聚焦電力監控系統內控安全,防範惡意程式碼“觸電”

綠盟科技發表於2020-10-10

電力監控系統包括排程主站、發電廠、變電站、輸配電和電量採集等業務環節,具備“點多、線長、面廣”等特點,以下類別惡意程式碼在傳播、活躍期間常會“觸電”。

聚焦電力監控系統內控安全,防範惡意程式碼“觸電”

電力監控系統的安全防護是複雜的系統工程,其總體安全防護水平取決於其最薄弱點的安全水平。雖然電力企業已具備傳統的惡意程式碼基礎防範能力,但普遍對電力監控系統的適用性不強,無法滿足電力監控系統內控安全需求,如:電力監控系統工業控制場景下的惡意程式碼監測分析能力;國產作業系統自身安全免疫能力提升;以及針對電力監控系統特有網路協議(如IEC104、IEC61850等)的惡意檔案樣本分析還原能力。

1.  惡意程式碼防護防範現狀分析

資訊科技應用創新帶來的新一輪更替

電力企業建立基於自主可控的底層架構和標準,陸續開展軟硬體更新迭代程式。傳統的存量安全產品相容性、協議適配、底層生態無法滿足未來發展需求,如何促進安全產品底層能力提升,上層業務擴充已成需要思考的新問題。

網路架構的天然侷限性

由於電力監控系統的網路封閉性,導致防惡意程式碼系統的病毒庫和行為規則庫等更新依賴於人工,存在更新升級時效性慢、執行維護效率低等問題。亟待需要實現統一集中管控,邁向簡單化、智慧化的更新升級模式。

聚焦內控安全,完善防範機制

電力監控系統業務穩定性往往直接關係到安全生產,一旦出現故障,後果極其嚴重。亟待形成事前預警、事中防控、事後溯源分析能力。統一規範安全裝置上線前的檢驗和業務影響範圍檢驗是非常關鍵的環節。

2.  如何防範惡意程式碼“觸電”

結合電力監控系統惡意程式碼防範現狀,構建預防為主、防殺結合的惡意程式碼長效管理與應急處理機制,全面落實“早發現、早報告、早隔離、早防殺”的防惡意程式碼工作原則,提高快速反應和應急處理能力。

綠盟科技惡意程式碼防護體系聚焦內控安全,從事前、事中、事後三個階段防範惡意程式碼“觸電”。在終端側針對多種型別的國產作業系統進行惡意程式碼防範,增加系統自身免疫能力;在網路側進行惡意程式碼流量檢測分析,確保防護工作不留死角;並設計安全分析中心、安全管理中心,強化終端、網路威脅關聯分析,綜合分析攻擊源頭,快速定位受害區域,動態展示惡意程式碼攻擊事件的分佈情況。

聚焦電力監控系統內控安全,防範惡意程式碼“觸電”

事前監測預警

1)惡意流量監測分析:監測分析網路流量中的惡意入侵行為,發現並還原電力監控系統網路流量中的宏病毒、木馬程式、蠕蟲病毒、惡意指令碼、後門軟體、勒索病毒等。

2)高階威脅分析:進行未知威脅分析,能夠有效檢測網路流量中未知的惡意軟體,發現利用0day漏洞的APT攻擊行為。如敏感資訊洩露、基礎設施破壞等。對於保障電力監控系統的執行連續性和完整性有著極為重要的意義。

事中威脅防護

1)採用終端免疫查殺防護:對主機中的程式、檔案、病毒樣本等進行惡意程式碼檢測,並具有實時防護功能,主動阻止惡意程式碼的訪問、傳輸和執行。

2)安全管理中心:根據電力監控系統管理職能需求,配套實現多級安全管理模式。根據分析中心關聯分析結果,能夠對終端免疫防護程式進行集中配置、策略下發和檔案防護配置,可動態調整安全防護策略,實現“事中”威脅事件防護統一管理。

事後追蹤溯源

安全分析中心:惡意程式碼防護體系的中樞大腦,能夠對惡意程式碼事件實時監視和線上分析,利用大資料分析技術,為惡意程式碼事件追蹤溯源提供技術支撐。

3.  惡意程式碼監測系統部署意義

3.1 滿足安全合規

綠盟科技的惡意程式碼技術指標滿足電力監控系統安全規範要求,可以協助電力企業加強對惡意程式碼的防範。

聚焦電力監控系統內控安全,防範惡意程式碼“觸電”

加強對惡意程式碼的防範,可避免遭受電力監控系統主機感染而造成的經濟損失,提高業務系統穩定性。同時也規避電力監控系統主機遭受攻擊後帶來大規模停電,造成社會秩序混亂和影響居民用電等惡劣影響。

3.2 惡意程式碼防範必要性分析

聚焦電力監控系統內控安全,貼合業務特點,進行電力監控系統場景深度融合,融入電力專有協議識別及檔案還原能力;利用大資料技術,形成惡意程式碼威脅事件關聯分析;採用未知威脅檢測等持續可運營的安全防護理念,最大限度保障電力監控系統的穩定、高效、安全執行。

4.  總結

對電力監控系統而言,惡意程式碼防範將成為未來重點工作。“十四五”期間需進一步規範電力監控系統惡意程式碼建設,覆蓋各級排程機構和廠站,全面提升電力監控系統惡意程式碼防護能力。

相關文章