區(qū)域，由在同一工作環(huán)境中、具有相同或相似的安全保護(hù)需求和保護(hù)策略、相互信任、相互關(guān)聯(lián)或相互作用的IT要素的集合。因此電力系統(tǒng)可分為生產(chǎn)控制大區(qū)和管理信息大區(qū)：

3?生產(chǎn)控制大區(qū)整體規(guī)劃?

本方案主要是對(duì)生產(chǎn)控制大區(qū)網(wǎng)絡(luò)安全建設(shè)進(jìn)行規(guī)劃如下圖所示：

邊界隔離1---在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間設(shè)置經(jīng)檢測(cè)認(rèn)證的電力專(zhuān)用橫向單向安全隔離裝置，隔離強(qiáng)度應(yīng)接近或達(dá)到物理隔離；

邊界隔離2---安全區(qū)Ⅰ與安全區(qū)Ⅱ之間、安全區(qū)Ⅰ的各機(jī)組監(jiān)控系統(tǒng)部署工業(yè)防火墻實(shí)現(xiàn)邏輯隔離、并可以對(duì)OPC、Modbus等工控協(xié)議報(bào)文過(guò)濾；

遠(yuǎn)程傳輸安全---部署縱向加密認(rèn)證裝置實(shí)現(xiàn)發(fā)電廠生產(chǎn)控制大區(qū)與調(diào)度端系統(tǒng)通過(guò)電力調(diào)度數(shù)據(jù)網(wǎng)進(jìn)行遠(yuǎn)程通信時(shí)認(rèn)證、加密、訪問(wèn)控制等需求；

入侵檢測(cè)---生產(chǎn)控制大區(qū)統(tǒng)一部署一套網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，檢測(cè)發(fā)現(xiàn)入侵行為，分析潛在威脅并審計(jì)；

主機(jī)加固---發(fā)電廠SIS系統(tǒng)、Web服務(wù)器、操作站、工程師站部署EDR實(shí)現(xiàn)安全配置、安全補(bǔ)丁、訪問(wèn)控制、勒索病毒防御等功能；

安全運(yùn)維---部署堡壘機(jī)安全運(yùn)維工具對(duì)生產(chǎn)控制大區(qū)的設(shè)備進(jìn)行統(tǒng)一安全運(yùn)維管理。

4?安全運(yùn)營(yíng)中心方案

通過(guò)建立工業(yè)安全運(yùn)營(yíng)中心實(shí)現(xiàn)資產(chǎn)可視化管理、網(wǎng)絡(luò)結(jié)構(gòu)可視化管理、生產(chǎn)業(yè)務(wù)可視化管理、通信數(shù)據(jù)流模型可視化管理以及運(yùn)行資源可視化管理，洞察異常，形成全網(wǎng)的安全大數(shù)據(jù)中心。

←工業(yè)資產(chǎn)脆弱性態(tài)勢(shì)

←工業(yè)資產(chǎn)資產(chǎn)安全運(yùn)維

←工業(yè)網(wǎng)絡(luò)內(nèi)部橫向威脅

←攻擊者追蹤溯源

5?產(chǎn)品清單

? _	產(chǎn)品名稱(chēng)	部署
1 ?	工業(yè)防火墻	安全區(qū)Ⅰ與安全區(qū)Ⅱ之間、安全區(qū)Ⅰ的各機(jī)組監(jiān)控系統(tǒng)
2 ?	入侵檢測(cè)	生產(chǎn)控制大區(qū)統(tǒng)一部署
3 ?	主機(jī)衛(wèi)士	操作站、工程師站及各服務(wù)器
4 ?	堡壘機(jī)	生產(chǎn)控制大區(qū)統(tǒng)一部署
5 ?	安全管理中心	生產(chǎn)控制大區(qū)統(tǒng)一部署
6 ?	橫向隔離	生產(chǎn)控制大區(qū)與管理信息大區(qū)之間
7 ?	縱向加密	生產(chǎn)控制大區(qū)與調(diào)度端系統(tǒng)

客戶價(jià)值

???獲得專(zhuān)業(yè)的安全評(píng)估服務(wù)，全面了解安全現(xiàn)狀，獲得專(zhuān)家級(jí)整改建議；

???實(shí)現(xiàn)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)、統(tǒng)一維護(hù)；

???全面提升企業(yè)對(duì)網(wǎng)絡(luò)安全事件應(yīng)急處理能力；

???建立安全運(yùn)營(yíng)中心，實(shí)現(xiàn)全天候、全方位網(wǎng)絡(luò)安全態(tài)勢(shì)感知。

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢(shì)感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場(chǎng)>

工業(yè)互聯(lián)網(wǎng)安全>