電力監控系統網(wǎng)絡(luò )安全防護方案設計

電力監控系統網(wǎng)絡(luò )安全防護方案設計

　　為了確保事情或工作科學(xué)有序進(jìn)行，通常需要提前準備好一份方案，方案是闡明具體行動(dòng)的時(shí)間，地點(diǎn)，目的，預期效果，預算及方法等的企劃案。那么大家知道方案怎么寫(xiě)才規范嗎？下面是小編整理的電力監控系統網(wǎng)絡(luò )安全防護方案設計，僅供參考，大家一起來(lái)看看吧。

　　近年來(lái)，隨著(zhù)網(wǎng)絡(luò )安全問(wèn)題的不斷涌現，國家對網(wǎng)絡(luò )安全越來(lái)越重視。水電廠(chǎng)電力監控系統的網(wǎng)絡(luò )安全問(wèn)題也越來(lái)越多。本文從多個(gè)角度研究了水電廠(chǎng)電力監控系統的網(wǎng)絡(luò )安全問(wèn)題，提出相關(guān)設計思路和解決方案，并進(jìn)行系統的描述。電力行業(yè)是我國重要的關(guān)鍵基礎設施，關(guān)乎國計民生，其中發(fā)電廠(chǎng)電力監控系統是最核心和重要的系統之一。在滿(mǎn)足“安全分區、網(wǎng)絡(luò )專(zhuān)用、橫向隔離、縱向認證”基本原則的基礎上，結合國家信息安全等級保護工作的相關(guān)要求，對電力監控系統的綜合安全防護建設工作仍需持續加強。近年來(lái)，電力監控系統的外部環(huán)境發(fā)生了變化，系統網(wǎng)絡(luò )不再獨立封閉，更多的系統互聯(lián)。外部攻擊源從單點(diǎn)個(gè)體變化為規�；瘓F體攻擊，攻擊從個(gè)體行為向團隊協(xié)作過(guò)渡，甚至部級力量開(kāi)始介入。攻擊技術(shù)在軟件即服務(wù)等新技術(shù)的加持下，惡意代碼獲得便捷、多元、快速，攻擊行為全天候，產(chǎn)生惡意代碼變種的速度空前加快。攻擊手段趨于定制化、個(gè)性化、復雜化，APT技術(shù)運用越來(lái)越多。工業(yè)自動(dòng)化進(jìn)一步發(fā)展，智慧電廠(chǎng)、泛在互聯(lián)如火如荼，廣泛的互聯(lián)互操作使生產(chǎn)網(wǎng)絡(luò )趨向復雜，風(fēng)險點(diǎn)增多。

　　1設計思路

　　水電廠(chǎng)電力監控系統網(wǎng)絡(luò )安全防護方案的主要設計思路：強化安全區域邊界訪(fǎng)問(wèn)控制能力；提高網(wǎng)絡(luò )內、外入侵和惡意代碼防御能力；提高違規內聯(lián)、外聯(lián)檢測能力；提高系統內主機病毒防范能力；提高主機身份認證能力，采用雙因子認證機制；一鍵式安全加固，提高主機安全基線(xiàn)；關(guān)閉不必要的服務(wù)端口，提高入侵防范能力；利用訪(fǎng)問(wèn)控制策略，保證業(yè)務(wù)配置文件不被篡改；提高日志審計能力，審計日志至少保存12個(gè)月；加強運維人員行為管理；建立統一安全管理中心，強化集中管控能力；技術(shù)手段輔助業(yè)主完成定期自檢。風(fēng)險評估分析是對電力監控系統網(wǎng)絡(luò )內各資產(chǎn)進(jìn)行安全管理的先決條件，其目的在于識別和評估不同用戶(hù)所面臨的生產(chǎn)安全風(fēng)險和網(wǎng)絡(luò )安全風(fēng)險。工控系統資產(chǎn)梳理，分析價(jià)值；識別已有的安全防護措施；資產(chǎn)脆弱性及面臨的威脅分析；安全風(fēng)險綜合分析。

　　2方案介紹

　　2.1強化安全區域邊界訪(fǎng)問(wèn)控制能力ACL+應用級白名單：配置ACL訪(fǎng)問(wèn)控制規則，僅允許業(yè)務(wù)相關(guān)IP通過(guò)。工控協(xié)議深度解析，形成協(xié)議白名單，保證只有可信任的協(xié)議、指令才可以通過(guò)。針對具體指令的具體值域范圍進(jìn)行保護。驗證工控協(xié)議的合規性，控制邏輯的合理性，控制協(xié)議功能碼、點(diǎn)值。

　　2.2提高網(wǎng)絡(luò )內、外入侵和惡意代碼防御能力實(shí)時(shí)監測基于白名單的工業(yè)流量、關(guān)鍵網(wǎng)絡(luò )節點(diǎn)基于流量的威脅以及對網(wǎng)絡(luò )威脅感知系統APT攻擊。網(wǎng)絡(luò )威脅感知系統（APT）內置威脅情報檢測，APT情報檢測能力，內置IOC數據庫覆蓋主流的APT家族，覆蓋家族數量≥240個(gè)。采用基因圖譜模糊比對技術(shù)對流量中的文件進(jìn)行靜態(tài)檢測通過(guò)結合圖像文理分析技術(shù)與惡意代碼變種檢測技術(shù)將可疑文件的二進(jìn)制代碼映射為無(wú)法壓縮的灰階圖片，與已有的惡意代碼基因庫圖片進(jìn)行相似度匹配，根據相似度判斷是否為威脅變種。

　　2.3提高違規內聯(lián)、外聯(lián)檢測能力交換機關(guān)閉不必要端口；進(jìn)行IP/MAC綁定；工控主機衛士開(kāi)啟非法外聯(lián)策略。

　　2.4提高系統內主機病毒防范能力傳統安全解決方案難以及時(shí)更新、打補��；緩沖區溢出、0day漏洞利用等攻擊方式，傳統殺毒軟件存在短板；殺毒軟件或將業(yè)務(wù)軟件誤識為病毒而刪除。切斷惡意代碼/病毒通過(guò)U盤(pán)擺渡到系統內部的途徑；啟動(dòng)文件級白名單策略，防止惡意代碼/病毒/非法軟件執行。保證只有經(jīng)過(guò)授權的可執行程序才可以執行，保證只有經(jīng)過(guò)授權的U盤(pán)才允許使用。

　　2.5提高主機身份認證能力，采用雙因子認證機制采用靜態(tài)密碼+UKEY，關(guān)鍵服務(wù)器采用雙因子認證。

　　2.6一鍵式安全加固，提高主機安全基線(xiàn)內置42條安全基線(xiàn)規則，一鍵式配置，降低手動(dòng)加固成。根據不同加固等級，一鍵加固。

　　2.7關(guān)閉不必要的服務(wù)端口，提高入侵防范能力內置防火墻功能，關(guān)閉不必要端口；一鍵式配置，降低手動(dòng)加固成本。

　　2.8利用訪(fǎng)問(wèn)控制策略，保證業(yè)務(wù)配置文件不被篡改自主訪(fǎng)問(wèn)控制，基于標記的強制訪(fǎng)問(wèn)控制。

　　2.9提高日志審計能力，審計日志至少保存12個(gè)月范式化多種類(lèi)設備（主機、網(wǎng)絡(luò )、安全）日志，快速準確的識別安全事件，發(fā)現違規行為。

　　2.10加強運維人員行為管理運維人員身份授權、運維人員操作授權、運維人員行為審計。安全運維管理系統進(jìn)行統一賬戶(hù)管理。

　　2.11建立統一安全管理中心，強化集中管控能力安全產(chǎn)品統一管理，安全管理加密傳輸，高度可視化，雙機熱備，高度可靠。

　　2.12技術(shù)手段輔助業(yè)主完成定期自檢先進(jìn)行漏洞掃描并生成相關(guān)報告，給出指導意見(jiàn)。

　　3主要特點(diǎn)

　　3.1廠(chǎng)級統一安全運營(yíng)中心

　　資產(chǎn)可視，自動(dòng)識別工控網(wǎng)的設備類(lèi)型、設備廠(chǎng)商、設備型號，自動(dòng)識別網(wǎng)絡(luò )拓撲，提供全方位的資產(chǎn)可視化體驗。威脅可視，智能分析海量安全設備日志，通過(guò)人工智能的知識圖譜技術(shù)，將資產(chǎn)配置弱點(diǎn)、漏洞、威脅事件關(guān)聯(lián)分析，自動(dòng)發(fā)現攻擊路徑。合規評估，結合等級保護合規自評和自動(dòng)化的合規評估技術(shù)，將合規評估量化分析，提供企業(yè)集團量化的健康指數。

　　3.2安全管理制度完善

　　完善生產(chǎn)網(wǎng)安全制度與標準體系，滿(mǎn)足等級保護的基本要求、測評要求，規范網(wǎng)絡(luò )安全管理，保障網(wǎng)絡(luò )安全工作的順利開(kāi)展；建立企業(yè)自身的工控網(wǎng)絡(luò )安全制度與標準，需要企業(yè)業(yè)務(wù)主管部門(mén)、安全管理部門(mén)與我司共同配合完成，在滿(mǎn)足國家等級保護相關(guān)要求基礎上，能夠與企業(yè)自身生產(chǎn)特點(diǎn)相融合。一級文件：電力監控系統的工控網(wǎng)絡(luò )安全管理方針，能夠反映最高管理者對工控網(wǎng)絡(luò )安全管理下達的工作意圖等，能為所有下級文件的編寫(xiě)提供方向。二級文件：各類(lèi)屬于電力監控系統工控網(wǎng)絡(luò )安全管理的規范性制度、標準、辦法、策略文件、配置規范等。三級文件：各種體系運行所需的規范文檔模板。內置豐富的攻擊特征庫，結合硬件加速信息包捕捉技術(shù)來(lái)探測包括PLC等控制設備的拒絕服務(wù)攻擊漏洞、緩沖區溢出攻擊漏洞等典型工控漏洞的攻擊行為，并及時(shí)告警。采用TCP/IP數據重組、目標和應用程序識別、完整的應用層有限狀態(tài)追蹤、應用層協(xié)議分析、先進(jìn)的事件關(guān)聯(lián)分析技術(shù)以及多項反IDS逃避技術(shù)，提供業(yè)界超低的誤報率和漏報率。能夠為用戶(hù)提供豐富的動(dòng)態(tài)圖形報表，以及數十種分析報表模版和向導式的用戶(hù)自定義報表功能。采用旁路部署方式，不會(huì )對網(wǎng)絡(luò )造成任何影響。安全區域邊界：在生產(chǎn)控制大區計算機監控系統地上環(huán)網(wǎng)與地下環(huán)網(wǎng)各就地控制單元（LCU）之間部署工業(yè)防火墻，實(shí)現區域間的邏輯隔離和網(wǎng)絡(luò )威脅防護，保證電力監控系統區域邊界安全。安全通信網(wǎng)絡(luò )：在生產(chǎn)控制大區網(wǎng)絡(luò )關(guān)鍵節點(diǎn)部署工控安全監控與審計系統和網(wǎng)絡(luò )威脅感知系統，對網(wǎng)絡(luò )中的實(shí)時(shí)流量進(jìn)行監測，及時(shí)發(fā)現網(wǎng)絡(luò )攻擊、異常操作等行為，特別是新型網(wǎng)絡(luò )攻擊行為，并告警通知安全管理員。安全計算環(huán)境：在電力監控系統中工程師站、操作員站、服務(wù)器和接口機上安裝工控主機衛士軟件，開(kāi)啟程序白名單、外設管控、安全基線(xiàn)及訪(fǎng)問(wèn)控制等功能，實(shí)現阻攔病毒、木馬等惡意程序的運行、主機安全加固和移動(dòng)介質(zhì)管控等安全需求。安全管理中心：在在生產(chǎn)控制大區部署統一安全管理平臺和安全運維管理系統，實(shí)現安全設備進(jìn)行集中管控，并對日志數據、告警數據等進(jìn)行集中分析，同時(shí)對不同權限賬戶(hù)進(jìn)行身份鑒別及權限管理，保證電力監控系統管理安全；同時(shí)配置工控漏洞掃描系統，定期對電力監控系統進(jìn)行漏掃掃描，及時(shí)發(fā)現電力監控系統中的網(wǎng)絡(luò )安全漏洞。

　　結論：

　　本文研究了水電廠(chǎng)電力監控系統網(wǎng)絡(luò )安全防護的相關(guān)內容，并制定了對應的方案。該水電廠(chǎng)電力監控系統網(wǎng)絡(luò )安全防護方案提高了工控主機病毒和惡意代碼防范能力，增強工控主機安全性；有效檢測工控網(wǎng)絡(luò )中的異常操作行為并加以阻止，避免造成重大安全生產(chǎn)事故、人員傷亡和社會(huì )影響。實(shí)時(shí)檢測工控網(wǎng)絡(luò )中的惡意攻擊、誤操作、違規行為、非法設備接入以及蠕蟲(chóng)、病毒等惡意軟件的傳播，幫助客戶(hù)及時(shí)采取應對措施，避免發(fā)生安全事故；詳實(shí)記錄網(wǎng)絡(luò )通信流量，為安全事故調查取證提供技術(shù)支撐。

【電力監控系統網(wǎng)絡(luò )安全防護方案設計】相關(guān)文章：

網(wǎng)絡(luò )監控系統方案設計06-28

安防監控方案設計07-03

系統實(shí)現方案設計06-28

電力調度自動(dòng)化系統網(wǎng)絡(luò )安全隱患分析論文12-16

論動(dòng)態(tài)防御技術(shù)在電力行業(yè)網(wǎng)絡(luò )安全防護中的運用論文12-16

監控系統設計方案06-23

智慧倉儲系統方案設計06-28

全息投影系統方案設計06-28

硬盤(pán)播出系統方案設計06-28