隨著“互聯網+電力”的深度融合發展，電力生產對現場設備之間的信息互通提出了更高的要求。在兩化融合、智能電網大趨勢的背景下，電力企業工業控制系統的管理控制一體化、網絡化、智能化已是大勢所趨。

行業現狀

電廠工業控制系統的網絡化、智能化在提高生產效率和管理效率的同時，也為惡意攻擊者增加了新的攻擊途徑。針對電力企業生產控制系統的攻擊技術和手段不斷發展，各種生產控制系統惡意軟件以及安全事件層出不窮，使得電力企業生產控制系統面臨越來越多的安全威脅和挑戰，包括病毒、木馬、蠕蟲、黑客以及敵對勢力等。

風險分析

·針對安全區 I 的工控系統網絡中缺少病毒、木馬等攻擊行為的檢測手段。

·多數工業主機操作系統為 WindowsXP 系統，系統進行打補丁不現實，部署殺毒軟件與工業應用軟件兼容性較差，沖突現象屢有發生。

·在發電廠內部通過網絡訪問業務系統時無法做到安全審計、事后可追溯。

·對于工控系統目前暴露出來的 2400 多個漏洞，無有效的漏洞整改方案，工控系統處于帶“洞”運行狀態。

風力發電廠工控安全解決方案

1、通信網絡安全

在控制大區網絡中旁路部署工控安全監測審計系統，對網絡內傳輸的流量進行字段級解析，建立協議基線、流量基線、鏈路基線，對異常操作、非法入侵、惡意代碼執行等行為進行事中告警、事后審計。

2、區域邊界安全

I區和II區間部署工業防火墻，II區和III區間部署電力專用單向傳輸裝置，實現橫向隔離，安全分區；同時風電安全管理，部署網絡準入控制系統，有效地阻止非法終端接入和違規外聯。

3、計算環境安全

部署運維堡壘機，實現設備遠程運維操作的全面審計和行為管控，滿足遠程運維管控要求。在操作員站、工程師站、服務器上部署終端防護系統客戶端（也可單機部署），實現終端安全加固、進程白名單管控和USB移動介質管控。

4、安全管理中心

部署安全管理平臺，對安全設備、網絡設備、主機設備的日志和告警進行歸一化采集和關聯分析，展現安全態勢和預警，全面提升安全防護效率和安全管理能力。

方案優勢

1、合規性

滿足《網絡安全法》框架下關鍵信息基礎設施保護制度要求、網絡安全等級保護制度要求、網絡與信息安全信息通報制度要求;滿足36號文附件4《發電廠監控系統安全防護方案》的有關要求。

2、技術與管理并重

安全不是單純的技術問題吊車，需要在采用安全技術和產品的同時，重視安全管理，不斷完善各類安全管理規章制度和操作規程，全面提高安全管理水平。

3、可視化

實現工控網絡資產的可視化管理風電安全管理，動態識別非法接入設備吊車，直觀展示工控網絡安全威脅。

4、全面防護

從網絡、終端、通信、數據、運維、管理等多個層面提供完整的安全防護與管理手段，實現工控網絡全面的安全保護。

5、最小干擾

所有安全組件均采用非侵入式安全監測與防護工作方式，可確保將設備對工控網絡的干擾降低到最低。

6、多工業協議支持

支持常見工控協議:S7、Modbus、OPC、IEC61850、DLT645、BacNet、CDT、IEC101/102/103/104、CIP、DNP3、MMS、ProfiNet、EIP 等 50 多種工業協議的深度解析。解析深度可以達到功能碼、寄存器、讀寫屬性、甚至讀寫數據的閾值，同時還支持私有協議的定制開發。