一、 背景

湖北某火电厂总装机容量4×300MW,为国电集团旗下子公司。为保持业务竞争性,电厂借助数字化、网络化等技术手段,实现了发电业务不断向创新型、智能型、绿色型企业发展。

电力控制系统的网络化、智能化在提高生产效率和管理效率的同时,也使电力控制系统攻击面持续扩大。近年来,针对电力行业的网络攻击逐渐增多,病毒木马、扫描试探、控制系统漏洞以及勒索软件等无不对电力控制系统的网络安全提出更高的要求。

同时,随着《电力监控系统安全防护规定》、《等级保护2.0》、《网络安全法》以及配套法律法规的不断推进实施,国家将持续推进工业行业工控安全建设,作为工控安全领域的排头兵,网络安全合规性将成为发电企业安全生产的重要组成部分。

二、 项目需求

在保证低氮燃烧智能调风控制系统与DCS系统间数据指令双向交互的前提下,满足以下安全需求。

1)    端口过滤与访问控制

对DCS系统与其他控制系统的网络连接进行端口过滤和访问控制,屏蔽无用端口、过滤非法访问,提高DCS控制系统网络安全性。

2)    OPC安全防护

实现对OPC协议的动态端口开放和深度防护,保障OPC通信安全。

3)    病毒防护

切断病毒、木马等恶意软件的传播途径,保障DCS系统免受恶意软件威胁。

4)    工业协议深度防护

可对工控协议及数据的完整性、功能码、地址范围和工艺参数范围进行深度解析,保障工业协议与数据的安全可靠。

5)    工业连续性保障

发现安全威胁并对其进行过滤、处理时不能对正常的业务生产产生影响。

6)    白名单

完全基于白名单的安全防护策略。

7)    流量审计

实现控制流量的安全审计,并支持流量报表。

三、 网络拓扑

四、 解决方案

在低氮燃烧智能调风控制系统与DCS系统间部署英赛克INS-T3工业防火墙。

通过五元组、包过滤、状态检测等安全功能,实现对DCS系统的网络端口过滤、访问控制、异常连接识别、流量会话审计等安全功能,保障DCS系统安全、可靠运行。

通过英赛克“4s”深度防护专利技术以及“白名单”机制,对工控协议“数据完整性”、“功能码”、“地址范围”和“工艺参数范围”进行深度解析和过滤,及时发现可疑指令和恶意数据。同时结合英赛克“工控业务连续性保障方法”专利技术在不影响工控业务连续性的基础上阻断异常指令、告警可疑操作、隔离威胁数据,保障应用层控制指令与控制数据安全。

通过全接口监测功能,实现对OPC通讯端口的智能动态开放,在保障OPC可靠通讯的同时,保证网络端口开放的最小化,降低因多端口暴露导致的网络攻击和数据泄露风险。

通过安全分区并结合INS-T3工业防火墙的综合防护与深度解析功能,实现不同控制网络的访问控制、DOS攻击防护、ARP攻击防护、病毒传播阻断等安全功能,保障各区域之间的网络与数据安全,将恶意攻击、病毒木马、非法访问限定在特定区域内。

         五、 产品特点

本项目中采用的英赛克INS-T3工业防火墙具有以下特点:

1) 工业高可靠性

业内第一家通过中国电科院电力三级型式试验的工业防火墙产品,电磁兼容性达三级或以上,产品支持双机热备和Bypass功能。

2) 自主安全操作系统

产品采用自主安全操作系统 Insec OS,系统自身经安全加固,并率先通过公安三所GB/T 20281-2015最新国家标准认证。

3) 工业协议指令级“白名单+四层深度解析”4S深度防护专利技术

INS-T3工业防火墙可对工控协议完整性、功能码、地址范围和工艺参数范围进行深度解析,有效保障工业协议以及控制指令的安全可信。

4) 首创工控业务连续性保障专利技术

英赛克INS-T3工业防火墙具备“工控业务连续性保障专利技术”,可在不影响工控业务连续性的基础上,阻断异常指令、告警可疑操作、隔离威胁数据,保障应用层控制指令与控制数据安全。

5) 丰富的协议支持

英赛克INS-T3工业防火墙支持OPC、Modbus TCP、S7、IEC 104等多种工控协议的深度防护,支持私有协议的快速定制开发。

6) 扩展防护

产品支持三权分立的权限管理模式,内置系统管理员、配置管理类员、审计管理员;支持ARP防护、抗Dos攻击以及日志与告警功能。

 

成功案例——电力行业 内蒙古某风电场项目
湖北某火电厂DCS系统安全防护项目成功通过用户验收

上一篇

下一篇

火电厂DCS系统安全防护案例

本网站由阿里云提供云计算及安全服务