分散控制系统安全防护汇总.ppt

四、DCS安全防护措施 ◆ 防火墙 ? 布置在安全区I与安全区II之间，实现两个区域的逻辑隔离、报文过滤、访问控制等功能。在SIS与下层控制系统之间，视情况可安装防火墙 ? 优点是技术成熟、适用性强、效率高、可选择性好、使用维护方便；不足之处是不能彻底避免安全漏洞，不能防止由于应用程序安全隐患带来的问题，无法抵御通过电子邮件等途径传播病毒，对未知的攻击和病毒不能提供有效防护，不能彻底保证内部网络信息的安全，不能满足电力监控系统等核心系统或敏感信息的安全和保密需求。 四、DCS安全防护措施 ◆ 物理隔离装置 ? 内部信息网络不和外部信息网络相连、从物理上断开 ? 优点是安全强度高（绝对隔离），没有穿透性传输控制协议（TCP）链接，能真正做到防攻击、防病毒，针对性很强。缺点是通信效率受限、使用维护较复杂、必须针对具体设备专门开发和改造通信程序，在SIS与DCS间加装单向物理隔离装置后，类似OPC（OLE for Process Control）等标准接口将无法采用。 四、DCS安全防护措施 电力专用安全隔离装置作为安全区I/II与安全区III的必备边界，要求具有最高的安全防护强度，是安全区I/II横向防护的要点。 其中，安全隔离装置（正向）用于安全区I/II到安全区III的单向数据传递，允许通过的数据为：实时、电量等数值型数据；文本、报表、网页、图形等文件等。 安全隔离装置（反向）用于安全区III到安全区I/II的单向数据传递，允许通过的数据为：计划值等数值型数据；文本文件等。 四、DCS安全防护措施 机房安全 ? 应建有专门的SIS机房，存放SIS交换机、数据库服务器、工作站、防火墙、物理隔离装置、接口计算机等SIS设备。SIS机房也可与DCS工程师间共用，或设置在电子间内，但必须统一考虑散热、空调、电源、防火等 ? 当SIS与MIS共用同一房间时，要在房间内设置封闭的SIS机房，将SIS设备集中放置，SIS机房具有严格的管理制度 ? 机房门禁系统 ? 满足国家标准《电子计算机房设计规范》（GB50174-93）及其它相关标准的要求 ? 机房监控摄像系统 四、DCS安全防护措施 安全管理 ? 《中华人民共和国计算机信息系统安全保护条例》 、电监会《电力二次系统安全防护规定》 、国家电网公司在《关于加强网络与信息安全保障工作的意见》 等关于网络安全管理都有明确规定 ? 谁主管谁负责，谁运营谁负责 ? 建立电力二次系统建立健全信息安全管理责任制估制度 ? 联合防护和应急机制 ，制定应急预案 ? 建立健全信息安全管理责任制 四、DCS安全防护措施 ? 建立完善的安全分级负责制 本着“谁主管，谁负责”和“谁经营，谁负责”的原则，落实发电厂信息系统的安全责任。 设置发电厂信息系统安全防护小组或专职人员。 ◆ 组织建设 ? 明确各级人员的安全职责 发电厂的主要负责人为该单位所管辖的信息系统安全防护第一责任人 指定专人负责管理本单位SIS系统 四、DCS安全防护措施 ? 保密制度 ◆ 制度建设 ? 环境安全制度 ? 出入管理制度 ? 操作与维护制度 ? 日志管理及交接班制度 ? 器材管理制度 ? 计算机病毒防治制度 四、DCS安全防护措施 ? 建立并细化信息安全应急预案，对潜在的突发事件和重大操作失误，事先要有预防措施、应急处置程序和恢复控制办法，保证关键业务和重大经营活动的连续性；定期进行应急预案演练，检验其可操作性和效果 ◆ 信息系统安全预案 四、DCS安全防护措施 安全评估 ? 安全评估必须聘请经过有关机构认证具有资质的单位进行； ? 安全评估的内容包括：风险评估、攻击演习、漏洞扫描、安全体系的评估、安全设备的部署及性能评估、安全管理措施的评估； ? 安全评估过程的任何记录、数据、结果均不容许携带出被评估单位。 四、DCS安全防护措施 ? 对新建的发电厂信息系统必须在建设过程中进行风险评估，并根据评估结果制定安全策略； ◆ 安全评估过程 ? 对已投运且已建立安全体系的系统定期进行漏洞扫描，以便及时发现系统的安全漏洞； ? 对安全体系的各种日志（如：入侵检测日志等）审计结果进行认真的研究以发现系统的安全漏洞； ? 定期分析本系统的安全风险及漏洞、分析当前黑客非法入侵的特点，根据分析及时调整安全策略。 目录 安全的概念及安全系统工程 1 发电厂信息安全及防护规定 2 DCS及SIS安全分析 3 DCS安全防护措施 4 DCS与SIS工程应用实例 5 三、DCS及SIS安全分析 三、DCS及SIS安全分析 三、DCS及SIS安全分析 已经建立SIS系统的电厂 三、DCS及SIS安全分析 尚未建立SIS系统的电厂 二、发电厂信息安全及防护规定 ◆ 发电厂网络互联、信息共享、管控一体化，网络与信 息