火力发电工业控制系统安全防护解决方案

火力发电工业控制系统安全防护解决方案
一、背景情况
火电厂工控系统主要由中央控制室和各配电室、电子间等子站组成，系统中布置有数千个开关、数百个模拟测量点以及数个PID调节回路的控制对象。

其中，中央控制室设备通常包括建立在以太网连接上的操作员站、工程师站、数据采集服务器、报表打印设备等。

中央控制网络与各子站控制系统采用光纤为通信链路，各子站配有光纤收发器和工业交换机。

二、安全分析
（1）中央控制网络与各控制子站网络互联，存在来自上层网络的安全威胁，缺少重点边界、区域的安全防护手段；
（2）工控系统及网络缺乏监测手段，无法感知未知设备、非法应用和软件的入侵，无法对网络中传输的未知异常流量进行监测；（3）工控系统缺乏对用户操作行为的监控和审计，针对用户操作行为缺乏有效可靠的审计手段；
（4）工业控制系统缺乏分区边界防护，容易受到来自信息网络和相邻系统的安全影响。

三、火力发电行业工控系统安全防护解决方案
安全防护原则
（1）安全分区
按照《电力监控系统安全防护规定》，原则上将基于计算机及网络技术的业务系统划分为生产控制大区和管理信息大区，并根据业务
系统的重要性和对一次系统的影响程度将生产控制大区划分为控制区（安全区Ⅰ）及非控制区（安全区Ⅱ），重点保护生产控制以及直接影响电力生产（机组运行）的系统。

（2）网络专用
电力调度数据网是与生产控制大区相连接的专用网络，承载电力实时控制、在线交易等业务。

生产控制大区的电力调度数据网应当在专用通道上使用独立的网络设备组网，在物理层面上实现与电力企业其他数据网及外部公共信息网的安全隔离。

生产控制大区的电力调度数据网应当划分为逻辑隔离的实时子网和非实时子网，分别连接控制区和非控制区。

（3）横向隔离纵向认证
横向隔离是电力监控系统安全防护体系的横向防线。

应当采用不同强度的安全设备隔离各安全区，在生产控制大区与管理信息大区之间必须部署经国家指定部门检测认证的电力专用横向单向安全隔离装置，隔离强度应当接近或达到物理隔离。

生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、安全可靠的硬件防火墙或者相当功能的设施，实现逻辑隔离。

防火墙的功能性能电磁兼容性必须经过国家相关部门的认证和测试。

纵向加密认证是电力监控系统安全防护体系的纵向防线。

生产控制大区与调度数据网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置，实现双向身份认证、数据加密和访问控制。

（4）综合防护
综合防护是结合国家信息安全等级保护工作的相关要求对电力监控系统从主机、网络设备、恶意代码防范、应用安全控制、审计、备份及容灾等多个层面进行信息安全防护的过程。

生产控制大区可以统一部署一套网络入侵检测系统，应当合理设置检测规则，检测发现隐藏于流经网络边界正常信息流中的入侵行为，分析潜在威胁并进行安全审计。

非控制区的网络设备与安全设备应当进行身份鉴别、访问权限控制、会话控制等安全配置加固。

可以应用电力调度输子证书，在网络设备和安全设备实现支持HTTPS的纵向安全WEB服务，能够对浏览器客户端访问进行身份认证及加密传输。

生产控制大区的监控系统应当具备安全审计功能，能能够对操作系统、数据库、业务应用的重要操作尽心记录、分析，及时发现各种违规行为以及病毒和黑客的攻击行为。

对于远程用户登陆到本地系统中的操作行为，应当进行严格的安全审计。

具体方案
•部署工控安全综合监管平台、工业安全防火墙，深度解析工控协议，防范非法访问，迅速检测异常网络节点，及时预警，并监控工业防火墙运行状态，实时获取工控网安全事件日志和报警任务；•在操作员站和工程师站部署工控主机安全防护系统，防范非法程序和应用以及未经授权的任何行为；
•部署堡垒机及工控安全综合审计系统，对违规操作行为进行控制和审计，保障网络和数据不受外部和内部用户的入侵和破坏；•采用工控安全隔离网闸设备，物理隔离中央控制室和各子站网，提供两网数据交换安全通道，阻止来自上层网络的非法访问以及病毒和恶意代码的传播。