2010年发生的“震网”病毒事件,以及之后发生的各种典型工控系统网络安全事件,都充分反映出工业控制系统信息安全面临着严峻挑战。与此同时,我国工业 控制系统信息安全仍存在不少问题,电力工控系统安全防护薄弱,控制协议无安全保护机制,存在安全控制漏洞和隐患,没有针对工控系统的入侵检测及主动预警和 防御体系,一旦电力工控系统出现信息安全漏洞,电力电网的生产运行,国家经济和民生安全将具有不可忽视的重大隐患。
电力工控网络安全解决方案
工控网络入侵检测,工控内网安全监视,网络故障与性能检测。
网络安全 - 电力工控网络无法承受之重
工控网络安全面临的挑战
有国家背景的网络攻击
2010年的“震网”攻击,2015年的乌克兰大停电事件都是有明确目的的攻击行为。多起针对工业控制系统的安全事件均表明,安全威胁背后是一些具有国家背景的,有着明确目的的黑客组织。
新型木马、蠕虫病毒入侵
“震网”病毒事件,以及之后工控安全事件的病毒层出不穷,它们往往采用0day漏洞,及多种先进攻击手段,使得传统的入侵检测方案防不胜防。
工控设备缺少及时的更新维护
工控设备采用的操作系统、数据库往往没有进行例行升级,导致工控系统存在被nday漏洞攻击的风险。
工控从业人员缺乏安全意识
工控网络安全目前在国内还是起步阶段,工控从业人员还没有形成完整的网络安全意识,在缺乏有效防范手段的情况下容易早晨不可挽回的损失。
科来电力工控网络安全解决方案
科来电力工控行业安全解决方案由三部分构成:前端探针、分析中心、控制台。方案采用双C/S技术架构设计,由前端探针、分析中心、控制台构成多层体系。以分析中心为核心,实现从全流量的采集、识别、检测,诊断、回溯分析至存储的完整过程。整个系统将数据处理的过程分为三个层次,第一层是数据采集层,由前端探针负责单向采集工控网络原始通讯数据;第二层是分析处理层,由分析中心进行前端探针数据汇总、存储和分析处理;第三层是用户层,由控制台提供人机交互接口,实现监控、数据查询和分析;
前端探针
分布式多点部署,每台设备配有采集口、管理口、大容量存储介质及状态自检显示屏。其负责工控系统业务网络通讯数据采集并做持续存储,实时将原始数据包上报至分析中心汇总。
分析中心服务器
分析中心负责收集所有探针节点上报的数据包并做长期保存。对工控系统全流量通信数据进行入侵检测分析和安全审计,同时提供回溯挖掘功能,深入展现数据细节及关联关系,为安全事件追溯提供数据依据。
控制台
控制台提供人机交互界面,用于连接分析中心并实时展现入侵检测事件及各类分析结果。同时还提供数据包下载与专家分析组件,可对安全事件数据做精细分析。网络管理员通过操作控制台实现全局监控及入侵告警、报表查阅等功能,能实时查看到分析中心分析的各项数据,及时掌握工控系统的网络工作状况,对故障处理和安全入侵事件做出快速响应。
方案价值
工控网络入侵检测
科来工控网络入侵检测系统具备高效的入侵行为特征库,能对工控网络通讯中的协议、应用、通讯行为提供深入准确的分析,能进行高效的规则检测与安全诊断,及时捕获网络异常行为,发现网络入侵行为并分析检测出潜在的安全威胁。
政策合规性检测
通过对工控网络关键节点的数据采集、识别与分析,以“电监会14号令”作为检测依据,检测出工控网络中的异常流量,及时发现非法外联、非法接入、非法通信协议数据等网络安全问题。
工控协议合规性检测
对工控系统网络通讯进行高性能实时识别,对协议通讯内容进行鉴别与合规性检查,及时发现协议违规使用、命令越权操作等各种异常行为并进行报警展示。
工控内网安全监视
对工控系统网络全流量的采集,识别,存储与诊断,能够通过异常的网络流量识别发现非法外联,异常的网络应用和通讯行为,进而发现工控内网中存在的安全隐患。通过深入的分析加以甄别判定,全面掌握内网主机、设备工作运行状态。
网络故障与性能检测
检测中心能够发现网络中的广播风暴、数据包异常等网络故障。同时对网络会话性能进行分析检测,甄别检测网络会话性能问题。