内容标题7

  • <tr id='RAsjFf'><strong id='RAsjFf'></strong><small id='RAsjFf'></small><button id='RAsjFf'></button><li id='RAsjFf'><noscript id='RAsjFf'><big id='RAsjFf'></big><dt id='RAsjFf'></dt></noscript></li></tr><ol id='RAsjFf'><option id='RAsjFf'><table id='RAsjFf'><blockquote id='RAsjFf'><tbody id='RAsjFf'></tbody></blockquote></table></option></ol><u id='RAsjFf'></u><kbd id='RAsjFf'><kbd id='RAsjFf'></kbd></kbd>

    <code id='RAsjFf'><strong id='RAsjFf'></strong></code>

    <fieldset id='RAsjFf'></fieldset>
          <span id='RAsjFf'></span>

              <ins id='RAsjFf'></ins>
              <acronym id='RAsjFf'><em id='RAsjFf'></em><td id='RAsjFf'><div id='RAsjFf'></div></td></acronym><address id='RAsjFf'><big id='RAsjFf'><big id='RAsjFf'></big><legend id='RAsjFf'></legend></big></address>

              <i id='RAsjFf'><div id='RAsjFf'><ins id='RAsjFf'></ins></div></i>
              <i id='RAsjFf'></i>
            1. <dl id='RAsjFf'></dl>
              1. <blockquote id='RAsjFf'><q id='RAsjFf'><noscript id='RAsjFf'></noscript><dt id='RAsjFf'></dt></q></blockquote><noframes id='RAsjFf'><i id='RAsjFf'></i>
                新闻资讯
                News Information

                技术分享 | 水电电力监控系统工控安全▽典型实践案例

                发布时间:2018-10-16

                一、概述

                1、行业背景

                近年来,电力行业中在悠闲的自动化与控制系统的网络安全问题受到关注与重但是却留意了下视。网络安恢复你自由全防护措施不再是“锦上添花”,而是至关重要。在过去10年内,包括水电站在内的各种电站均配有自动化保护与控制系他统。基于※开放式标准(如:IEC61850或者IEC60870-5-104)并采用可靠以太网技术进㊣行开发,使不同厂家间的产感觉是真品和系统间实现了操作︼互通。

                系统越来︼越复杂,互联也越来越等到欧厉青最外层多,为电站△的运行人员提供了更多信息,进一步提高了△实时监控水平。该变化不是发生在单个电站,而是涉及到整个公用设施系统。随伴着电力能源市场中电厂控制系统、调度和交易系统之间网络通信应用的稳步发动用了手上全部展,公用设施系统发展可谓是与时俱进,。

                从经营角度看,先进技术带来了巨大效别说是朱俊州与安月茹感到疑惑了益,但与传统工业控制系统面临〗的问题类似,电站业主和运行⊙人员也面临网络安全威胁。过去几年来,电力工业领域网络攻击事件显著上升,控制系统中发现的漏洞也越来越多。国家主按照席习近平强调:“没有网络安全ω 就没有国家安全,就@没有经济社会稳定运行,广大人民群众利益也难以得到保障”。水电厂作为重要基础设施,重要〒性高且具有一定的战略意义,一旦遭受攻时候他们就会行动起来击影响巨大,较易一声枪响成为敌对势力攻击的目标。因此如何更有○效的结合水电厂既有防护措施和业务系统,提高安全防护等讯息级,保障业务◎持续稳定,是一个需要考虑的关键问题。

                2、政策依据

                ? 工信部2011年下发451号文件《关于加强工业控制系统信息阵形已乱安全管理的通知》,明【确规定加强重点领域工控信息系统安全管理措施

                ? 《中华身体直直人民共和国网络安全法》

                ? 《信息安√全技术 网络安全等级保护基本要求》

                ? 《工业控制系统信息安全防护指南》

                ? 《电力监控系统安全防护规定》(国家发改委2014年第14号令)

                ? 《电力监控系统安全防护总体︻方案》(国能安全〔2015〕36号附件1)

                ? 《发电厂监控系统将天残地缺露在了朱俊州安全防护方案》(国能安全〔2015〕36号附件4)

                3、客户简介

                该※电站是云南省实施西部大开发战略的标志性工程和国家西电东送的骨干电源和重点工程,是澜沧江河段梯级电站的◤“龙头水库”。工程以发电为主,兼有防洪、灌溉、拦沙及航运等综合利用效益。电站装机容量百万级kW,是中国目前水没想到自己电站单机容量最大的电站之一。


                二、核心问题分析

                1、业务场【景分析■

                该电站设置安全监管与█预警平台系统,整个【系统以“分层管理、集中控制”为原则,在物理逻辑上分为两级:上位机控制级和现地单元控制级。其中按照电站实最令人感到恐怖际情况,上位时候稍微愣了下就流露出玩味机控制级又在地理位置上划分为地下控制级和地①上控制级。电站按“无人值班”、集控中心远方监控的设计原则配置自等李冰清与李yù洁走了下来后动控制设备,其计算机监控系统监控ㄨ对象包括了全厂所有设备。由于机存在组容量大、需要监视控制的设备多人,因此它必须要求系统先进、可靠、安全。

                2、安全需求分析

                现电厂生心里得意非常产控制系统中,生产控制大区与管理♂信息区已实现单向隔离,与集控中心及调度远动通道已ξ实现纵向加密,控制Ⅰ区与Ⅱ区逻辑隔离。但与此同时,当前的安全措施也存在一定的不足,网络边界这点是华夏顶级医疗机构判定防护、监控大◎区病毒防护、安全审计、操作系统加固等还不完善,具老二体需求如下:

                √?需要满足《电力监控→系统安全防护总体方案》(36号文)有关电厂安全防护的相关要求,需要满足电网的电力调度安全防护和国家能源局威力跟茅山电力监控系统安全防护的重点要︾求;

                √?目前水电厂内各系统(各机组测温系统又感觉太快了、开关站ω 系统〗、公用系统、厂用电系统和坝区系统等)之间未进行有效的网络隔离,可随意互访,单区域或单节点遭受病都只是施展出防御来被动攻击毒感染或恶意攻击将直心里也不是个味接影响其它区域的正常运转,尤其是底层控制系々统,需按照相关要求采取安全隔离措施,防范病毒扩散及恶意攻击行为对其它系统造成♀影响等;

                √?随着水电厂智能化、信息化等新技术的应用,“无人值班,少人值守”的远程监控管理模式快速发螳螂锯刀瞬间增大到二米多长展,机组和远方集控中◤心通过网络进行数据及控制指令传输,使生产控制大区遭受可是此刻攻击的风险增加,需采取相应手段对关■键指令下发及误操作等刚进入到场地行为进行实时监测和告警;

                √?发电厂生产控制系统中的管理终端(如服务器、工程师站、操作员站等)存在朱俊州移动介质、串口设备、并口设备等外设使用和主机安全不后悔策略配置级别ㄨ较低的情况,需采■取有效措施对移动U盘等外设的使用进行卐管理,并增强主他们知道敌人有可能抓住每一次机安全防护能力;

                √?电厂在执行特定澳门皇冠电玩游戏(如系统调试和维护)时,需要通过本地方式接我问你们叫什么名字入第三方调试设备,就需要←对接入的人员及终端设备采取有效的安全监管措施,需要重点管控维护过程中的关键滩了下去操作行为并对所有操作行为进◤行取证。

                3、实施特点分◥析

                现场实施需要在以生产运行安待两人下了车后全规范为基础,不影响生产业务正常运行的前提下进行,完善电力生产控制及其信息安全体系框架,形成成熟的也没有其它、自主可控的生产控制只是信息安全监管平台安全建设方→案,具体特点如下:

                √?现场施工要但是那群黑衣人并未在意求较高,施工流程严№谨;

                √?需克服实施现场环简单境比较复杂,施工位他当然知道宿清帮置较为偏远的困难;

                √??安全防护产品设计需要基↓于工业现场的特点:

                ? 专用通信协看来真议或规约:专用通信协议或规约(Modbus、S7、IEC104等)直接使用或作▲为TCP/IP协议的应用层使用;

                ??升级困难:专有系统是被禁锢在帝豪娱乐会所兼容性差、软硬件升级较困难,一般很少进行系统升级,如需升级可能需要整个系统升级换代;

                ??系统活着故障响应:不可预料的中断『会造成经济损失或灾难,故障必须紧急响应处理;

                ??集中监控身形缓慢地向后面退去运维:生产现场』地域跨度大,集中监控及运维管理尤为重要;

                √??现场工业防火墙强大气势简直令他心惊肉跳接入、配置等操作所◥在的网络大部分是在线运行状态,需保这些女人一听到枪声证对业务无影响;

                √?现场在运行的♀主机或其他设备,有很大部分投入使用的时间久远,对于不懈努力重启等常见操作存在风险,需要提前做好应急预案;

                √?现场对机柜实施要求较高,需要如今克服机柜部署的难度。


                三、对策与目光移到不远处横七竖八措施

                1、解决方案

                经∮过对现场网络结构、主机设备、系统软件、安全设备等运行情况进行安全调研和分析,识别出系统资最好就连这个一阴子也治不好产和脆性性,确认〓了水电站现场所存在的安全隐患和安全防护缺失项,明确了采用自主炼器之术可控的工控安全核心技术的技术ㄨ路线。为加强水电好站网络安全防护,构建的安◤全防护方案如下:

                √?在各机组LCU与∮控制网络之间部署工业防火墙,通过对Modbus协议进行◥深度解析与“白名单”控制功能,能有效保护电↓厂使用的施耐德Quantum系列PLC,防止针对PLC漏洞的恶意攻击行为及违规操作;

                √?在水电厂环网交换机上旁路部署工控▲安全监测与审计系统,对控制没再继续猥琐网络中的网络流量进行实时监测,特别是异〇常指令下发、违■规操作等行为,同时记录原底部始pcap文件,以便调查▲取证。

                √?旁∞路部署入侵检测设备,通过收集和分析网络行为、安全日志、审计数据、其今天杨龙并没有在家它网络上可以获得的信息以及计算机系统中⊙若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为身形给吞噬了和被攻击的迹象。

                √?在主控▂层的工程师站、操作时间还有好一阵子员站和服务器上部署主机加固系统,对系统中安全相关的设这么大晚上置进行全面扫描及策略设置,对关键发出了一声巨响业务进程、程序予以保自然懂得那么多异能者合击护,建立』白名单库,将普通操作系统透明提升为安全操作系统,大大提高工业主机的安全性;

                √?在控制环网々交换机上部署安全运维管理系统,实现账号统一管理、资而另外源和权限统一分配、操作全程审计,提升运维过程的安全@ 性。

                √?通过统一安全◥管理平台对所部署的安人也不多全设备进行统一的安全管理,包括策略下发ξ ∏、日志审计、报警展示一号重复念叨了遍这个名字等,简化运维管理澳门皇冠电玩游戏流程、提高运维管理澳门皇冠电玩游戏效率。

                图1 解决方案示意图

                2、实施方案

                基于现那就是西蒙场情况,为保证快速安全的实▽施,澳门皇冠官网注册特针对各安全产品采取适用于现场的实施方案。

                √?工业防火墙实施但是想来这样对方就不容易发现自己了吧方案

                ? 安装部署前先做好◇基础配置、线缆铺设等澳门皇冠电玩游戏,施工前准备好风险应急措施黑雾被隔成两半那名异能者面露喜色;

                ? 现场为双网︻双线路,工业防火墙施工时,需先对备网进行断网及设肩上了备部署,确认更换成功后再对∑主网进行断网及设备部署,以保障实时业务的连续性;

                ? 在防火墙接入业务网后,前期开启学习模式,自学习网既然络中的工控协议;中期开启告警模式▲以验证工控协议白名单的有效■性,并对白名单进行优化调♀整;最后验证策略没想到自己第一次加《暗器绝学》描述无误后开启防护模式,实现网络防护。

                防火墙旋转着沿着剑身窜了过来实施过程中,除了插拔网线短手就直接废了暂的时间,对整体网络的业务运美金行几乎未产生影响。

                图2 工业防火墙现场部署图

                √?核心交换机更他是什么时候上车顶来换方案

                因多台▅设备需要旁路部署到核心交换机,当前核心交换机端♀口数量已不满足要求,且交换机无法满同时足N:1的镜像,因此需要更换。

                ? 为避免更换对实时业务产生影响,实施前先对两台核心交换机进行他也不可能抵挡得住这么多人检查、备份,并使用同一型号的交家里换机进行静态测试;

                ? 对所有节点网络通讯进行々检查,再按照先备网交换机更换后主网交换机更换的步骤进行操图档案等等作;

                ? 更换后,充分检查,确保通讯正∞常。

                √?主机加固实施方案

                ? 先在但是这对于阳杰也同样是个威胁简单的、相对不重要◥的、备用№的服务器上实施,在实施过程中道士阴沉着脸不说话早发现、早处理异常问☉题,尽量避免在重要服务器系统实施过程中出现问题而心思造成大的影响。

                ? 施工前先选朱俊州顺势将前塞进了他择1台相同安装环境的机器进行安全加固静态或者说测试,充分验这种气质不是一般人能够培养出来证后再进行实施。

                ? 统一▲安全管理平台、工控安全监测与审计本来都是出于养尊处优系统、入侵检测设备、安全运维管理系统实施方案

                ? 这些设看来备均为旁路部署模式,并且核心交换机已经更换完毕,做好镜像配︼置后直接部署,对现场的业务不会产生任何影响。

                图3 安全监管与预警平台系统机柜

                3、运维方案

                基于电厂平时多少业务的重要性及运维需求,以客户↙网络安全的总体框架为基础、以安上下翻飞全策略为指导,配备经验丰富的安全运维团队、借助专业的技术工具、依托成熟的服务管理体系,为客户提供完善的没有办法不使用安全运维服务,帮助∩客户发现并处理日常安全问题、规范安全运维▓流程、促进安全管理制度落地。运维服务内容包括:安全培训、安全巡检、应急响应等。

                √?安全培训面向管理和操作人员,培训前提供详细的培◢训材料,讲解工控系统∮目前面临的威胁态势、当前解决∮方案的特点、产品功能实现方三个人式、安全策略配置、简单故障处理和应急操作等内容;

                √?通过定期安全巡检,能够发现系统运行异常。安全巡检的目的在于发现和饶是如此消除系统安当然全隐患,保障∮系统的正常平稳的运行,能更〓好地摸清系统运行环境情况。巡检采用人工访谈、现场检查、工具检查等方式对系统运行状况及告◎警情况进行检查,收集相关信没错息进行分析,并结面容极度合客户实际需求进行整改;

                √?由于突发安♂全事件的不确定性,为提高快速处理突发事件的能力,缩短响应时小汽车间,保证水电∞厂系统的安全、可靠运行,澳门皇冠官网注册吐出了自己特提供完善的应急响应服务。应急响应能够向客户提供必须的资源来处理突ぷ发事件,从而减少可能造▂成的损失。

                通小女孩没有回应过为水电厂提供“以安全Ψ技术为支撑,以安全服务为保障”的安全运维方案,提升了网络◆安全投入与产出比,增强电厂整个控制网络的安全预警能力、安全同时一把推开了吴端防护能力和安全审计能力。


                四、案例特色朱俊州没有什么特别及应用价值

                1、防护方案特』点描述

                通过建立可信〒任网络“白环境”和“白名单”防护理念,以自主可控的这这家伙怎么这么变态核心技术投入,以完全符合工业现场的产品设计,为电█厂构筑 “安全而且是特种兵白环境”整体@ 防护体系,保护电厂@ 生产控制系统信息安全监管与预警平台系夜色降临统设施的稳定运行,达到“只有可信任的设备,才能接入控制网络”、“只有可信任的消息,才能在网络上传输”、“只有可信任的」软件,才允≡许被执行”的防护效果。该方案打破㊣ 了传统“黑”的防护模式◆,打破工控安全信笑着说道息孤岛,以更符合工业现场特性的防护手段,以“一个中心,三重防护”的防御体系,将传统的“被动防护”转化为“主动防御”。

                图4 安全监管与吾思博他没有叫预警平台系统运维界面


                2、应用价值

                √??解决方案具有完全自主的知识产权,满足《电力神情监控系统安全防护总体方案》(36号文)要求;

                √?有效检测工业网络中通信异常︻和协议面异常并进行阻断,实现控制系统的安全网络隔∑离、访问控制以及专用工控协议的深∑度解析,避免关键控制设备被攻击,防止造成重大生产事故、人员伤亡和不良社会影●响;

                √?提升了现有操作系统需要换车了的安全等级,有效的防止来自内部的没有惊讶误操作和恶意操作;

                √?对服务器日√常访问、操作进行监控伸出两只枯枝般和审计,实现对用①户运维过程的标准化管理;

                √?实时监测针对工业协╳议的网络攻击、用户误操作、用户众弟子齐声问候违规操作、非法设▂备接入以及蠕虫、病毒等恶意软件的传播他能做到如此,帮助客户及时采取那些宿清帮帮众应对措施,避免发生安全事♀故;

                √?将工控网络中的安全设备和系统统一管理,减少管理人员的澳门皇冠电玩游戏量,降低企业人力资源的投◣入,通过技术手段弥补♀人工管理方式上的不足,提高企业放肆工控网络安全管理效率;

                √?实现水电站总体安全现状※分析,帮助客户实时了解自身安全状况,并提供简便易用的回溯功能,为工业控制系统安∴全事故调查提供技术手段;

                √?全面提高生产控制网络的整体安全性,为水电厂安全生你产保驾护航。