2022火力发电行业工控网络安全解决方案.docx

典型工控网络安全事件火电行业工业控制系统火电行业工控网络的安全威胁火电行业工控安全解决方案近年来，在各行业工控系统领域频发的信息安全事件表明，一直以来被认为相对封闭、相对专业和相对安全的工业控制系统已成为黑客、不法组织，甚至是网络战的攻击目标。龙泉、政平、鹅城换流站控制系统发现病毒，系为外国工程师在系统调试中使用工作笔记本电脑上网所致。黑客入侵并劫持了南美洲某国的电网控制系统，敲诈该国政府,在遭到拒绝后，攻击了电力传输系统，导致长时间的电力中断。“毒区”病毒蔓延，主要收集伊朗工业控制系统的系统数据。“火焰”病毒蔓延，主要收集伊朗石油部门的商业情况。200320082012在美国国土安全局的一次内部会议中，展示了通过计算机实施黑客攻击导致物理设备毁坏的实例，在展示中一台发电机组在其控制系统遭到攻击后完全物理毁坏。"HaveXw病毒爆发，导致多家能源企业单位被感染，信息泄露。在“震网”病毒攻击了伊朗布什尔核电站，攻击锁定了采用西门子工控系统的伊朗核浓缩离心机厂，造成相关设备非正常运转，直接破坏了纳坦兹浓缩铀工厂的近千台离心机，导致核电站延期启动，对伊朗国家核计划造成重大影响。各行业工控网络安全事件发生频率数据来源于ICS-CERT和OSVDB工控网络安全数据库2013年35030025020015010050工控网络安全事件频率重大工控网络安全事件数据统计自2009年以来中国网络遭受黑客攻击增长15倍以上30%是针对国家基础设施,全球工业控制网络安全事故数量逐年大幅2000年2005年2010年典型工控网络安全事件火电行业工业控制系统火电行业工控网络的安全威胁火电行业工控安全解决方案电厂工艺流程图冷凝塔:火电行业-基本控制过程输煤程控系统、循环水系统、燃烧系统、风控系统、汽包水位控制系统、发电机控制系统等C。C把汽轮机冷凝水除氧水泵：纯净水防腐锅炉管道.作功后的循环水泵凝集器泵加热器全厂CCR辅助车间远程IO站1.l本地监控层,1.2集中监控层1.3厂级SlS火电控制网络拓扑结构是完成控制的底层网络架构。一般分为远程IO站、辅助车间、主厂房。该层网络完成控制生产过程的功能，主要由工业控制器，数据采集卡件，以及各种过程控制输入输出仪表组成。也包括现场所有的系统间通讯。可以本地实现连续控制调节和顺序控制，设备检测和系统测试与自诊断，进行过程数据采集，信号转换，协议转换等功能。即集控室CCR,DCS管理层网络通过3层交换机汇聚各分区1.AN。设置全局工程师站可以对分区内所有装置的组态进行维护，查看网络内各装置的监控画面、趋势和报警。1.3层设置的中心OPC服务器，可以实现对各装置实时数据的采集。火电厂厂级监控信息系统是为火电厂建立全厂生产过程实时和历史数据平台、为全厂生产过程提供综合优化服务、实现生产过程实时管理和监控的信息系统。供应商销售盗(自万兀)所占壬场分额ABB33020Siemens220134%Hollysys17510.6%Zhishen1509.1%GEXinhua1408.5%Irwensys905.5%Emerson704.3%其它47028.6%1645100.0%数据来源:米尔自动化网()典型工控网络安全事件火电行业工业控制系统火电行业工控网络的安全威胁火电行业工控安全解决方案敌对政府、恐怖组织、外部非法入侵者÷职业黑客高级持续威胁（APT）外部威胁÷安全策略和实施存在缺陷TCP/IP安全问题÷系统终端平台安全防护弱点用户权限控制÷系统配置和软件安全漏洞网络安全边界防护工控协议安全问题内部非法人员÷私有协议的安全问题以及隐藏的后门和未知漏洞人为因素:人为事故、操作失误随着信息技术在火电行业经营管理中的广泛应用，工业网络安全问题越来越显得重要。火电行业控制系统网络安全问题关系到行业的安全、稳定、经济、优质的运行，影响着火电行业信息化的实现进程，对保障生产安全有重要意义。直接后果经济损失直接经济损失连锁反应带来的更大经济损失传统的信息安全手段无法保护工控网络大7鬻酸簿2义I系统稳定性要求高系统运行环境不同大至的工控系纨采用私有协I乂网络安全造成误报等同于攻击工控运行系统环境相对落后工控网络区别于互联网和办公网的特点更新代价高I对网络延时要求高无法像办公网或互联网那样通过补丁来解决安全问题I不同于互联网对带宽速度的要求工控网络的特点决定了基于办公网和互联网设计的信息安全防护手段（如防火墙、病毒查杀等）无法有效地保护工控网络的安全典型工控网络安全事件火电行业工业控制系统火电行业工控网络的安全威胁火电行业工控安全解决方案 安全覆盖火电行业工控系统整个生命周期解决方案； 通过全面手段全方位提高火电行业工控系统的整体安全性; 源自工控系统内部，并非外部补偿性措施；全局网络监控站全局工程师站全局操作员站1.eVell安全加固包含上位机安全防护（工控卫士）及威胁管理舟奂机 实时风险评估，漏洞分析，安全性分析，以便正确、及时的了解目前工控系统的安全现状； 根据风险评估的情况，列出不符合安全要求的环节，明晰该环节的风险，为现阶段操作维护及后期进行整改、修补工作提供依据，以使系统更安全、稳定的运行。 平台建立后，客户可根据现场网络拓扑调整，安全策略等变动对工控系统网络再一次评估。尽量实现工控网络安全自主可控。 形成风险评估结果形成风险评估报告。专业专业针对工业控制主机的防护需求专业防护网络病毒与工控病毒（如震网病毒、HaVeX病毒等）专业防护最新攻击手段（如2014年新出现的BadUSB攻击等）全面提供从工控上位机到工控服务器的全面防护监控进程运行状态，阻止不明进程启动监控网络端口、网络流量监控USB口使用，防止U盘攻击.易用支持服务器的统一管理，易于管理和大规模部署支持白名单导入导出，易于定制化数秒内扫描主机状态，易于建立白名单操作简单快捷，易于用户理解#1锅炉#21曷炉DCS腼网#上气机DCS控制网Il#1/#2锅炉/#1汽机设备间1工版站.l扪a，61工程师站l#1汽机控制站×3工程师站l1.eVeI2安全加固主要为针对工业控制系统内可能受到攻击的区域设置专业监测审计设备。掷肖SVO脱硝远程I/O空令岛Sgio监控审计 可视化网络拓扑：提供直观清晰的网络拓扑图并集成网络告警信息，是用户在了解网络拓扑的同时获知网络告警分布，轻松掌握网络状况。 实时网络监控.对网海流量匾各数据、事件进行实时监控、实时告警，帮助用户实时掌握工控网络运行状况。 网络安全审计.对网第1中存在的所有活动提供行为审计、内容审计，生成完整记录便于事件追溯。建立针对工控网络协议黑名单与白名单，提供实时报警功能。 防御策略建议：根据监控结果，提供防御策略建议，帮助用户构建适用的专属工控网络安全防御体系。1.eVel3安全加固主要包括数采保护和设备保护（或区域保护）两大部分魏肖脱硝远程1/。空冷岛智能保护 针对工控系统网络协议的深度包解析，建立数据包与网络行为的对应关系。 建立针对工业控制系统网络的黑名单与白名单机制，可针对网络上危险的数据包根据级别进行报警，阻断等操作； 针对工业控制系统的水坑攻击，中间人攻击，拒绝服务攻击等可以进行全方位的防护； 符合火电行业的相关要求，与工业控制系统的兼容性好。数采保护 对网络边界通讯的数据进行协议检查，只允许专有协议数据通过，实现通讯可控。 对通讯数据进行深度包解析，结合智能学习引擎，对异常数据进行隔离。 在控制系统各个边界部署隔离设备，使整个系统成为一个相对独立的安全区域，阻止网络病毒在控制系统网络和外部网络之间的传播。 对网络异常的数据和行为进行实时报警，并具有事件记录功能，以便进行分析决策。目录典型工控网络安全事件风电行业工业控制系统火电行业工控网络的安全威胁火电行业工控安全解决方案提供覆盖工控系统整个生命周期的解决方案设备监测动态保护威胁监管离线威胁管理平台多种威胁评估工具工控设备漏洞验证全网防御方案建议工业等级硬件设计工业等级硬件设计自动学习网络行为自动生成防御策略一键式安全部署一安全数据库设备安全漏洞库安全服务系统风险评估设备漏洞挖掘安全渗透攻击安全防御策略安全技术培训自动学习网络行为自动生成告警报告全网安全监控审计网络结构模型库设备风险统计库覆盖主流生厂商行业定制产品和服务跨行业开放平台基础部件r行业定制产品（如火电、石化、轨道交通、冶金等）系统检测平台平台¥监控审计T安全大数据平全网保护平台安全服务（如风脸评估、漏洞挖掘、培训等）女全数据中心（安全数据收集、发布、安全策制定等）安全数据库工业化硬件安全芯片解决方案产品形态五类产品五项服务网络威胁监管平台设备漏洞挖掘平台全网监控审计平台数据采集隔离平台智能动态保护平台威胁监管平台威胁监管平台是针对工控系统中设备、协议、结构、行为、流程等一系列元素的整体安全性而设计的威胁监管一体化平台。漏洞挖掘平台全网监控审计平台全网监控审计平台是一款针对工控系统设计的实时告警系统，此平台可以快速识别出系统中的非法操作、异常事件以及外部攻击并发出告警，是一款外挂的监控审计平台办公网其他用户口全网检测审计可视化网络拓扑机器学习MesIK将器外挂设备全网监控审计平台P1.CP1.C1P1.C2P1.C3管理以太网工业以太网防御策略建议工程酊工作站网珞缰护站搽作站I*11r52监控审计终端智能保护平台智能保护平台是一款集合多种智能引擎、并针对工控系统而设计的防御系统平台，此平台可以通过各种方法快速识别出系统中的非法操作、异常行为以及外部攻击，在第一时间执行告警和阻断办公网MESIH狗器其他用户口边界保护系统针对边界保护设计的系统，系统将会布置在工控系统的边界主要防御来自工控网外的威胁区域保护系统针对区域保护设计的系统，系统将会布置在工控系统内部区域边界防御来自工控网外以及内部其他区域的威胁终端保护系统针对保护各个终端设计的系统,系统将会布置在各个节点,防御来自外部、内部其它区域及终端的威胁管理以太网工业以太网工控以太阳交换机2工程加工作站网络埴乎站m½海作站2工控以太阳交换机IBillSlllBillBllP1.CP1.C1P1.C2P1.C3智能保护平台工控以大网交换机3数据采集隔离平台基于数据采集系统所用传输协议数采隔离平台可以实时对数采信息进行深度解析，确保数采系统的完整性和安全性其他用户其能量将88Web服务器数据采集隔离平台敢乘机精准行为控制数据深度解析数据采集隔离终端综合监测管理平台管理以太网工业以太网控期!系统I控制系蜕2控制系就2工控网络安全培训信息安全培训工控网络基础培训工控网络安全培训信息安全保障基本知识。工控网络系统知识 工控网络系统组成单元 工控P1.C逻辑编程知识 工控各系统介绍 恶意代码与安全漏洞信息网络安全攻击手段信息网络安全防护手段。信息安全管理体系工控网络协议知识工控厂商产品知识信息安全标准介绍工控网络安全事件分析工控、信息安全对比信息网络安全攻击手段信息网络安全防御手段工控网络安全标准工控网络安全厂商产品IT网络团队工控仪表团队工控系统风险评估风险评估服务是针对工控网络系统提供的一整套完整的评估服务主要功能模块/1工控网络拓扑，攻击路径分析离线掩饰系统搭建安全性分区网络行为分析补偿性措施建议系统漏洞扫描业务流程安全性分析整体评分和报告工控设备漏洞挖掘漏洞挖掘服务是针对工控设备提供的高级服务，通过对漏洞的发现、根源分析制定合理的保护方案深度漏洞根源分析专业的渗透团队防御策略建议面向企业内部的漏洞分析报告有针对性的攻击套件演示实验系统搭建通过建立工控网络系统的仿真演示环境，可以有效地帮助客户验证系统安全并为补偿性措施提供依据主要子系统目标业务系统目标业务系统是演示运营生产系统中具有代表性的子系统。目标业务系统能够与行业的实际情况接近并且是与生产系统完全分离的系统。模拟攻击系统根据演示的需要所搭建的模拟攻击系统。主要功能是模拟和演示黑客攻击,并证明攻击活动的合理性和有效性。环境仿真系统为隔离的目标业务系统提供的仿真环境。主要目的是提高演示分析的可靠性,确保仿真系统的真实性网络测试系统针对目标业务系统进行网络稳定性、安全性检测所设计的系统。主要功能是对漏洞进行初步分析，同时生成检测结果分析报告保护验证系统针对仿真系统安装的监测保护系统。在阻止渗透攻击的同时，对设备漏洞和补偿性措施进行有效验证通过安全数据业务客户可以有效地持续地确保系统的安全性网络模型库覆盖电力石化冶金烟草等行业的典型网络模型设备风险统计针对不同设备的漏洞进行统计并为全局风险分析提供可靠数据源覆盖西门子、施耐德等全球主流工控生产厂商设备设备漏洞库典型实施方案灵活可选的实施步骤典型用户1培训2风险评估3演示系统4威胁管理5监测审计6保护系统II注重演示的用户JI注重系统风险的用户：、II注重监控，不想干预现：统的用户I注重保护的用户!III注重长期安全运维的用二7安全数据