天地和兴|电力监控系统信息安全解决方案
发布时间:
2016-07-11
来源:
作者:
访问量:
74
随着信息化和工业化的不断融合,电力监控系统发生了巨大的变化,不同类型的工业产品和通讯协议,在交换机和工控机处交汇和互联,孤立的系统和车间被连接成一体。这种技术体系的开放性和网络的互联性为基于网络的安全攻击打来了方便之门,使电力工控系统面临着人为、非人为的威胁。
【安全分析】
1、中央控制网络与各控制子站网络相连,存在来自上层网络的安全威胁
2、系统缺乏监控手段,无法感知未知设备、非法应用和软件的入侵
3、系统缺乏对用户操作行为的监控和审计
4、控制系统缺乏分区保护,容易受到信息网络和相邻系统的安全影响
5、信息网采集监控网数据时无安全保障,可能携带病毒木马等入侵至监控网;
6、SIS系统与EMS系统之间直接相连进行 数据通信,未进行隔离保护措施;
7、未对服务器进行保护,一旦病毒源通过U盘、移动电脑等进入服务器,便轻松获取生产监控数据;
8、 网络中无审计措施,出现问题无法查找来源;
【解决方案】
1、在各辅控网络子系统交换机与该子系统的每一台操作员站之间部署工业防火墙,保护每个子系统免受攻击和病毒感染,若一台操作员站受感染不会传给另外的站,每个子系统还可以运行。利用“白名单”防护机制和实时报警实现主动防御来自上层信息网络的攻击,控制ARP攻击,网络异常流量以及网络广播对控制网络造成的影响。
2、在集中监控室的工程师站与辅控网络核心交换机之间部署工业防火墙,阻止具有高级控制权限的工程师站免于网络内的病毒感染和攻击,阻止始于高频繁人机交互的工程师站的病毒传播至辅控网络内。
3、在集中监控室的操作员站,数据冗余服务器,各设备间的操作员站上部署主机防护软件,对Windows XP系统停服后操作员的系统漏洞进行防护,在系统级对USB传输介质进行识别和管控,依赖可信计算技术对操作员站等PC终端进行主机加固和防护。
4、在辅控网络部署集中的安全管理平台,以集中安全管理平台组成的服务器将实时对网络内的工业防火墙和主机防护系统进行管理和监控,及时发现潜在的威胁风险点,及时查找网络中的故障点,并为系统的安全防护机制和改进措施提供依据。
【典型配置】
【客户价值】
1、全盘扫描:此过程中会扫描到本地磁盘所有的可执行文件(PE格式的文件),且对每个文件生成数字签名,之后根据所有PE文件的数字签名创建“白名单”数据库。
2、白名单运行控制:监控系统运行情况,只允许运行白名单中的程序、脚本和插件。恶意软件、病毒、未授权安装的软件等都被阻止运行,软件的变动都被记录和追溯。
3、业务软件行为分析及控制:主机防护已经配置的核心工作软件的运行监控,实现软件审计功能。
4、操作系统完整性监控:发现工作站操作系统完整性被破坏时进行告警,防止操作系统被篡改和植入后门。
5、进程内存空间保护:保护运行进程的内存空间的完整性,防止缓冲区溢出等攻击。
6、注册表保护:监控和报告操作系统关键注册表项的更改。
7、移动存储设备控制:只有经过认证的特定USB设备才可以在特定的主机上运行,根据策略执行是否允许所有或特定移动存储设备操作(如只允许USB键鼠设备运行),可细分为允许读、允许写、允许读写;可配置禁止USB存储设备自动执行,防止恶意程序利用漏洞自动运行。
8、自身安全性保护:防止非法卸载、停止本软件的应用程序、服务及驱动,并对执行此类操作的行为进行记录、告警。
相关资讯
