计算机论文
水电厂电力监控系统的网络安全问题
时间:2022-09-23 23:07 所属分类:计算机论文 点击次数:
近年来,随着网络安全问题的不断出现,国家越来越重视网络安全。水电厂电力监控系统的网络安全问题也越来越多。本文从多个角度研究了水电厂电力监控系统的网络安全问题,提出了相关的设计思路和解决方案,并进行了系统的描述。电力工业是我国关系国计民生的重要关键基础设施,其中发电厂电力监控系统是最核心、最重要的系统之一。在满足“安全分区、网络专用、横向隔离、纵向认证”在基本原则的基础上,结合国家信息安全等级保护的相关要求,电力监控系统的综合安全保护建设仍需继续加强。近年来,电力监控系统的外部环境发生了变化,系统网络不再独立封闭,更多的系统互联。外部攻击源从单点个体向大规模团体攻击转变,攻击从个人行为向团队合作转变,甚至国家力量开始干预。在软件、服务等新技术的支持下,攻击技术方便、多样化、快速,攻击行为全天候,恶意代码变种的速度空前加快。攻击手段趋于定制化、个性化、复杂化,APT技术的应用越来越多。随着工业自动化的进一步发展,智能电厂的互联互通如火如荼。广泛的互联互通使得生产网络变得复杂,风险点增加。
1设计思路
水电厂电力监控系统网络安全防护方案的主要设计思路:加强安全区域边界访问控制能力;提高网络内外入侵和恶意代码防御能力;提高非法内联和外联检测能力;提高系统内主机病毒防治能力;提高主机身份认证能力,采用双因素认证机制;一键安全加固,提高主机安全基线;关闭不必要的服务端口,提高入侵防范能力;采用访问控制策略,确保业务配置文件不被篡改;提高日志审计能力,至少保存12个月;加强运维人员行为管理;建立统一的安全管理中心,加强集中控制能力;技术手段协助业主完成定期自检。风险评估分析是电力监控系统网络中资产安全管理的先决条件,旨在识别和评价不同用户面临的生产安全风险和网络安全风险。梳理工业控制系统资产,分析价值,识别现有安全防护措施;资产脆弱性和威胁分析;安全风险综合分析。
2方案介绍
2.加强安全区域边界访控能力ACL+应用级白名单:配置ACL访问控制规则只允许业务相关规则IP通过。深入分析工业控制协议,形成协议白名单,确保指令只能通过可信的协议。保护具体指令的具体值域。验证工业控制协议的合规性、控制逻辑的合理性、协议功能代码和点值。
2.2.提高网络内外入侵和恶意代码防御能力,实时监控基于白名单的工业流量,基于流量威胁的关键网络节点网络威胁感知系统APT攻击。网络威胁感知系统。(APT)内置威胁情报检测,APT情报检测能力,内置IOC数据库覆盖主流APT家庭,覆盖家庭数量≥240个。采用基因图谱模糊比较技术对流量中的文件进行静态检测。通过结合图像文理分析技术和恶意代码变种检测技术,将可疑文件的二进制代码映射成无法压缩的灰色阶图片,与现有恶意代码基因库图片的相似度相匹配,根据相似度判断是否为威胁变种。
2.3.提高违规内联,外联检测能力交换机关关闭不必要的端口;IP/MAC绑定;工控主机卫士开启非法外联策略。
2.4.提高系统内主机病毒的防范能力补丁;缓冲区溢出,00,0day传统杀毒软件在漏洞利用等攻击方面存在不足;杀毒软件或将业务软件误解为病毒并删除。切断恶意代码/病毒通过U盘转移到系统内部的方式;启动文件级白名单策略,防止恶意代码/病毒/非法软件的执行。确保只能通过授权的可执行程序执行,只能使用授权的U盘。
2.5.提高主机身份认证能力,采用双因子认证机制采用静态密码+UKEY,关键服务器采用双因子认证。
2.6一键安全加固,提高主机安全基线内置42条安全基线规则,一键配置,减少手动加固。根据不同的加固等级,一键加固。
2.7关闭不必要的服务端口,提高内置防火墙功能,关闭不必要的端口;一键配置,降低手动加固成本。
2.8利用访问控制策略,确保业务配置文件不被篡改和独立访问控制,并基于标记进行强制访问控制。
2.9提高日志审计能力,审计日志保存至少12个月的范式化设备(主机、网络、安全)日志,快速准确地识别安全事件,发现违规行为。
2.10加强运维人员行为管理、运维人员身份授权、运维人员操作授权和运维人员行为审计。安全运维管理系统进行统一的账户管理。
2.11.建立统一的安全管理中心,加强安全产品集中控制能力的统一管理,加密安全管理传输,高度可视化,双机热备,高度可靠。
2.12技术手段协助业主定期自检,扫描漏洞,生成相关报告,给予指导。