案例精选丨天然气发电厂DCS控制系统等保三级网络安全加固项目

  • A+
所属分类:云安全

案例精选丨天然气发电厂DCS控制系统等保三级网络安全加固项目

案例精选丨天然气发电厂DCS控制系统等保三级网络安全加固项目
案例精选丨天然气发电厂DCS控制系统等保三级网络安全加固项目
某天然气发电厂为广州某电力集团有限公司的下属控股子公司,一期工程建设2台390MW天然气发电机组,于2006年和2007年正式投产,是国家发改委、能源局打捆招标的第二批9F机组项目之一,是广东省、广州市能源电力重点项目之一,同时也是广州市第一个高效清洁型的发电项目、广东省LNG站线的配套工程。 

背景介绍


  • 某天然气发电厂依据国家及集团公司电力监控系统相关安全防护要求,结合自身电力监控系统和信息化情况制定了信息安全总体规划,初步建立了信息安全体系,编制了部分安全管理制度,取得了初步成效;
  • 燃气机组控制系统已按照国能安全【2015】36号文附件1《电力监控系统安全防护总体方案》相关要求分区域部署,现有系统主体部署于生产控制大区安全一区;
  • 燃气机组控制系统网络参照工业控制系统层次模型主要体现为现场控制层、过程管理层、生产管理层;
  •  #1、#2机组采用GE Mark VIe控制系统,公用系统、辅控系统采用ABB INFI-90分散控制系统,采用A/B网方式组网,与安全二区SIS系统边界部署了单向网络隔离装置进行隔离防护;

  • 燃气机组控制系统操作员站、工程师站、历史站、接口机等工控主机采用Windows 7、Windows 2003操作系统。

项目需求


等保测评机构出具的《燃气机组控制系统_问题清单》高、中、低风险共计94项,其中高风险为27项,详细数据如下图所示:
 
案例精选丨天然气发电厂DCS控制系统等保三级网络安全加固项目
图1 燃气机组控制系统风险项统计数据图

技术要求高风险为24项,主要在安全计算环境、安全区域边界、安全通信网络,详细数据如下图所示:
 
案例精选丨天然气发电厂DCS控制系统等保三级网络安全加固项目
图2 技术要求风险项统计数据图

管理要求高风险为3项,主要在安全建设管理、安全运维管理,详细数据如下图所示:
 
案例精选丨天然气发电厂DCS控制系统等保三级网络安全加固项目
图3 管理要求风险项统计数据图

燃气机组控制系统需按照GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》进行安全加固及高风险项整改,彻底根除高风险项并通过等保三级测评。    

解决方案


基于客户的实际需求,设计、制定燃气机组控制系统的安全加固方案,并多次与客户进行交流、沟通;最终明确方案要遵循合规性、深度防御、集中管理、适度防护、技管并重、动态调整、自主可控、先进性的原则,从技术防护措施、安全管理体系建设、技术培训服务三方面深入细化,同步建设。

4.1 技术防护措施

  • 在燃气机组控制系统中心交换机上部署入侵检测系统,入侵检测系统采用旁路流量镜像部署方式;可有效监视中心交换机上的所有实时传输数据,通过协议状态检查和智能关联分析,提供全面的信息展现和安全预警,为燃气机组控制系统的风险控制环境提供决策依据;


案例精选丨天然气发电厂DCS控制系统等保三级网络安全加固项目
 图4 实时检测预警图

  • 在燃气机组控制系统中心交换机上部署工控安全监测与审计系统,工控安全监测与审计系统采用旁路流量镜像部署方式;可对工业控制流量进行深入分析,对OPC、Modbus等工业控制协议进行深度解析,实现对燃气机组控制系统网络的异常行为、协议攻击、关键事件进行实时检测告警,及时发现系统内部违规事件,事后为安全事故/故障调查提供详实的记录;

 
案例精选丨天然气发电厂DCS控制系统等保三级网络安全加固项目
图5 OPC协议深度解析图
 
案例精选丨天然气发电厂DCS控制系统等保三级网络安全加固项目
图6 Modbus协议深度解析图

  • 在燃气机组控制系统操作员站、工程师站、历史站、接口机等工控主机上部署工控主机卫士客户端软件;固化PE、脚本可执行文件白名单,切断勒索病毒、挖矿木马等恶意代码程序网络及移动存储介质的传播途径,实时拦截已知、未知的恶意代码程序启动;


案例精选丨天然气发电厂DCS控制系统等保三级网络安全加固项目
 图7 程序白名单策略配置图

  • 在燃气机组控制系统内部建立安全管理中心并部署统一安全管理平台、安全运维管理系统、日志审计与分析系统,实现对安全设备的集中管理、实现对安全设备、网络设备、工控主机、控制系统的日志统一采集、关联分析、安全运维管理;


案例精选丨天然气发电厂DCS控制系统等保三级网络安全加固项目
 图8 工控主机卫士集中管理图
 
案例精选丨天然气发电厂DCS控制系统等保三级网络安全加固项目
图9 工控安全监测与审计系统集中管理图

  • 对燃气机组控制系统的网络设备、控制软件等不符合等保2.0安全计算环境中身份鉴别、访问控制、安全审计、入侵防范等相关要求进行手动加固,根除对应的风险项。

 
案例精选丨天然气发电厂DCS控制系统等保三级网络安全加固项目
图10 燃气机组控制系统安全加固示意图

4.2 安全管理体系建设

现场经过多次与技术研发中心信息管理人员、热控专责及科技公司系统运维人员进行访谈,了解客户现有安全管理体系,结合客户现有安全管理制度文档,对比GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》中安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理相关要求进行完善、补充,最终建设成符合客户实际情况并满足等保相关要求的安全管理体系。

4.3 技术培训服务

项目实施完成后组织为期两天的技术培训,我司派遣两名资深讲师前往现场对客户相关技术人员进行培训,同时提供专业的培训教材;培训内容包括:安全意识、国家政策法规解读、安全设备日常维护;通过培训提升客户相关技术人员的安全意识,熟悉网络安全法、国家能源局36号文、等保2.0等国家政策法规的相关要求,掌握安全设备、网络设备的日常维护操作、故障识别与处理、应急处置流程与方法。

4.4 方案效果

燃气机组控制系统安全加固后,全面根除或降低安全计算环境、安全区域边界、安全通信网络、安全建设管理、安全运维管理的高风险项,并顺利通过了等保2.0三级测评;安全加固后风险项数据如下:
 
案例精选丨天然气发电厂DCS控制系统等保三级网络安全加固项目
图11 安全加固后风险项数据统计图

用户价值


  • 帮助电厂顺利通过了等保2.0三级测评;提升了相关技术人员的安全意识,并建设符合电厂实际情况的安全管理体系;
  • 帮助电厂提升了燃气机组控制系统整体安全防护能力,能够有效检测燃气机组控制系统网络中网络攻击和协议异常并实时预警,实现了OPC、Modbus等工业控制协议的深度解析,实时拦截已知与未知恶意代码程序的启动,避免关键控制设备被攻击;
  • 帮助电厂运维人员,通过平台可以实时了解自身安全状况,并提供简便易用的回溯功能,为燃气机组控制系统安全事故调查提供技术手段;
  • 在近年来网络安全事件频发的态势下,帮助电厂全面提高燃气机组控制系统网络的整体安全性,为电厂的安全生产保驾护航,降低了造成国家关键基础设施遭到破坏的可能性。
案例精选丨天然气发电厂DCS控制系统等保三级网络安全加固项目
威努特简介
案例精选丨天然气发电厂DCS控制系统等保三级网络安全加固项目

北京威努特技术有限公司(以下简称“威努特”), 是国内工控网络安全领军企业、全球六家荣获国际自动化协会安全合规学会ISASecure CRT Tool认证企业之一和亚太地区唯一国际自动化学会(ISA)全球网络安全联盟(GCA)创始成员。

威努特作为国家高新技术企业,以创新的“白环境”整体解决方案为核心,自主研发了全系列工控网络安全专用产品,拥有64项发明专利、64项软件著作权、70项原创漏洞证明等核心知识产权。积极牵头和参与工控网络安全领域国家、行业标准制定,受邀出色完成新中国70周年庆典、中共十九大、两会等重大活动的网络安保任务,被授予“国家重大活动网络安保技术支持单位”,得到了中央网信办、公安部、工信部等国家政府部门的高度认可。迄今已成功为电力、轨道交通、石油石化、军工、烟草、市政、智能制造、冶金等国家重要行业1000多家工业企业提供了全面有效的安全保障。

威努特始终以“专注工控,捍卫安全”为使命,致力于为我国关键信息基础设施网络空间安全保驾护航!

案例精选丨天然气发电厂DCS控制系统等保三级网络安全加固项目
案例精选丨天然气发电厂DCS控制系统等保三级网络安全加固项目
案例精选丨天然气发电厂DCS控制系统等保三级网络安全加固项目
案例精选丨天然气发电厂DCS控制系统等保三级网络安全加固项目
案例精选丨天然气发电厂DCS控制系统等保三级网络安全加固项目

案例精选丨天然气发电厂DCS控制系统等保三级网络安全加固项目

渠道合作咨询   张先生 18201311186

稿件合作   微信:shushu12121

本文始发于微信公众号(威努特工控安全):案例精选丨天然气发电厂DCS控制系统等保三级网络安全加固项目

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: