新闻资讯 News information

案例精选丨某大型能源企业态势感知系统建设

发布时间:2019-11-18

对于工业集团企业来说,轻轻点击鼠标就可以轻松掌握集团及下属单位的工控系统全网信息安全实时态势,这对于集团管理者来说,应该是非常理想的管理状态。现在就跟随本文一起,详细解析博狗bodogAG 如何帮助某大型能源企业实现这一目标。

1项目背景

某能源公司是某电力集团公司的区域性全资子公司,现有30余家成员单位,资产总额超过700亿元,正式员工一万余人。该公司是集团公司旗下首个产业集群,是一个集煤炭、火电、新能源、电解铝等产业一体化协同发展的大型综合能源企业。

微信图片_20191118110931.png

该能源公司为满足国家相关政策规定,提高自身工业控制系统安全防护水平,同时考虑到自身网络安全生产监测方面存在一定的不足,在集团侧无法有效直观的获取各厂级的网络安全态势,决定对公司及下属电厂进行安全防护建设。经过对多家安全企业多维度进行对比,层层筛选,专注于工控安全领域的博狗bodogAG 脱颖而出,凭借在电力行业丰富的安全防护建设经验和专业的技术服务水平,赢得了能源公司的认可,最终双方达成合作。

博狗bodogAG 高度重视本次合作,专门成立技术专家团队深入能源公司进行工控安全现状评估,结合能源公司现状,最终确定在能源公司及下属电厂同时建设,构建下属电厂、集团二级监控体系。在下属电厂电力监控系统内部署探针和防护设备,实时采集网络内流量信息,把非法操作、非法协议、非法指令等安全事件分析结果以及后台分析的流量数据实时发送到集团侧生产安全集中监测系统内,实现对电厂工控系统安全态势的集中监测。

2项目难点分析

电力是关系国计民生的重要基础产业,也是关系千家万户的公用事业。电力的安全、可靠供应事关经济发展、人民生活和社会稳定,保障电力系统安全是国家安全的重要组成部分。近年来,我国高度重视电力控制系统安全,国家能源局出台《电力监控系统安全防护总体方案》明确要求,提高系统整体安全防护能力的要求。

博狗bodogAG 技术专家团队仔细对能源公司进行现场检查,发现其各类工控设备繁多,网络拓扑不清晰,位置偏远,环境复杂;现场需要对交换机进行镜像操作,而这些交换机所在的网络大部分是在线运行状态;正在运行的各种设备,有很大部分投入使用的时间久远,对于重启等常见操作存在风险。对于同时建设的生产安全集中监测系统,需要对数据跨区域及网路传输增加专用的隔离装置,工业现场使用的专用通信协议或规约,系统兼容性差、软硬件升级较困难,在实施过程中可能面临不可预料的中断,造成经济损失或灾难。

面对这种情况,博狗bodogAG 要基于相关政策要求,在不影响生产业务正常运行的前提下,完善电力生产控制及其信息安全体系框架,难度非常大。博狗bodogAG 技术专家团队经过前期细致研究,凭借丰富的电力行业项目经验,针对项目可能存在的风险,对方案进行反复探讨,多次修改,最终形成了一套成熟的、自主可控的建设方案。

3项目方案

本项目主要针对能源公司工控系统网络信息安全监管实际需求,依托已有技术基础和设施,通过开发、采购、实施建设,建立对电力生产企业“零”影响、自动化、可扩展的工业控制信息安全集中监测平台。包括:

◇ 开发工业控制系统多类型数据采集探针,包括:边界采集探针、网络内部采集探针、日志采集探针等,实现对电厂工业控制系统内部多元化数据采集,数据类型包括:运行状态与性能数据、日志和安全事件、原始流量镜像包、网络流量元数据,设备资产信息、拓扑信息、配置信息、弱点信息、用户身份信息、威胁情报信息等;

◇ 构建基于大数据的多源异构海量数据存储分析平台,对探针采集的不同类型异构数据进行关联分析,通过大数据分析和人工智能等技术,对采集的告警和日志进行智能关联分析,快速、精准的定位安全威胁事件,并对特定威胁事件进行溯源分析。

◇ 完成可视化威胁分析展示技术研究,与数据采集探针、数据分析平台充分结合,最终形成一体化态势感知平台。

3.1 核心技术路线

项目采用“一个中心、三重发现”的建设理念,其中一个中心是指集团级工控安全集中监测平台,三重发现是指发现工控网络区域边界、网络通信、计算环境安全问题的能力。

image002.png

使用先进的大数据挖掘分析技术,基于各种安全数据和日志信息,通过数据分析构建工业场景的各种行为模型,实现对通用的工业控制网络和安全大数据的有效建模,构建工控安全健康指数计算方法,实现对实施安全态势的量化展示和分析。

基于对被监测对象流量、日志、告警的收集,通过多样的标准接口方式把数据上送至数据存储和分析层,进行原始安全数据的整合、分析,支撑上层应用服务,如风险分析、异常检测等,最终实现对全网整体工控安全态势的可视化展示、安全预警及知识库管理。

3.2 部署方案

部署方式:部署电力监控系统网络探针,完成区域边界和网络通信旁路监测审计。

部署电力监控系统内的探针,通过各机组DCS系统、SIS系统交换机端口镜像功能旁路部署,实时采集网络内流量信息,把非法操作、非法协议、非法指令等安全事件分析结果,以及后台分析的流量数据实时发送到集团侧态势感知系统内。

image004.png

安全生产集中监测管理系统的采集探针逻辑架构划分为数据采集层、分析检测层。

部署示意图:

image006.png

DCS系统部署方式:

image008.png

通过DCS系统交换机端口镜像功能旁路部署生产安全监测平台网络采集探针。

在DCS系统的操作员站部署生产安全监测平台主机采集探针。

在DCS系统网络内部署生产安全监测系统汇聚平台,该平台通过新增防火墙与部署在SIS系统内的生产安全集中监测平台进行数据交互。

SIS系统部署方式:

image010.png

通过SIS系统交换机端口镜像功能旁路部署生产安全监测平台网络威胁感知探针。

在SIS系统网络内部署生产安全集中监测系平台,该平台通过新增防火墙与部署在DCS系统内的生产安全集中监测汇聚平台进行数据交互。

信息管理大区部署方式:

image012.png

部署在SIS系统内的生产安全集中监测平台通过正向隔离装置与部署在信息管理大区的生产安全监测装置监控服务器进行数据交换。

3.3 展示方式

生产安全集中监测管理平台通过整体概览、发电企业安全事件、发电企业电力监控系统各类资产安全等视图,全面展示从资产的各类网络安全现状。

◇ 整体概览视图,本视图旨在向管理者直观表达企业当前安全状况,包括整体安全视图、各板块安全视图、子分公司安全视图、生产单位视图。视图通过饼图、柱状图、趋势图等形式展示电力监控系统安全健康指数、各发电企业资产漏洞暴漏情况、当前告警(TopN)等信息。

◇ 在整体页面点击“健康指数”或“拓扑视图”进入发电企业安全事件视图。该视图提供了更专业的展示角度,通过企业网络拓扑结合电力监控系统网络安全要求、合规情况(如是否存在网闸、纵向加密装置、横向隔离设备)、网络连通情况等信息进行展示。

◇ 对于整体视图的告警信息和发电企业安全事件的高亮闪烁,点击进入后可在电力监控系统各类资产安全视图查阅具体信息,如相关资产的告警信息详细内容(如源IP、目的IP、协议类型)、网络连通情况、存在安全问题等详细资产信息。

image014.jpg

3.4 应急预案

针对项目情况,博狗bodogAG 做了充分的安全防护应急预案。例如在操作员站、工程师站部署管理平台、审计平台、入侵检测设备及主机加固等安全防护设备。在对工控系统操作站安装软件前进行病毒查杀,并利用白名单技术,保障软件正常运行时,阻拦不在白名单库内的所有可执行文件等。除此之外,博狗bodogAG 针对可能存在的实施风险,采取了多项风险控制措施,包括系统备份、设备先开启告警模式等。博狗bodogAG 的应急预案及风险控制措施,有效降低了实施过程中可能存在的安全风险,保障项目的顺利完成。

4小? 结

项目实施过程中,双方积极配合,博狗bodogAG 严格按照质量管理体系文件的标准建立了质量保证体系,并根据工程实际建立了质量管理组织机构,编制了施工组织设计,使工程质量得到有效预控,最终,如期保质的按照施工计划圆满完成了施工任务,得到了能源公司的一致好评。

与此同时,能源公司通过项目实施,使其工控网络完全满足了相关行业监管要求,实现了工控系统信息安全的主动管理,掌握了工控系统全网信息安全实时准确态势,加强了工业控制信息安全集中监测能力,最终大大提高了其整体工控系统安全防护建设水平。


博狗bodogAG 官方二维码

扫一扫关注我们博狗bodogAG 官方网站 来了解我们更多资讯

地址:北京市海淀区上地三街9号嘉华大厦F座901室
邮箱:support@zhoumogouwu.com
微信公众号:winicssec_bj
4000-680-620 24小时服务热线