当前,环境污染问题日益严峻,加之全球许多石油和天然气生产地区政治和经济局势的不稳定性光伏产业、积极开发太阳能等清洁新能源,已成为各国可持续发展的重要组成部分。然而,随着越来越多的光伏电站和风电场等新能源不断连接到电网,其极大地扩展了电力通信网络的节点数量,但由于存在大量地理上的分散性,加之利用电力监控系统内部的薄弱环节,容易遭受到外部蓄意的网络攻击、恶意代码攻击和黑客入侵。
建设目标: 满足等保2.0标准,符合电力行业“十六字方针”原则;
建设原则: “一个中心,三重防护”,“分区分域、网络专用、横向隔离、纵向认证”;
安全区域边界: 在安全Ⅰ区与安全Ⅱ区之间部署工业防火墙系统,通过应用访问控制列表(ACL)对工业控制系统网络数据包进行过滤,实现逻辑隔离; 管理信息区气象服务器与交换机之间部署下一代防火墙系统,通过基于应用/用户识别的访问控制、流量控制、上网行为管理、NAT转发、ISP链路负载均衡、安全威胁阻断等功能,实现对网络区域边界的安全防护。
安全通信网络: 在安全Ⅰ区与安全Ⅱ区的核心交换机旁路模式部署入侵检测系统,采用的流检测技术(综合运用了ACL高效分流技术和Session状态跟踪技术),结合跨包检测、关联分析和“零”缓存等技术,对各种攻击行为和流量行为进行分析,大幅提升了报文检测的准确性和处理性能。
安全计算环境: 在安全Ⅰ区与安全Ⅱ区的所有工作站上部署工业卫士软件,通过白名单方式阻止病毒、木马、违规软件的启动,阻止非法USB等外设接入,防止核心数据被篡改。保障业务和数据的稳定性和安全性。实现工控主机从启动、加载、运行等过程全生命周期的安全保障。
安全管理中心: 在安全Ⅱ区建设安全管理中心,旁路部署统一监管平台,对所有部署的工业卫士、工业防火墙、入侵检测等设备进行实时管理和状态监控;部署日志审计系统和堡垒机系统,对各种系统事件、访问行为、运维日志进行分析记录;对所有操作员工作站进行统一授权管理、日常运维工作的监控和审计,对违规操作进行及时告警和证据留存。同时部署漏扫扫描系统,在设备上线前进行安全扫描、定期对工控设备、主机、网络设备进行安全扫描,时刻掌握网络安全漏洞现状,并生成整改报告用于指导工控安全方案优化。
满足电力36号文中所指出的“安全分区、网络专用、横向隔离、纵向认证”十六字方针。
针对电厂工业系统的不同层次,基于“一个中心,三重防护“的指导思想,在每层都提供了必要的安全防护机制。
构建了以预测为核心的事前-事中-事后处置体系,针对目前地潜在攻击威胁具备极强的抵御能力。
通过管理中心的建设,能够帮助管理员准确并快速定位安全事件发生源头,同时还能够帮助运维技术人员快速分析故障、准确定位故障点、高效排除故障,有效减少生产网故障中断数量和中断时间,保障生产网高效、稳定运行。