北京燃氣熱電聯產工程 SIS（廠級監控系統）安全防護解決方案

3．廠級監控系統網絡防護解決方案

3.1 廠級監控系統網絡安全區域分析及風險識別

根據調研，熱電廠的廠級監控系統網絡分為三層：

1、火力發電廠管理信息系統MIS區(Management Information System)，

2、廠級監控信息系統SIS區（Supervisory Information System in plant level）

3、現場控制區。

MIS區是企業的上層信息網絡，主要對企業大量的原始管理數據進行收集、整理，支持查詢、分析匯總等方面的工作。

SIS區企業的中間層信息網絡， 是MIS區和各種分散計算機控制系統的橋樑，它既是廠內單元機組DCS和公用輔助車間級自動化系統的上一級系統，又向MIS提供生產實時數據以支持MIS的需要，它集過程實時監測、性能優化及生產過程管理為一體，從而在整個電廠範圍內實現信息共享，真正做到管控一體化。

風險識別：

1、網絡安全防護應遵循區域隔離的原則，單區域或單節點所遭受的病毒感染和威脅不應影響到其他區域的正常運轉，尤其不能影響底層控制系統的正常運轉，目前接口機與控制系統之間無有效的網絡隔離設備，一旦遭到傳播性較強的病毒感染，將造成控制網絡遭到病毒感染。

2、鑒於工控系統信息安全特殊性，各操作員站、工程師站、資料庫集群伺服器等基於Windows系統的節點都存在環境限制所不可修復的漏洞，這些節點都都存在被病毒感染和惡意代碼攻擊的危險。

3、多功能接口站擔負著與第三方計算機系統的大型數據雙向通信的功能，也是與信息網進行數據交換的關鍵接口，為保證數據和系統的安全性，工業防火牆的區域隔離是必不可少的。

4、工控安全管理平台是網絡安全防護重要的組成部分，將及時收集網絡中的報警信息，以此定位網絡故障並查找潛在的網絡威脅，也能夠為系統的安全防護機制和改進措施提供有利依據，而SIS網絡內無網絡通訊報警與診斷平台。

3.2針對分散控制系統風險點的安全解決方案

1、SIS接口機與控制系統間部署工業防火牆，以實現接口機網絡與控制網絡的縱向隔離，充分發揮Guard工業防火牆在通訊協議防護的技術優勢，有效的防止病毒及網絡攻擊。

2、在資料庫核心伺服器集群上部署可信計算安全客戶端，有效的對Windows 系統進行防護，在系統級對USB傳輸介質進行識別和管控，在晶片級依賴可信計算技術對伺服器終端進行主機加固和防護，有效防止計算機後門程序、木馬、病毒、數據掃描、秘鑰數據塊攻擊以及黑客攻擊等多元化的風險和信息安全威脅。

3、在SIS網絡的核心交換機之間部署工控安全審計與異常檢測系統，同時網內配合部署工控安全管理平台，實時對網絡內的安全設備進行管理和監控，及時發現潛在的威脅風險點，及時查找網絡中的故障點，並為系統的安全防護機制和改進措施提供有利依據。

解決方案整體網絡拓撲示意圖如下：

安全解決方案的所實現的目標：

1、 對接口機進行重點的安全風險管控，在不影響系統正常運行的情況下，對所有與接口機的通信進行安全檢測及防護，降低高風險點對整個系統的影響

2、對資料庫核心伺服器集群進行細胞級單體防護，依賴可信計算核心晶片保證資料庫伺服器自身系統和應用的安全，從而降低對整個系統的安全風險

3、以區域隔離的理念對域間進行安全防護，保證單一區域系統所出現的安全威脅不會影響到整個控制系統

4、以工控安全審計與異常檢測系統和工控安全管理平台組成的監測網絡將實時對網絡內的安全設備進行管理和監控，及時發現潛在的威脅風險點，及時查找網絡中的故障點，並為系統的安全防護機制和改進措施提供有利依據