发表时间: 2020-01-03 14:18:07
作者: 英赛克科技(北京)有限公司
浏览:
1. 行业现状
电力行业是国家经济的基础能源产业,是我国经济、社会发展的关键基础设施,更是国家的重要战略资源。近些年来,电力行业的信息化建设取得了非常显著的成就,通过“互联网+”战略的持续推进,促进了电力工业和信息化的深度融合,借助数字化、网络化、智能化等技术手段,实现了电力企业不断向创新型、智能型、绿色型企业发展。
工业控制系统的网络化、智能化在提高生产效率和管理效率的同时,也为恶意攻击者增加了新的攻击途径,针对电力企业生产控制系统的攻击技术和手段不断发展,各种生产控制系统恶意软件以及安全事件层出不穷,使得电力企业生产控制系统面临越来越多的安全威胁和挑战。
2. 安全隐患
结合目前各水电企业的系统特点及发展状况,水电企业工业控制系统存在以下安全风险。
· 水电企业没有对其内部不同安全级控制系统进行逻辑隔离和访问控制。
· 水电企业没有对其内部重要控制设备进行安全防护,无法对重要设备的功能安全进行有效保障。
·水电企业采用的协议转换设备只具备协议转换功能缺乏必要的数据安全检测措施。
·水电企业内部控制系统及网络缺乏安全监测与审计措施。
·水电企业内部缺乏统一的安全管理平台。
3. 遵循标准
·《工业控制系统信息安全防护指南》(工信软函〔2016〕338号)
·《电力监控系统安全防护总体方案》(国家能源局36号文)
·《发电厂监控系统安全防护方案》(国家能源局36号文)
·《GB/T 22239-2008信息安全等级保护基本要求》
4. 解决方案
在水电企业安全一区与安全二区之间部署英赛克INS-T3工业防火墙,实现网络边界逻辑隔离。
在各LCU与生产监控层网络之间部署英赛克INS-T3工业防火墙,通过INS-T3工业防火墙应用层安全功能,对OPC、Modbus TCP、S7、IEC 104等多种工控协议进行深度解析,及时发现可疑指令和恶意数据,保障区域网络和系统安全。
在机组现地控制单元的PLC前端部署英赛克INS-T3工业防火墙,在实现普通防火墙逻辑隔离、访问控制、包过滤的基础上,利用英赛克工控协议指令级核准制的“4S”深度防护专利技术,对工控协议“数据完整性”、“功能码”、“地址范围”和“工艺参数范围”进行深度解析。
同时结合英赛克“工控业务连续性保障方法”专利技术在不影响工控业务连续性的基础上阻断异常指令、告警可疑操作、隔离威胁数据,保障重要设备可靠运行。
通过英赛克INS-T5可信数据采集网关,结合基于Linux操作系统的OPC安全通信专利技术和“4S”深度防护专利技术,实现水电企业网络内OPC、Modbus、IEC等协议的实时可信转发。
在生产监控网核心交换机和LCU交换机处部署INS-A4工控安全审计监测平台,对当前工控网络的流量、协议、业务以及操作行为进行安全监测与审计,及时发现各种违规行为和病毒、黑客的攻击行为。
通过英赛克INS-S2工控安全监控管理平台实现对工控安全设备的集中管理、拓扑管理、设备状态监控、安全告警、安全配置及安全策略管理,并通过安全威胁、事件归一化处理和关联分析,实现对全局工控安全的事件追溯、态势感知和动态响应。