水电站工业控制系统运行环境特殊,具有宽温差、高湿度等特性,且汛期、旱期系统负荷差距大,随着“两化融合”的日益推进和物联网的迅猛发展以及智能设备的广泛使用、逐渐面临的各种网络攻击,使安全威胁逐年增加。
建设目标: 满足等保2.0标准,符合电力行业“十六字方针”原则;
建设原则: “一个中心,三重防护”,“分区分域、网络专用、横向隔离、纵向认证”;
安全区域边界: 在环网出口与交换机之间串联部署边界防火墙,通过基于应用/用户识别的访问控制、流量控制、上网行为管理、NAT 转发、ISP 链路负载均衡、安全威胁阻断等功能,实现对网络区域边界的安全防护;在LCU与环网之间串联部署工业防火墙,通过精细的访问控制规则、入侵攻击规则、白名单等方式实现对LCU的隔离,减小LCU的攻击面。
安全通信网络: 在环网上旁路部署入侵检测系统,对各种工业协议、攻击行为、流量行为进行分析并实现攻击预警。
安全计算环境: 在所有工作站、服务器部署工业主机卫士软件,通过白名单的方式阻止恶意程序运行及未授权主机接口设备的使用并可进行非法外联检测,实现工控主机从启动、加载、运行等过程全生命周期的安全防护。
安全管理中心: 在环网上旁路部署统一监管平台,对所有部署的工业卫士、工业防火墙、入侵检测等设备进行实时管理和状态监控;同时在环网上旁路部署日志审计系统和堡垒机系统,对各种系统事件、访问行为、运维日志进行分析记录;对所有操作员工作站进行统一授权管理、日常运维工作的监控和审计,对违规操作进行及时告警和证据留存。
满足电力36号文中所指出的“安全分区、网络专用、横向隔离、纵向认证”十六字方针。
针对电厂工业系统的不同层次,基于“一个中心,三重防护“的指导思想,在每层都提供了必要的安全防护机制。
构建了以预测为核心的事前-事中-事后处置体系,针对目前地潜在攻击威胁具备极强的抵御能力。
通过管理中心的建设,能够帮助管理员准确并快速定位安全事件发生源头,同时还能够帮助运维技术人员快速分析故障、准确定位故障点、高效排除故障,有效减少生产网故障中断数量和中断时间,保障生产网高效、稳定运行。