水电站电力监控系统安全防护措施有哪些?

      随着2014年国家发改委14号令，2015年国家能源局36号文，2017年网络安全法，以及即将出台的国家关键信息基础设施安全保护条例，都针对电力监控系统安全防护提出了要求。

     在此背景下，我公司凭借多年发电领域安全防护经验，针对该水电厂的厂房监控系统和集控系统等计算机监控系统，从边界防护、主机防护、集中管控等方面着手，设计水电站电力监控系统的全生命周期解决方案。

传统安全措施

      电力监控系统中，生产控制大区与管理信息大区物理隔离，中间无法进行任何形式的网络协议连接，因此需要分别部署安全措施。

      ◆ 恶意代码防范措施：在工作站、服务器上部署企业级杀毒软件，并使用杀毒U盘对Linux、Unix客户端进行文件查杀。

      ◆ 远程运维审计堡垒机：设备分别部署在II区和III区的服务器区域，对该区域的安全设备进行远程运维操作过程审计，进行设备的集中管理身份认证。

      ◆ 综合日志审计平台：系统分别部署在II区和III区的服务器区域，采集网络设备、安全设备、应用系统、主机、数据库等日志进行集中存储、分析和可视化展示。

      ◆ 加密装置：部署在网络出口区域，利用数字证书加密传输数据。

      ◆ 隔离装置：部署在II区和III区的之间，阻断网络协议，实现文件的摆渡中转。

工业控制系统安全防护措施

      水电电力监控系统是水电厂进行监测和控制的工具，具有计算机的属性和特征，如具备计算能力、具备操作系统、网络传输和专用控制协议。对于计算机监控系统的安全防护需要在具备工控网络协议的环境下进行部署。

      ◆ 工业防火墙：工控防火墙主要针对工控协议，例如IEC61850、OPC、Modbus等，对工控协议源和目标地址进行严格的访问控制，可以部署在I区和II区之间，根据最小访问控制原则配置安全策略。

      ◆ 工控网络监测与审计：工控审计系统主要对工控网络环境的流量进行审计，过滤其中的工控协议，对其网络中的工控协议行为自学习形成安全基线，对于违反安全基线的行为可判断为异常，触发告警信息。设备部署在工控接入交换机，并将所有工控设备的链路流量进行镜像到监控端口实现审计功能。

      ◆ 工控漏洞扫描系统：该系统针对SCADA、现场总线、数字化设计制造软件的漏洞扫描，以及针对Schneider、Siemens、VxWorks等DCS控制器嵌入式软件(包括PLC等)以及传统上位机系统软件的漏洞扫描。

      ◆ 工控入侵检测系统：该系统针对工控系统（ICS）网络通信协议与规约进行深度解码分析，实现对ICS系统的入侵检测与异常告警。

      对于电力监控系统安全防护，须遵循“安全分区、网络专用、横向隔离、纵向认证”的基本要求，还需从网络安全、终端安全和工业控制器安全部署多重防护，主要有以下三个层面：