国家能源集团某电厂生产管理系统主机安全加固及综合防护

项目背景

该电厂分为两个厂区,须对新旧厂区进行统一安全管理。新厂区的核心业务系统:主控DCS系统、辅控系统、SIS系统及MIS系统的主机尚未进行主机加固和网络防护,存在主机层面的诸多安全隐患,同时旧厂区已有的安全防护系统日志缺乏统一管理和集中分析,无形之中增加了厂内安全运维人员的工作量。
为了响应《国家能源集团公司电力监控系统安全防护技术方案(试行)》的要求,本项目工程建设过程需优化网络结构并在新厂区构建一体化的工业网络安全态势感知平台。满足“安全分区、网络专用、横向隔离、纵向认证、综合防护”的二十字方针要求。

解决方案

法规依据:方案设计以网络安全等级保护制度为基础,以增强厂站安全生产运行为目标。全面覆盖厂站网络、主机终端等设备,达成统一监控和策略防护。部署的系统与产品符合网络安全法及行业相关要求(发改委2014年第14号令、国家能源局2015年第36号文)。
方案简述:严格遵循36号文二十字方针,在该电厂I/II/III区分别部署主机加固系统、日志分析系统、审计分析系统及态势感知平台,各新建区域分别部署单、双向网闸、工业防火墙等隔离设备,将电厂DCS系统、辅控系统、管理大区的主机日志进行记录汇聚,统一归集到态势感知平台进行安全策略管理与分析展示,可实时监控资产状态、网络状态和安全威胁及告警情况。同时将所有告警信息同步至协同办公平台,所有日志审计记录保留不少于6个月。

项目价值

促进企业等级保护合规建设

项目设计参照国家等级保护相关规范要求,项目实施后完全满足了电力行业等级保护的技防要求,结合电厂安全管理体系,“技防”配合“人防”进一步促进国家等级保护对工业控制系统网络安全合规性,为热电控制系统安全保驾护航。

点面结合构筑体系化防御能力

采用了工业控制系统的主机加固防护手段,构建了“点”上的安全控制的工具与方法,以全流量监控审计为特征的新一代主动防御体系,搭建了“面”上的抵御处置盾牌。点与面的结合提高了整体工控系统安全效能。项目的成功实施,将为该发电厂工业控制系统网络安全防护体系建设开创行之有效的安全建设模式,提高控制系统一体化安全防护的能力。

助力生产力和运维效率同步提升

在保障安全防护的基础上,极大提高了安全运维人员的工作效率,同时该平台实现了与场内ERP及其它业务系统无缝对接,将安全问题落实到具体责任人并实时通知,大力提升了电厂的安全生产运营能力。