我国在80年代中期引进DCS用于火电厂单元机组控制系统中,当时单元机组控制系统是一个相对封闭、孤立的生产控制系统网络,与外界有较少通信甚至是没有通信的,似乎从来不会有遭受网络攻击的可能性,DCS系统对信息安全的需求相对较少。随着计算机网络技术的飞速发展和广泛应用以及工业生产对DCS要求的不断提高,独立环境下的DCS已经不能满足工业生产的需求,工业过程和信息化系统的连接越来越紧密。这种紧密的连接使得原本物理隔绝的DCS失去了免遭网络攻击的天然屏障,面临着遭受黑客攻击、病毒攻击的可用性。
建设目标: 满足等保2.0标准,符合电力行业“十六字方针”原则;
建设原则: “一个中心,三重防护”,“分区分域、网络专用、横向隔离、纵向认证”;
安全区域边界: 在#1机组、#2机组数据链路之间部署工业防火墙,对两个区域之间通讯进行逻辑隔离、访问控制,阻止网络攻击在不同区域间渗透,保障关键资产和业务的安全;
安全通信网络: 对#1机组、#2机组、辅网系统的流量通过工业审计进行防护,实时检测出针对工业协议的网络攻击、误操作、违规操作、非法IP或非法设备接入以及病毒的传播并实时报警,帮助客户及时采取应对措施,减少系统异常风险。在SIS的核心交换机旁路部署入侵检测系统(IDS),通过准确监测网络异常流量,自动应对各类攻击流量,及时将安全威胁阻隔在企业网络外部
安全计算环境: 在生产控制大区的每台工作站主机安装白名单安全防护软件工业卫士,使主机免受病毒等各种非法攻击,可以有效管控主机的USB等外部端口的接入。
安全管理中心: 在生产控制大区部署工业监管平台,作为安全管理中心,实现对工业网络安全设备统一管理、配置、统一部署安全规则,监测工业网络的通信流量与安全事件,并能对工控网络内的安全威胁进行分析,提供包括行为记录、日志管理、设备管理、安全性分区等多
满足电力36号文中所指出的“安全分区、网络专用、横向隔离、纵向认证”十六字方针。
针对电厂工业系统的不同层次,基于“一个中心,三重防护“的指导思想,在每层都提供了必要的安全防护机制。
构建了以预测为核心的事前-事中-事后处置体系,针对目前地潜在攻击威胁具备极强的抵御能力。
通过管理中心的建设,能够帮助管理员准确并快速定位安全事件发生源头,同时还能够帮助运维技术人员快速分析故障、准确定位故障点、高效排除故障,有效减少生产网故障中断数量和中断时间,保障生产网高效、稳定运行。