发布时间 : 星期日 文章双翼煤化-电力监控系统安全防护总体方案 - 图文更新完毕开始阅读510e0e2726284b73f242336c1eb91a37f11132d0
审计。使用安全专网或无线公网接入管理信息大区时必须通过安全接入平台进行安全认证接入,建立专用加密传输通道,实现终端身份认证,安全准入和数据安全交换。不得从任何公共网络直接接入公司内部网络,更不能接入生产控制大区。采用信息入侵检测、边界流量监测等安全控制措施对进出边界的数据流进行有效的检测和控制。
6 电力监控系统安全防护策略
6.1 生产控制大区安全防护策略
6.1.1 禁止生产控制大区内部的E-Mail服务,禁止控制区内通用的WEB服务。
6.1.2允许非控制区内部业务系统采用B/S 结构,但仅限于业务系统内部使用。允许提供纵向安全WEB服务,但应当优先采用专用协议和专用浏览器的图形浏览技术,也可以采用经过安全加固且支持HTTPS的安全WEB服务。 6.1.3 生产控制大区重要业务(如SCADA/AGC/AVC等)的远程通信应当采用加密认证机制。
6.1.4生产控制大区内的业务系统间应采用VLAN和访问控制等安全措施,限制系统间的直接互通。
6.1.5生产控制大区的拨号访问服务,服务器和用户端均应当使用经过国家指定部门认证的安全加固的操作系统,并采取加密、认证和访问控制等安全防护措施。
6.1.6生产控制大区边界上应当采用入侵检测措施。
6.1.7生产控制大区应当采取安全审计措施,把安全审计与安全区网络管理
系统、IDS管理系统、敏感业务服务器登录认证和授权、关键业务应用访问权限相结合。
6.1.8生产控制大区内重要服务器应该统一部署恶意代码防护系统,采取防护恶意代码措施。病毒库、木马库以及IDS规则库应经过安全检测并应离线进行更新。
6.2 管理信息大区安全防护策略
统一部署防火墙、恶意代码防护系统、IDS等通用安全防护措施。
7 综合安全防护措施
7.1物理安全
机房应设臵电子门禁系统,采取防火、防水、防雷、防盗窃、防破坏等措施。机房应安装监控探头、温湿度感应器、水浸检测探头、机房自动灭火系统等,并接入到机房动力环境监控系统中。应当安排专人值守,并且每日做好运行值班交接班工作,做好值班记录。应提供短期的备用电力供应,保证主要设备在断电状态下的正常运行。
7.2主机安全加固
关键应用系统的主服务器,以及网络边界处的服务器等应使用安全加固的操作系统,并强化操作系统的访问控制能力。
关闭或拆除服务器和工作站的软盘驱动、光盘驱动、USB 接口、串行口等,确需保留的必须通过安全管理措施实施严格监控。
加固的方式包括:安全配臵、安全补丁、安装软件防火墙、安装防病
毒系统等。
7.3网络安全加固
网络、安全等设备可能默认存在不安全的配臵,应当对配臵信息根据具体情况进行安全配臵修改及安全加固,如升级存在漏洞的设备操作系统文件,禁止不必要的协议响应,禁止ARP转发,设定安全的口令策略,制定会话超时自动结束策略等。
加强访问控制策略管理,仅开放业务系统所需的IP地址、端口,关闭未使用的业务和物理端口。
7.4应用安全控制
应用软件系统应具有专用登录模块,根据运维人员工作情况分配相应用户;授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系;可根据身份与权限进行访问控制,并可对登录行为进行安全审计。
7.5安全审计
生产控制大区的电力监控系统应当具备安全审计功能或必要的审计手段,能够对操作系统、数据库、业务应用的重要操作进行记录、分析,提供经授权的以及未经授权的行为记录。可对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行集中收集、自动分析。定期检查日志磁盘空间,及时备份和删除日志,
并按照规定留存相关的日志不少于六个月。即时或定期对日志进行分析处理以及时发现各种违规行为以及病毒和黑客的攻击行为。陕西双翼煤化科技实业有限公司目前暂未部署安全审计系统,无法对网络日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行集中收集、自动分析。
7.6入侵检测
电力监控系统生产控制大区及管理信息大区应各部署一套网络入侵检测系统,根据业务需求设臵合理规则以优化入侵检测性能,并制定合理的报警或日志记录方式,入侵检测探头部署于各安全分区核心交换机,及时捕获网络异常行为、分析潜在威胁,每月对入侵检测日志进行审计。陕西双翼煤化科技实业有限公司目前暂未在网络中部署入侵检测系统,无有效技术手段监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
7.7备份与容灾
定期对关键业务的数据与系统进行备份,建立历史归档数据的异地存放制度。重要系统的关键主机设备、网络设备或关键部件需要冗余配臵,或者有备用设备。重要数据应当建立异地存放制度,设臵多个在线备份,同时在重大修改后、重要节假日前、每月对数据进行离线备份。
7.8恶意代码防范