电力行业作为国家关键基础设施的重要组成部分,一直备受瞩目。因此,电力行业 的发展对于控制系统要求也极为严格。目 前国家电网变电站普遍采用了高度自动化的生产技术装备和高度信息化的运营管理手段。与此同时,严峻的网络安全风险也如影随形。火电厂网络信息安全防护有其 特殊性:一是其防护的攻击主体特殊,入侵者不会是一般意义上的"黑客",而很可能是恐怖组织甚至是敌对国家力量支撑的组织;二是遭受攻击破坏后果严重,发电设备等关键设施一旦遭受攻击,会直接威胁到国民经济的发展和社会安定。在电力行业,电监会早在2005年就颁布了《电力二次系统安全防护规定》(5号令)。 同时,为了加强电力监控系统的信息安全管理 , 防范黑客及恶意代码等对电力监控系统的攻击,国家发改委于2014年颁布《电力监控系统安全防护规定》(14 号令), 国家能源局颁布《电力监控系统安全防护总体方案》( 国能安全〔2015〕36 号 ),而随着国家《网络安全法》的颁布,更是明确了主体单位应尽的责任和义务。
针对火电厂所有操作系统,采用工业主机安全防护系统进行安全加固和防护,提供主机系统加固、白名单可信防护、恶意代码拦截、系统数据访问控制、外设管控等多种安全能力。
采用旁路方式在厂级监控信息系统(SIS)核心交换机和场站生产系统交换机部署工业入侵检测系统,实现包括入侵检测、协议解析、病毒检测、DNS监测、DDOS攻击检测等安全监测能力。
在厂级监控信息系统(SIS)及现场设备层各生产域交换机采用旁路方式,部署工控网络安全审计系统,检测生产控制系统中的操作行为和异常网络行为,便于进行事件取证和定责。
为保障火电厂生产控制大区安全防护标准以满足行业防护需求和建设原则,秉承安全分区网络专用原则,生产控制大区内部DCS机组之间应进行有效的边界隔离和防护手段,生产网和办公网部署电力专用隔离装置实现边界物理隔离防护标准。
为保证电力监控系统生产网络的安全运维,部署运维安全审计系统,通过账号集中管理、细粒度访问权限、操作审计,让运维人员的操作处于可管、可控的状态下,规范运维操作。
根据等保标准“安全管理中心”相关要求,部署集中安全管理平台,采集生产网络中各工控安全设备及系统数据,实现全局化安全管控,加强电力监控系统安全管理水平和监管能力。