某水利枢纽位于湖北省境内是世界上最大的低水头大流量、径流式水电站,电厂具有发电、改善航道等综合效益。为响应国家网络安全建设同时切实提高电厂网络安全防护能力,规划两期安全体系建设目标,其中一期主要针对网调体系的信息化网络传输系统,构架以网络安全监测装置为骨干的调度网与涉网设备安全信息传输体系;二期项目提出构建电厂二次系统的工控网络安全防护体系,消除电厂不符合等级保护要求的缺陷,提高生产控制系统的安全等级保护水平。
经过前期现场调研交流,发现某电厂部分控制区域出现使用移动存储设备或个人PC与控制系统进行连接的情况,极易造成网络病毒感染的风险。
在终端主机上安装工控主机卫士,禁止与生产运行无关的应用程序或进行恶意操作,实现终端主机的安全管控,减小恶意代码和病毒木马对生产控制的影响。
遵照某电力集团股份公司安全总体规划要求,作为国家关键基础设施的某电厂,依据《电力监控系统安全防护规定》(国家发展和改革委员会〔2014〕14号)、《电力监控系统安全防护总体方案》(国家能源局国能安全〔2015〕36号)、《国家电网公司关于加快推进电力监控系统》(国家电网调〔2017〕1084号)等文件,对某电厂二次系统的工控网络安全防护体系进行升级改造。
经过前期现场调研交流,发现某电厂部分控制区域出现使用移动存储设备或个人PC与控制系统进行连接的情况,极易造成网络病毒感染的风险。在终端主机上安装工控主机卫士,禁止与生产运行无关的应用程序或进行恶意操作,实现终端主机的安全管控,减小恶意代码和病毒木马对生产控制的影响。
通过白名单技术,可有效低于病毒、木马、恶意软件对保障生产控制大区的操作员站、工程师站的攻击于破坏行为,保障生产稳定持续运行。
对工业主机及服务器设备外设接口进行管控,包括USB移动存储设备、光驱、无线网卡、打印机等,限制非法外设接入,阻断病毒传播途径。
能够自动识别工业主机软硬件基础信息,快速统计工业网络中主机资产情况,实现资产属性的统一维护,降低管理成本。