水电厂工控系统常规网络安全防护

中国电力云平台

发布时间:09-0717:26

中国电力云平台 已经组织了数十期的公益《智慧电厂论坛》,线上、线下参会电厂已达数千家,接着上一期分享的内容,下面分享一下水电厂工控系统常规网络安全防护:

第一,人员的技术能力。人员技术能力方面我觉得体现在两方面,一方面,刚刚讲的,那么多的法律法规,相关的人员如何去掌握这些相关的法律法规、指导性文件和标准规范,落实到具体防护措施,就是做什么。从事10多年的安全防护工作,从业人员有两种态度,一种态度是盲目上马,有要求我就做,至于做了这个东西它有没有起到真正的防护作用,对现有系统的影响不关心,没有做评估,这是比较激进的态度。一种是比较保守的态度,我上这个系统首先要确保这些设备是不是影响系统本身的运行,防护措施应该适当,但是也足够,基于这么一个考虑。

第二,人员专业技术能力。从业人员中要求有熟悉计算机信息技术,根据网络安全状况实时配置防护设备,相关人员需了解计算机比较细节的问题,将管理要求与技术细节有机融合,这个也是需要加强的,实现“网络安全”怎么做。

第三,具体说来,就是涉及到针对这些法律法规,要上马的软硬件的手段与措施,怎么样去配备适当和足够的安全防护设备,要掌握这些防护设备的性能和特征,一个是效果评估。最早开始网络安全防护工作时,很多安全装置对用户来说就是一个黑匣子,只能由厂家说具备什么功能,具体怎么配置用户不清楚。近年来经过多轮的检查,监督部门工作也更细致、更具体了,这是会逐渐发现,有些安全防护设备上了只是说上了,它的配置有可能都不是正确的,并没有起到真正的安全防护作用,这个情况也是有的。还有的安全防护设备,本身就违背了我们安全防护的理念,应用的是那些应用和技术,是控制系统所不允许的,这种情况都屡见不鲜。

我们的具体做法:

第一个,在组织层面要做好顶层设计,因为光靠生产单位的某些个人的能力,是没有办法做到融会贯通的,需要在公司层面,深入学习、领悟相关的法规指导性文件,逐步出台相关管理规定。这个工作我们做了有几年,方案在逐步完善中。去年开始,三峡正在开展的一个项目,希望通过这个项目的实施将我们常规的安全防护手段和一些先进的安全防护理念结合起来以后形成一个比较完善的水电厂安全防护顶层设计方案。

第二,在技术方面,组织编制一些具体的作业文件。像《主机设备加固手册》指导性文件,电厂开始就做过尝试,后来到公司层面,最近南网也下发了一个跟我们类似的包括主机加固与病毒查杀的指导文件,这类型的操作文件非常有用,因为在现场要非常了解计算机相关技术、了解每一个端口有哪些漏洞,这些是不太可能的,只有通过这些细致的文件,现场兴业人员可以照章实施,真正的把网络安全做到实处,也便于分部层级的技术人员能力的提高。

加强安全防护设备厂商的要求,确保安全防护设备的有效性。初期有些安全防护设备配置都不是很正确,运营单位也没有去做管理,目前《网络安全法》里面对设备供货商也有要求,这个是我们今后要加强的。

要加强对我们从事信息安全相关人员的培训,提高全员的安全意识与防护能力,具体需要从理解相关的标准规范和熟悉信息系统技术两方面,对信息系统的从业人员做一个提高。

第三,管理制度落地。从事网络安全管理工作十多年,管理制度经历了从无到有、从简单到全面、从单纯的设备维护职责到本单位和外部单位的维护发展过程,开始的时候管理制度仅针对计算机系统,计算机房有一些管理规定,但是这些规定对网络安全方面存在很多漏洞,所以目前我们的管理制度,需要制定涵盖包括从业人员管理、外单位的一些保密类的相关规定,同时管理制度还要设计一些流程性的可控的要求来保证管理规定的落实。举个例子来讲,像对于信息系统外委单位,就要在项目合同中签订保密合同;对于从业人员,对于离职的,需要在离职流程单中增加相关的权限取消的步骤,未实施相关步骤,离职流程走不下去,从流程管控方面就保证我们的管理制度真正的落地。关于网络安全管理的机构,目前水电厂大多有所欠缺,网络安全管理工作都是以兼职为主,基本上网络安全管理工作就是由自动化的、计算机专业的人员负责网络安全管理工作,在公司层级明确信息化工作部门将网安全管理工作给管起来了。

对策方面,第一个,制度体系要全面,要涵概人员管理、资产管理、信息系统建设、安全管理、运维管理、培训教育各个方面,在公司层面和生产单位要建立信息安全的组织机构,配备必须的专职人员,明确兼职人员的职责和规范,

每个单位都会有网络安全领导小组和工作小组。

将网络安全工作和常规安全工作一同检查与考核,建立网络安全考核细则,因为网络安全工作有很多是需要做到细处的,只有落实到细处以后才能保证真正的没有缺漏。规范设备运维行为,对运维单位有一个全生命周期管理的要求,网络安全协议的要求。

第四,移动介质管理。在我们运维过程中不可避免的要使用到的计算机、U盘以及计算机设备、交换机控制的端口,移动介质是电站安全防护中最大的漏洞,目前公司制订了生产专用便携机与移动介质管理的措施,严格规范生产控制区使用的标准。通过醒目的颜色区分哪些介质或者哪些设备可以用在生产控制区,通过详细的记录确保所有的操作都是有据可查,从而对照检查使用过程是不是规范的。

对系统中空闲的网络端口、USB端口,通过两种手段,一种是技术手段,在系统中禁用,或者物理措施,通过端口锁的方式予以封闭。对于一些因工作需要保留的端口,都要有记录。只有通过细致的管理行为才能够防范这些安全防护中的难点。

返回顶部