快手个人评论点赞业务 -快手点赞粉丝超级低价自助业务 - 免费抖音在线平台

客服   拼多多砍价dy抖音ks快手 自助商城点击进入

1

前言

近期国家能源局发布了《电力行业网络安全等级保护管理办法》、《电力行业网络安全管理办法》、《电力二次系统安全管理若干规定》等电力行业的规章制度，木链科技秉承其工控安全企业的社会责任，积极提升发电厂电力监控系统的网络安全防护能力，抵御黑客及恶意代码等对发电厂监控系统发起的恶意破坏和攻击，以及其它非法操作，防止发电厂电力监控系统瘫痪和失控，和由此导致的发电厂一次系统事故和其他事故，进而整理编制本方案，推进电厂电力监控系统安全防护体系的建设和完善。

适用范围：火电厂、水电厂、核电站、风电场、光伏电站、燃机电厂、储能等各种类型电厂。

2

安全防护框架

图 多维栅格状安全防护体系结构

结合当前电力行业的政令法规，依托木链科技的工控安全技术积累，分别从技术防护、安全管理、应急备用三个方面建立三维一体的电力监控系统网络安全防护体系，通过加固电力专用安全防护架构，完善通用网络安全防护能力网络攻防技术 下载，应用前沿网络安全防护技术，铸就健全的电力行业网络安全防护免疫体系。

3

电力专用安全防护

3.1 安全分区

按照《电力监控系统安全防护规定》，将发电厂基于计算机及网络技术的业务系统划分为生产控制大区和管理信息大区，并根据业务系统的重要性和对一次系统的影响程度将生产控制大区划分为控制区（安全区I）及非控制区（安全区II），重点保护生产控制以及直接影响电力生产(机组运行)的系统。

3.2 网络专用

电力调度数据网是与生产控制大区相连接的专用网络，承载电力实时控制、在线生产交易等业务。发电厂端的电力调度数据网应当在专用通道上使用独立的网络设备组网，在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离。发电厂端的电力调度数据网应当划分为逻辑隔离的实时子网和非实时子网，分别连接控制区和非控制区。

3.3 横向隔离

横向隔离是电力监控系统安全防护体系的横向防线。采用不同强度的安全设备隔离各安全区，在生产控制大区与管理信息大区之间必须部署经国家指定部门检测认证的电力专用横向单向安全隔离装置，隔离强度应当接近或达到物理隔离。生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、安全可靠硬件防火墙或者相当功能的设施，实现逻辑隔离。防火墙的功能、性能、电磁兼容性必须经过国家相关部门的认证和测试。

3.4 纵向认证

纵向加密认证是电力监控系统安全防护体系的纵向防线。发电厂生产控制大区与调度数据网的纵向连接处设置经过国家指定部门检测认证的电力专用纵向加密认证装置，实现双向身份认证、数据加密和访问控制。

4

通用安全防护

4.1 入侵检测

生产控制大区可以统一部署一套网络行为工控入侵检测系统网络攻防技术 下载，合理设置检测规则，检测发现隐藏于流经网络边界正常信息流中的入侵行为、分析潜在威胁、进行安全审计。

4.2 主机与网络设备加固

发电厂厂级信息监控系统等关键应用系统的主服务器，以及网络边界处的通信网关机、Web服务器等，使用安全加固的操作系统。加固方式包括：安全配置、安全补丁、采用专用软件强化操作系统访问控制能力以及配置安全的应用程序，其中配置的更改和补丁的安装应当经过测试。

非控制区的网络设备与安全设备应当进行身份鉴别、访问权限控制、会话控制等安全配置加固。可以应用数字证书，在网络设备和安全设备实现支持HTTPS的纵向安全Web服务，能够对浏览器客户端访问进行身份认证及加密传输。

应对外部存储器、打印机等外设的使用进行严格管理。生产控制大区中除安全接入区外，禁止选用具有无线通信功能的设备。管理信息大区业务系统使用无线网络传输业务信息时，具备接入认证、加密等安全机制。

4.3 应用安全控制

发电厂厂级信息监控系统等业务系统逐步采用用户数字证书技术，对用户登录应用系统、访问系统资源等操作进行身份认证，提供登录失败处理功能，根据身份与权限进行访问控制，并且对操作行为进行安全审计。

对于发电厂内部远程访问业务系统的情况，应当进行会话控制，并采用会话认证、加密与抗抵赖等安全机制。

4.4 安全审计

生产控制大区的监控系统部署工控安全审计功能，对操作系统、数据库、业务应用的重要操作进行记录、分析，及时发现各种违规行为以及病毒和黑客的攻击行为。对于远程用户登录到本地系统中的操作行为，应该进行严格的安全审计。

应用安全审计功能，对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行集中收集、自动分析。

4.5 备用与容灾

定期对关键业务的数据进行备份，实现历史归档数据的异地保存。关键主机设备、网络设备或关键部件应当进行相应的冗余配置。控制区的业务应当采用冗余方式。

4.6 恶意代码防范

及时更新特征码，查看查杀记录。恶意代码更新文件的安装应当经过测试。禁止生产控制大区与管理信息大区共用一套防恶意代码管理服务器。

4.7 设备选型及漏洞整改

发电厂电力监控系统在设备选型及配置时，禁止选用未经国家相关管理部门检测认定并经国家能源局通报存在漏洞和风险的系统及设备（如PLC、工业交换机等关键设备）；对于已经投入运行的系统及设备，应当按照国家能源局及其派出机构的要求及时进行改造，同时应当加强相关系统及设备的运行管理和安全防护措施。

5

特色安全防护

5.1 安全运营中心

建立安全运营中心，整合该公司当前资产，充分收集各类安全相关数据，通过大范围和深度地广泛检查，尽可能发现相关安全问题。并以多种安全问题管理为目标、以数据为核心、威胁情报为特色、打通安全防护中的检测、响应、预警、防御多个领域环节的完整安全体系。

图 安全运营中心典型拓扑示意图

5.2 电力监控系统内网监视系统

对电厂内部的网络设备、安全设备、主机类设备通过设备自身感知和网络行为分析，实现全面的网络安全事件监视和网络行为态势感知。

图 网络攻击行为分析图

5.3 电力靶场模拟演练

构建靶场平台高仿真场景，通过虚实互联技术虚拟网络场景中各类资源与现场工控环境设备相连，实现场景现实化延申，开展攻防技术演练。结合电力行业法规政策和行业技术动态，模拟现实环境深层次完成网络安全技术训练，让相关人员通过实战的方式学习最前沿的网络安全技术，提升专业技术水平。

图 实验室效果展示

5.4 电力物联网设备内生安全检测平台

电力物联网设备内生安全检测平台是由木链科技自主研发的集“漏洞检测、漏洞挖掘、仿真测试、协议分析”为一体的设备安全检验平台，通过模糊测试、仿真分析等技术，以高效率、高准确度检测、挖掘设备潜在漏洞。

图 电力行业应用场景

6

示例

6.1 火电厂解决方案

图 火电厂安全防护图

严格遵循电力行业16字方针“安全分区，网络专用，横向隔离，纵向认证“建设电力监控系统安全防护的标准框架，结合通用安全产品实现主机加固、入侵检测、安全审计、恶意代码防范等常规网络安全防护，通过综合性的平台产品对电力监控监控系统的主机、网络和业务进行监控。最终铸就以电力监控系统标准防护框架为基石，以网络安全防护技术为城墙，以安全监视平台为守军的金城汤池，保障电力监控系统的安全稳定运行。返回搜狐，查看更多