新闻资讯
全部分类

关键信息基础设施的等保2.0之路 | 水力发电篇

  • 分类:行业洞察
  • 作者:
  • 来源:
  • 发布时间:2020-05-28 10:02
  • 访问量:

【概要描述】请跟随天地和兴的脚步,共同走向关键信息基础设施等保2.0之路,亲授工控安全解决方案系列典籍,助力关键信息基础设施工控安全能力新升级!

关键信息基础设施的等保2.0之路 | 水力发电篇

【概要描述】请跟随天地和兴的脚步,共同走向关键信息基础设施等保2.0之路,亲授工控安全解决方案系列典籍,助力关键信息基础设施工控安全能力新升级!

  • 分类:行业洞察
  • 作者:
  • 来源:
  • 发布时间:2020-05-28 10:02
  • 访问量:
详情

引言:2019年12月1日,《网络安全等级保护基本要求》的正式实施标志着等级保护制度整体进入 2.0 时代,等级保护对象范围从传统的网络和信息系统,向“云移物工大”上进行了扩展。GB/T22239由单独的基本要求演变为通用安全要求+新技术安全扩展要求,且技术要求和管理要求都做了调整。而关键信息基础设施也在定级要求上明确指出“定级原则上不低于三级”的要求。在“关键信息基础设施的等保2.0之路”系列文章中,天地和兴将从关键信息基础设施保护的实践出发,梳理并提供2.0时代等保安全建设的整体解决方案,旨在助力关键信息基础设施运营者网络安全防护能力和信息安全管理能力的提升,应对各类网络风险和挑战。

 

  一、安全现状

  水能是一种取之不尽、用之不竭、可再生的清洁能源。水力发电是利用水位落差,配合水轮发电机产生电力的发电模式。水力发电电力监控系统以计算机、通讯设备、测控单元为基本工具,为电厂生产的实时数据采集、开关状态检测及远程控制提供了基础平台。按《电力行业信息系统安全等级保护定级工作指导意见》规定,总装机1000兆瓦及以上的水电厂和总装机2000兆瓦及以上的梯级调度监控系统应按等保三级进行保护。

  当前水力发电企业计算机监控系统普遍存在以下网络安全隐患:

  1、水电企业计算机监控系统结构复杂,计算机监控系统内部各子系统数据交互频繁,外部计算机监控系统与调度数据网、集控中心也存在数据交互,而水情系统与互联网亦有数据交互情况。一旦防护不当极易导致恶意攻击从信息网甚至互联网直接渗透到计算机监控系统网络内部,造成生产风险;

  2、计算机监控系统的工程师站、操作员站等大部分上位机为Windows或Linux系统。为保证计算机监控系统的相对独立性,同时考虑到系统的稳定运行,通常在系统运行后不会安装杀毒软件、安全更新补丁,以及策略配置变更,从而埋下巨大的安全隐患,一旦感染恶意代码,极易传播扩散,导致整个系统运行故障;

  3、缺乏对管理和技术人员操作行为的有效安全监管和审计,误操作或恶意操作安全风险较大,如:未授权的远程接入、移动设备接入,都可能导致风险发生;

  4、从等保2.0的要求以及构建整体的网络安全防护体系需求来看,大部分水电企业并无统一的信息安全管理策略,亦并未配置独立的安全管理中心。

 

  二、解决方案

  1、风险评估方案

  结合水力发电企业自身独有的特征,全面了解与验证水电站和集控中心生产控制系统网络中存在的各种风险,天地和兴将围绕电力监控系统运行环境、安全管理制度等因素,由专业的安服人员,借助专业的工控信息安全检查工具等技术手段,对系统网络做全面的安全检查与验证,生成权威的安全风险评估报告,为用户全面了解生产控制系统网络安全风险提供依据。

 

 

  图1 风险要素关系图

  2、安全防护方案

  对水电场站和集控中心计算机监控系统的网络安全防护建设,遵循可持续发展、分区分级保护重点、网络专用多道防线、全面融入安全生产、管控风险保障安全的原则,参照国家《网络安全等级保护基本要求》“一个中心、三重防护”的安全理念,通过部署工控防火墙、工控安全审计、入侵检测、网络安全监测装置等安全防护产品,提升生产监控系统网络整体防护能力,部署示意图如下:

 

 

  图2 拓扑图:水电集控中心安全防护示意图

 

 

  图3 拓扑图:水电场站安全防护示意图

  安全通信网络:在计算机监控系统和信息管理大区之间串行部署电力专用单向隔离网闸,用于计算机监控系统到管理信息大区的非网络方式单向数据传输;电力专用加密认证网关部署在计算机监控系统内部局域网与电力调度数据网络路由器之间,用来保障电力调度系统纵向数据传输过程中的数据机密性、完整性。

  安全区域边界:在水电厂“安全区I与安全区II”之间串行部署工控防火墙产品,建立发电-升压-并网业务实时区和非实时区的访问控制策略,保护系统运行安全。在核心业务数据交汇处——“安全I区和安全II区核心交换机”旁路部署入侵检测系统、工控安全审计平台,实时监测网络边界、安全域内重要节点的异常行为并进行审计告警,异常行为包括各类已知、未知的入侵行为,网络病毒,非法访问等。

  安全计算环境:在水电厂和集控中心主要的上位机上部署主机安全防护系统客户端,实现主机防病毒、防第三方软件的非授权安装与使用,主机系统外接口尤其是USB存储设备的认证管控、防病毒与操作行为审计。针对电力监控系统内所有上位机、人机交互站、安全设备以及服务器等进行人工加固服务,加固方式包括但不限于:安全配置、安全补丁、采用专用软件或硬件强化操作系统访问控制能力以及配置安全的应用程序。加固措施包括:升级到当前系统版本、安装后续的补丁合集、加固系统TCP/IP配置、关闭不必要的服务和端口、为超级用户或特权用户设定复杂的口令、修改弱口令或空口令、禁止任何应用程序以超级用户身份运行、设定系统日志和审计行为等。

  安全管理中心:在水电厂和集控中心计算机监控系统中新建安全管理域,部署日志审计与分析系统、账号管理及运维审计系统、工控信息安全监管与分析平台,实现全网安全设备运行监控、安全日志收集与分析、安全事件集中处置,全网系统账户的统一管理与操作审计,全网资产无损扫描识别与管理,资产漏洞匹配与统计报告等安全集中管理能力。在计算机监控系统安全I区和安全II区各部署一台网络安全监测装置,通过探针软件和网管协议收集涉网设备的运行日志、安全设备运行日志,计算机监控系统的运行日志等,将告警信息经纵向加密统一上传至省调和地调的网络安全管理平台。

  3、安全检查方案

  应建立计算机监控系统定期安全检查和整改工作机制,每年至少自行开展一次安全检查,依据发现问题需制定整改计划及措施,并将整改情况上报主管单位和集团公司。等级保护定级为三级的系统,除每年自行开展一次安全检查外,还应按照等级保护要求,做好安全评估及整改工作。配合集团公司每年的抽检,并协助开展计算机监控系统网络安全专项检查,最终对检查结果进行通报。

  4、应急演练方案

  协助制定水电企业生产监控系统安全应急处置预案,每年至少进行一次演练,确保发生安全事件时能够有序处置、快速恢复。当生产控制大区内生产监控系统发生变化时,及时组织对应急处置预案进行评估,根据实际情况适时修改并进行演练,形成快速反应、快速处置的能力。确保当生产控制大区出现安全事件,尤其是遭到黑客、恶意代码攻击和其他人为破坏时,立即向上级电力调度机构以及当地国家能源局派出机构、当地政府相应部门及集团公司报告,同时按应急处理预案采取安全应急措施。处理安全事件过程中应注意保护现场,以便进行调查取证和分析。最后将制定安全防护事件通报制度,有关安全问题做好记录。定期向调度中心报送生产监控系统安全防护情况,并及时上报生产监控系统安全防护出现的异常现象。

  5、安全服务方案

  相较于其他类别的发电企业,水力发电其本身更注重“标准化”下的网络安全工作如何开展,天地和兴将有针对性地对场站和集控侧相关人员提供专业的培训、咨询、运维等服务,涉及标准体系建设和管理、网络安全培训、安全防护标准培训、当前攻防技术培训与应用、安全管理与规范操作日常运维等内容。协助企业全员提高专业知识与安防范,帮助企业全员提高专业知识与安防范意识。同时,天地和兴还提供7*24小时的专家级安全咨询服务与运维、应急保障等。

 

  三、总结

  在在历年的统计中,水力发电企业的非法外联、漏洞、系统代码、安全管理等问题相较于其他类别发电企业更普遍易发,究其原因主要为现场人员对于网络安全理解不深、管理制度不适用等。本方案结合水力发电企业独有的安全风险,按照等保2.0各项要求,在水力发电企业的二次系统上构建纵深安全防护体系,充分落实《网络安全等级保护基本要求》“一个中心、三重防护”的安全理念与安全架构要求,系统地为企业提供包括安全服务、安全建设、安全运营在内的全生命周期工业网络安全解决方案,为水力发电企业电力监控系统安全运行保驾护航!

关键词:

相关文件

暂时没有内容信息显示
请先在网站后台添加数据记录。
天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号