电力生产监控系统安全升级方案
发布时间:2020-11-09 01:30:00

本工程依据《中华人民共和国网络安全法》、《二次电力系统安全保护条例》(电监会令第5号),《**能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评价规范的通知》(**能源安全〔2015〕36号)、《电力监控系统安全防护规定》(发改委)1)第4号令和《中国XX集团公司发电企业生产监控系统安全防护规定》(XX号文件)为主要标准。按照“安全分区、网络专用、水平隔离、垂直认证、综合防护”的基本原则,对生产监控系统进行安全防护升级改造,提高公司生产监控系统的安全防护能力。生产控制区DCS即将进行技术改造,二区、三区安全防护是本次改造升级的主要内容。一区DCS改造完成后,进行一区安全防护升级改造。

在第三安全区与互联网交界处,使用冗余防火墙保护可能来自互联网的木马、病毒、恶意软件等攻击。安全II区与安全III区之间采用单向隔离网闸门进行安全防护,安全II区接口机与安全I区接口机采用单向隔离网闸门进行安全防护(单向隔离网闸门采购在今年SIS技术改造中完成)。

根据外部服务器区域数据的重要性,对数据的访问、修改、更新等进行严格的权限控制,记录数据的所有操作过程,进行审计后分析。在安全区三部署数据库审计产品,数据库审计产品可以记录数据库访问操作的全过程,跟踪数据操作的来源。

在安全二区和安全三区的核心交换机分别部署一套堡垒机,实现对网络设备的账号管理、访问控制、行为审计等。

在安全二区和安全三区的核心交换机部署一套日志审计设备,对网络中重要的交换机路由设备、安全设备、服务器等核心硬件的日志进行收集和汇总。记录和分析操作系统、数据库和业务应用程序的重要操作,及时发现各种病毒和黑客的侵害和攻击。

在安全二区核心交换机部署一套入侵防御设备,打开防病毒模块。合理设置检测规则,检测正常信息流通过网络边界时隐藏的入侵行为,分析潜在威胁,进行安全审计。

根据**能源安全XX附件《电厂监控系统安全防护方案》的相关要求,在生产控制区部署了一套恶意代码审计系统。建立电厂控制中心,实现准确的恶意代码保护、跟踪、主动防御、病毒实时监控、主动屏蔽非法外联、接收调度主站监控等功能。

在安全区域三的核心交换机和网站服务器之间部署一个网络应用防火墙,以增强公司网站抵御网络攻击的能力。

XX发电公司核心系统及网络状况如下:

变换后的拓扑结构如下:

图中红色标记表示改造工程拓扑图中相关设备的位置

1) 增加了一个堡垒机,用于对网络中的设备进行帐户管理、访问控制和行为审核。

2) 增加日志审计,对网络中重要的交换机路由设备、安全设备、服务器等核心硬件的日志进行收集和汇总。记录和分析操作系统、数据库和业务应用程序的重要操作,及时发现各种病毒和黑客的侵害和攻击。

3) 添加入侵检测并打开防病毒模块。合理设置检测规则,检测正常信息流通过网络边界时隐藏的入侵行为,分析潜在威胁,进行安全审计。

4) 增加恶意代码审计系统,实现准确的恶意代码保护、跟踪、主动防御、病毒实时监控、主动拦截非法外联,并具有接收调度主站监控的功能。

1) 增加了两个防火墙,并使用冗余防火墙防止来自Internet的可能的特洛伊木马、病毒、恶意软件和其他攻击。

2) 添加数据库审核。根据数据在外部服务器区的重要性,对数据的访问、修改、更新等进行严格的权限控制,记录数据的所有操作过程,进行审计后分析。

3) 增加了一个堡垒机,用于对网络中的设备进行帐户管理、访问控制和行为审核。

4) 添加WAF防火墙以增强公司网站抵御网络攻击的能力。

联系我们

17757188259

联系人:赵经理

手机:17757188259

QQ:9157188259

Email:9157188259@qq.com

地址:南京市中山路8888号中山大厦