能源电力
ENERGY POWER
大唐阳城电厂项目案例
火电作为我国发电的主流类型,是国民经济的支柱工业之—,火电发电的控制系统是火电厂的大脑。在两化融合的大趋势下,行业中的工控网络与办公网络的互联互通是一个一定的趋势。从行业普遍性角度来看,工控网络与办公网络的毗连基本上仅有一个防火墙,可是不支持OPC等主流工控装备,控制粒度很是粗拙,带来很大的清静隐患,工控网络基本上不具备任何发现、防御外部攻击行为的手段,外部威胁源一旦进入公司的办公网络,则可以毗连到工业网络的现场控制层网络,直接影响工业生产。另一方面工控网络内部装备如州操作站、终端等,大部门接纳Windows系统,为保证工业软件的稳固运行无法举行系统升级甚至不能安装杀毒软件,存在着大量误差,在自身清静性不高的情形下运行,综合而言工控系统的清静风险不言而喻。
凭证电力行业电力监控系统清静防护总体方案(国能清静【2015】 36号)的相关划定,参照中国大唐集团有限公司企业尺度《工控系统网络信息清静手艺监视尺度》,团结辅控系统现场网络情形,经剖析诊断现在存在以下几方面的网络清静问题。
·网络监控不足
·主机防护不足
·网络隔离防护缺乏有用措施
项目内容
建设原则及要点
● 稳固可靠
对发电厂热控系统来说清静稳固可靠是最主要的。在本次项目中建议的清静控制措施,包罗其部署和应用的方式,都是在各集团网站中有众多先例的,已经被各电力集团所接受的手艺和产物。
● 实时性和高效性
在本次信息清静架构设计中思量到发电厂现真相形,建议接纳高处置赏罚能力的清静产物,以保证实时性和高效性。
● 清静风险可控
凭证发电厂的现真相形建议将整体网络支解为差异的区域,并在界线举行严酷的会见控制。
● 无邪性和扩展性
在本次项目中设计的架构在充实保证知足用户的可靠性运行要求、无邪性和扩展性要求。
建设方案
凭证现在阳城电厂辅控系统存在的工控网络清静问题,团结阳城电厂辅网现实的网络结构,并思量后续辅控接入SIS系统的情形,在"清静分区、网络专用、横向隔离、纵向认证、综合防护"原则的基础上针对性的建设方案。
● 划分清静隔离域
把电厂辅控网络划分成水系统清静隔离域、灰系统清静隔离域和煤系统清静隔离域,划分在水网、灰网、煤网的子系统网络出口处划分安装工业防火墙,合理设置清静战略,实现逻辑隔离、报文过滤、会见控制等功效,增强界线之间的清静防护和监控。
●增添工控网络清静审计
清静I区的各个子系统安装工控网络清静审计平台,对操作系统、数据库、营业应用的主要操作举行纪录、剖析,实时发现种种违规行为以及病毒和黑客的攻击行为。●提高工控系统入侵检测能力
清静II区统一部署一套工业APT预警平台,合理设置监测规则,监测发现隐藏于流经网络界线正常信息中的入侵行为,剖析潜在威胁并举行清静审计。
●增添日志审计功效
在清静I区和清静II区部署综合日志审计平台,能够对网络运行日志、操作系统日志、数据库会见日志、营业应用系统运行日志、清静设施运行日志等举行集中网络、自动剖析,并生涯不少于6个月。
●增添网络清静监测装置详细说明
在清静区II部署工控态势感知平台,实时监测域内电力工控系统的主机、网络装备、清静装备等运行状态及日志的收罗、存储、转发,数据经网闸可传输至集团公司工控网络清静监测平台。
● 主机清静加固详细说明
电厂辅控操作员站、工程师站、接口机等工控机,一样平常投用后操作系统及应用软件不会有较大变换,为确保工控系统稳固性很少人为定期更新系统等操作,故接纳白名单防护手艺的工控清静主机卫士很是适适用来加固工控机,提高主机的防护能力。
项目价值
本方案通过系统化的设计方式,完成大唐阳城电厂辅控的清静系统设计,主要功效点如下∶
?o?区域隔离防护
方案通过工业防火墙,到达以清静域为单元,严酷限制通讯会见方式。
?o?控制网络内部清静监测与审计
通过部署工业清静监测审计平台,实时检测出针对工业协议的网络攻击、误操作、违规操作、非法 IP 或非法装备接入以及病毒的撒播并实时报警,资助客户实时接纳应对措施,镌汰系统异常风险。平台能够详实纪录一切网络通讯行为,包罗指令级的工业控制协议通讯纪录,而且提供回溯功效,为工业控制系统的清静事故视察提供坚实的基础。
?o?主机防病毒
控系统的恶意代码提防主要通过安装工业清静主机卫士方式实现。工控主机防护是指在工控上位机的操作系统平台层面,对网络端口、外设端口、主要文件举行管控,到达主机层面临恶意代码的有用提防。
?o 周全清静监控