需求分析
1.生产控制大区的网络设备、安全设备、监控系统服务器等的运行状况、安全状况需要进行安全审计。
2.未采取用户行为管理等技术手段对内部用户私自联到外部网络的行为进行检查。
3.网络设备口令未定期更换,口令不满足复杂度要求,未设置登录失败处理功能。可能遭到口令暴力破解。
4.主机未进行加固处理,操作系统和应用系统未启用登录失败处理功能,可能遭受恶意攻击。未开启审核策略,审核内容不完整,无法及时监控设备状态信息,不能及时发现系统异常行为。
5.网络边界缺少防护,需要加强包括DoS、扫描、代码攻击、病毒、后门、网页挂马等各种攻击检测能力。
解决方案
入侵检测
通过在安全一区和安全二区分别部署入侵检测系统。目的是在网络层面保护生产控制大区的系统免受攻击,实时监控各种数据报文及网络行为,提供及时的报警及响应机制。
安全审计
在发电厂监控系统网络中旁路部署日志审计系统,对网络中的监控系统、主站系统等行为进行审计,以保证触发审计系统的事件存储在审计系统内,并且能够根据存储的记录和操作者的权限进行查询、统计、管理、维护等操作,并且能够在必要时从记录中抽取所需要的资料。
网络边界防护
在电场安全I区与安全II区之间,通过添加防火墙实现逻辑隔离,根据数据包的源地址、源端口、目的地址、目的端口、传输层协议、应用层协议等信息进行访问控制,规则限制到端口级,只允许正常业务的连接和数据能够通过该网络边界,其他非法连接和数据均被禁止。
在电场二区与三区之间部署反向隔离设备,实现外部系统与内部系统之间的安全隔离,根据数据包的源地址、目的地址、端口、协议、MAC地址、工业协议等信息进行访问控制,基于白名单方式设置通讯规则,其他非法连接和数据均被禁止,提高系统安全性。
防病毒系统
在生产控制区内部署网络防病毒系统,防止设备安装调试或维护过程中由于不当的使用移动存储设备以及笔记本电脑造成病毒侵入系统,导致系统不能正常运行,给电场的生产管理造成不便,甚至影响安全生产。
管理中心部署于一区,生产控制区各主机,服务器,工作站安装客户端软件,管理中心支持主动防御策略下发,控制台支持系统加固、应用程序控制、木马行为防御、木马入侵拦截(网站拦截)、木马入侵拦截(U盘拦截)、智能防御自定义白名单和自我保护等。