-
按照某集团牵头的电力重要信息系统网络安全保障示范工程任务指导,同时参考等保2.0以及国能安全〔2015〕36号文和国家发展改革委第14号令等相关标准要求,本次拟在企业集控中心侧建设生产控制系统信息安全监管与预警平台,构建信息安全监管与预警体系。
-
企业集控中心在生产控制大区分为安全I区和安全II区,I区含计算机监控系统,II区含水调自动化系统、电能量采集与分析系统等业务系统。企业已按照“安全分区、网络专用、横向隔离、纵向认证”十六字方针完成安全建设,满足网络安全通信的基本要求。
-
目前企业生产控制大区缺少流量检测、日志审计等有效手段,无法实现对生产控制大区内网络异常行为的监测和预警。缺乏网络体系纵深防御和主动防御的能力,无法实现对网络安全设备进行统一管理和协同联动的机制。随着企业面临的安全威胁日益增多,迫切需要在不影响生产业务正常运行的前提下,完善企业生产控制系统信息安全体系框架。
-
资产管理不全面,安全隐患严重
-
综合防护不到位,安全能力薄弱
-
预警能力缺失大,安全态势不可控
-
自主安全运维不足,外部风险不可控
-
移动存储介质管控不足,内部风险未掌握
-
实现网络安全态势从未知到已知
-
实现网络安全防御从被动到主动
-
实现从单一设备防护到协同联动
-
实现网络从边界防护到纵深防御
-
贵州某电力公司生产控制系统信息安全监管与预警平台严格遵守“安全分区、网络专用、横向隔离、纵向认证”的总体防护原则,结合等保2.0相关标准明确了重点强化边界防护和态势感知建设,整体方案设计思路如下:
-
整体平台单独组网,满足生产控制大区逻辑隔离,生产控制大区与管理信息大区跨区数据传输使用隔离设备等要求,同时在不影响公司集控中心原有网络架构、不占用原有带宽的前提下进行平台部署。
-
生产控制大区I区与II区使用边界防护设备进行逻辑隔离,生产控制大区与管理信息大区使用正向隔离装置确保数据的单向传输,I区、II区分别在核心和各系统内根据业务环境部署数据探针,分别从区域边界、通信网络、计算环境进行信息采集,确保信息收集的广度和深度。
-
生产控制大区I区部署工业防火墙、工控安全监测与审计系统、工控主机卫士、日志审计与分析系统、安全运维管理平台、高级威胁检测系统,统一将信息汇聚至I区统一安全管理平台,由管理平台将信息汇聚后发送至管理信息大区工业态势感知平台。
-
生产控制大区II区部署工控安全监测与审计系统、工控主机卫士、日志审计与分析系统、安全配置核查系统、安全运维管理平台、工控漏洞扫描平台,统一将信息汇聚至II区统一安全管理平台,通过正向隔离装置统一发送至管理信息大区工业态势感知平台进行统一分析和展示。
-
在生产控制大区和管理信息大区复用已有调度数据网通信链路与下属9个水电站的网络安全态势感知采集装置进行数据收集,最终汇聚到工业安全态势感知平台进行统一关联分析和展示。
-
根据国家相应政策要求,组网采用业务带内管理带外方式,将安全通信网络、区域边界和计算环境三个层面的数据,在I区和II区分别通过电力专用正向隔离装置汇聚到工业态势感知平台进行分析、处理和展示,进而实现集控中心+下属电站生产控制系统网络安全态势可感知,最终构建完成生产控制系统信息安全监管与预警平台。
◇《中华人民共和国网络安全法》
◇GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》
◇GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》
◇《电力监控系统安全防护规定》(国家发展和改革委〔2014〕第14号令)
◇《国家能源局关于加强电力行业网络安全工作的指导意见》(国能发安全〔2018〕72号)
◇《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》(国能安全〔2015〕36号)
◇《电力行业信息系统安全等级保护基本要求》(电监信息〔2012〕62号)
-
实现生产控制系统网络安全从边界防护到纵深防御、从被动防护到主动防御、从单一设备防护到协同联动的能力提升,工业态势感知平台应用于生产控制系统信息安全监管与预警,其基于业务的安全展示能力,能够从单纯的网络安全监测提升到业务安全监测,实现安全风险可预警、安全能力可视化,提供从综合、资产、脆弱性、威胁、事件等维度进行可视化展示的能力。
-
实现网络安全系统的集中管控,通过日志审计、告警监视等技术弥补人工管理上的不足,提高并规范集控中心对自身及下属电站生产控制系统网络安全管理,实现集控中心到下属电站生产控制系统常态化、体系化的网络安全态势感知,做到知己、知彼、知未来,构筑精准防护和联防联控的网络安全综合防控系统。
-
满足电力重要信息系统网络安全保障示范工程任务要求,同时符合等级保护2.0和国能安全〔2015〕36号文等相关标准。帮助用户完善企业生产控制系统信息安全体系框架,形成对生产控制大区系统的监测、预警、审计和防护的闭环安全体系,最终构建电力栅格状立体纵深防线,实现企业生产控制系统网络安全的纵深防御、综合防护。
-
打造电力重要信息系统网络安全保障示范工程,健全企业网络安全管理运营体系,提高预警检测和防护能力,实现网络安全核心技术装备安全可控,杜绝重大灾难性事件发生,在某集团业务范围内起到标杆示范作用。
北京威努特技术有限公司(以下简称“威努特”), 是国内工控网络安全领军企业、全球六家荣获国际自动化协会安全合规学会ISASecure CRT Tool认证企业之一和亚太地区唯一国际自动化学会(ISA)全球网络安全联盟(GCA)创始成员。
威努特作为国家高新技术企业,以创新的“白环境”整体解决方案为核心,自主研发了全系列工控网络安全专用产品,拥有64项发明专利、64项软件著作权、70项原创漏洞证明等核心知识产权。积极牵头和参与工控网络安全领域国家、行业标准制定,受邀出色完成新中国70周年庆典、中共十九大、两会等重大活动的网络安保任务,被授予“国家重大活动网络安保技术支持单位”,得到了中央网信办、公安部、工信部等国家政府部门的高度认可。迄今已成功为电力、轨道交通、石油石化、军工、烟草、市政、智能制造、冶金等国家重要行业1000多家工业企业提供了全面有效的安全保障。
威努特始终以“专注工控,捍卫安全”为使命,致力于为我国关键信息基础设施网络空间安全保驾护航!
渠道合作咨询 张先生 18201311186
稿件合作 微信:shushu12121
本文始发于微信公众号(威努特工控安全):案例精选丨贵州某电力企业监管与预警平台示范先行
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论