随着“互联网+电力”的深度融合发展，电力生产对现场设备之间的信息互通提出了更高的要求。在两化融合、智能电网大趋势的背景下，电力企业工业控制系统的管理控制一体化、网络化、智能化已是大势所趋。

行业现状

电厂工业控制系统的网络化、智能化在提高生产效率和管理效率的同时，也为恶意攻击者增加了新的攻击途径。针对电力企业生产控制系统的攻击技术和手段不断发展，各种生产控制系统恶意软件以及安全事件层出不穷，使得电力企业生产控制系统面临越来越多的安全威胁和挑战，包括病毒、木马、蠕虫、黑客以及敌对势力等。

风险分析

·针对安全区 I 的工控系统网络中缺少病毒、木马等攻击行为的检测手段。

·多数工业主机操作系统为 WindowsXP 系统，系统进行打补丁不现实，部署杀毒软件与工业应用软件兼容性较差，冲突现象屡有发生。

·在发电厂内部通过网络访问业务系统时无法做到安全审计、事后可追溯。

·对于工控系统目前暴露出来的 2400 多个漏洞，无有效的漏洞整改方案，工控系统处于带“洞”运行状态。

风力发电厂工控安全解决方案

1、通信网络安全

在控制大区网络中旁路部署工控安全监测审计系统，对网络内传输的流量进行字段级解析，建立协议基线、流量基线、链路基线，对异常操作、非法入侵、恶意代码执行等行为进行事中告警、事后审计。

2、区域边界安全

I区和II区间部署工业防火墙，II区和III区间部署电力专用单向传输装置，实现横向隔离，安全分区；同时，部署网络准入控制系统，有效地阻止非法终端接入和违规外联。

3、计算环境安全

部署运维堡垒机，实现设备远程运维操作的全面审计和行为管控，满足远程运维管控要求。在操作员站、工程师站、服务器上部署终端防护系统客户端（也可单机部署），实现终端安全加固、进程白名单管控和USB移动介质管控。

4、安全管理中心

部署安全管理平台，对安全设备、网络设备、主机设备的日志和告警进行归一化采集和关联分析，展现安全态势和预警，全面提升安全防护效率和安全管理能力。

方案优势

1、合规性

满足《网络安全法》框架下关键信息基础设施保护制度要求、网络安全等级保护制度要求、网络与信息安全信息通报制度要求;满足36号文附件4《发电厂监控系统安全防护方案》的有关要求。

2、技术与管理并重

安全不是单纯的技术问题，需要在采用安全技术和产品的同时，重视安全管理，不断完善各类安全管理规章制度和操作规程，全面提高安全管理水平。

3、可视化

实现工控网络资产的可视化管理，动态识别非法接入设备，直观展示工控网络安全威胁。

4、全面防护

从网络、终端、通信、数据、运维、管理等多个层面提供完整的安全防护与管理手段，实现工控网络全面的安全保护。

5、最小干扰

所有安全组件均采用非侵入式安全监测与防护工作方式，可确保将设备对工控网络的干扰降低到最低。

6、多工业协议支持

支持常见工控协议:S7、Modbus、OPC、IEC61850、DLT645、BacNet、CDT、IEC101/102/103/104、CIP、DNP3、MMS、ProfiNet、EIP 等 50 多种工业协议的深度解析。解析深度可以达到功能码、寄存器、读写属性、甚至读写数据的阈值，同时还支持私有协议的定制开发。