电力行业工控安全解决方案

行业背景：

电力工业是国家的重要基础产业，电力工业控制系统作为国民生产生活的关键基础设施具有举足轻重的地位。随着中国经济建设的蓬勃发展，能源供应质量成为直接关系工业生产稳定的决定因素。随着工业化和信息化以及能源互联网的实际应用，电力系统从相互相对独立且完全与外网隔离发展为网络化连接和信息化管理，并且逐步向互联网开放。电力系统的信息化扩大了传统内部网络风险的发生范围和传递通路，而开放化则引入了全面的无时不在的互联网风险。面对电力系统建设两个方面的矛盾，提高系统的安全防护能力是同时解决两方面矛盾的 佳选择。当前中国工业网络安全基础设施建设落后、安全系统脆弱、安全体系单薄，同时主观上安全意识淡泊，因此加强网络信息安全建设、提高工业的安全防护能力成为当务之急。 

需求分析：

发电厂的主要控制功能都是由DCS系统来完成的，其他系统的集中控制在某种程度上可以完全由DCS系统监控。DCS系统含有大量的数据接口，是构建企业信息化的数据来源与执行机构。当前发电厂工控系统普遍存在以下安全隐患：

● 网络结构

无法保障外网接入安全以及对主机和应用系统资源的合法使用和用户身份的合法性。

● 区域边界

现场控制层与监控层之间存在相互间安全威胁互侵，容易受到信息网络和相邻系统的安全影响。

● 通信网络

没有对生产控制大区的网络流量进行监控和日志审计、无法及时发现网络中的各种违规以及入侵攻击行为。

● 终端设备

开车后不会对操作系统安装任何补丁，无严格的移动介质管控、身份认证措施，终端设备存在被攻击的可能。

● 通讯协议

工业协议缺乏有效的用户安全认证，数据传输的加密解密等基本信息安全手段。

● 管理中心

企业控制系统设备复杂，网络设备、控制设备、监控主机服务器等运行情况、告警日志等无法统一管理。

解决方案：

方案以公安部网络安全等级保护及国家能源局电力监控系统安全防护总体方案等要求为基准，遵循“安全分区、网络专用、横向隔离、纵向认证”的总体原则。

● 对电力工控系统划分不同的网络安全区域，在各区域之间部署工业防火墙，在不同安全级别的大区之间部署隔离网闸，实现物理隔离。 

● 在各机组上位机、服务器中部署主机加固软件，防止恶意代码对工业系统的破坏，同时通过技术手段切断USB移动存储介质的传播途径。 

● 在各机组核心交换机部署工控安全审计设备，对工业数据进行深度检测，实时审计上位机与下位机之间的数据流量合规性。 

● 在区域边界交换机部署入侵检测系统，及时发现数据流量中存在的攻击行为、恶意代码，告警并进行拦截。 

● 构建安全管理中心，对整个厂区的网络安全状况进行统筹管理，收集上位机、服务器、网络设备、安全设备的重要日志，实现安全态势感知分析。