案例精选丨贵州某电力企业监管与预警平台示范先行

  • A+
所属分类:安全闲碎
案例精选丨贵州某电力企业监管与预警平台示范先行
贵州某电力公司是由某集团控股的大型电力企业,致力于贵州境内“两江一河”流域水电资源梯级开发,共建成投产9座水电站,总装机容量高达3000+MW。


背景介绍

背景介绍


  • 按照某集团牵头的电力重要信息系统网络安全保障示范工程任务指导,同时参考等保2.0以及国能安全〔2015〕36号文和国家发展改革委第14号令等相关标准要求,本次拟在企业集控中心侧建设生产控制系统信息安全监管与预警平台,构建信息安全监管与预警体系。


  • 企业集控中心在生产控制大区分为安全I区和安全II区,I区含计算机监控系统,II区含水调自动化系统、电能量采集与分析系统等业务系统。企业已按照“安全分区、网络专用、横向隔离、纵向认证”十六字方针完成安全建设,满足网络安全通信的基本要求。


  • 目前企业生产控制大区缺少流量检测、日志审计等有效手段,无法实现对生产控制大区内网络异常行为的监测和预警。缺乏网络体系纵深防御和主动防御的能力,无法实现对网络安全设备进行统一管理和协同联动的机制。随着企业面临的安全威胁日益增多,迫切需要在不影响生产业务正常运行的前提下,完善企业生产控制系统信息安全体系框架。


风险分析



通过深入用户现场调研,对贵州某某电力公司生产控制大区各系统的网络安全风险作全面评估分析:

  • 资产管理不全面,安全隐患严重


生产控制大区的网络中,网络设备、安全设备、终端服务器等资产繁多,缺乏有效的资产生命周期管理措施,无法做到资产风险定位和问题资产追溯。

  • 综合防护不到位,安全能力薄弱


生产控制大区各主机服务器大部分未安装安全软件,缺乏有效的计算环境主机防护措施,主机安全能力薄弱;I区和II区未进行工业级边界隔离防护,对于针对工业协议的恶意攻击检测、审计和防护能力薄弱。

  • 预警能力缺失大,安全态势不可控


由于规划设计阶段未对网络安全进行统筹规划,后期靠网络安全事件驱动逐步建立的以“防护”为主的安全体系,在网络安全事件发生之前未能及时有效监测预警,网络安全缺乏态势可感知、可预测的能力。

  • 自主安全运维不足,外部风险不可控


生产控制大区各系统的主要软硬件依赖相关厂商进行技术支持和运维服务,一方面造成安全威胁不能及时发现和应急响应处置;另一方面,无法对第三方人员的运维操作进行审计管控,易引入不可控风险,安全隐患较大。

  • 移动存储介质管控不足,内部风险未掌握


生产控制大区各系统中的终端设备(如服务器、工程师站、操作员站等),一方面没有采取有力的移动介质管控措施,导致移动介质的滥用,从而加重信息安全风险;另一方面缺乏贴合工业环境的安全防护措施,导致其脆弱终端被非法入侵而引发内部安全事件。

需求目标



针对贵州某某电力公司集控中心生产控制大区各系统网络安全现状及监管的实际需求,本次生产控制系统信息安全监管与预警平台具体建设目标如下:

  • 实现网络安全态势从未知到已知


通过建立生产控制系统信息安全监管与预警平台,感知网络中的资产信息并实现网络资产可视化。预测网络安全态势在资产侧的走向,构建网络资产风险动态链条,实现安全态势的确切化。

  • 实现网络安全防御从被动到主动


通过建立生产控制系统信息安全监管与预警平台,利用安全大数据、态势感知、攻击链模型和算法,结合全球网络安全威胁情报,持续监测发现潜在威胁和攻击,提前感知并预警攻击者的下一步攻击计划,采取有效处置措施构建弹性防御体系,实现安全防御能力主动化。

  • 实现从单一设备防护到协同联动


通过建立生产控制系统信息安全监管与预警平台,作为联动枢纽,实现网络中所有安全设备的数据汇总分析、数据共享及策略协同,打通终端、边界协同联动,有机整合各种网络安全技术,打造“智能检测”、“智能上报”、“智能响应”的闭环协同能力。

  • 实现网络从边界防护到纵深防御


通过落实国家网络安全等级保护制度及生产控制系统安全防护要求,对生产控制系统网络安全进行整改加固,加强内部的物理环境、区域边界、通信网络、计算环境以及管理中心五个维度的安全建设,实现生产控制系统网络安全的纵深防御、综合防护。

解决方案



案例精选丨贵州某电力企业监管与预警平台示范先行


  • 贵州某电力公司生产控制系统信息安全监管与预警平台严格遵守“安全分区、网络专用、横向隔离、纵向认证”的总体防护原则,结合等保2.0相关标准明确了重点强化边界防护和态势感知建设,整体方案设计思路如下:


  • 整体平台单独组网,满足生产控制大区逻辑隔离,生产控制大区与管理信息大区跨区数据传输使用隔离设备等要求,同时在不影响公司集控中心原有网络架构、不占用原有带宽的前提下进行平台部署。


  • 生产控制大区I区与II区使用边界防护设备进行逻辑隔离,生产控制大区与管理信息大区使用正向隔离装置确保数据的单向传输,I区、II区分别在核心和各系统内根据业务环境部署数据探针,分别从区域边界、通信网络、计算环境进行信息采集,确保信息收集的广度和深度。


  • 生产控制大区I区部署工业防火墙、工控安全监测与审计系统、工控主机卫士、日志审计与分析系统、安全运维管理平台、高级威胁检测系统,统一将信息汇聚至I区统一安全管理平台,由管理平台将信息汇聚后发送至管理信息大区工业态势感知平台。


  • 生产控制大区II区部署工控安全监测与审计系统、工控主机卫士、日志审计与分析系统、安全配置核查系统、安全运维管理平台、工控漏洞扫描平台,统一将信息汇聚至II区统一安全管理平台,通过正向隔离装置统一发送至管理信息大区工业态势感知平台进行统一分析和展示。


  • 在生产控制大区和管理信息大区复用已有调度数据网通信链路与下属9个水电站的网络安全态势感知采集装置进行数据收集,最终汇聚到工业安全态势感知平台进行统一关联分析和展示。


  • 根据国家相应政策要求,组网采用业务带内管理带外方式,将安全通信网络、区域边界和计算环境三个层面的数据,在I区和II区分别通过电力专用正向隔离装置汇聚到工业态势感知平台进行分析、处理和展示,进而实现集控中心+下属电站生产控制系统网络安全态势可感知,最终构建完成生产控制系统信息安全监管与预警平台。


方案主要编制依据:

◇《中华人民共和国网络安全法》

GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》

GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》

《电力监控系统安全防护规定》(国家发展和改革委〔2014〕第14号令)

《国家能源局关于加强电力行业网络安全工作的指导意见》(国能发安全〔2018〕72号)

《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》(国能安全〔2015〕36号)

《电力行业信息系统安全等级保护基本要求》(电监信息〔2012〕62号)

 

用户价值



  • 实现生产控制系统网络安全从边界防护到纵深防御、从被动防护到主动防御、从单一设备防护到协同联动的能力提升,工业态势感知平台应用于生产控制系统信息安全监管与预警,其基于业务的安全展示能力,能够从单纯的网络安全监测提升到业务安全监测,实现安全风险可预警、安全能力可视化,提供从综合、资产、脆弱性、威胁、事件等维度进行可视化展示的能力。


案例精选丨贵州某电力企业监管与预警平台示范先行

(参考示意图)

案例精选丨贵州某电力企业监管与预警平台示范先行

(参考示意图)

案例精选丨贵州某电力企业监管与预警平台示范先行

(参考示意图)

案例精选丨贵州某电力企业监管与预警平台示范先行

(参考示意图)

案例精选丨贵州某电力企业监管与预警平台示范先行

(参考示意图)

  • 实现网络安全系统的集中管控,通过日志审计、告警监视等技术弥补人工管理上的不足,提高并规范集控中心对自身及下属电站生产控制系统网络安全管理,实现集控中心到下属电站生产控制系统常态化、体系化的网络安全态势感知,做到知己、知彼、知未来,构筑精准防护和联防联控的网络安全综合防控系统。


案例精选丨贵州某电力企业监管与预警平台示范先行

(参考示意图)

案例精选丨贵州某电力企业监管与预警平台示范先行

(参考示意图)

  • 满足电力重要信息系统网络安全保障示范工程任务要求,同时符合等级保护2.0和国能安全〔2015〕36号文等相关标准。帮助用户完善企业生产控制系统信息安全体系框架,形成对生产控制大区系统的监测、预警、审计和防护的闭环安全体系,最终构建电力栅格状立体纵深防线,实现企业生产控制系统网络安全的纵深防御、综合防护。


  • 打造电力重要信息系统网络安全保障示范工程,健全企业网络安全管理运营体系,提高预警检测和防护能力,实现网络安全核心技术装备安全可控,杜绝重大灾难性事件发生,在某集团业务范围内起到标杆示范作用。 


案例精选丨贵州某电力企业监管与预警平台示范先行
威努特简介
案例精选丨贵州某电力企业监管与预警平台示范先行

北京威努特技术有限公司(以下简称“威努特”), 是国内工控网络安全领军企业、全球六家荣获国际自动化协会安全合规学会ISASecure CRT Tool认证企业之一和亚太地区唯一国际自动化学会(ISA)全球网络安全联盟(GCA)创始成员。

威努特作为国家高新技术企业,以创新的“白环境”整体解决方案为核心,自主研发了全系列工控网络安全专用产品,拥有64项发明专利、64项软件著作权、70项原创漏洞证明等核心知识产权。积极牵头和参与工控网络安全领域国家、行业标准制定,受邀出色完成新中国70周年庆典、中共十九大、两会等重大活动的网络安保任务,被授予“国家重大活动网络安保技术支持单位”,得到了中央网信办、公安部、工信部等国家政府部门的高度认可。迄今已成功为电力、轨道交通、石油石化、军工、烟草、市政、智能制造、冶金等国家重要行业1000多家工业企业提供了全面有效的安全保障。

威努特始终以“专注工控,捍卫安全”为使命,致力于为我国关键信息基础设施网络空间安全保驾护航!

案例精选丨贵州某电力企业监管与预警平台示范先行
案例精选丨贵州某电力企业监管与预警平台示范先行
案例精选丨贵州某电力企业监管与预警平台示范先行
案例精选丨贵州某电力企业监管与预警平台示范先行
案例精选丨贵州某电力企业监管与预警平台示范先行

案例精选丨贵州某电力企业监管与预警平台示范先行

渠道合作咨询   张先生 18201311186

稿件合作   微信:shushu12121

本文始发于微信公众号(威努特工控安全):案例精选丨贵州某电力企业监管与预警平台示范先行

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: