火電解決存在風險和解決方案

1.邊界保護層面

存在風險：

•OPC、ModBus協議存在設計缺陷，惡意程序極易偽裝成數據文件進行跨區傳播；

•安全I區與安全II區之間的傳統防火墻無法識別工業協議，無法對協議中的操作指令進行過濾與管控，易發生違規操作行為。

防護措施：

通過工業防火墻有效實現對管理層與過程層的邏輯隔離針對OPC、Modbus協議進行深度解析和惡意代碼過濾，并進行操作管理控制，有效彌補防火墻無法識別工控協議、工業病毒、APT攻擊的不足。

2.主機防護層面

存在風險：

•上位機系統未安裝補丁，防病毒未及時更新，病毒、木馬程序極易利用漏洞進行傳播與破壞；

•系統未進行安全配置，極易出現非授權訪問、誤操作、缺少必要的審計記錄；

•外設接口無防護措施，病毒容易利用移動介質傳播，以及數據非授權轉移。

防護措施：

安全衛士采用PE文件指紋識別技術可以準確識別非法進程啟動，防止惡意程序文件啟動，避免系統受到破壞；安全衛士能夠提供系統操作審計，對外設接口實行讀寫權限管控，避免非授權訪問。

3.安全監測與安全審計層面

存在風險：

生產大區針對網絡滲透、入侵、攻擊等行為無法有效檢測、告警與分析；對于過程層、現場層利用工業協議進行的操作和數據報文缺乏必要的審計能力和日志收集分析措施，不滿足行業要求。

防護措施：

通過對過程層、現場層內網絡關鍵路徑部署監測審計系統，能夠實現工業通訊協議深度報文解析，對操作動作進行精準分析與記錄；同時，針對利用生產系統漏洞而進行的掃描、入侵行為進行實時檢測與分析，并提供實時告警。

4.入侵檢測系統層面

存在風險：

生產大區針對網絡滲透、入侵、攻擊等行為無法有效檢測、告警與分析。

防護措施：

通過對過程層、現場層內網絡關鍵路徑部署入侵檢測系統；入侵檢測系統通過對工業網絡、系統的運行狀態進行監視，檢測非法操作或異常訪問行為；深入分析網絡上捕獲的數據包，結合特征庫進行特征碼匹配，及時發現來自生產網絡外部或內部違反安全策略的網絡行為或高風險的潛在威脅，幫助工業用戶及時獲悉網絡狀況，避免惡意攻擊行為的蔓延。

5.日志審計層面

部署位置：

旁路部署于生產控制網交換機。

防護措施：

1）能夠實時不間斷地將不同廠商的安全設備、網絡設備、主機、操作系統、數據庫系統、用戶業務系統的日志、警報等信息匯集到審計中心，實現全網綜合安全審計；2）能夠實時地對采集到的不同類型的信息進行標準化處理和實時關聯分析；3）快速出具滿足國家法律法規，行業標準的多種合規報表和報告。

6.集中管理層面

安全需求：

監控系統因其業務的特殊性，相關設備的部署往往具有較大的地域跨度，安全設備的部署也需要根據業務分布情況跨地域部署，為方便管理，需要在電力監控系統部署集中管理平臺。

解決方案：

安全管理平臺可實現對安全產品進行集中運維管理，實現統一的策略下發、日志收集和報警展示，降低運維管理工作量。統一安全管理平臺可實現對操作站、服務器、應用軟件、數據庫、網絡設備等日志的統一收集和統一留存，實現日志的集中管理。