解决方案
solution
守护工业命脉 保障关键安全
油气田开采 智能制造 石油化工 电力行业 城市轨道交通 煤矿 城市物联网
电力行业
solution
网藤科技,解决方案
安全防护依据
Basis for safety protection

《关于加强工业控制系统信息安全管理的通知》(工信部协〔2010〕451号文)

《工业控制系统系统信息安全防护指南》(工信软函〔2016〕338号)

《工业控制系统信息安全防护能力评估工作管理办法》(工信部信软〔2017〕188号)

《电力监控系统安全防护总体方案等安全防护方案》国能综合36号文(2015)

《GB/T 22239-2008信息安全等级保护基本要求》

《GB/T 36047-2018电力信息系统安全检查规范》


安全防护原则
Principles of safety protection
- 安全分区

按照《电力监控系统安全防护规定》,原则上将基于计算机及网络技术的业务系统划分为生产控制大区和管理信息大区,并根据业务系统的重要性和对一次系统的影响程度将生产控制大区划分为控制区(安全区Ⅰ)及非控制区(安全区Ⅱ),重点保护生产控制以及直接影响电力生产(机组运行)的系统。

- 网络专用

电力调度数据网是与生产控制大区相连接的专用网络,承载电力实时控制、在线交易等业务。生产控制大区的电力调度数据网应当在专用通道上使用独立的网络设备组网,在物理层面上实现与电力企业其他数据网及外部公共信息网的安全隔离。生产控制大区的电力调度数据网应当划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区。


- 横向隔离 纵向认证

横向隔离是电力监控系统安全防护体系的横向防线。应当采用不同强度的安全设备隔离各安全区,在生产控制大区与管理信息大区之间必须部署经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应当接近或达到物理隔离。生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、安全可靠的硬件防火墙或者相当功能的设施,实现逻辑隔离。防火墙的功能性能电磁兼容性必须经过国家相关部门的认证和测试。

纵向加密认证是电力监控系统安全防护体系的纵向防线。生产控制大区与调度数据网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置,实现双向身份认证、数据加密和访问控制。



- 综合防护

综合防护是结合国家信息安全等级保护工作的相关要求对电力监控系统从主机、网络设备、恶意代码防范、应用安全控制、审计、备份及容灾等多个层面进行信息安全防护的过程。

生产控制大区可以统一部署一套网络入侵检测系统,应当合理设置检测规则,检测发现隐藏于流经网络边界正常信息流中的入侵行为,分析潜在威胁并进行安全审计。

非控制区的网络设备与安全设备应当进行身份鉴别、访问权限控制、会话控制等安全配置加固。可以应用电力调度输子证书,在网络设备和安全设备实现支持HTTPS的纵向安全WEB服务,能够对浏览器客户端访问进行身份认证及加密传输。

生产控制大区的监控系统应当具备安全审计功能,能能够对操作系统、数据库、业务应用的重要操作尽心记录、分析,及时发现各种违规行为以及病毒和黑客的攻击行为。对于远程用户登陆到本地系统中的操作行为,应当进行严格的安全审计。

典型部署
Typical deployment




² 在安全Ⅰ区的DCS服务器与SIS接口机之间部署工业防火墙,实现安全Ⅰ/Ⅱ区之间的逻辑隔离;


² 在各个主控机组、脱硫系统等DCS控制网络内部,以及辅控水、煤、灰PLC控制系统网络内部,分别部署工控安全审计系统,实现对本区域网络中的异常流量、违规操作、非法入侵等行为进行实时安全监控与审计。


² DCSPLC控制系统的上位操作间,分别部署1USB安全隔离装置,实现对通过USB接口接入的移动存储设备进行病毒查杀,并且对通过U盘等类型的移动介质从工业主机上拷贝数据或文件的权限、类型、大小等方面进行白名单机制的授权管理,保证了通过USB接口与工业主机的数据传输过程的安全性。


² 在安全Ⅱ区网络边界部署1套网御高级持续威胁检测预警系统,不仅可以检测生产网络边界的入侵行为,还可以通过虚拟沙箱技术,检测分析来自网络的未知威胁。


在安全Ⅱ区集中部署一套账号集中管理与审计系统,通过增加Ⅰ/Ⅱ区工业防火墙的访问控制策略,可以在安全Ⅱ区实现对安全Ⅰ区终端的操作用户、运维用户账号的集中管理,并对日常操作工作和工程师运维过程进行实时的操作审计,此外可以实现对系统运维操作工程的多重身份认证。




风力发电安全防护典型部署



² 在各场站监控系统与集控中心之间部署工业防火墙或同类型安全隔离设备,实现安全Ⅰ/Ⅱ区之间的逻辑隔离;


² 在各个场站控制系统网络内部,分别部署工控安全审计系统,实现对本区域网络中的异常流量、违规操作、非法入侵等行为进行实时安全监控与审计。


² 各风场场站控制室分别部署1USB安全隔离装置,实现对通过USB接口接入的移动存储设备进行病毒查杀,并且对通过U盘等类型的移动介质从工业主机上拷贝数据或文件的权限、类型、大小等方面进行白名单机制的授权管理,保证了通过USB接口与工业主机的数据传输过程的安全性。


² 在集控中心网络边界部署1套网御高级持续威胁检测预警系统,不仅可以检测生产网络边界的入侵行为,还可以通过虚拟沙箱技术,检测分析来自网络的未知威胁。


在集控中心集中部署一套账号集中管理与审计系统,通过增加Ⅰ/Ⅱ区工业防火墙的访问控制策略,可以在安全Ⅱ区实现对安全Ⅰ区终端的操作用户、运维用户账号的集中管理,并对日常操作工作和工程师运维过程进行实时的操作审计,此外可以实现对系统运维操作工程的多重身份认证。


咨询热线
400 670 6183
传真: 010-63743370
邮箱: SUPPORT@WANGTENGTECH.COM
公司地址:北京市丰台科技城海鹰路8号院3号楼A座301
关注我们
follow
扫一扫关注网藤科技