杉树岭针对发电企业工控系统网络安全的设计思路充分考虑到电厂工业控制系统的业务连续性和工业特性,并且结合国家发改委的14号令《电力监控系统安全防护规定》、国家能源局发布《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》(国能安全〔2015〕36号)及其附件,和工信部的《工业控制系统信息安全防护指南》,以及各电力企业针对电厂工业控制系统的相关技术要求,形成如下安全解决方案:
1.边界安全防护
在工控网络同厂级SIS网络间部署工业防火墙,实现工控网络边界隔离,识别工控网络中已知的安全威胁,根据火电行业相关工艺定义白名单安全策略,对工控网络中的网络通信行为进行细粒度的控制,防止外部网络向工控网络传输基于工控协议的各类攻击,保证通路可靠。
2.网络安全审计
在生产网络各核心交换机处旁路部署工业网络监测审计系统,对火电厂工业控制网络全网数据流量进行协议级审计,产品采用细粒度检测技术,协议分析技术,误用检测技术,协议异常检测,可有效检测各种攻击和欺骗实时监控控制网络安全,发现异常行为及病毒木马,实现网络安全审计及入侵检测。
3.主机安全防护
在工业控制网络上位机上安装部署杉岭卫士安全防护产品,开启主机白名单安全防护,能使工控网络中的上位机、服务器等抵御木马、工控病毒等恶意程序的攻击。工控精灵能够防护火电厂信息系统中的各种服务器及HMI等终端的主机安全。
4.安全风险评估
在火电企业工控网络中部署安全检查平台,可定期对工控网络环境实现静态扫描,感知企业工控网络安全状况,为企业制定各种安全政策提供技术、管理依据。
5.统一安全管理
部署工控网络安全管理平台,统一管控所有工控网络安全设备与安全防护手段,可对相关安全产品实现统一管理、统一策略下发、版本更新等。将系统的工控网络安全现状实时、全面地进行监控。
