安盟信息发布热力公司安全防护解决方案

　热力行业是关系到国计民生的关键基础设施行业。近几年，在国家相关法律政策大力提倡“节能环保”的大背景下，集中供热作为一种节约能源、减少环境污染的供热方式已经逐步成为了我国城镇的主要供热方式，我国个地方城市集中供热产业也得到了快速发展。

　　系统介绍

　　供热系统主要由热源、管网、用户组成的一个复杂的系统。从热生产到输送、分配、使用整个过程中都存在着不同程度的热损失，这其中都不同程度的需要适用的自动化、信息化产品在其间发挥重要的系统调控作用。在热生产的锅炉房控制系统、输送热网的控制系统信息化建设中灵活运用网络技术、变频技术、DCS技术和PLC技术，并结合供热系统的特点来实现系统的自动化控制，提高供暖品质。

　　热力公司风险分析

　　？ 通信协议漏洞

　　工控系统组态团建、PLC嵌入式系统等在设计过程中主要考虑可用性、实时性，对安全性考虑不足。

　　？ 操作系统漏洞

　　大部分控制系统的工程师站、操作员站及服务器在正常运行的系统中很难安装相关补丁，存在被攻击、被入侵的可能。

　　？ 网络互联带来的安全风险

　　在企业实际应用环境中，许多控制网络都是“敞开的”，比如收费系统、地图信息、WEB发布、天气预报等，系统初链接内网外，还需要链接互联网进行数据交互，在各控制系统和区域边界缺乏有效的安全审计、入侵监控等策略和机制，无法实时发现和应对来自系统内部和外部的非法访问和恶意攻击，尤其是基于OPC Modbus、WEB端访问等开放通信协议的工业控制网络，黑客一旦控制该系统中的某一网络节点，就可能导致生产运行的瘫痪。

　　热力公司安全防护解决方案

　　1)采集及服务器群隔离防护

　　在热力公司服务器群边界处推荐部署安盟华御工业安全隔离装置(俗称“工业网闸”)，实现分层级的安全防护，抵御已知与未知威胁。安全隔离装置除适配TCP/IP协议外，还要支持OPC、Modbus、DNP3、IEC104、IEC61850、MMS、S7、电力单向无反馈等;支持对工控协议的深度解析，实现对功能码、线圈值、值域范围等参数的控制，业务数据流单向传输。

　　2)互联网边界防护

　　在整体网络边界推荐部署安盟华御下一代防火墙，同时开启IPS、防病毒、URL等过滤功能，对来自互联网的风险进行统一拦截。

　　3)网络安全审计

　　在安全管理中心推荐部署安盟华御安全审计系统及入侵检测系统，快速识别出办公网与工控系统中非法操作、异常事件、外部攻击等，并实时报警。

　　4)主机安全防护

　　在工程师站、操作员站推荐部署安盟华御工控主机卫士，防止用户的违规和误操作、阻止不明程序、授权移动存储介质访问权限等，有效提高工控网络的综合“免疫”能力。

　　5)安全运维

　　推荐部署安盟华御堡垒机，实现业务管理员、运维管理员和第三方服务人员的系统运维操作管理和审计。实现对运维人员的系统登录授权、系统密码代维、操作指令限制、操作全程录屏审计等功能。

　　6)安全管理

　　在安全管理中心推荐部署安盟华御安全管理平台，完成设备实时信息收集，实时监测终端设备的通信流量和安全事件。进行不间断地安全事件关联分析，强大的一体化安全管控功能界面，多视角、多层次的管理与态势感知视图。

　　目前，安盟信息的本方案和相关产品已经成功应用于山西晋城热电厂、河北诚峰热电厂、华能集团轮胎电厂、金山集团沈阳市金山电厂、中国华电集团广安市华电电厂、大唐新能源兴安盟电厂、蒙泰煤电集团鄂尔多斯电厂、大唐国际发电集团唐山陡河发电厂等众多相关单位，并得到了大家的认可。未来，我们将不遗余力地为热力行业网络安全事业添砖加瓦。