VEDA工控安全火电厂解决方案-卫达安全.PDF

VEDA 工控安全(火电厂)解决方案 目录 一、背景概述 2 二、工控行业-火电厂网络安全需求分析 2 三、工控行业-火电厂网络安全需求分析4 3.1 “幻镜”内网动态防御系统4 3.1.1 部署方式4 3.1.2 产品概述 5 3.1.3 功能特点 5 3.2 “幻界”工控网闸防御系统 7 3.2.1 部署方式 7 3.2.2 产品概述 7 3.2.3 功能特点8 附录A 北京卫达科技有限公司简介 10 1 一、背景概述 随着计算机技术和通讯技术的飞速发展，网络正逐步改变人们的工作方式和生活方式。 随着网络技术在工业领域的全面应用，大大提高了工业控制行业的业务处理效率和管理水平。 但是传统相对封闭、只注重功能实现的工业控制系统存在大量的安全缺陷，致使工控系 统在恶意攻击面前极其脆弱。随着震网（Stuxnet ）病毒的出现，针对工业控制环境的 APT 攻击越来越多，造成了非常严重的危害。与此同时，工业控制系统内部人员在 应用系统层 面的误操作、违规操作或故意的破坏性操作也在危害着工控环境的安全。工控领域安全事件 频发，给国家和企业带来重大损失。在全球自动化和信息化融合发展的推动下，工控系统已 不可能作为封闭的系统孤立存在，所以工控系统的安全防护也应从一个整体来考虑。目前常 见的工控安全解决方案大多针对局部安全问题，缺乏一体化解决方案。 卫达公司自主研发的幻镜内网动态防御系统和幻界工控网闸防御系统是专门针对工业 控制环境的网络安全系统。它采用串接部署，基于对工业控制协议（如Modbus TCP 、OPC、 DNP3、IEC 60870-5- 104 等）的通信报文进行深度解析（DPI ，Deep Packet Inspection ），能 够实时检测针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、 病毒等恶意软件的传播并实时报警，同时详实记录一切网络通信行为，包括指令级的工业控 制协议通信记录，为工业控制系统的安全事故调查提供坚实的基础。 二、工控行业-火电厂网络安全需求分析 大多数工业企业模型化后的系统网络结构由管理层、数据采集层、现场控制层三大部分 组成。目前的现状是大多数控制网络中在运行的电脑，很少或没有机会安装全天候病毒防护 或更新版本。控制器的设计都以优化实时的I / O 功用为主，而并不提供加强的网络连接安 2 全防护功能。在整个网络中存在多个网络端口切入点需要防护，并且许多控制网络都是“敞 开的”，不同的子系统之间都没有有效的隔离，尤其是基于 OPC、MODBUS 等通讯的工业 控制网络，其中某一部分出现问题被攻击后，病毒就通过网络迅速蔓延。 现代火电厂工控系统由中央控制室和各配电室、电子间等子站组成，系统中布置有数千 个开关、数百个模拟测量点以及数十个 PID 调节回路的控制对象。其中，中央控制室设备 通常包括建立在以太网连接上的操作员站、工程师站、数采服务器、打印设备等。中央控制 网络与各子站控制网络采用光纤为通信媒介，各子站配有光纤收发器和工业交换机。 目前的现状是中央控制网络与各控制子站网络相连，存在来自上层网络的安全威胁，系 统缺乏监控手段，无法感知未知设备、非法应用和软件的入侵。系统缺乏对用户操作行为的 监控和审计。控制系统缺乏分区保护，容易受到信息网络和相邻系统的安全影响。 根据上述网络安全需求，我们通过部署两类安全设备解决火电厂行业网络现存的网络安 全威胁。 管理子系统 数据采集子系统 现场控制子系统 “幻界”工控网闸 工作站 汽机电子间