概述:随着国家网络安全战略部署推进,工业控制系统网络安全已成为国家安全重要组成部分,针对工业控制系统严峻的安全形势,国家对工业控制系统网络安全高度重视,习近平总书记在2018年4月20日全国网络安全和信息化工作会议上再次强调:“没有网络安全,就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障”。
2017年6月,《中华人民共和国网络安全法》的实施,提出实行等级保护制度,明确网络运营单位应当按照网络安全等级保护制度的要求,履行安全保护义务,采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,保障网络免受干扰、破坏或者未经授权的访问。随着《中华人民共和国网络安全法》、《等保2.0》、《工业控制系统信息安全防护指南》等一系列法律及行业规定要求的颁布实施,进一步凸显工业控制系统系统运营单位开展网络安全防护工作的重要性、迫切性和必要性。
电力行业高度重视工业网络化建设,不断提升企业生产系统自动化网络化智能化水平,但是生产网和企业管理网的数据交互更加频繁,导致病毒、木马和恶意攻击等更容易渗透进入生产网,而生产网中通常关注更多的是物理安全及生产设备功能的高可用性,生产网内核心设备/系统的软硬件设计、传输协议、业务逻辑等各方面都缺乏安全性设计,存在一定的网络安全漏洞和风险。如果入侵者利用生产网上的漏洞或管理上的疏漏侵入生产控制系统,可能导致生产停车、敏感数据泄露等生产安全事故,直接威胁企业生产运营安全。因此,提升DCS系统工控网络安全防护水平,保障系统可靠性和安全型,无疑是现代电力行业亟需解决的问题。
|
|
我国火力发电企业建立了网络安全相关的基本策略,火电企业的生产控制系统和管理信息系统进行了安全分区建设并部署了隔离装置,生产控制大区划分了安全I区和安全II区并部署了防火墙,一些单位还增加其他网络安全防护措施及设备,但仍存在一些安全问题隐患,如果这些问题不能及时的改进,会存在对企业的安全生产和运营造成重大的事故的风险,也有可能对社会造成的不良影响。在工业控制网络安全大背景下,DCS控制系统的安全是不可忽略的重点。
根据系统目前存在的脆弱性,以及面临的安全威胁,结合风险处理原则方法,主要通过采取安全加固、防护提升和管理优化三个方面进行网络安全建设工作。
采取安全加固技术服务措施,通过设置网络设备、主机操作系统安全策略,开启操作系统安全防护功能,对网络设备、主机操作系统进行安全加固,解决存在的安全问题,消除或降低面临的威胁风险,保障信息系统安全稳定运行。
根据等级保护及行业相关标准要求,分析网络设备和主机设备现存在的脆弱性及面临的威胁,综合安全分析和评估,对网络安全、主机安全层面存在的安全问题以及存在的脆弱性进行安全加固和整改。通过设置交换机、服务器和终端等设备资产的安全策略,如:设置密码策略、启用登录失败功能、开启审计策略、禁止多余服务、设置超时退出策略、封堵高危多余端口等安全策略,解决存在的安全问题,加强设备系统安全防护能力,降低安全风险,保障控制系统安全稳定运行。
通过安装部署专用的安全防护类设备,对网络和主机操作系统进行安全加固,添加网络边界隔离、入侵检测和安全审计等技术措施,解决存在的安全问题和隐患,消除或降低面临的威胁风险,提高网络安全防护能力,保障系统安全稳定运行。
|
边界防护分别在DCS系统各接口机网络边界处部署工业防火墙,采用适用于工控网络的“黑白名单”机制,深度解析工控系统网络协议,细化访问控制粒度,对非法及异常访问行为进行拦截阻断,保障网络边界的安全。 |
|
入侵防护在各主机、辅机系统网络核心交换机中旁路部署工业入侵检测系统,检测发现网络中的入侵行为,分析潜在威胁,提供安全报警,协助解决安全威胁。 |
|
|
监测审计在各主机、辅控系统网络核心交换机中旁路部署工业监测审计系统,实现对网络流量、异常事件、操作行为和数据内容等安全审计,对异常行为进行实时警报,实现网络行为监测和审计。 |
|
日志审计部署日志审计系统,实现针对网络设备的日志信息的收集和集中分析,并提供日志查询、历史日志查询和事件告警功能,能够及时了解网络设备运行状态和识别存在的安全事件,提高系统安全防护能力。 |
|
|
运维管控部署通过部署运维审计与管理系统(堡垒机),实现对设备的集中管控,限制设备的远程登录地址,对用户的操作权限以及操作行为进行审计记录,并提供会话审计和回放功能,同时能够确保审计记录不被破坏或非授权访问。 |
|
集中管控部署统一安全管理平台,实现对网络安全设备的统一安全管控,实现安全设备的状态监控、审计管理和策略管理等集中管控功能,构筑安全管理中心平台,提升整体网络安全防护和运维管控水平。 |
|
|
主机安全防护通过在系统的服务器和工作站部署工控安全卫士,采取黑白名单技术措施,实现对病毒的免疫,保障服务器和工作站的系统安全。 |
|
USB安全防护通过在终端等上位机的USB物理接口部署USB安全防御系统,实现对USB的安全管控,消除病毒通过USB的传播感染,通过权限管理、“黑白名单”等机制,现实对USB数据传输的安全过滤,保障主机USB数据传输安全。 |
采取管理优化服务措施,根据等级保护基本要求的安全管理要求,从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等层面,梳理现有的管理体系,补充和完善管理制度措施,建立安全管理制度体系和日常安全运维操作规程,保障日常安全管理落到实处。
|
|
制度梳理根据等保的安全管理要求,从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等层面,协助管理人员进行管理制度修编和梳理,建立安全管理制度体系和日常安全运维操作规程。 |
|
安全培训依据等保要求以及需求,对管理人员开展信息安全意识教育培训以及技能培训,提供信息安全意识宣贯,提高管理运维人员的安全技能和安全意识水平,具备自主等保系统自主运维的能力。 |
|
|
协助测评根据等级保护测评要求,协助提供等级保护测评所需资料,配合测协助评机构的测评工作,协助回答测评人员问题,协助系统运营单位通过等级保护测评。 |
|
边界防护网络边界部署工业防火墙,进行工控协议数据过滤,实现网络边界防护。 |
|
网络监测旁路部署工业入侵检测系统、监测审计系统,对网络行为和流量内容进行检测,实现网络安全监测。 |
|
安全审计部署日志审计系统,采集设备设备日志和运行状态信息,提供实时资产安全监测和行为异常告警功能。 |
|
运维管理通过部署运维审计管理系统,运维账户进行统一管理,加强对运维人员日常运维的管控。 |
|
主机安全部署安全卫士和USB防御系统,实现安全加固、病毒免疫和USB管控,构造计算环境安全防护堡垒。 |
|
统一管理部署统一安全监管平台,集中监管安全设备,形成监管一体化的安全预警平台。 |
微博
微信公众号
