系统可部署在工控网环境中的操作监控层,系统采用旁路部署的方式。监控范围包括工控网中的操作员站、工程师站、实时数据库、历史数据库、网络设备、安全设备等。系统通过集中采集各被防护设备及安全设备的事件及告警信息,进行集中的安全信息处理和分析,并面向工控安全管理要求提供统一的展现和安全运维支撑。部署方式如下图所示:
某电网公司调度二次系统案例:
☆ 项目背景
随着智能运行主站系统及数字化变电站应用的不断增加和扩展,电力二次系统尤其是调度自动化系的业务系统、硬件设备日益增多,业务互连形态日趋复杂,为电力二次系统运维带来诸多挑战:
1、难以对系统中各种事件与故障进行准确识别和及时响应;
2、系统出现的异常情况,人工分析往往费时费力,缺少有效的工具支撑;
3、难以准确清晰地获得全局安全威胁态势,决策指挥时得不到良好支持。
☆ 解决方案
通过在本项目中部署工控信息安全管理系统,利用静态或动态安全基线管理模块,实现在线安全检查,取代了之前人工检查方式;利用工控网络流秩序分析诊断系统,通过黑白灰名单方式,快速定位和集中展现业务流量异常行为;利用柔性漏洞扫描,集中全面展现设备漏洞信息;利用安全事件智能关联分析技术,清晰展现攻击路径,方便跟踪与定位攻击源。
☆ 应用效果
1、流量、事件清晰展现,提高运维人员工作效率;
2、及时发现异常,快速定位故障;
3、领导能够及时掌握安全风险态势,提供信息安全决策能力。