电力行业:光伏电站监控系统信息安全解决方案
一、简介
太阳能,被称为最理想的新能源。其无枯竭危险,安全可靠,能源质量高,建设周期短,取之不及、用之不竭。在我国,随着科学技术的迅猛发展,利用太阳电池半导体材料的光伏效应,将太阳光辐射能直接转换为电能,形成了太阳能光伏产业。将太阳能直接转换为电能的技术称为光伏发电技术。光伏发电的优点是较少受地域限制,因为阳光普照大地;光伏系统还具有安全可靠、无噪声、低污染、无需消耗燃料和架设输电线路即可就地发电供电及建设周期短的优点。
为满足国家对清洁能源需求,全国各地大量新建光伏发电站。其中,光伏电站电力监控系统主要由服务器、工作站、各类继保及自动化装置、网络设备、安全防护设备、操作系统、数据库、应用软件及相应的装置主要由故障录波装置、保护及故障信息管理系统、电能量信息采集终端、电能质量在线监测装置、同步相量测量系统、有功功率控制系统、AGC/AVC控制系统、光功率预测系统、同步相量测量系统、OMS调度信息系统及时间同步系统构成。
二、光伏电站监控系统网络安全防护分析
由于光伏电站系统核心软硬件设备无法做到自主可控,严重依赖国外厂商提供的软硬件产品,同时,光伏电站电力监控系统信息安全防护薄弱,网络接入管理混乱;信息安全保障能力不足,核心系统依赖国外厂商运维,一线工业控制系统使用人员信息系统及信息安全方面的知识储备不足,信息安全意识淡薄,无完善的突发信息安全事件应急响应措施;总体来看,我国工业控制系统面临较多问题和威胁,急需加大工业控制系统信息安全方面的投入,全面提升工业控制系统信息安全防护水平。
根据以上现状主要安全需求如下:
1.电力监控系统生产控制大区安全I区和安全II区的边界划分,在边界处部署防护设备,实现安全I区和安全II区的边界防护。
2.电力监控系统生产控制大区安全I区和安全II区的主机上部署主机防护产品,防范木马、病毒及恶意代码程序对主机系统的破坏。
3.电力监控系统生产控制大区的网络流量核心节点,部署监测与审计设备,实现网络流量的审计和异常行为告警。
4.电力监控系统生产控制大区各系统工控主机、服务器、接口机等设备进行安全加固,启用操作系统自身的安全策略,实现操作系统自身安全性的提升和审计、记录。
5.电力监控系统生产控制大区的网络边界部署入侵检测系统,实现异常检测、入侵行为的检测。
6.电力监控系统生产控制大区部署运维管理系统,实现生产控制大区用户操作行为的身份鉴别、访问控制和安全审计。
7.电力监控系统生产控制大区部署统一管理系统,实现安全防护设备、系统以及主机安全策略的统一管理,安全设备及系统运行日志的统一收集和存储,提高管理效率,降低运行维护成本。
三、安全防护
根据国家能源局在2015年印发的《电力监控系统安全防护总体方案》及《信息安全技术 网络安全等级保护基本要求》中相应要求,在光伏电站电力监控系统内部署相应安全产品以解决以上安全问题及满足相关管理要求。
工控信息安全
1.工业防火墙
为解决光伏发电站电力监控系统网络结构安全所面临的安全问题,在系统内部不同子系统或区域间,部署工业智慧防火墙实现边界防护和访问控制,避免在一个系统或区域里爆发的信息安全事件扩散到别的系统或区域中。
2.监测与审计
为解决光伏发电站电力监控系统所面临的网络误操作及恶意操作安全问题,在系统内部核心流量节点部署监测与审计系统,实现异常流量及操作行为的审计和记录,以供信息安全事件爆发后调查、追溯。
3.入侵检测
为解决光伏发电站电力监控系统内网络攻击行为所带来的安全问题,在系统内部关键区域的边界部署入侵检测系统,实现异常访问及入侵行为的检测和告警,实时发现系统面临的安全威胁,为系统的正常运行提供检测机制。
主机安全加固系统
为解决光伏发电站电力监控系统内各类主机面临的安全问题,在系统内工控主机和服务器上部署工控主机卫士系统,实现恶意代码的防护及主机外设端口的统一管理,实现主机安全基线的统一管理,极大提升系统安全性和管理效率。
运维管理系统
为解决光伏发电站电力监控系统内维护人员操作维护不规范所带来的安全问题,在系统内部署运维管理系统,实现运维操作审计和记录,提供运维操作的身份鉴别、访问控制、权限控制,降低因运行维护给系统带来的运行风险。
安全智能监管平台
为实现网络内相关安全设备的统一管理和安全策略的统一下发,在系统中部署安全智能监管平台,统一收集日志有助于集中管理、分析设备运行状态,可极大提升安全管理效率,降低运行维护成本。
合规要求
| 技术防护合规性需求解决方案 | ||
| 等保标准 | 合规性需求 | 解决方案 |
| 网络安全 | 1、在加强防火墙策略配置,在不影响系统正常运行的情况下,考虑在各分系统和环网交换机链接处部署可以识别工业协议保护工控网络安全的工业防火墙。 | 电力行业监控系统的区域划分,每个安全区域前部署工业防火墙,细化工业防火墙及传统IT防火墙策略,开启智慧防火墙策略。 |
| 2、在系统中部署可解析应用层协议的工控安全防护类设备,深度解析工业通信协议,来对非法网络通信协议过滤。 | 电力行业监控系统的区域划分,每个安全区域前部署工业智慧防火墙。 | |
| 3、根据业务需求配置非活跃会话自动终止功能,TCP连接超时时间不宜超过30分钟、UDP连接超时时间不宜超过5分钟。 | 通过主机、服务设备、运维管理平台设备策略,在规定时间内无操作将需要重新进行身份验证。 | |
| 4、在重要网段的网关设备上对接入设备的IP地址与MAC地址、端口进行绑定,或重要网段所在交换机开启防止ARP欺骗的功能,或其他等效措施。 | 在电力行业监控系统的交换机上配置IP与MAC绑定策略 | |
| 5、配备工控系统审计设备对工控系统流量进行审计。 | 电力行业监控系统系统的核心流量节点部署监测与审计平台。 | |
| 6、采用集中日志存储方式将所有网络设备的日志进行统一收集。 | 部署安全智能监管平台,开启安全设备日志收集策略;部署Syslog服务器,收集所有网络设备日志。 | |
| 7、在重要网段的网关设备上对接入设备的IP地址与MAC地址、端口进行绑定,或重要网段所在交换机开启防止ARP欺骗的功能,或其他等效措施。 | 在各个安全区域前部署工业智慧防火墙,开启防火墙的五元组访问控制策略,开启交换机设备防止ARP欺骗功能;部署入侵检测系统,开启相关安全策略。 | |
| 8、应架设能够检测内部用户非法外联行为的设备或采取其他同等效力的监控措施,对违规外联行为进行检查和阻断。 | 电力行业监控系统与办公网连通节点部署入侵检测系统。 | |
| 9、在网络中部署安全防护类设备,对可能潜在的网络攻击行为进行检测和报警。 | 电力行业监控系统与办公网连通节点部署入侵检测系统,开启报警策略;在核心流量节点部署监测与审计平台,开启报警策略。 | |
| 10、在网络中部署安全防护类设备,实现在网络边界对恶意代码进行防护。 | 电力行业监控系统每个安全区域前部署工业智慧防火墙;电力行业监控系统与办公网连通处部署单向隔离网关设备。 | |
| 11、对系统采用两种或两种以上组合的鉴别技术实现用户身份鉴别,如使用结合了数字证书、令牌等的设备。 | 部署运维管理平台,实现网络设备、服务器设备运维的身份鉴别、访问控制、安全审计 | |
| 主机安全 | 1、根据需要对用户口令实现至少每季度更换一次,更换的口令长度8位以上,由字母、数字、符号等三种以上字符组成。 | 工控主机及服务器设备部署工控主机卫士系统,实现外设管理、病毒防护、基线管理、系统完整性保护。 |
| 2、对系统采用两种或两种以上组合的鉴别技术实现用户身份鉴别,如指纹识别等,或使用结合了数字证书、令牌等的设备。 | 部署运维管理平台,实现网络设备、服务器设备运维的身份鉴别、访问控制、安全审计 | |
| 3、制定用户权限表,并根据权限表进行用户权限分配。 | 明确用户的权限,制定用户权限表,按照用户权限分配系统账号和口令。 | |
| 4、开启系统自带的记录功能,和通过组策略限制,如登陆失败5次锁定。 | 部署工控主机卫士系统,实现外设管理、病毒防护、基线管理、系统完整性保护。 | |
| 5、通过对系统的设置启用访问控制功能,达到严格控制用户对资源的访问效果。 | 部署运维管理平台,实现网络设备、服务器设备运维的身份鉴别、访问控制、安全审计 | |
| 6、对主机中重要信息资源设置敏感度标记并保护。 | 制定管理制度,明确重要信息资源的命名及标识规则。 | |
| 7、应开启数据库自带的安全审计功能,或安装第三方安全审计软件。 | 部署运维管理平台,实现网络设备、服务器设备运维的身份鉴别、访问控制、安全审计。 | |
| 8、部署主机安全类软件,对主机上重要进程文件、目录和数据保护。 | 工控主机及服务器设备部署工控主机卫士系统,实现外设管理、病毒防护、基线管理、系统完整性保护。 | |
| 9、部署主机加固类软件,对主机上重要程序的完整性进行检查并保护。 | 工控主机及服务器设备部署工控主机卫士系统,实现外设管理、病毒防护、基线管理、系统完整性保护。 | |
| 10、通过对系统的设置鉴别信息所在的存储空间,被释放或分配给其他用户前的到完全清除。 | 通过手动操作主机及服务器清除缓存信息,并重新启动实现。 | |
| 11、采取入侵检测措施,根据需要安装第三方入侵检测软件。 | 电力行业监控系统与办公网连通节点部署入侵检测系统。 | |
| 12、对老旧系统进行升级,并打补丁。 | 视情况进行补丁分发和更新 | |
| 13、通过安全类软件对恶意代码进行防护,如安装工业主机专用杀毒软件。 | 工控主机及服务器设备部署工控主机卫士系统,实现外设管理、病毒防护、基线管理、系统完整性保护。 | |
| 14、通过对系统的设置解决共享端口。 | 工控主机及服务器设备部署工控主机卫士系统,实现外设管理、病毒防护、基线管理、系统完整性保护。 | |
| 15、关闭主机的远程连接。 | 工控主机及服务器设备部署工控主机卫士系统,实现外设管理、病毒防护、基线管理、系统完整性保护。 | |
| 16、设置主机U口的策略限制和硬件封堵,或是使用相关软件限制,如采用工控主机专用的安全U盘传输数据。 | 工控主机及服务器设备部署工控主机卫士系统,实现外设管理、病毒防护、基线管理、系统完整性保护。 | |
| 应用安全 | 1、对系统采用两种或两种以上组合的鉴别技术实现用户身份鉴别,如指纹识别等 | 开启工控软件及应用系统的身份鉴别策略,或二次开发实现身份鉴别机制。 |
| 2、应用系统应提供用户口令复杂度校验功能,要求用户设置口令为字母+数字+符号,并定期更换,更改后的密码不可使用前次使用过的密码。 | 开启工控软件及应用系统的身份鉴别策略,或二次开发实现身份鉴别机制。 | |
| 3、为系统增加运维等事件的日志记录功能。 | 部署运维管理平台,实现网络设备、服务器设备运维的身份鉴别、访问控制、安全审计。 | |
| 4、对系统重要资源增加敏感标记的功能,并控制用户对已标记的敏感信息的操作。 | 对工控软件及应用系统进行二次开发实现重要资源标识。 | |
| 5、提供专用工具对应用系统日志文件进行分析统计分析,并定期生成报表 | 定期将工控软件及应用系统日志文件导出并备份、分析。 | |
| 6、关闭后应用系统释放文件、目录和数据等资源使用的存储空间应满足以下条件:(1)对剩余信息进行标记。(2)具备删除机制。或安装使用第三方删除软件。 | 对工控软件及应用系统进行二次开发或要求厂商进行升级。 | |
