其他行业
卷烟厂工控网络安全等保体系建设项目石油石化
中石油某石化分公司工控系统隐患治理石油石化
中石化某油田工控安全项目案例石油石化
中石油某石化公司工控安全项目其他行业
工业领域数据安全成功案例其他行业
企业生产安全成功案例其他行业
工业控制系统安全防护成功案例市政管网
国家管网集团某管道公司工控安全项目市政管网
西部管道局某工控网络安全项目智慧矿山
某集团有色金属开采智能化网络安全建设智慧矿山
某集团煤业三大矿工业控制网络安全市政管网
山西某天然气有限公司系统风险评估服务项目智能制造
山西某钢铁工控网络安全改造项目轨道交通
某铁路安全等保项目轨道交通
某市地铁5号线AFC系统网络安全建设项目-
▍客户背景
水电站电力监控系统是以计算机、通讯设备、测控单元为基本工具,为电厂生产的实时数据采集、开关状态检测及远程控制提供了基础平台,它可以和检测、控制设备构成任意复杂的监控系统,在电厂监控中发挥了核心作用,可以帮助企业消除孤岛、降低运作成本,提高生产效率,加快变配电过程中对调度指令的响应。
本项目水电站为一厂两站模式,共有8台机组,自投产以来非常重视调度的二次安防检查整改及等级保护安全建设,每年都进行等保三级测评并投入资金进一步的改进完善电站的防护手段,切实增强忧患意识,着力构建“大安全”格局。在满足合规性建设之后,对于优化提升方面的安全要求也越来越细致,本文将通过实际案例分享如何用定制化解决方案与安全产品满足客户安全防护设备升级的需求。
▍安全需求
【安全物理环境】监控机房和通信机房虽然部署了门禁和视频监控,但在检修或运行人员忙碌时仍存在管理漏洞,存在从窗翻越进入机房,走错间隔等风险。现有技术手段只能事后追溯,需增加机房安全监控措施,对机房出入、门窗非法翻越等情况进行实时语音报警提示。
【网络入侵防范】项目实施前电厂在调度数据网、集控网络边界部署了IDS设备满足合规要求,但场站内部的电力监控系统子系统众多、连接复杂,存在从底层非法接入导致入侵的风险,比如在某次坝区LCU检修时厂家人员违规连接手机流量连接互联网开启远程。电力监控系统的各子系统(每台水轮机机组分别配置的水机LCU、进水口远程IO、开关站LCU、厂用电LCU、公用LCU、坝区LCU)的边界流量进行更细化的检测,需要将流量监听的镜像端口下沉到现场的各个子系统,IDS设备的端口数量应足够、设备性能足够强、操作简单、运行稳定。
【安全运维管理】厂区的日常运维和厂家第三方运维均存在使用高权限账户的情况,存在高危指令的误操作风险,需增加人员对电站设备运维的认证手段。经过交流和分析,关于IT运维可利用堡垒机解决,关于现场对设备的运维不适用堡垒机的情况,设计了从机柜增加认证手段来增加安全保障。
【二次安防整改】对调度提出的整改如不及时关闭会存在调度考核的风险,需尽快对现有的纵向加密、防火墙的安全策略中不符合要求的明文、无效策略进行整改。
▍方案亮点及客户价值
1) 方案针对客户实际系统环境,定制了一台24电4光IDS设备,一台8电4光IDS设备,满足现场需求。
2) 机柜电子锁根据实地考察不同形态的机柜门结构(单开、双开、网门、玻璃门等),定制不同规格门锁。
3) 体现我司产品及方案定制化能力。▍解决方案
◆ 通过对电站进行账号管理和运维审计系统的部署,对电力监控网络中的异常及非法访问进行审计和拦截,对威胁行为和非法访问有的放矢。
◆ 进出入声光报警设备的部署,对机房进出入、门窗非法翻越等情况进行报警提示,及时提示相关人员对机房进行检查。
◆ 服务器和网络设备柜安全锁的部署,对重要服务器及网络设备进行人员认证过程,进一步提高安全防护等级。
◆ 对电站监控和通信网络相关设备策略进行检查和整改,其中包括二次安防设备(纵向加密装置、防火墙、隔离装置)、网络安全防护设备(入侵检测、安全审计、网络安全态势感知设备)等,针对无加密技术的明文策略,无效冗余策略等此类危险无效的策略进行删除整改,对VPN实施双因子认证,进一步提高二次安防设备及网络安全防护设备策略的安全性和规范性。
◆ 将所有网络边界接入入侵检测系统,用于系统监测。
-
关键词:
- 防护
- 设备
- 安全
- 监控
- 进行
- 系统
- 整改
- 机房
- 策略
- lcu
上一条:
