火电厂辅控系统工控安全建设方案
行业现状
随着“互联网+电力”的深度耦合发展,电力生产对现场设备之间的信息互通提出了更高的要求,以工业以太网为代表的组网技术不断得到广泛应用,电力系统建设已不再是系统的简单集成,而是向网络化、智能化方向全面拓展。在两化融合以及智能电网的背景趋势下,电力企业工业控制系统的管理控制一体化、网络化、智能化已是大势所趋。
电力控制系统的网络化、智能化在提高生产效率和管理效率的同时,使电力控制系统攻击面持续扩大,为恶意攻击者增加了新的攻击途径,针对电力企业生产控制系统的攻击技术和手段不断发展,各种生产控制系统恶意软件以及安全事件层出不穷,使得电力企业生产控制系统面临越来越多的安全威胁和挑战。
安全隐患
结合目前各火电厂的系统特点及发展状况,火电厂控制系统存在以下安全风险:
遵循标准
法律依据:
《中华人民共和国网络安全法》第三十一条明确规定:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”为火电厂辅控系统工控安全建设提供了法律依据。
政策规范:
•《电力监控系统安全防护总体方案等安全防护方案和评估规范》国能安全〔2015〕36号
•《电力监控系统安全防护规定》国家发改委 第14号令
•《电力行业网络与信息安全管理办法》国能安全〔2014〕317号
•《工业控制系统信息安全防护指南》工信软函〔2016〕338号
•《GB/T 22239网络安全等级保护基本要求》
•《GB/T 30976.1-2014——工业控制系统信息安全 第1部分:评估规范》
•《GB/T 30976.2-2014——工业控制系统信息安全 第2部分:验收规范》
解决方案
•物理隔离
在生产控制网与SIS之间部署工业网闸进行物理隔离。通过“2+1”物理结构、私有安全协议以及基于Linux操作系统开发的OPC采集和转发功能和工控协议应用层指令级“4S”深度防护技术,实现多种工业协议、数据的安全可信转发。
•边界与区域隔离
在辅控网与集控室之间部署工业防火墙。利用“4s”安全防护技术以及“白名单”机制,对工控指令、数据进行深度检测和过滤,及时发现可疑指令和恶意数据,保障控制指令及生产数据安全。同时阻止区域间的越权访问,病毒、蠕虫扩散和入侵,将危险源控制在有限范围内。
•主机安全防护
采用工业安全主机卫士,对工业主机软件运行以及系统配置进行安全加固,阻止非法软件的滋生与传播。
•运维安全审计
在工业控制网络核心交换机部署工业运维审计系统,对本地及第三方运维行为进行安全审计,防止病毒、木马以及恶意攻击通过运维过程带入工业网络,对工业业务产生影响。
•工控网络监测与审计
分别在辅网核心交换机和辅控网交换机处部署工业安全审计监测系统,进行全局监测和区域监测,实现从区域到全局的分层、分级监控体系,及时发现各种违规行为和病毒、黑客的攻击行为。
•统一安全管理
通过工业安全管理平台实现对工控安全设备的集中管理、拓扑管理、设备状态监控、安全告警、安全配置及安全策略管理,并通过安全威胁、事件归一化处理和关联分析,实现对全局工控安全的事件追溯、态势感知和动态响应。