前言:想要寫出一篇引人入勝的文章?我們特意為您整理了電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護方案研究設(shè)計范文,希望能給你帶來靈感和參考,敬請閱讀。
近年來,隨著網(wǎng)絡(luò)安全問題的不斷涌現(xiàn),國家對網(wǎng)絡(luò)安全越來越重視。水電廠電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全問題也越來越多。本文從多個角度研究了水電廠電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全問題,提出相關(guān)設(shè)計思路和解決方案,并進行系統(tǒng)的描述。電力行業(yè)是我國重要的關(guān)鍵基礎(chǔ)設(shè)施,關(guān)乎國計民生,其中發(fā)電廠電力監(jiān)控系統(tǒng)是最核心和重要的系統(tǒng)之一。在滿足“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”基本原則的基礎(chǔ)上,結(jié)合國家信息安全等級保護工作的相關(guān)要求,對電力監(jiān)控系統(tǒng)的綜合安全防護建設(shè)工作仍需持續(xù)加強。近年來,電力監(jiān)控系統(tǒng)的外部環(huán)境發(fā)生了變化,系統(tǒng)網(wǎng)絡(luò)不再獨立封閉,更多的系統(tǒng)互聯(lián)。外部攻擊源從單點個體變化為規(guī)?;瘓F體攻擊,攻擊從個體行為向團隊協(xié)作過渡,甚至國家級力量開始介入。攻擊技術(shù)在軟件即服務(wù)等新技術(shù)的加持下,惡意代碼獲得便捷、多元、快速,攻擊行為全天候,產(chǎn)生惡意代碼變種的速度空前加快。攻擊手段趨于定制化、個性化、復(fù)雜化,APT技術(shù)運用越來越多。工業(yè)自動化進一步發(fā)展,智慧電廠、泛在互聯(lián)如火如荼,廣泛的互聯(lián)互操作使生產(chǎn)網(wǎng)絡(luò)趨向復(fù)雜,風(fēng)險點增多。
1設(shè)計思路
水電廠電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護方案的主要設(shè)計思路:強化安全區(qū)域邊界訪問控制能力;提高網(wǎng)絡(luò)內(nèi)、外入侵和惡意代碼防御能力;提高違規(guī)內(nèi)聯(lián)、外聯(lián)檢測能力;提高系統(tǒng)內(nèi)主機病毒防范能力;提高主機身份認證能力,采用雙因子認證機制;一鍵式安全加固,提高主機安全基線;關(guān)閉不必要的服務(wù)端口,提高入侵防范能力;利用訪問控制策略,保證業(yè)務(wù)配置文件不被篡改;提高日志審計能力,審計日志至少保存12個月;加強運維人員行為管理;建立統(tǒng)一安全管理中心,強化集中管控能力;技術(shù)手段輔助業(yè)主完成定期自檢。風(fēng)險評估分析是對電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)內(nèi)各資產(chǎn)進行安全管理的先決條件,其目的在于識別和評估不同用戶所面臨的生產(chǎn)安全風(fēng)險和網(wǎng)絡(luò)安全風(fēng)險。工控系統(tǒng)資產(chǎn)梳理,分析價值;識別已有的安全防護措施;資產(chǎn)脆弱性及面臨的威脅分析;安全風(fēng)險綜合分析。
2方案介紹
2.1強化安全區(qū)域邊界訪問控制能力ACL+應(yīng)用級白名單:配置ACL訪問控制規(guī)則,僅允許業(yè)務(wù)相關(guān)IP通過。工控協(xié)議深度解析,形成協(xié)議白名單,保證只有可信任的協(xié)議、指令才可以通過。針對具體指令的具體值域范圍進行保護。驗證工控協(xié)議的合規(guī)性,控制邏輯的合理性,控制協(xié)議功能碼、點值。
2.2提高網(wǎng)絡(luò)內(nèi)、外入侵和惡意代碼防御能力實時監(jiān)測基于白名單的工業(yè)流量、關(guān)鍵網(wǎng)絡(luò)節(jié)點基于流量的威脅以及對網(wǎng)絡(luò)威脅感知系統(tǒng)APT攻擊。網(wǎng)絡(luò)威脅感知系統(tǒng)(APT)內(nèi)置威脅情報檢測,APT情報檢測能力,內(nèi)置IOC數(shù)據(jù)庫覆蓋主流的APT家族,覆蓋家族數(shù)量≥240個。采用基因圖譜模糊比對技術(shù)對流量中的文件進行靜態(tài)檢測通過結(jié)合圖像文理分析技術(shù)與惡意代碼變種檢測技術(shù)將可疑文件的二進制代碼映射為無法壓縮的灰階圖片,與已有的惡意代碼基因庫圖片進行相似度匹配,根據(jù)相似度判斷是否為威脅變種。
2.3提高違規(guī)內(nèi)聯(lián)、外聯(lián)檢測能力交換機關(guān)閉不必要端口;進行IP/MAC綁定;工控主機衛(wèi)士開啟非法外聯(lián)策略。
2.4提高系統(tǒng)內(nèi)主機病毒防范能力傳統(tǒng)安全解決方案難以及時更新、打補??;緩沖區(qū)溢出、0day漏洞利用等攻擊方式,傳統(tǒng)殺毒軟件存在短板;殺毒軟件或?qū)I(yè)務(wù)軟件誤識為病毒而刪除。切斷惡意代碼/病毒通過U盤擺渡到系統(tǒng)內(nèi)部的途徑;啟動文件級白名單策略,防止惡意代碼/病毒/非法軟件執(zhí)行。保證只有經(jīng)過授權(quán)的可執(zhí)行程序才可以執(zhí)行,保證只有經(jīng)過授權(quán)的U盤才允許使用。
2.5提高主機身份認證能力,采用雙因子認證機制采用靜態(tài)密碼+UKEY,關(guān)鍵服務(wù)器采用雙因子認證。
2.6一鍵式安全加固,提高主機安全基線內(nèi)置42條安全基線規(guī)則,一鍵式配置,降低手動加固成。根據(jù)不同加固等級,一鍵加固。
2.7關(guān)閉不必要的服務(wù)端口,提高入侵防范能力內(nèi)置防火墻功能,關(guān)閉不必要端口;一鍵式配置,降低手動加固成本。
2.8利用訪問控制策略,保證業(yè)務(wù)配置文件不被篡改自主訪問控制,基于標記的強制訪問控制。
2.9提高日志審計能力,審計日志至少保存12個月范式化多種類設(shè)備(主機、網(wǎng)絡(luò)、安全)日志,快速準確的識別安全事件,發(fā)現(xiàn)違規(guī)行為。
2.10加強運維人員行為管理運維人員身份授權(quán)、運維人員操作授權(quán)、運維人員行為審計。安全運維管理系統(tǒng)進行統(tǒng)一賬戶管理。
2.11建立統(tǒng)一安全管理中心,強化集中管控能力安全產(chǎn)品統(tǒng)一管理,安全管理加密傳輸,高度可視化,雙機熱備,高度可靠。
2.12技術(shù)手段輔助業(yè)主完成定期自檢先進行漏洞掃描并生成相關(guān)報告,給出指導(dǎo)意見。
3主要特點
3.1廠級統(tǒng)一安全運營中心
資產(chǎn)可視,自動識別工控網(wǎng)的設(shè)備類型、設(shè)備廠商、設(shè)備型號,自動識別網(wǎng)絡(luò)拓撲,提供全方位的資產(chǎn)可視化體驗。威脅可視,智能分析海量安全設(shè)備日志,通過人工智能的知識圖譜技術(shù),將資產(chǎn)配置弱點、漏洞、威脅事件關(guān)聯(lián)分析,自動發(fā)現(xiàn)攻擊路徑。合規(guī)評估,結(jié)合等級保護合規(guī)自評和自動化的合規(guī)評估技術(shù),將合規(guī)評估量化分析,提供企業(yè)集團量化的健康指數(shù)。
3.2安全管理制度完善
完善生產(chǎn)網(wǎng)安全制度與標準體系,滿足等級保護的基本要求、測評要求,規(guī)范網(wǎng)絡(luò)安全管理,保障網(wǎng)絡(luò)安全工作的順利開展;建立企業(yè)自身的工控網(wǎng)絡(luò)安全制度與標準,需要企業(yè)業(yè)務(wù)主管部門、安全管理部門與我司共同配合完成,在滿足國家等級保護相關(guān)要求基礎(chǔ)上,能夠與企業(yè)自身生產(chǎn)特點相融合。一級文件:電力監(jiān)控系統(tǒng)的工控網(wǎng)絡(luò)安全管理方針,能夠反映最高管理者對工控網(wǎng)絡(luò)安全管理下達的工作意圖等,能為所有下級文件的編寫提供方向。二級文件:各類屬于電力監(jiān)控系統(tǒng)工控網(wǎng)絡(luò)安全管理的規(guī)范性制度、標準、辦法、策略文件、配置規(guī)范等。三級文件:各種體系運行所需的規(guī)范文檔模板。內(nèi)置豐富的攻擊特征庫,結(jié)合硬件加速信息包捕捉技術(shù)來探測包括PLC等控制設(shè)備的拒絕服務(wù)攻擊漏洞、緩沖區(qū)溢出攻擊漏洞等典型工控漏洞的攻擊行為,并及時告警。采用TCP/IP數(shù)據(jù)重組、目標和應(yīng)用程序識別、完整的應(yīng)用層有限狀態(tài)追蹤、應(yīng)用層協(xié)議分析、先進的事件關(guān)聯(lián)分析技術(shù)以及多項反IDS逃避技術(shù),提供業(yè)界超低的誤報率和漏報率。能夠為用戶提供豐富的動態(tài)圖形報表,以及數(shù)十種分析報表模版和向?qū)降挠脩糇远x報表功能。采用旁路部署方式,不會對網(wǎng)絡(luò)造成任何影響。安全區(qū)域邊界:在生產(chǎn)控制大區(qū)計算機監(jiān)控系統(tǒng)地上環(huán)網(wǎng)與地下環(huán)網(wǎng)各就地控制單元(LCU)之間部署工業(yè)防火墻,實現(xiàn)區(qū)域間的邏輯隔離和網(wǎng)絡(luò)威脅防護,保證電力監(jiān)控系統(tǒng)區(qū)域邊界安全。安全通信網(wǎng)絡(luò):在生產(chǎn)控制大區(qū)網(wǎng)絡(luò)關(guān)鍵節(jié)點部署工控安全監(jiān)控與審計系統(tǒng)和網(wǎng)絡(luò)威脅感知系統(tǒng),對網(wǎng)絡(luò)中的實時流量進行監(jiān)測,及時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊、異常操作等行為,特別是新型網(wǎng)絡(luò)攻擊行為,并告警通知安全管理員。安全計算環(huán)境:在電力監(jiān)控系統(tǒng)中工程師站、操作員站、服務(wù)器和接口機上安裝工控主機衛(wèi)士軟件,開啟程序白名單、外設(shè)管控、安全基線及訪問控制等功能,實現(xiàn)阻攔病毒、木馬等惡意程序的運行、主機安全加固和移動介質(zhì)管控等安全需求。安全管理中心:在在生產(chǎn)控制大區(qū)部署統(tǒng)一安全管理平臺和安全運維管理系統(tǒng),實現(xiàn)安全設(shè)備進行集中管控,并對日志數(shù)據(jù)、告警數(shù)據(jù)等進行集中分析,同時對不同權(quán)限賬戶進行身份鑒別及權(quán)限管理,保證電力監(jiān)控系統(tǒng)管理安全;同時配置工控漏洞掃描系統(tǒng),定期對電力監(jiān)控系統(tǒng)進行漏掃掃描,及時發(fā)現(xiàn)電力監(jiān)控系統(tǒng)中的網(wǎng)絡(luò)安全漏洞。結(jié)論:本文研究了水電廠電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護的相關(guān)內(nèi)容,并制定了對應(yīng)的方案。該水電廠電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護方案提高了工控主機病毒和惡意代碼防范能力,增強工控主機安全性;有效檢測工控網(wǎng)絡(luò)中的異常操作行為并加以阻止,避免造成重大安全生產(chǎn)事故、人員傷亡和社會影響。實時檢測工控網(wǎng)絡(luò)中的惡意攻擊、誤操作、違規(guī)行為、非法設(shè)備接入以及蠕蟲、病毒等惡意軟件的傳播,幫助客戶及時采取應(yīng)對措施,避免發(fā)生安全事故;詳實記錄網(wǎng)絡(luò)通信流量,為安全事故調(diào)查取證提供技術(shù)支撐。
作者:余明陽 査志勇 詹偉 梁航函 吳耿 單位:國網(wǎng)湖北省電力有限公司信息通信公司