中电国际某电厂管理信息大区网络安全防护系统建设

项目背景

随着网络空间安全形势的不断恶化,电力、石油等国家关键信息基础设施网络安全威胁和风险日益多样化、复杂化、泛在化。目前,中电国际某电厂原有网络安全防护系统不满足等级保护2.0及“关基”安全保护条例的相关要求,需要建设一套稳定、先进、高效、可靠的生产网络安全防护系统,以提升电厂管理信息大区网络监管水平和综合防御能力。本防护系统的建设坚持积极防御、纵深防御的主要思想,使电厂整体网络安全防护体系满足等保2.0的相关要求,同时有效提升电厂的综合网络安全保障能力。

解决方案

解决方案在设计中充分考虑现行国家网络安全、数据安全相关法律法规、标准及电力行业标准规范,严格执行《GB/T22239-2019 网络安全等级保护基本要求》、《关键信息基础设施安全保护条例》中相关规定,满足电力行业“安全分区、网络专用、横向隔离、纵向认证、综合防护”的二十字方针要求。
将信息管理大区原有网络中已部署的入侵检测系统、漏洞扫描系统设备进行更换。同时在信息管理大区网络中部署入侵防御系统、下一代防火墙。基于安全策略对边界的网络流量进行管控,识别并限制非法内联、非法外联等行为,保护内网安全。在信息管理大区安装无线认证系统,集多方认证于一体,简化用户登录操作流程,提高用户办公效率。
在服务器上部署恶意代码防护系统,通过安全策略配置和白名单技术可对各种恶意行为、特种病毒木马威胁等进行实时的监测、告警和清除,在整个防护周期中利用强大的日志审阅功能实现恶意行为、违规行为从运行到处理的可见性。

项目价值

健全组织结构,明确安全责任

在等保2.0及“关基”安全保护条例相关规定的指引下,进行工业网络的纵深防御体系建设。在建设综合安全防御技术体系的同时,健全企业的安全运营体系。协助企业健全网络安全和信息化领导机构,制定系列网络安全制度规范,全面提高企业网络安全整体保障能力。

降低事件概率,提升运营效率

在保障安全防护的基础上,持续优化现有技术体系,减少病毒入侵的可能性,降低安全事件发生概率;持续开展定期网络安全检查及演练,增强应急预案的针对性有效性;强化事后监督和管控,增强事件追溯能力,提升经济效益和社会效益。

满足合规要求,奠定发展基础

项目设计参照国家等级保护相关规范要求,项目实施后完全满足了电力行业等级保护的技防要求,结合电厂安全管理体系,“技防”配合“人防”进一步强化国家等级保护制度对电力企业管理信息大区网络安全合规性要求,为电厂整体网络安全保障能力的提升奠定坚实基础。