针对火电工控网络面临日益变化的外部攻击与挑战,网络安全建设在满足国家政策及行业要求的同时,还应具有一定前瞻性,根据火电工控网络架构的特点,采用“一个中心,三重防御”+“控制安全”的思想,构建电力工控网络纵深防御体系,实现电力系统的全面防护。
依据“安全分区、网络专用、横向隔离、纵向认证”的十六字方针,在工控网络不同安全区及安全域的边界处,采用具备深度解析工控协议的网络安全设备进行边界隔离,加强生产控制大区的安全防护能力。
通过加强对计算环境安全、网络边界安全、通信网络安全、用户和数据安全的策略细化和完善,并且关注底层设备和控制器的安全风险情况,建立对整个工控系统的深度防御策略。
从整体网络安全防护角度出发,构建系统完整防御体系,提高入侵检测能力、事件反应能力、核心控制系统防护能力、事后追溯能力和快速恢复能力,形成综合的、全面的网络安全技术防护体系。
构建安全管理中心、安全运维管理系统,形成厂区安全情况可视可知、现场设备可管可控可恢复的安全管理体系,全面提升工控网络安全威胁快速识别能力和应急响应能力。
满足《中华人民共和国网络安全法》、GBT22239-2019《信息安全技术网络安全等级保护基本要求》、《电力监控系统安全防护规定》(国家发改委[2014]14号令)等国家、行业标准及规范要求;
建立健全应急处置预案和应急处置手段,在紧急事态发生时,能够在最小时间窗内快速恢复现场生产;
架构层面覆盖火电工控系统的机组控制系统、辅控系统、电力监控系统及通信网络,系统层面覆盖上位机、服务器及工业控制器,实现深度防护、全面覆盖的安全防护体系。
对厂区的网络信息全息捕获,威胁风险提前预警,全局的安全态势直观呈现;
构建厂区安全运维管理体系,实现厂区内统一的安全运维,提高运维效率,降低维护成本。