一、现状与问题:
电力工控系统网络拓扑结构包括企业网、 各业务应用系统局域网和基础层工控网三部分, 主要包括数据采集终端、 PLC 控制器、 通信网络、 防火墙和服务器等设备, 共同组成在线监测城市电力控制系统。
目前,电力工控系统存在着较大的安全隐患,主要包括以下几点:
非法外联:为方便维护,违规保留远程维护通道,有安全检查时,就将通道临时关闭,打游击战。
PLC漏洞:PLC开启了Telnet、FTP、HTTP以及RPC服务,这些服务均存在严重的安全漏洞。
操作系统漏洞:HMI开启了Telnet、RDP远程桌面服务(3389)、windows共享等服务,且部分服务存在严重的安全漏洞。
无线风险:电网系统采用无线方式进行远程抄表、电压监测、远程控制RTU,GPRS无线技术存在较大安全隐患。
存储介质滥用:在某电厂,操作主机上发现大量USB插拔记录,用户解释为外协维护工程人员使用U盘,但实际上能看出有大量手机插拔记录。
二、政策依据
《IEC62443 工控网络与系统信息安全标准》
《GB/T 28448-2012 信息系统安全等级保护测评过程指南》
《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息 [2007]44号)
《电力行业信息系统安全等级保护基本要求》(电监信息 [2012]62号)
《关于开展电力工控PLC设备信息安全隐患排查及漏洞整改的通知》(国能综安全[2013]387号)
《电力行业网络与信息安全管理办法》(国能安全[2014]317号)
三、解决思路
网络边界安全
在安全Ⅰ区与安全Ⅱ区间(厂级SIS网络)部署工业防火墙,实现工控网络边界隔离。通过自定义白名单安全策略,对工控网络中的网络通信行为进行细粒度的控制,防止外部网络向工控网络传输基于工控协议的各类攻击,保证通路可靠。
工控网络流量监测与审计
在生产网络区核心交换机处旁路部署工业网络监测审计平台,对各类日志进行搜集并自动分析。采用专业的检测审计技术,可有效检测各种攻击,实时监控工控网络安全,及时发现异常行为及木马病毒,实现网络安全审计及入侵检测。
主机安全防护
安全Ⅰ区部署工控卫士,对工程师站以及数据服务器进行主机加固。可有效防范威胁移动介质的非法访问机密核心数据。同时,工控卫士支持统一后台管理,可通过管理员下发策略实现统一部署,统一加固。
统一安全管理
在生产区核心交换机处部署安全设备、实施安全防护手段,可对相关安全产品进行统一管理、统一策略下发、版本更新,可将系统的工控网络安全现状实时、全面监控。通过部署统一安全管理平台,实现统一管控所有工控网络。
四、客户价值
通过采用边界有防护、内部有审计,采用纵向认证、横向隔离加固的电力系统工业控制网络,提升控制网整体运行效率,保障重要核心节点与数据安全不被侵犯。同时,符合国家电力行业相关标准政策,满足等级保护建设报表,可为企业安全稳定运营保驾护航!
