行业痛点:
中国的电力网络已经成为当今世界覆盖范围最广、结构最为复杂的人造科技系统。随着国家和各部委颁布了一系列法律法规,如国家颁布的《中华人民共和国网络安全法》、工信部颁布的《工业控制系统信息安全防护指南》、发改委颁布的14号令《电力监控系统安全防护规定》、国家能源局颁布的《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》,凸显了电力行业的网络安全防护工作的重要性。基于电力行业IT基础设施自主化替换的迫切要求,也随着“智慧电厂”和“坚强智慧电网”的提出和实施,亟需推出智能化、网络化、高性能化和集成化的电力二次设备的解决方案。
公司根据《变电站数据通信网关机技术规范》相关标准采用飞腾+紫光FPGA处理器研发的硬件产品可满足电力行业要求的通讯管理机、网关机、智能远动机、在线监测、网络分析记录仪等产品要求。 产品国产化率达到95%,根据客户要求可做到100%器件国产化。产品支持中标麒麟等国产化操作系统。
方案详情:
电力的二次设备,是指对一次设备进行监察、控制、测量、调整和保护的低电压设备。包括测量仪表、控制与信号器具、继电保护装置、自动远动装置、操作电源、控制电缆、溶断器等设备。电力二次设备建设需符合网络安全等级保护及国家能源局电力监控系统安全防护总体要求,在遵循”安全自主,智能控制、横向隔离、纵向认证”的原则上,从本体、结构、行为、管理四个角度来实施二次设备的建设。目前,飞腾公司与国内主要二次设备和信息安全生产厂家,共同提出了基于电力领域智能二次设备组网、传输、信息交互、信息安全防护的解决方案,如下图:
各组成部分的功能如下:
继电保护装置:国内主流二次设备厂商推出的基于飞腾CPU的智能工业产品,可以有效实现继电保护装置的通信、预警与自动保护命令等功能。
故障录波系统:基于飞腾CPU的录播系统可有效记录故障全过程中线路上的三相电流、零序电流的波形和有效值,母线上三相电压、零序电压的波形和有效值,并形成故障分析报告。同时给出此种故障的故障类型,可以查看电流和电压的幅值与相位、本侧保护的动作时间以及线路两侧高频保护收发信机发信和停信的时间、断路器分合时间等。
TTU产品:基于飞腾CPU的TTU可以有效用于对配电变压器的信息采集和控制。
通讯管理机(通讯服务器):连接在继电保护、录波装置,把继电保护和录波装置等设备自有通讯协议转换为以太网协议。
主机防护系统:部署在上位机和基于飞腾CPU的服务器上的防护软件,用于加强系统安全措施,封堵系统漏洞,杀灭病毒或恶意软件,可限制恶意软件等通过U盘等移动介质传播。上报设备软硬件配置变化、输入密码失败等安全事件。
防火墙:针对工业控制系统的边界隔离和安全防护产品,也可部署在关键的DCS、PLC、SCADA系统前方,除了通常防火墙的访问控制、审计、VPN、DOS攻击防护等功能外,还支持OPC、Modbus TCP、S7、IEC104、EIP等主流工业协议,用于不同安全级别的区域内的隔离。自身采用工业级硬件平台,具备宽温、抗电磁干扰、适应恶劣环境等特性,能有效保护自身和被保护系统安全,防火墙产品已经基于飞腾CPU的服务器完成适配。
交换机:适用于工控环境的交换机,用于连接相同安全级别的区域内的设备,本身具有内置防火墙、访问权限控制、强化的操作系统以保护自身安全,支持报文过滤、MAC绑定等功能加强网络安全,具有SNMP协议接口、日志记录、端口镜像等功能以支持其它安全设备的监控和审计功能。
入侵检测:一般在交换机旁边,与交换机一对一部署,采用旁听方式,不影响现有业务,其分析网络流量来发现网络异常和攻击行为。在攻击发生时可与交换机和防火墙设备联动,阻断攻击连接,可存留证据。判别攻击的门限可通过自学习自动调整。还可统计所在局域网的流量性质和分布,协助管理员了解安全形势。届时,二次设备厂家均基于飞腾推出了交换机和入侵检测设备。
网闸:基于飞腾CPU的网闸,内部包含两个主机模块分别连接内外网,两模块之间没有直接连接,只支持文件传输、数据库、视频流等少数协议,传输数据以纯数据块形式在两个主机模块间“摆渡”,保证攻击报文、非法连接等无法通过。并且还支持通常防火墙的访问控制、攻击防御、内容过滤等功能。
可信终端:此类终端是指基于飞腾CPU的台式机、服务器、网安设备、工控设备,除了原有功能外,CPU内置可信模块,可保证关键硬件、BIOS、操作系统不被篡改。在运行时能不断检查设备安全状态,在管理平台协调下上报状态、动态调整防护策略。相当于为设备本身增加了一层坚实的保护壳。
统一安全管理:用于对网络中的安全产品和安全事件进行集中管理,被管理产品包括边界隔离、网络监控、主机防护、入侵检测、运维管理等,实现安全策略统一配置,运行状况全面监控,安全事件实时告警。帮助用户掌握网络的安全状况,降低运维成本。
可信管理平台:用于管理系统中的可信终端,可收集各节点运行情况,对所有节点的状况关联分析,发现攻击行为时告警。安全策略可统一下发,可动态学习和调整。通过把可信终端组织起来,加强了防御的灵活性和有效性。
漏洞扫描:又称为“威胁检测”、“安全合规分析”,用于定期对常见的SCADA、组态、HMI、PLC、DCS、应用系统、数据库等进行扫描,借助规则库和多种扫描手段组合,确定弱点和漏洞位置,查找不符合政策规范要求的情况,给管理员提供修补建议。另外借助完善的设备指纹库,能在扫描的同时搜集设备信息和,协助资产管理。
运维审计:为了解决运维人员登录方式复杂、密码难记、操作难回溯的问题,该设备提供单点的登陆接口,简洁的登陆方式(如手机扫码、指纹等),运维人员能通过此设备操作内网其它设备,同时有精细的权限管理,所有操作有记录,可回放,违规操作有告警。
态势感知:通过在网络的各个部位布置探针应用把全网的流量大小、去向、类型,统一汇集到网管中心,用大数据的手段加以分析,可以得出网络的负载状况、健康状况,还可发现攻击威胁的走势,并且将这些趋势和风险用图表形式实时显示出来,使管理员能清晰地知道整个网络的状态。
日志分析:对各系统的日志进行收集和集中分析,了解设备运行状态,识别存在的安全事件,提高系统安全防护能力。并提供历史日志查询、安全告警的功能。
以上几个部分整合起来构成电力二次设备建设和使用的生态中心,该中心通过工业交换机、专用防火墙等网络设备相连。具有高智能化、高集成化、高业务处理能力等特点,满足电力工控设备及系统的安全自主、智能控制、横向隔离、纵向认证的要求,即使在业务网络受到攻击时仍能保证正常安全工作。