【技术实现步骤摘要】
一种用于火电机组燃料系统的安全防护系统及方法
[0001]本专利技术涉及火电机组燃料系统的防护
,尤其涉及一种用于火电机组燃料系统的安全防护系统及方法。
技术介绍
[0002]当今时代是一个全球信息通信时代,信息通信技术环境迅猛发展,人类已经迈入了数字时代,信息已成为最能代表综合国力的战略资源。信息通信技术不仅仅成为社会可持续发展的新因素。然而,随着互联网的快速发展和普及,计算机病毒、木马、黑客等恶意网络攻击日益频繁,电力系统已经成为渗透攻击的重要目标。目前还没有对于火电机组燃料系统的专用安全防护系统,从而成为主要攻击目标和突破口。
技术实现思路
[0003]为了解决现有技术中存在的问题,本专利技术提供了如下技术方案,对机组燃料系统进行了网络安全改造,更换了支持端口镜像的交换机,新增网络审计、日志审计、IDS、防火墙等设备,对工程师站等主机实施了安全加固;在机组燃料系统工作站、服务器等工业主机上部署主机安全防护和加固软件,实现身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范等功能,同时启用操作系统自身的安全策略,实现操作系统自身安全性的提升和审计、记录;在机组燃料系统建立安全管理中心,通过部署日志审计系统、安全管理平台,实现对所有网络设备及安全设备的管理运维和日志收集分析;同时通过自组网的方式,并在安装主机安全防护与加固软件的主机与安全管理中心的通信链路上部署防火墙,实现管理网与业务网的分离,进一步保证系统的网络安全。
[0004]本专利技术一方面提供了一种用于火电机组燃料系统安全防...
【技术保护点】
【技术特征摘要】
1.一种用于火电机组燃料系统安全防护系统,其特征在于包括:通讯网络安全防护子系统,用于保证燃料系统通信过程和通信数据的安全;安全区域边界安全防护子系统,用于内部和外部网络行为进行检查或限制,对网络攻击行为进行检测、防止和限制,对网络行为进行分析,对攻击信息进行记录和报警,进行安全审计以及对边界设备进行可信验证;安全计算环境安全防护子系统,用于对用户进行身份鉴别,定期备份审计记录,对重要节点的入侵行为以及病毒进行检测识别和报警,对应用程序的执行环节进行动态可信验证,对数据传输和存储完整性进行校验以及异地的实时备份;以及安全管理中心,用于系统管理员通过命令或操作界面进行系统管理操作并对操作记录进行审计,审计管理员通过命令或操作界面进行安全审计操作并对操作记录进行审计;设置特定管理区域以及安全信息传输路径,从而对分布在网络中的安全设备或安全组件进行管控;对网络链路、安全设备、网络设备和服务器的运行状况进行集中监测;对设备的审计数据进行汇总和分析,管理安全策略、恶意代码以及补丁升级,对网络中的安全事件进行检测识别和报警;其中:所述安全区域边界安全防护子系统包括:边界防护和访问控制模块,入侵防范和恶意代码防范模块以及单向流通模块;所述安全计算环境安全防护子系统包括:身份鉴别和访问控制模块、安全审计和入侵防范模块。2.根据权利要求1所述的一种用于火电机组燃料系统安全防护系统,其特征在于所述边界防护和访问控制模块包括:(1)工业防火墙,部署在燃料系统与SIS系统的边界,用于实现逻辑隔离、报文过滤、访问控制的功能,同时对传输的报文做深度检查,及时发现异常行为并进行阻断或告警;所述工业防火墙还同时作为当前单向隔离装置的一个冗余防护措施;(2)主机安全防护子模块,以软件的形式安装在燃料系统的工程师站、历史站、操作员站上,对燃料系统用户非法外联进行检查和限制,对USB、光驱、串口进行限制;(3)MAC
‑
交换机端口绑定子模块,将MAC
‑
交换机端口进行绑定,限制非授权设备私自连到燃料网络的行为。3.根据权利要求1所述的一种用于火电机组燃料系统安全防护系统,其特征在于所述入侵防范和恶意代码防范模块包括:(1)入侵检测设备或工控网络安全监测审计设备,部署在燃料系统部署入侵检测设备上,用于检测燃料系统网络中的各种网络行为及恶意代码,防止和限制从燃料系统内部发起的网络攻击行为;(2)入侵防范设备,部署在燃料系统和SIS的边界,用于检测、防止和限制从外部发起的网络攻击行为。4.根据权利要求1所述的一种用于火电机组燃料系统安全防护系统,其特征在于所述单向流通模块包括:单向隔离网闸,设置在输煤内网数据采集边界,以保证数据的单向流动性,增加系统高安全性。5.根据权利要求1所述的一种用于火电机组燃料系统安全防护系统,其特征在于所述
身份鉴别和访问控制模块包括:身份鉴别子模块,用于对燃料系统的服务器站点有专人负责且重要性较高的主机采用口令...
【专利技术属性】
技术研发人员:车业蒙,崔冬,王泽璞,肖寒,李兴旺,赵志刚,
申请(专利权)人:内蒙古大唐国际托克托发电有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。