电力行业是我国重要的关键基础设施,关乎国计民生,其中发电厂电力监控系统是最核心和重要的系统之一。在满足“安全分区、网络专用、横向隔离、纵向认证”基本原则的基础上,结合国家信息安全等级保护工作的相关要求,对电力监控系统的综合安全防护建设工作仍需持续加强。
●
建设目标:完善电力监控系统网络安全防护体系,符合等级保护三级要求 ;
●
核心理念:工控网络“白名单”;
●
体系架构:基于“一个中心,三重防护” 的 “纵深防御安全防护技术体系”。
●
安全区域边界:在生产控制大区中各重要业务系统(DCS系统)内部区域边界部署工业防火墙,实现区域间的逻辑隔离和网络威胁防护,保证电力监控系统区域边界安全;
●
安全通信网络:在生产控制大区网络关键节点部署工控安全监控与审计系统和网络威胁感知系统,对网络中的实时流量进行监测,及时发现网络攻击、异常操作等行为,特别是新型网络攻击行为,并告警通知安全管理员;
● 安全计算环境:在电力监控系统中工程师站、操作员站、服务器和接口机上安装工控主机卫士软件,开启程序白名单、外设管控、安全基线及访问控制等功能, 实现阻拦病毒、木马等恶意程序的运行、主机安全加固和移动介质管控等安全需求;
●
安全管理中心:在生产控制大区部署统一安全管理平台和安全运维管理系统,实现安全设备进行集中管控,并对日志数据、告警数据等进行集中分析,同时对不同权限账户进行身份鉴别及权限管理,保证电力监控系统管理安全;同时配置工控漏洞扫描系统,定期对电力监控系统进行漏扫扫描,及时发现电力监控系统中的网络安全漏洞。