国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

廠站端電力監(jiān)控安全防護(hù)工作探討

2022-03-25 07:08吳小放
水電站機(jī)電技術(shù) 2022年3期
關(guān)鍵詞:大區(qū)漏洞網(wǎng)絡(luò)安全

吳小放

(江蘇沙河抽水蓄能發(fā)電有限公司,江蘇 溧陽 213333)

1 引言

2010年震網(wǎng)(Stuxnet)病毒首次被檢測(cè)出,這是第一個(gè)專門定向攻擊真實(shí)世界中基礎(chǔ)能源設(shè)施的“蠕蟲”病毒,比如核電站、電網(wǎng)、水壩等,并且造成伊朗核電站核心設(shè)備損毀、工期延遲。2015年烏克蘭則發(fā)生第一起人為故意使用惡意軟件而引起停電的攻擊案例,造成140多萬人停電6 h。這2起案例最終的攻擊目標(biāo)均為電力系統(tǒng)源點(diǎn)即廠站側(cè),而廠站端在電力監(jiān)控安全防護(hù)體系建設(shè)及運(yùn)維管理方面的薄弱項(xiàng)又極易被攻破。

廠站端監(jiān)控系統(tǒng)安全防護(hù)目標(biāo)是抵御黑客、病毒、惡意代碼等通過各種形式對(duì)廠站端監(jiān)控系統(tǒng)發(fā)起的惡意破壞和攻擊,同時(shí)也要禁止和防范其它非法操作造成電力監(jiān)控系統(tǒng)癱瘓和失控以及由此導(dǎo)致的電力系統(tǒng)事故。本文列舉了廠站端在電力監(jiān)控安全防護(hù)建設(shè)中存在的主要網(wǎng)絡(luò)威脅以及提升的措施和建議,以求共同做好廠站端電力監(jiān)控安全防護(hù)工作。

2 廠站端電力監(jiān)控面臨的主要網(wǎng)絡(luò)威脅

2.1 應(yīng)用系統(tǒng)及設(shè)備安全漏洞

CNVD(中國國家信息安全漏洞共享平臺(tái))公開發(fā)布信息安全漏洞數(shù)量自2012年持續(xù)攀升,至2020年達(dá)到20 255起。從安全漏洞影響的對(duì)象類型來看,應(yīng)用程序、操作系統(tǒng)、WEB應(yīng)用、數(shù)據(jù)庫占比為89.7%,網(wǎng)絡(luò)設(shè)備和安全產(chǎn)品占比為8%。電力系統(tǒng)廠站端受限于SCADA/CSCS主機(jī)、DCS/PLC等工控設(shè)備獨(dú)特應(yīng)用場(chǎng)景,系統(tǒng)漏洞補(bǔ)丁需要自動(dòng)化硬軟件提供商在獨(dú)立環(huán)境測(cè)試完畢后方可修補(bǔ),在安全漏洞修復(fù)的時(shí)效性以及技術(shù)支撐方面都提出了更高的要求。

圖1 CNVD2012年~2020年信息安全漏洞趨勢(shì)圖及漏洞影響對(duì)象類型分布圖

2.2 惡意代碼侵害

惡意代碼是不需要的文件或程序,它們可能會(huì)對(duì)計(jì)算機(jī)造成損害或破壞計(jì)算機(jī)上存儲(chǔ)的數(shù)據(jù)。惡意代碼的分類包括病毒、蠕蟲和特洛伊木馬等。目前廠站端電力監(jiān)控安全防護(hù)一般都配置有防范惡意代碼裝置,但在惡意代碼特征碼更新以及更新文件安裝測(cè)試環(huán)節(jié)均存在技術(shù)能力上的薄弱環(huán)節(jié)。另外以某調(diào)度2020年度管理信息大區(qū)惡意代碼監(jiān)測(cè)情況來看,涉及13座統(tǒng)調(diào)電廠共感染13起惡意代碼,發(fā)生原因多為使用帶病毒U盤拷貝數(shù)據(jù)、安裝帶有惡意代碼的軟件等。這些不安全事件的發(fā)生也與相關(guān)人員網(wǎng)絡(luò)安全意識(shí)淡薄息息相關(guān)。

圖2 某調(diào)度2020年度管理信息大區(qū)惡意代碼監(jiān)測(cè)類型分布圖

2.3 內(nèi)外部維護(hù)人員非法操作、無意或者故意行為

盡管廠站端依照電力監(jiān)控系統(tǒng)安全防護(hù)總體原則配置網(wǎng)絡(luò)安全設(shè)備,但SCADA/CSCS主機(jī)、DCS/PLC等工控設(shè)備、AGC、AVC、保信子站及PMU等調(diào)度信息系統(tǒng)在內(nèi)外部維護(hù)人員不謹(jǐn)慎地配置訪問控制規(guī)則或者超越已授權(quán)限進(jìn)行非法操作時(shí),甚至于無意或有意地泄漏口令、證書、網(wǎng)絡(luò)架構(gòu)等敏感信息時(shí),更容易被不法分子所利用,成為整個(gè)網(wǎng)絡(luò)安全防御的薄弱點(diǎn)。

2.4 全面安全管理漏洞

網(wǎng)絡(luò)安全技術(shù)和全面安全管理從來都是一個(gè)整體,兩者不能割裂。甚至于全面安全管理上的某個(gè)漏洞有可能造成網(wǎng)絡(luò)安全技術(shù)防護(hù)手段形同虛設(shè)。例如外來人員的審查、重要部位的進(jìn)出管理制度、重要操作的監(jiān)護(hù)制度、保密制度、臺(tái)賬記錄、應(yīng)急管理、人員培訓(xùn)提升等,這些制度不僅對(duì)于事前風(fēng)險(xiǎn)防范意義重大,對(duì)于事后調(diào)查也必不可少。合理有效的制度體系是網(wǎng)絡(luò)安全的重要保證,管理制度和實(shí)際工作一旦脫節(jié),就會(huì)使網(wǎng)絡(luò)安全風(fēng)險(xiǎn)大大增加。

3 落實(shí)廠站端電力監(jiān)控動(dòng)態(tài)防護(hù)體系,提升網(wǎng)絡(luò)安全防護(hù)水平

保證網(wǎng)絡(luò)安全不是一勞永逸的,計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)更新?lián)Q代速度超出想象,網(wǎng)絡(luò)滲透、攻擊威脅手段也花樣翻新、層出不窮,安全防護(hù)一旦停滯不前則無異于坐以待斃。網(wǎng)絡(luò)安全問題是動(dòng)態(tài)的,系統(tǒng)漏洞、設(shè)備漏洞、管理漏洞等網(wǎng)絡(luò)安全風(fēng)險(xiǎn)都在不斷變化,攻擊者技術(shù)也在不斷更新。這就需要落實(shí)廠站端電力監(jiān)控動(dòng)態(tài)防護(hù)體系即基礎(chǔ)設(shè)施安全、體系結(jié)構(gòu)安全、系統(tǒng)本體安全、全面安全管理以及應(yīng)急備用措施五個(gè)方面的柵格狀電力監(jiān)控安全防護(hù)體系,提升網(wǎng)絡(luò)安全防護(hù)水平。

3.1 基礎(chǔ)設(shè)施安全

強(qiáng)化建筑物、機(jī)房、電源、環(huán)境、通信等物理設(shè)施的物理安全防護(hù)。重點(diǎn)關(guān)注自動(dòng)化設(shè)備間等重要區(qū)域的電子門禁系統(tǒng)管理,控制、鑒別和記錄人員的進(jìn)出情況;為電力監(jiān)控系統(tǒng)配置冗余電源并同時(shí)建立應(yīng)急供電系統(tǒng);機(jī)房滅火器材、火災(zāi)自動(dòng)報(bào)警系統(tǒng)完好;梳理整改通信設(shè)備、線纜溝道的安全隱患,滿足N-1安全運(yùn)行要求。另外生產(chǎn)控制大區(qū)密碼基礎(chǔ)設(shè)施生產(chǎn)控制大區(qū)縱向加密裝置密碼算法需更新至SM2加密算法。

3.2 體系結(jié)構(gòu)安全

圖3 電力監(jiān)控系統(tǒng)安全防護(hù)總體框架結(jié)構(gòu)示意圖

電力監(jiān)控系統(tǒng)安全防護(hù)體系結(jié)構(gòu)的總體策略及核心是“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證",注重外部網(wǎng)絡(luò)邊界隔離阻斷,配置安全防護(hù)裝置,形成柵格架構(gòu)。目前廠站端在執(zhí)行時(shí)主要存在分區(qū)錯(cuò)誤和跨區(qū)并聯(lián)問題。首先是分區(qū)錯(cuò)誤問題,基于廠站端電力監(jiān)控系統(tǒng)本身的復(fù)雜性和多樣性,確定安全等級(jí)時(shí)不能針對(duì)不同特性及重要性的系統(tǒng)進(jìn)行相關(guān)的安全程度分區(qū)處理,確定安全防護(hù)策略,達(dá)不到不同等級(jí)安全防護(hù)具體要求。因此需要在“三同時(shí)”期間嚴(yán)格按照國家能源局(2015)36號(hào)文件規(guī)定的不同類型廠站安全分區(qū)標(biāo)準(zhǔn)執(zhí)行,避免出現(xiàn)設(shè)備和系統(tǒng)分區(qū)定義錯(cuò)誤。其次是跨區(qū)并聯(lián)問題,跨區(qū)并聯(lián)問題主要集中在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間采用防火墻而未采用正、反向安全隔離裝置,不能有效杜絕網(wǎng)絡(luò)方式穿越。

3.3 系統(tǒng)本體安全

須確認(rèn)計(jì)算機(jī)、存儲(chǔ)設(shè)備、路由器、交換機(jī)、保護(hù)裝置等關(guān)鍵設(shè)備是否存在經(jīng)過國家有關(guān)部門的安全檢測(cè),是否存在安全隱患或惡意芯片;空閑網(wǎng)絡(luò)端口是否已關(guān)閉;生產(chǎn)控制大區(qū)是否采取禁止USB、光驅(qū)等移動(dòng)介質(zhì)接入措施;實(shí)時(shí)監(jiān)控系統(tǒng)、安全自動(dòng)裝置、控制保護(hù)設(shè)備等是否采用國家有關(guān)部門檢測(cè)認(rèn)證的安全操作系統(tǒng);核查非安全操作系統(tǒng)設(shè)備是否已采取有效防護(hù)手段;生產(chǎn)控制大區(qū)是否按要求關(guān)閉了通用網(wǎng)絡(luò)服務(wù);檢查操作系統(tǒng)是否存在惡意后門,是否采取防止惡意代碼的安全措施;核查是否存在供應(yīng)商缺省帳戶;.檢查是否存在弱口令。

3.4 全面安全管理

全面設(shè)備管理方面重點(diǎn)落實(shí)核查接入設(shè)備身份是否可信,設(shè)備證書是否符合管理要求;安全防護(hù)設(shè)備臺(tái)賬、安全策略配置、運(yùn)行日志、設(shè)備維護(hù)、安全審計(jì);外部設(shè)備接入時(shí)核查外部計(jì)算機(jī)、移動(dòng)介質(zhì)的接入是否具有相應(yīng)的安全管理制度和記錄。人員管理方面更為重要的是落實(shí)現(xiàn)場(chǎng)運(yùn)維人員和廠家技術(shù)支持人員安全管理及防護(hù)措施,比如現(xiàn)場(chǎng)指定專門的運(yùn)維人員負(fù)責(zé)監(jiān)督廠家技術(shù)支持人員系統(tǒng)運(yùn)維、建立廠家技術(shù)人員聯(lián)系方式表、簽署保密協(xié)議等。無論設(shè)備管理還是人員管理均需要制度支撐,建立健全電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管控機(jī)制,明確安全責(zé)任主體,成立網(wǎng)絡(luò)安全協(xié)調(diào)機(jī)構(gòu),負(fù)責(zé)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)和管理。

3.5 應(yīng)急備用措施

應(yīng)急備用措施首先要確認(rèn)核心服務(wù)器應(yīng)滿足冗余要求,網(wǎng)絡(luò)與信息安全的應(yīng)急預(yù)案的編制與演練、安全應(yīng)急制度是否健全與落實(shí)。其次也是現(xiàn)階段最重要的是充分發(fā)揮電力監(jiān)控安全監(jiān)測(cè)管理平臺(tái)監(jiān)視、告警與分析作用,其能有效對(duì)運(yùn)維人員的違規(guī)操作、系統(tǒng)運(yùn)行異常、設(shè)備故障等安全事件進(jìn)行監(jiān)控,而這些異常事件恰恰是對(duì)廠站端內(nèi)部安全威脅的最大部分。

4 結(jié)語

做好廠站端電力監(jiān)控安全防護(hù)工作就是貫徹落實(shí)《中華人民共和國網(wǎng)絡(luò)安全法》等法律法規(guī),依據(jù)國家關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行安全要求,按照“外防與內(nèi)控結(jié)合、人防與技防并重”的原則,全面落實(shí)電力監(jiān)控系統(tǒng)安全防護(hù)措施,強(qiáng)化生產(chǎn)控制網(wǎng)絡(luò)空間的安全管理與監(jiān)督,健全結(jié)構(gòu)合理、縱深防御、實(shí)時(shí)管控的網(wǎng)絡(luò)安全防護(hù)體系,實(shí)現(xiàn)“外部侵入有效阻斷、外力干擾有效隔離、內(nèi)部介入有效遏制、安全風(fēng)險(xiǎn)精準(zhǔn)管控、系統(tǒng)運(yùn)行保障有力”的電力監(jiān)控系統(tǒng)安全防護(hù)目標(biāo),切實(shí)保障廠站端電力監(jiān)控運(yùn)行安全。

猜你喜歡
大區(qū)漏洞網(wǎng)絡(luò)安全
漏洞
涪陵:工業(yè)大區(qū)打開綠色新場(chǎng)景
渝北:建設(shè)產(chǎn)業(yè)鏈上的經(jīng)濟(jì)大區(qū)
智利第一大區(qū)HNX礦區(qū)IOCG型銅礦床地質(zhì)特征
基于selenium的SQL注入漏洞檢測(cè)方法
網(wǎng)絡(luò)安全
上網(wǎng)時(shí)如何注意網(wǎng)絡(luò)安全?
漏洞在哪兒
網(wǎng)絡(luò)安全監(jiān)測(cè)數(shù)據(jù)分析——2015年11月
我國擬制定網(wǎng)絡(luò)安全法