火电厂工控安全解决方案

1. 行业现状

      随着“互联网+电力”的深度耦合发展，电力生产对现场设备之间的信息互通提出了更高的要求，以工业以太网为代表的组网技术不断得到广泛应用，电力系统建设已不再是系统的简单集成，而是向网络化、智能化方向全面拓展。在两化融合、智能电网大趋势的背景下，电力企业工业控制系统的管理控制一体化、网络化、智能化已是大势所趋。

      工业控制系统的网络化、智能化在提高生产效率和管理效率的同时，也为恶意攻击者增加了新的攻击途径，针对电力企业生产控制系统的攻击技术和手段不断发展，各种生产控制系统恶意软件以及安全事件层出不穷，使得电力企业生产控制系统面临越来越多的安全威胁和挑战。

2. 安全隐患

结合目前各火电企业的系统特点及发展状况，火电企业工业控制系统存在以下安全风险。

● 火电企业没有对其内部不同安全级控制系统进行逻辑隔离和访问控制。

● 火电企业没有对其内部重要控制设备进行安全防护，导致重要控制器处于无防护、无审计状态。

● 火电企业采用的协议转换设备只具备协议转换功能缺乏必要的数据安全检测措施。

● 火电企业内部控制系统及网络缺乏安全监测与审计措施。

● 火电企业内部缺乏统一的安全管理平台。

3. 遵循标准

● 《工业控制系统信息安全防护指南》（工信软函〔2016〕338号）

● 《电力监控系统安全防护总体方案》(国家能源局36号文)

● 《发电厂监控系统安全防护方案》(国家能源局36号文)

● 《GB/T 22239-2008信息安全等级保护基本要求》

4. 解决方案

● 边界隔离

在火电企业安全一区与安全二区之间部署英赛克INS-T3工业防火墙，实现网络边界逻辑隔离。

● 区域隔离

在各机组DCS以及辅机控制网之间部署英赛克INS-T3工业防火墙，通过INS-T3工业防火墙应用层安全功能，对OPC、Modbus TCP、S7、IEC 104等多种工控协议进行深度解析，及时发现可疑指令和恶意数据，保障区域网络和系统安全。

● 重要设备隔离

在机组DCS以及各辅机PLC前端部署英赛克INS-T3工业防火墙，在实现普通防火墙逻辑隔离、访问控制、包过滤的基础上，利用英赛克工控协议指令级核准制的“4S”深度防护专利技术，对工控协议“数据完整性”、“功能码”、“地址范围”和“工艺参数范围”进行深度解析。

同时结合英赛克“工控业务连续性保障方法”专利技术在不影响工控业务连续性的基础上阻断异常指令、告警可疑操作、隔离威胁数据，保障重要设备可靠运行。

● 协议可信采集与转换

通过英赛克INS-T5可信数据采集网关，结合基于Linux操作系统的OPC安全通信专利技术和“4S”深度防护专利技术，实现火电企业网络内OPC、Modbus、IEC等协议的实时可信转发。

● 工控网络监测与审计

在生产监控层核心交换机和各机组DCS、辅机控制网络交换机处部署INS-A4工控安全审计监测平台，对当前工控网络的流量、协议、业务以及操作行为进行安全监测与审计，及时发现各种违规行为和病毒、黑客的攻击行为。

● 统一安全管理

通过英赛克INS-S2工控安全监控管理平台实现对工控安全设备的集中管理、拓扑管理、设备状态监控、安全告警、安全配置及安全策略管理，并通过安全威胁、事件归一化处理和关联分析，实现对全局工控安全的事件追溯、态势感知和动态响应。