本案例将在风险评估的基础上,深入剖析企业需求,依规定制化解决方案,方案将解决控制域网络的疏漏分割问题;生产控制大区内的区域逻辑隔离不清晰、安全防护不到位的问题;整体生产工控网络的入侵监测,网络审计不到位的问题;工业PC安全需要频繁更新补丁包、病毒库的问题;信息安全防护孤岛问题等。全方位满足电力工控全生命周期安全需求,从专业化的角度帮助用户实现无死角的电厂工控安全加固。
具体技术方案和产品应用如下:
安全区域划分与优化
在电厂6个控制域的基础上进行安全域划分与优化,提升设备性能与可靠性,安全域的划分,要兼顾电厂工控现场设备物理位置及网络层级属性,确保某一区域受影响后不影响其它区域网络安全。
区域安全防护
在电厂生产网络内部各区域控制系统出口部署工业防火墙,对不同的安全区域之间进行逻辑隔离,配置访问控制策略并运行在防护模式,对工控专有协议进行深度分析,确保数据包的合法性,实现工控网络的深度防护,同时阻止来自内网其它区域的攻击、病毒、木马等威胁。
生产工控网络的入侵监测,网络审计
在电厂核心网络区域部署杉岭网络工业监测审计系统,及时发现工控网络中的异常行为和入侵行为,定位被攻击点及故障点,有效提升企业事件发现、安全处置和事件回溯等安全运维能力水平。
上位机终端安全防护
在电厂操作员站、工程师站、服务器上部署杉岭卫士,通过其白名单机制为终端计算机创建一个安全的运行环境,非法进程和应用程序无法通过安全检查,确保将病毒、木马以及恶意软件阻挡在终端运行环境之外,同时避开传统工业PC安全需要频繁更新补丁包、病毒库、特征库的弊端。
在工程师站安装杉岭网络USB安全坞,对USB端口进行管控,未授权U盘设备无法接入终端计算机,有效防范通过USB接口发起的高级攻击,实现对移动存储介质的可信、全生命周期管理。
统一安全管理
在过程监控层部署工业网络安全管理平台,将电厂系统内所有工控安全设备采集到的网络流量信息、人员操作信息、异常告警信息进行统一收集和整理分析,进而掌握整个电厂工控系统中存在的安全隐患和风险,对于明显不符合当前工控系统操作工艺流程和安全规定的异常行为和告警事件,可以做到事前有效预警和事中及时防护,减少系统维护工作量,减少企业的维护成本。
定期风险评估
当处于年度安检、系统升级等时期需要网络安全评估时,将杉岭网络工业网络风险评估工具箱接入相应区域交换机的镜像口,进行真实数据流量的收集和比对,主动发现潜在的安全威胁。从可视化和专业化的角度帮助用户认识当前工控网络所符合的安全等级,提供安全加固方案建议。
整体安全防护如下图所示:
图 整体安全防护示意图