• 光伏发电行业工业控制网络安全解决方案

    安全需求

    行业背景

            电力行业的发展对于控制系统要求也极为严格,光伏新能源作为发电的新一代清洁能源,是发电的有力补充。作为可再生能源,具有充分的清洁性、绝对的安全性、相对的广泛性、确实的长寿命和免维护性、资源的充足性及潜在的经济性等优点,在长期的能源战略中具有重要地位。光伏发电厂普遍采用了高度自动化的生产技术装备和高度信息化的运营管理手段。为了抵御各种攻击对发电生产控制系统的破坏,国家发展和改革委员会颁布第14号令《电力监控系统安全防护规定》和能源局36号文《电力监控系统安全防护总体方案》,确定了电力二次系统安全防护的总体框架。指导全国电力系统信息安全体系化建设。

            本方案的设计和实施主要依据如下:

             ◉  《中华人民共和国网络安全法》;

             ◉  《信息安全技术 网络安全等级保护基本要求第5部分》;

             ◉  国家工业和信息化部印发《工业控制系统信息安全防护指南》;

             ◉  国家发展和改革委员会颁布第14号令《电力监控系统安全防护规定》;     

             ◉  能源局36号文《电力监控系统安全防护总体方案》。

     

     

     

     

    •         缺少边界防护措施

            疏漏的网络分割设计,不同层级之间存在相互间安全威胁互侵。缺乏分区保护,容易受到信息网络和相邻系统的安全影响。

    •         系统缺乏有效监控手段

            没有对生产控制大区的网络流量进行监控和日志审计,无法及时发现网络中的各种违规以及入侵攻击行为,无法感知未知设备、非法应用和软件的入侵和溯源。

    •         工作主机无防控措施

            生产控制系统中的终端(如值长站、工程师站、操作员站等),无移动存储介质管理、工作主机软件运行白名单管理、联网控制、网络准入控制的技术控制措施。

    •         多网络接入点

            无法保证多网络接入点安全,保证对主机和应用系统资源的合法使用和用户身份的合法性。

    •         无法高效统一监管

            全厂并无统一的信息安全管理策略,需要对网络状态实时监控、智能分析,以总揽大局的方式为工厂网络故障的及时排查、分析提供可靠依据和态势分析。

    方案内容

    •         对于电厂当前的安全区域划分情况,主要在控制大区的边界防护和各层次间的域间隔离防护;主机安全主要从上位机操作系统安全加固、介质管控进行安全加固和防护;内部监测主要结合入侵检测和安全审计的要求对电厂大区进行网络监测审计,通过网络层面对整个操作的行为安全性进行分析和监控,设计的工控网络安全防护体系具体如下:
    •  
    •         缺少边界防护措施

            疏漏的网络分割设计,不同层级之间存在相互间安全威胁互侵。缺乏分区保护,容易受到信息网络和相邻系统的安全影响。

    •         系统缺乏有效监控手段

            没有对生产控制大区的网络流量进行监控和日志审计,无法及时发现网络中的各种违规以及入侵攻击行为,无法感知未知设备、非法应用和软件的入侵和溯源。

    •         工作主机无防控措施

            生产控制系统中的终端(如值长站、工程师站、操作员站等),无移动存储介质管理、工作主机软件运行白名单管理、联网控制、网络准入控制的技术控制措施。

    •         多网络接入点

            无法保证多网络接入点安全,保证对主机和应用系统资源的合法使用和用户身份的合法性。

    •         无法高效统一监管

            全厂并无统一的信息安全管理策略,需要对网络状态实时监控、智能分析,以总揽大局的方式为工厂网络故障的及时排查、分析提供可靠依据和态势分析。

    •  

    行业背景

            电力行业的发展对于控制系统要求也极为严格,火力发电的控制系统对于火电厂安全环保至关重要。火力发电厂普遍采用了高度自动化的生产技术装备和高度信息化的运营管理手段。为了抵御各种攻击对发电生产控制系统的破坏,国家发展和改革委员会颁布第14号令《电力监控系统安全防护规定》和能源局36号文《电力监控系统安全防护总体方案》,确定了电力二次系统安全防护的总体框架。指导全国电力系统信息安全体系化建设。

             本方案的设计和实施主要依据如下:

              ◉《中华人民共和国网络安全法》;

              ◉《信息安全技术 网络安全等级保护基本要求第5部分》;

              ◉  国家工业和信息化部印发《工业控制系统信息安全防护指南》;

              ◉《电力监控系统安全防护总体方案等安全防护方案》国能综合36号文(2015);

              ◉《GB/T 36047-2018电力信息系统安全检查规范》

    •  

    安全需求

    火电行业工业控制网络安全解决方案

    方案内容

    •          对于电厂当前的安全区域划分情况,主要在控制大区I区和II区的边界防护和各系统间的域间隔离防护;主机安全主要从上位机操作系统安全加固、介质管控和关键节点三个位置进行安全加固和防护;内部监测主要结合入侵检测和安全审计的要求对电厂大区进行网络监测审计,II区部署网络准入设备保证接入点的安全,最终通过安全监管总揽大局对网络状态实时监控、智能分析,设计的工控网络安全防护体系具体如下
    •  
  • 安全需求

    水电行业工业控制网络安解决方案

            电力行业的发展对于控制系统要求也极为严格,水利发电是目前发展最为成熟的高效清洁能源,在我国能源可持续发展战略中具有重要地位。水力发电厂普遍采用了高度自动化的生产技术装备和高度信息化的运营管理手段。为了抵御各种攻击对发电生产控制系统的破坏,国家发展和改革委员会颁布第14号令《电力监控系统安全防护规定》和能源局36号文《电力监控系统安全防护总体方案》,确定了电力二次系统安全防护的总体框架。指导全国电力系统信息安全体系化建设。

           本方案的设计和实施主要依据如下:

            ◉  《中华人民共和国网络安全法》;

            ◉  《信息安全技术 网络安全等级保护基本要求第5部分》;

            ◉    国家工业和信息化部印发《工业控制系统信息安全防护指南》;

            ◉  《电力监控系统安全防护总体方案等安全防护方案》国能综合36号文(2015)

     

    行业背景

    •         缺少有效隔离手段

             I区和II区的分区数据、现地层LCU重点设备前端缺乏访问控制手段实现I区到II区之间生产和信息数据的安全访问和II区系统间安全访问。

    •         无有效流量监控措施

            生产控制大区I区缺少有效的统一流量监视和审计手段,出现信息安全事件无据可查、无法定位和追溯。

    •         终端无技管措施

            生产控制系统中的终端(如服务器、工程师站、操作员站等)没有采取有力的技术和管理措施对存在主机上的业务应用进行辨别把控。

    •         存在违规外联

    违规外联或违规接入,会导致病毒、木马传播和安全隐患。   

    •         无法高效统一监管

            无统一的信息安全管理策略,定期对工业控制系统进行安全监测、安全评估,并借助集中管理系统对整体态势进行感知。

    方案内容

    •         基于现状,主要在非控制大区II区和I区的边界防护,在I区内部进行层次隔离;主机安全主要是监控机房的上位机操作系统安全加固、介质管控进行安全加固和防护;内部监测主要结合入侵检测和安全审计的要求对电厂大区进行网络监测审计,通过网络层面对整个操作的行为安全性进行分析和监控,设计的工控网络安全防护体系具体如下: