以“数实融合,数智赋能——高质量推进新型工业化”为主题,由工业和信息化部、江苏省人民政府主办,中国信息通信研究院、江苏省工业和信息化厅等多家单位共同承办的2023年工业互联网大会于近期在苏州圆满成功举办。会议期间,珞安科技“某火力发电厂工控安全解决方案”凭借先进防护理念、领先防护技术和优秀实践价值等多方面优势,获评“2022年工业互联网安全解决方案”。
工业互联网安全解决方案由工业互联网产业联盟负责征集,经过相关专家评审与实地调研,综合专家意见、调研情况经过多轮筛选评定,对加快提升工业互联网安全防护能力,强化工业互联网安全综合保障能力具有榜样示范作用,有利于推动工业互联网产业有序发展。
珞安科技以用户真实安全需求为出发点,深入工业企业实际生产场景调查、研究,利用当前先进的网络安全防护理念、技术与产品,建立自主可控、安全可靠的工业互联网安全整体防护体系,以安全赋能工业企业发展,助力数字化、智能化转型建设。入选方案内容如下:
项目背景
伴随“云大物移”等新一代信息技术的快速发展以及在工业领域的广泛应用,IT网络与OT网络深度融合,传统网络安全风险不断向工业网络蔓延,致使工控安全事件频发,关键信息基础设施网络安全防护变得紧急且迫切。
电力监控系统作为国家关键信息基础设施的重要组成部分,目前已实现高度网络化、系统化和自动化。为保障电力监控系统信息安全,防范黑客及恶意代码等网络攻击,我国先后颁布《电力监控系统安全防护规定》(14号令)《电力监控系统安全防护总体方案》(国能安全〔2015〕36号)等多项政策法规,对电力监控系统网络安全建设进行规范指导。电力企业需要建立符合规范、全面防护的信息系统安全防护体系。
项目介绍
某火力发电厂位于西北某省核心位置,建有2台660MW燃煤机组,是当地重要电力来源。机组配套DCS系统为某厂商DCS分散控制系统,两台单元机组、公用系统均独立组网,整体构成某火电厂发电监控系统。DCS通过UDP接口程序将生产数据经过单向隔离装置发送到SIS系统。
为保障电力监控系统网络安全,防止因网络攻击造成系统崩溃或瘫痪,避免电力设备事故或电力安全事故,某火力发电厂按照国家、行业网络安全防护相关政策与要求,针对DCS系统、SIS系统存在的安全隐患进行整改,以保障电力监控系统安全稳定运行。
项目目标
珞安科技作为国内技术实力领先的工控安全企业,以“安全分区、网络专用、横向隔离、纵向认证”为总体防护原则,参照《电力监控系统安全防护规定》《电力监控系统安全防护总体方案》等相关要求,结合某火力发电厂DCS系统网络安全防护需求,通过深度检查、安全审计和威胁检查设计、建设DCS系统、SIS系统加固信息安全防护体系,提高DCS系统、SIS系统信息安全防护能力,实现事前预警、事中防范和事后取证,并保证DCS系统满足等保测评要求。
方案内容
顶层设计架构
珞安科技参考《信息安全技术—网络安全等级保护基本要求》、《电力监控系统安全防护总体方案》等相关技术要求,以纵深防御的防护理念为核心,结合火电行业工业控制系统网络的业务特点,构建以工业控制网络、设备、数据、控制、应用为目标防护对象的立体安全防护思路。
方案中的安全技术防护和安全管理防护是工业控制系统纵深防御的核心内容,是保障工业控制系统安全运营的两翼,缺少其中任何一个,都无法确保系统的安全。在安全技术方向,方案遵从P2DR模型,并主要从威胁防护、监测感知、处置恢复三个维度开展安全技术防护工作。
在安全管理方向,主要从火力发电行业工业控制系统的全生命周期安全风险管理、企业安全建设目标、系统安全建设策略三个方面展开安全管理工作。
安全互联架构
项目总体技术架构主要参考等级保护要求,同时结合防护指南和36号文等相关要求,基于某火力发电生产系统网络安全防护需求,依据安全现状和需求,建设DCS系统、SIS系统工控网络防护体系框架,设计电力企业网络安全综合防护平台基础机构,建设安全态势主动防御平台,提升某火力发电厂统一管理与主动防御能力,构建多层次一体化工业网络安全防御体系,为安全生产提供保障。
边界隔离防护
秉承安全分区网络专用原则,生产控制大区内部各DCS机组之间应进行边界隔离和防护,生产区域内各业务系统边界部署工业防火墙实现业务系统逻辑隔离。
入侵行为检测
在厂级SIS系统核心交换机和场站生产系统交换机旁路部署工控入侵检测系统,实现入侵检测、协议解析、病毒检测、DNS监测、DDOS攻击检测等安全监测能力。
安全行为审计
在厂级SIS系统及现场设备层各生产域交换机旁路部署工控安全审计系统,对生产控制系统中的操作行为和异常网络行为进行检测,便于事件取证和定责。
主机安全加固
对某火力发电厂所有操作系统,采用主机安全加固系统进行安全加固和防护,提供主机系统加固、白名单可信防护、恶意代码拦截、系统数据访问控制、外设管控等多种安全能力。
集中安全管理
根据等保标准“安全管理中心”相关要求,部署工控集中安全管理系统,采集生产网中各工控安全设备及系统的数据,实现全局化安全管控,加强电力监控系统安全管理水平和监管能力。
安全运维管理
部署运维安全审计系统,通过账号集中管理、细粒度访问权限、操作审计,让运维人员的操作处于可管、可控的状态下,规范运维操作。
日志审计与分析
通过部署日志审计与分析系统对一区、二区的网络设备、安全设备、操作站、操作系统的运行状态信息、告警信息进行集中采集、分类、过滤、范式与合并,对网络全局的日志安全事件进行自动联系分析。通过对日志内容、数据的深度分析、动态分析,借助内置告警规则由桌面屏幕、邮件、短信、SYSLOG、SNMP等方式通知管理员及时处理。
态势感知与威胁预警
通过工业安全管理与态势分析系统实现对电厂生产系统全局风险的感知,依据国内外最新通报的安全事件和威胁信息,通过内置威胁感知引擎和外部威胁情报的支持,利用现场安全设备的告警日志、网络流量异常状态、主机安全状态分析,对潜在的风险进行高级动态分析和定位,并提供应急处置策略和建议。
具体应用场景和应用模式
1、系统整体可采用分布式架构,支持单级或多级应用部署满足不同层级的用户应用场景。
2、系统支持对工控主机、工控网络设备、工控网络安全设备、工控数据库软件的威胁事件、操作日志等关键位置的工控流量数据采集,并通过对安全大数据的深度挖掘,借助AI智能技术,充分利用资产管理、流量分析、威胁感知、关联分析、风险评估、可视化等技术和功能,实现整体安全防护能力和运营能力的提升。
3、方案可广泛应用于电力电网、智能制造、石油石化、天然气以及其他关键信息基础设施工业控制系统,提供可定制化和可扩展的安全解决方案。
方案亮点
方案集成了工控环境下白名单、黑名单、IP/MAC地址绑定、异常流量等常用的安全策略,辅以自定义的安全策略,调用网络内安全产品实现对工控网络APT攻击、异常行为和非法数据包等多种威胁的安全防护,并对威胁进行告警和阻断,保护工控网络安全,有效的提高网络的安全性。
方案以工控资产及业务为核心,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实时的风险模型,实现对各类资产和业务的信息采集、关联分析、日志审计、事件监控、流量分析、网络攻击防范、态势感知、安全预警和快速响应,做到“集中监控、统一管理、全面分析、快速响应”。
方案通过扩展安全数据源、增强协议解析能力,增加AI安全大数据分析和挖掘,训练出更适合本地系统的安全分析、预测、决策模型,并以快速定位、易理解、易管理的展示形式,形成一套完整的火力发电厂安全防护和态势感知系统。
客户价值
1、满足合规需求
在满足国家能源局36号文件及行业监管要求的同时,结合DCS系统的特点,在基于安全防护框架的指导下开展建设工作;
2、提高安全防护能力
基于电厂DCS系统网络安全现状,在工业控制系统的主机层和网络层进行安全加固、入侵检测、安全审计和边界防护,有效抵御来自工控网络内外部的病毒入侵、渗透以及违规操作行为对DCS系统造成破坏,防范信息安全事故发生。
3、降本增效
优化了网络安全管理模式,减轻运维人员的网络安全现状检查及分析的工作;在做好安全风险把控的同时,节省人力物力,节约工作成本,减少经济损失,提升了经济效益。
结语
工业互联网作为第四次工业革命的重要基石,通过对人、机、物、系统等的全面连接,构建起覆盖全产业链、全价值链的全新制造和服务体系,为工业乃至产业数字化、网络化、智能化发展提供了实现路径。在政、产、学、研、用各方的共同努力下,我国工业互联网进入快速成长期,基础设施支撑能力不断完善。
珞安科技将继续紧跟行业发展趋势,加大研发力度,在现有产品和解决方案的基础上,结合工业互联网发展特性进行技术创新、产品革新,打造更多专业、高效、可靠的工控网络产品和解决方案,保障国家关键信息基础设施的安全与稳定,为网络强国与数字中国建设保驾护航。
(珞安科技)
