电力行业

电力行业解决方案

　　电力是国家的支柱能源和经济命脉，其安全稳定运行不仅关系到国家的经济发展，而且维系国家安全。随着电力系统的发展和计算机通信技术的革新，火电企业自动化、数字化和智能化程度越来越高，火力发电企业电力监控系统网络之间的信息交互也越来越复杂，在日益严峻的工控安全形势下，必须有一个完善的电力监控系统安全防护策略，来保障机组的安全稳定运行。
　　

　　合理划分安全分区，扩充完善电力调度专用数据网；采取必要的安全防护技术和防护设备，剥离非生产性业务；实现电力调度数据网络与其他网络的物理隔离；有效提高电力监控系统抵御黑客、病毒、恶意代码等各种形式的恶意破坏和攻击的能力。

　　纵向认证：
　　● 对于重点防护区域当设置经过认证的纵向加密认证装置
　　● 纵向加密认证装置及加密认证网关用于生产控制大区的广域网边界防护
　　● 对处于外部网络边界的其他通信网关，应当进行操作系统的安全加固
　　● 调度中心和重要厂站两侧均应当配置纵向加密认证装置或纵向加密认证网关

　　横向隔离：
　　● 按照数据通信方向将电力专用横向单向安全隔离装置分为正向性和反向性
　　● 严格禁止E-Mail、WEB、Telnet、Rlogin、FTP等安全风险高的通用网络服务
　　● 采用不同强度的安全设备隔离各安全区

　　安全分区：
　　● 生产控制大区和管理信息大区
　　● 生产控制大区可以分为控制区（又称安全区I)和非控制区（又称安全区II)

　　网络专用：
　　● 安全区外部边界网络之间的安全防护隔离强度应和所连接的安全区之间的安全防护隔离强度匹配
　　● 在专用通道上使用独立的网络组网
　　● 在物理层面上与电力企业其他数据网隔离
　　● 划分为逻辑隔离的实时子网和非实时子网，分别连接控制区和非控制区

　　1.通过在生产控制大区和管理信息大区之间部署专用单向隔离装置，隔离装置分为正向隔离和反向隔离
　　2.通过部署工业防火墙，实现阻止来自区域之间的越权访问，入侵攻击和非法访问等
　　3.在包含主控、辅控的所有业务系统之间部署工业防火墙，智能学习工控操作指令和参数建立网络和通讯“白环境”
　　4.位于电力控制系统的内部局域网与电力调度数据网络路由之间，为上下级系统之间提供认证与加密服务
　　5.在控制区的网络边界放置单向隔离装置，利用单向隔离装置实现生产控制网数据单向流入
　　6.在上位机及非控制区的服务器上安装操作系统加固的软件，建立安全模型和安全基线，监控分析应用程序和人工操作的行为特征，生成白名单
　　7.在区域和边界旁路部署工业审计，收集全网工控设备流量，未知威胁识别，多维审计，记录异常行为，追溯异常事件
　　8.在生产控制区边界处旁路部署工控入侵检测设备，实时监控各种数据报文及来自网络外部或内部的多种攻击行为
　　9.逐步在非控制网内部署CA系统，实现对用户的身份鉴别，应用访问控制
　　10.旁路部署网络堡垒机，接管数据库、网络等设备的登录，运维人员、第三方人员统一在堡垒机上操作。旁路部署数据库审计设备，对应用系统的访问进行审计。
　　11.在管理信息区的终端电脑上部署防病毒软件并实现病毒库和杀毒引擎的及时更新
　　12.对入网的终端主机进行合规性状态检查，如杀毒软件、安全软件、系统安全配置、必备软件等，通过验证的进入内网，未通过的进入隔离区修复
　　13.通过漏洞扫描和等保合规工具，对工控系统和工控产品进行漏洞扫描和挖掘，建立安全工控产品采购清单，从源头上控制安全风险

　　实施流程图

　　从管理角度对电力二次系统安全防护做了规定，明确了分级负责责任制，强化系统安全评估，应急处理等事项
　　从技术角度对电力二次系统安全防护做了规定，包括安全区划分、专网专用、数字证书认证等
　　符合“一个中心，三重防护”要求的安全统一管理要求，集中运维管理