1 - 活动 - 控制网.pptVIP

生产控制区——系统间隔离 36号文要求（章节4.1.3） 发电厂内同属安全区Ⅰ的各机组监控系统之间、 · · · · · ·根据需要可以采取一定强度的逻辑访问控制措施，如防火墙、VLAN等· · · · · · 解决方案 在包含主控、辅控的所有业务系统之间部署工控防火墙，智能学习工控操作指令和参数建立网络和通讯“白环境”。 安全收益 阻止来自区域之间的越权访问，病毒、蠕虫恶意软件扩散和入侵攻击，实现横向逻辑隔离，将危险源控制在区域内。 生产控制区——纵向认证 36号文要求（章节4.2） 发电厂生产控制大区与调度端系统通过电力调度数据网进行远程通信时，应当采用认证、加密、访问控制等技术措施· · · · · · 解决方案 位于电力控制系统的内部局域网与电力调度数据网络路由之间，提供上下级系统之间提供认证与加密服务。 纵向加密 认证装置 纵向加密 认证装置 安全收益 为本地安全区Ⅰ/Ⅱ提供一个网络屏障，实现数据传输的机密性、完整性保护。 图要改 36号文要求（章节4.3） 如控制区系统与环保、安全等政府部门交互· · · · · ·其边界应采用生产控制大区和管理信息大区之间的安全防护措施。 解决方案 在控制区的网络边界放置单向隔离装置，利用单向隔离装置实现生产控制网数据单向流入。 生产控制区——第三方边界防护 安全收益 安全环保等政府机构，而这些第三方机构不能通过单向隔离装置向生产控制网发送数据 综合安全防护——入侵检测 安全监测与审计 36号文要求（章节5.1） 生产控制大区可以统一部署一套网络入侵检测系统，检测发现· · · · · · 入侵行为，分析潜在威胁并审计。 解决方案 在生产控制区边界处旁路部署工控入侵检测设备，实时监控各种数据报文及来自网络外部或内部的多种攻击行为。 安全收益 帮助用户在第一时间发现相关的威胁，并及时采取行动遏制恶意行为的破坏 综合安全防护——主机与网络设备加固 36号文要求（章节5.2） 发电厂SIS系统· · · · · ·Web服务器等应当使用安全加固的操作系统。加固方式包括：安全配置、安全补丁、采用专业的软件强化操作系统访问控制功能。 解决方案 在上位机及非控制区的服务器上安装操作系统加固的软件，根据策略要求对计算机安全配置等信息进行监控、管理。 终端加固系统 安全收益 实现配置核查，安全基线配置、安全补丁等安全管理和安全运维。对非控制区的设备和应用系统可以逐步采用多因子认证，最终引入PKI技术。 综合安全防护——应用安全控制 36号文要求（章节5.3） 发电厂SIS系统应当逐步采用数据证书技术，对用户登录应用系统、访问系统资源等操作进行身份认证，提供登录失败处理功能· · · · · ·并对操作系统为进行安全审计。 解决方案 逐步在非控制网内部署CA系统，实现对用户的身份鉴别，应用访问控制。 CA RA 安全收益 根据用户角色与权限进行访问控制。并对操作审计，同时如存在远程访问，应强制采用会话加密、抗抵赖安全措施。 综合安全防护——安全审计 监测与审计系统 （统一安全管理平台） 36号文要求（章节5.4） 生产控制大区的监控系统应当具备安全审计功能，能够对数据库、操作系统、业务应用的重要操作进行记录、分析及时发现各种违规行为及病毒和黑客的攻击行为，对远程登陆应当严格审计。 解决方案 在区域和边界旁路部署监测与审计的网络探针，收集全网工控设备、系统状态，向监测与审计系统集中汇报。 安全收益 统一收集网络日志，通过建模分析当前网络安全状态，为管理员提供可视化的设备状态、异常波动、告警信息等。 网络堡垒机 运维人员 厂商人员 第三方 36号文要求（章节5.4） 生产控制大区· · · · · ·能够对数据库、操作系统、业务应用的重要操作进行记录、分析及时发现各种· · · · · ·攻击行为，对远程登陆应当严格审计。 解决方案 旁路部署网络堡垒机，接管数据库、网络等设备的登录，运维人员、第三方人员统一在堡垒机上操作。 旁路部署数据库审计设备，对应用系统的访问进行审计。 综合安全防护——安全审计 数据库审计 安全收益 通过堡垒机进行权限分配，操作审计 审计数据库活动，进行合规性管理，对风险行为进行告警。 关键业务数据容灾 定期对关键业务的数据进行备份，并实现历史归档数据异地保存。 关键主机设备，网络设备或关键部件应当进行相应的冗余配置。 管理信息大区 生产控制大区 业务系统冗余 控制区尽量减少不必要的应用系统，尽量减少服务应用。为保障系统高可用性，控制区应当采用冗余方式。 专用安全产品——备用与冗余 36号文要求（章节5.6） 生产控制大区的监控系统应当具备安全审计功能，能够对数据库、操作系统、业务应用的重要操作进行记录、分析及时发现各种违规行为及病毒和黑客的攻击行为，对远程登陆应当