火电行业工控安全解决方案

行业背景

石油石化-化工

智能制造-车身

烟草行业解决方案

轨道交通-高铁

      电力行业属于国有垄断性行业，是关系到国计民生的基础性行业，从组织上可划分为发电、调度两大系统和发电、输电、供电、用电四大环节。当前，作为调度系统的电网领域已形成了相对成熟的信息安全防护体系，包括电力专用隔离装置、防火墙、入侵异常监测装置、单向认证加密终端模块等产品在内的综合防御架构。但是，发电系统即电源端，无论是传统火电和水电厂，还是风电、光伏和核电，目前工控系统信息安全的应用比例仍然很低。

政策法规

方案依据的法律法规及行业标准如：

《中华人民共和国网络安全法》

《工业控制系统信息安全防护指南》（工信软函〔2016〕338号）

《GB/T 22239-2019 网络安全等级保护基本要求》（公安部等保2.0）

《电力监控系统安全防护总体方案》(国家能源局36号文)

《电力监控系统安全防护规定》（国发〔2014〕13号））

典型部署

解决方案

       为了加强火电厂生产控制系统的信息安全管理，保障电力系统的安全稳定运行，落实《电力监控系统安全防护规定》有关要求，在坚持“安全分区、网络专用、横向隔离、纵向认证、综合防护”的原则下，加强生产控制系统的“纵深防御”安全研究与实施，实现生产控制系统信息安全检测、预警、审计和接入防护等功能、防止因网络安全事件造成重大电力安全生产事故、并实现事故分析和原因追溯。

边界隔离、区域防护

      在生产管理大区和生产控制大区（即安全区II和安全区III）之间部署工业安全隔离交换系统进行物理隔离，以阻止来自管理信息网的安全威胁渗透至生产控制系统。

      在生产控制大区内部，即安全区I和安全III网络边界处、生产网与调度网边界处部署工业防火墙进行工控协议过滤、恶意代码防护、操作指令审计等。

网络监测审计

       部署工控网络监测审计系统（即工控数据库审计系统）进行全域监测和审计；对控制系统下发、上传的数据进行深度协议解析、实时监控，对非法数据及时预警；对数据库系统进行操作审计，第一时间发现被监测数据库的风险和存在问题。

入侵检测防护

      生产控制大区内部部署工控入侵检测系统，及时捕获网络异常行为、分析潜在威胁并进行安全审计。

主机安全防护

      在工业控制系统的操作员站、工程师站、服务器上部署工控主机加固系统，对各个终端实现应用程序白名单防护、恶意代码防护、安全审计、连接互联网检测、外设管控等安全防护。

安全运维审计

      部署工控安全运维审计系统，利用单点登录功能可避免记忆复杂口令，通过给第三方人员分配临时账号，可避免敏感信息外泄，同时可将运维人员的整个操作过程进行全程录像，以备后期审计取证。

集中管理

      部署工控监测分析预警平台，将各个安全子系统的告警情况、网络安全状况进行采集和汇总，形成安全体系的综合监管；同时对各个安全子系统进行集中管控，统一策略下发、统一版本升级等，方便后续运维。