一背景简介
国内某大型水电站是国家西电东送“十五”期间重点工程,该电站总装机容量100万kW,年发电量24亿kW·h,同时具备多年调节的性能。
该水电站作为中电联组织的电力企业电力工控系统信息安全试点单位,开展工控安全试点建设工作。绿盟科技凭借专业的技术能力、可靠的安全产品和丰富的行业经验,成为试点承建单位对水电站进行电力工控系统信息安全进行整体规划和建设。
二安全现状
某水电站电力工控系统现状拓扑
经现场实地考察和风险评估分析后,该水电站安全现状总结如下:
栅格状边界防线已建立。已按照发改委14号令及国家能源局36号文中要求的“安全分区、网络专用、横向隔离、纵向认证”,初步建立纵横交错的栅格状边界防线;
网络边界防护力度不足。安全区Ⅰ和安全区Ⅱ之间的边界防护措施不够完善,部署的传统IT防火墙缺乏对工业协议的支持以及对工业病毒的防护;
水情测控接入防护缺失。安全区Ⅱ的水情系统前端测控站与后端服务器之间通过微波进行无线通信,缺乏安全防护设备在接收端对数据的无线输入进行安全防护;
恶意代码防范机制缺失。安全区Ⅰ和安全区Ⅱ的上位机、服务器等主机设备均处于“裸奔”状态,无法对恶意代码进行有效防范;
移动介质安全管控缺乏。移动介质滥用、乱用现象严重:随意拷贝数据造成敏感信息泄露,移动介质携带病毒造成主机感染进而导致系统瘫痪;
监控系统监测审计缺少。缺少针对上位机、服务器、网络行为等监测审计能力,更无法实现对电力监控系统安全设备的统一监管;
重要控制设备防护缺失。针对各控制系统PLC的防护措施不足,无法对流经的工业协议进行深度包检测,发现异常操作和违规行为;
厂站安全管理制度不全。电力监控系统网络安全管理制度不健全,无法落实网络安全工作职责和责任,相关软硬件设备得不到有效保养维护。
三解决方案
针对发现的安全风险和问题,绿盟科技专家技术团队根据该水电站计算机监控系统和水情水调自动化系统情况,结合发改委、工信部和国家能源局等主管机构对发电厂工控系统安全防护的具体要求,为水电站电力工控系统构建栅格状、立体化的纵深防线。
区域边界防护
在安全区Ⅰ和安全区Ⅱ之间部署工业防火墙,实现两个安全区域的边界防护和访问控制;在安全区Ⅰ的监控系统中各处LCU和站控层交换机之间部署工业防火墙,实现对LCU内部重要控制设备PLC的精准防护;在安全区Ⅱ的水情系统中测控装置后端加设安全接入区,在安全接入区中部署电力专用正向隔离装置确保数据单向传输,防止攻击通过无线通信蔓延至内部网络中。
通信网络监测
在安全区Ⅰ的调度实时交换机、集控实时交换机上旁路部署工控安全审计,在安全区Ⅰ的监控系统的站控层交换机上旁路部署工控安全审计,在安全区Ⅱ的调度非实时交换机、集控非实时交换机上旁路部署工控安全审计,精准记录水电站电力监控系统关键节点的网络通信行为,基于对水电站业务系统的理解和工业协议的深度解码,结合水电站业务系统操作过程中相关的规程要求,感知潜在的异常操作行为。
计算环境防范
在安全区Ⅰ和安全区Ⅱ的上位机、服务器等主机上安装主机卫士客户端软件,利用机器自学习白名单建模技术,对电力监控系统的应用程序、进程、服务以及外设进行管控,同时利用主机加固功能对重要文件、注册表、进程进行加固保护,解决工业主机入侵检测、恶意代码防范能力不强的问题;并在这些主机上部署USB保护装置,配置安全策略只允许可信U盘进行接入,禁止非授权移动介质的接入,实现USB的安全管控。
管理中心态势
在安全区Ⅱ中部署工业网络安全监测管理平台,接入水电厂安全设备、网络设备、主机白名单软件、服务器等资产,通过大数据技术进行行为分析、业务关联和机械学习,实现对水电站整体安全的态势感知和预警监测,发现异常行为,及时处置从而降低安全风险。
物理环境监测
在通讯机房、计算机监控机房、集控机房、MIS机房部署6套精密工业空调,并安装水浸传感器、烟感传感器等装置,同时将机房UPS电源接入动态环境监测系统中,实现对机房物理环境的实时监测。
管理制度健全
建设一套适用于该水电厂的安全管理以及应急预案制度,安全管理制度包括组织建设、外来人员、网络安全、风险评估、变更、供应商、介质等一系列管理制度。
四客户价值
★ 合规达标,风险可控
满足国家、行业法律法规以及政策标准等合规方面的要求,通过等保三级测评,将网络安全风险降低到可控范围内。
★ 趋势预警,成果可视
通过大数据、威胁情报和态势感知等新技术达到安全风险趋势预警,网络安全成果可在平台进行展示。
★ 平稳运行,业务可靠
整体方案实施完成后未对水电站正常生产业务造成影响,保障电力监控系统平稳运行,业务系统数据传输可靠。
★ 纵深防御,安全可信
通过各类安全设备构建电力栅格状立体纵深防线,实现水电站生产控制系统网络安全的纵深防御和综合防护,生产运行环境安全可信。