电力行业是国民经济的基础能源产业、重要的国家关键信息基础设施,与人民日常生产生活密切相关,对促进国民经济各产业健康发展、提高人民生活水平意义重大,也对国家安全产生深远影响。一直以来,在火、水、风、光、核等多种电力能源中,火力发电因其原材料丰富、运行稳定、受气候影响小等优势,长期占据我国电力能源“主力”位置,是电力能源保供托底的“压舱石”。
(资料图)
近年来,我国电力能源需求随着国民经济的快速发展不断增长,火力发电作为电能主力军广泛应用新兴技术、采用高度自动化的生产技术装备和高度信息化的管理手段以提升生产管理效率。然而,由于智能终端的增加、互联网的接入,在生产管理效率得到大幅提升的同时,电力监控系统面临着十分严峻的网络安全风险,易受到黑客、病毒、恶意代码等各种形式恶意破坏和攻击。
为保障电力监控系统信息安全,防范黑客及恶意代码等网络攻击,我国先后颁布《电力监控系统安全防护规定》(14号令)《电力监控系统安全防护总体方案》(国能安全〔2015〕36号)等多项政策法规,从法规层面明确电力企业主体责任,对电力监控系统网络安全建设进行规范指导。电力企业迫切需要建立符合规范、全面防护的信息系统安全防护体系。
01
需 求 分 析
珞安科技深耕工控领域多年,在电力行业深入布局,拥有大量火电企业工控安全防护成功案例,在实践中不断挖掘火电企业的网络安全防护需求,全面总结行业工控安全的脆弱性。珞安科技发现火电行业工控系统内部的脆弱性问题是导致系统易受攻击的主要因素,而脆弱性问题的根源包括网络结构、区域边界、通信网络、终端设备、通讯协议、控制系统、管理中心等。
安全架构设计缺失
一区、二区之间的逻辑隔离强度不够;针对与生产无关的协议没有禁止,对OPC、Modbus的读写操作缺少有效管控和记录;生产子系统之间有互联,但未进行有效分域隔离。
协议缺失
通讯协议存在高危漏洞,缺乏指令发送身份认证措施且以明文方式传输数据。此外,常用工控协议均采用明码传输,并且OPC通讯几乎无法使用传统的IT 防火墙来确保其安全性。
安全审计机制缺失
保证生产网内上位机操作系统(Windows系统)只运行指定的工控软件和配套的数据库软件,其他任何未经允许的软件不得在操作系统中启动运行,并且控制开机自动启动的软件。
主机安全防范机制缺失
出于系统机制和稳定性考虑未做补丁安装和升级工作,上位机多采用Windows 、Linux等主流操作系统,系统漏洞极多易被利用攻击,并缺少有效的系统加固手段和高级恶性病毒抵御能力。
移动介质技术防护缺失
针对移动介质只有管理制度,未做必要的技术防护措施,APT恶意程序极易利用移动介质传播到生产控制网络。
大量开放端口应用
工控设备在投运后,各种控制网络端口并未采用专用防护措施或进行密封操作,病毒很可能通过远程操作或维护进行接入设备,带来潜在攻击风险。
02
解 决 方 案
珞安科技在对火电行业工控系统脆弱性全面了解的基础上,依据《电力监控系统安全防护规定》、《电力监控系统安全防护总体方案》、《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 关键信息基础设施安全保护要求》等规定和标准要求,结合火电企业网络安全防护现状与业务需求编制整体解决方案,为火电企业搭建纵深立体的防御体系。
边界隔离防护
01
为保障火电厂生产控制大区安全防护标准以满足行业防护需求和建设原则,秉承安全分区、网络专用原则,生产控制大区内部DCS机组之间应进行有效的边界隔离和防护手段,生产网和办公网部署电力专用隔离装置实现边界物理隔离防护。
入侵检测防护
02
采用旁路方式在厂级监控信息系统(SIS)核心交换机和DCS生产系统交换机部署工控入侵检测系统,实现包括入侵检测、协议解析、病毒检测、DNS监测、DDOS攻击检测等安全检测能力。
安全审计防护
03
在厂级监控信息系统(SIS)及DCS各生产域交换机采用旁路方式部署工控安全审计系统,检测生产控制系统中的操作行为和异常网络行为,便于进行事件取证和定责。
主机加固防护
04
针对火电厂所有操作系统,采用主机安全加固系统进行安全加固和防护,提供主机系统加固、白名单可信防护、恶意代码拦截、系统数据访问控制、外设管控等多种安全能力。
集中安全管理
05
根据等保标准“安全管理中心”相关要求,部署工控集中安全管理系统,采集生产网络中各工控安全设备及系统数据,实现全局化安全管控,加强电力监控系统安全管理水平和监管能力。
运维安全管控
06
为保证电力监控系统生产网络的安全运维,部署运维安全审计系统,通过账号集中管理、细粒度访问权限、操作审计,让运维人员的操作处于可管、可控的状态下,规范运维操作。
03
结 语
目前,我国正处于经济发展新旧动能换挡期,对于清洁能源的需求量在逐步增加。在构建以新能源发电为主体的新型电力系统,推进低碳、低能耗的电力系统设施建设的背景下,火电企业在实现绿色低碳转型的道路上将面临严峻的挑战。在新型电力系统建设过程中,火电企业智能化、自动化程度将不断深入,对网络信息的可靠性和安全性要求也将持续提高。
珞安科技作为专注工业网络空间安全的国家级专精特新“小巨人”企业,将与火电行业发展同频共振,通过技术创新与产品革新不断完善网络安全技术防护措施,进一步提升电力监控系统网络环境可靠性、确保电力系统设备安全、可靠运行,筑牢火电行业网络安全防御工事,以安全赋能火电行业转型升级,保障国家电力能源“压舱石”的安全与稳定。
ENDHISTORY/ 往期推荐