1、用户介绍
国内某电厂经营范围包括电能、热能的生产和销售,其#3机组、#4机组分散控制系统(DCS)采用国产控制系统。
2、安全风险
● 缺少能够实时将工业控制网络中网络设备、安全设备、服务器、数据库系统的日志信息,进行统一地收集、处理和关联分析的能力;
● 缺少对工控网络流量监控分析,对异常流量、员工误操作等实时监控、报警,针对工控系统攻击行为的监测、告警,缺少对安全事件回溯、追踪依据;
● 网络边界缺乏合理的结构划分及分层,无法对关键资产进行重点防护,存在跨区域的非法访问及网络攻击缺少防护措施;
● 缺少对工程师站、操作员站以及服务器等主机USB接口的安全防护,U盘等移动存储进行数据存取的过程没有有效的恶意代码查杀手段;
● 网络边界没有针对外部攻击和威胁的有效检测手段,特别是利用系统本身漏洞发起的攻击行为;
● 运维过程缺少对运维人员账号管理、身份认证、访问授权、综合审计等进行有效监控的技术手段;
● 缺少协助现场用户对资产管理与风险核查定位分析手段,缺少网络安全风险合规巡检工具;
● 缺少生产网络内相关安全设备的统一管理和运行状态监控的管理平台。
3、解决方案
● 在新建安全管理中心与各安全域之间部署工业防火墙,实现逻辑隔离,避免域间非法访问控制造成网络安全风险;
● 在生产控制大区核心组网交换机处旁路部署入侵检测系统,实现网络威胁入侵检测,及时发现网络异常情况,并对僵尸主机监控定位,实现网络运行状态的实时监控;
● 在生产控制大区工程师站交换机旁路部署USB安全隔离装置,可防止病毒、木马等恶意文件通过USB接口进入系统,提高主机的接口安全防护能力;
● 在电力监控系统核心交换机旁路部署工控安全审计系统,及时发现网络当中的异常流量、违规操作、误操作、指令异常、非法连接等现象;
● 在电力监控系统核心交换机旁路部署日志审计系统,实时工控网络中网络设备、安全设备、服务器、数据库系统日志信息,进行统一地收集、处理和关联分析;
● 在安全管理中心部署堡垒机,提高工程师站、服务器等主机设备应用系统的用户、授权、认证管理和综合审计能力;
● 在安全管理中心部署工控漏洞扫描系统,协助现场用户对资产管理与风险核查定位分析,对监控系统快速、精确、高效进行网络安全风险合规巡检。
● 在新建安全区的安全管理中心部署工控安全管理平台,从而构建电厂安全体系的统一管理平台。
4、客户价值
● 管理效益
通过对生产控制大区各系统的安全防护,满足能源局对电力监控系统二次安防的要求,符合【36号文】中对于“综合防护”内容的条款,同时也提升了生产系统本身的安全性。
● 安全效益
通过安全防护项目的实施,实现了不同安全区域之间的有效隔离,并对生产网络内部可能存在威胁进行有效监控与审计,同时对于上位主机USB接口的使用进行管理,完善生产控制系统安全体系框架,提升生产控制系统网络安全防护能力。
● 经济效益
安全服务帮助企业及时发现网络安全漏洞和薄弱风险环节,降低企业“护网”成本,实现“降本增效”目的。