隨著“互聯(lián)網(wǎng)+電力”的深度融合發(fā)展，電力生產(chǎn)對現(xiàn)場設備之間的信息互通提出了更高的要求。在兩化融合、智能電網(wǎng)大趨勢的背景下，電力企業(yè)工業(yè)控制系統(tǒng)的管理控制一體化、網(wǎng)絡化、智能化已是大勢所趨。

行業(yè)現(xiàn)狀

電廠工業(yè)控制系統(tǒng)的網(wǎng)絡化、智能化在提高生產(chǎn)效率和管理效率的同時，也為惡意攻擊者增加了新的攻擊途徑。針對電力企業(yè)生產(chǎn)控制系統(tǒng)的攻擊技術(shù)和手段不斷發(fā)展，各種生產(chǎn)控制系統(tǒng)惡意軟件以及安全事件層出不窮，使得電力企業(yè)生產(chǎn)控制系統(tǒng)面臨越來越多的安全威脅和挑戰(zhàn)，包括病毒、木馬、蠕蟲、黑客以及敵對勢力等。

風險分析

·針對安全區(qū) I 的工控系統(tǒng)網(wǎng)絡中缺少病毒、木馬等攻擊行為的檢測手段。

·多數(shù)工業(yè)主機操作系統(tǒng)為 WindowsXP 系統(tǒng)，系統(tǒng)進行打補丁不現(xiàn)實，部署殺毒軟件與工業(yè)應用軟件兼容性較差，沖突現(xiàn)象屢有發(fā)生。

·在發(fā)電廠內(nèi)部通過網(wǎng)絡訪問業(yè)務系統(tǒng)時無法做到安全審計、事后可追溯。

·對于工控系統(tǒng)目前暴露出來的 2400 多個漏洞，無有效的漏洞整改方案，工控系統(tǒng)處于帶“洞”運行狀態(tài)。

風力發(fā)電廠工控安全解決方案

1、通信網(wǎng)絡安全

在控制大區(qū)網(wǎng)絡中旁路部署工控安全監(jiān)測審計系統(tǒng)，對網(wǎng)絡內(nèi)傳輸?shù)牧髁窟M行字段級解析，建立協(xié)議基線、流量基線、鏈路基線，對異常操作、非法入侵、惡意代碼執(zhí)行等行為進行事中告警、事后審計。

2、區(qū)域邊界安全

I區(qū)和II區(qū)間部署工業(yè)防火墻，II區(qū)和III區(qū)間部署電力專用單向傳輸裝置，實現(xiàn)橫向隔離，安全分區(qū)；同時風電安全管理，部署網(wǎng)絡準入控制系統(tǒng)，有效地阻止非法終端接入和違規(guī)外聯(lián)。

3、計算環(huán)境安全

部署運維堡壘機，實現(xiàn)設備遠程運維操作的全面審計和行為管控，滿足遠程運維管控要求。在操作員站、工程師站、服務器上部署終端防護系統(tǒng)客戶端（也可單機部署），實現(xiàn)終端安全加固、進程白名單管控和USB移動介質(zhì)管控。

4、安全管理中心

部署安全管理平臺，對安全設備、網(wǎng)絡設備、主機設備的日志和告警進行歸一化采集和關聯(lián)分析，展現(xiàn)安全態(tài)勢和預警，全面提升安全防護效率和安全管理能力。

方案優(yōu)勢

1、合規(guī)性

滿足《網(wǎng)絡安全法》框架下關鍵信息基礎設施保護制度要求、網(wǎng)絡安全等級保護制度要求、網(wǎng)絡與信息安全信息通報制度要求;滿足36號文附件4《發(fā)電廠監(jiān)控系統(tǒng)安全防護方案》的有關要求。

2、技術(shù)與管理并重

安全不是單純的技術(shù)問題吊車，需要在采用安全技術(shù)和產(chǎn)品的同時，重視安全管理，不斷完善各類安全管理規(guī)章制度和操作規(guī)程，全面提高安全管理水平。

3、可視化

實現(xiàn)工控網(wǎng)絡資產(chǎn)的可視化管理風電安全管理，動態(tài)識別非法接入設備吊車，直觀展示工控網(wǎng)絡安全威脅。

4、全面防護

從網(wǎng)絡、終端、通信、數(shù)據(jù)、運維、管理等多個層面提供完整的安全防護與管理手段，實現(xiàn)工控網(wǎng)絡全面的安全保護。

5、最小干擾

所有安全組件均采用非侵入式安全監(jiān)測與防護工作方式，可確保將設備對工控網(wǎng)絡的干擾降低到最低。

6、多工業(yè)協(xié)議支持

支持常見工控協(xié)議:S7、Modbus、OPC、IEC61850、DLT645、BacNet、CDT、IEC101/102/103/104、CIP、DNP3、MMS、ProfiNet、EIP 等 50 多種工業(yè)協(xié)議的深度解析。解析深度可以達到功能碼、寄存器、讀寫屬性、甚至讀寫數(shù)據(jù)的閾值，同時還支持私有協(xié)議的定制開發(fā)。