1、用户介绍
国内某电厂经营范围包括电能、热能的生产和销售,其#3机组、#4机组分散控制系统(DCS)采用国产控制系统。
2、安全风险
● 4#机组DCS系统缺少对网络内部非法入侵、非授权访问、违规操作、异常流量、恶意代码等威胁的检测与审计手段;
● 缺少对上位主机外设接口使用的有效监管措施,对临时接入的移动介质没有病毒查毒功能,无法对恶意代码攻击进行有效检测和阻断;
● 缺少对上位机、服务器、网络设备等日志数据进行收集汇总和集中分析并生成审计报表的措施;
● 缺少对工程师站运维过程的授权管理与审计手段。
3、解决方案
● 在上、下位网络分别部署一套工控主机安全卫士网络版,实现主机终端进程的可信管理;
● 在上位机网络中部署入侵检测系统,通过准确监测网络异常流量,自动应对各类攻击流量,及时发现安全威胁;
● 在安全管理中心部署账号集中管理与审计系统,实现对工程师站的运维账号进行集中管理,对运维过程进行记录与审查,通过配置策略限制工程师的运维权限;
● 在上位网络部署USB安全隔离装置,实现对上位主机USB接口使用过程的授权管理,对临时接入工控网络的移动介质进行病毒查杀;
● 在DCS控制网络交换机镜像口旁路部署工控安全审计系统,实现对非法入侵、非授权访问、违规操作、异常流量等行为的实时监控;
● 在安全管理中心部署一套安全管理平台,对安全设备的分析数据进行集中展示与预警;安全设备接入安全管理中心前部署一台工业防火墙,实现不同安全区域的隔离。
4、客户价值
● 管理效益
通过对生产控制大区各系统的安全防护,满足能源局对电力监控系统二次安防的要求,符合【36号文】中对于“综合防护”内容的条款,同时也提升了生产系统本身的安全性。
● 安全效益
通过安全防护项目的实施,实现了不同安全区域之间的有效隔离,并对生产网络内部可能存在威胁进行有效监控与审计,同时对于上位主机USB接口的使用进行管理。
● 经济效益
通过对电力监控系统的安全防护,降低出现网络攻击事件而导致停车的几率,总本质上节约了企业的运行、维护成本。