SIS的实时数据库是整个电厂的数据中心,
也是SIS系统的核心部分,
与电厂的MIS系统或者其它关键应用提供数据服务,
在电厂众多高级系统上基本都
需要从SIS数据库获取数据,
可以说SIS数据库是电力行业中
其它高级应用系统的基石。
然而SIS数据库的安全保障工作
我们电力企业是否重视了呢?
1
现状分析
说起电力行业SIS系统数据库,我们先来看看SIS系统(Supervisory Information System)即厂级监控信息系统,电厂的工业控制系统一般是以DCS(集散控制系统)、PLC(可编程控制器)及其它数据采集控制装置为基础,以功能强大的计算机网络及若干技术先进的模块为支撑,而其核心就是由SIS系统采用实时数据库(RTDB)系统构建统一的企业级实时数据平台,建设形成的集过程实时监控、优化控制与生产过程管理为一体的先进的综合自动化信息系统,实现生产管理与经营决策的信息化与科学化,为发电厂全厂实时生产过程提供综合优化服务。由此可见,电力行业的SIS系统是整个生产过程中核心系统,其重要性不言而喻。
由于电力控制系统的复杂多样性,实时数据库系统多采用分布式结构,对实时和历史数据进行集中管理,各个控制系统通过相应接口机与实时数据库服务进行通信。
2
风险分析
政策风险,国家能源局36号文和信息安全等级保护等政策文件对数据安全防护提出明确的要求。
数据层安全防护和访问控制缺失,数据库自身安全性较低,存在较多的软件漏洞。这些特征导致数据库容易受到攻击。
对数据库访问行为的审计缺失,数据库服务器存储着敏感数据,内部的运维管理人员、开发人员以及其它厂商系统软件调试人员能够比较容易的接触甚至调取这些数据。这就容易导致数据被侵犯,比如丢失和篡改。
其它来自内外部的安全威胁和黑客攻击风险。
3
需求分析
满足国家能源局36号文等国家政策对电力监控系统安全防护的要求;
数据库安全审计系统的部署需采取旁路方式,不影响原始业务的正常开展,不能带来单点故障;
能够对工控实时数据库的用户操作、数据操作、结构操作等行为进行审计和统计,降低核心重要数据泄露的风险;
能够对网络行为审计,支持对OPC、Modbus、IEC104、Siemens S7等主流工控协议报文进行内容、指令级深度审计,降低攻击风险;
SIS数据库系统的访问操作安全管理方式,目前没有有效措施,数据库安全问题已成为客户痛点。
4
解决方案
技术实现
神州云盾工控数据库审计系统是对工业实时数据库进行访问行为监测、危险操作告警、可疑行为审计的审计系统。通过高性能的数据采集能力,强大的包重组技术、完整记录并再现对数据库的用户行为、执行操作、及数据库使用情况等各类信息。配合丰富的报警设置和灵活的审计策略,能够在第一时间发现被监测数据库的安全风险,发生事故时,可第一时间进行事件定位,为数据库操作的取证检查提供法律依据。
详细的系统架构图如图所示:
工控安全数据库审计系统架构图
产品部署
工控安全数据库审计系统部署,可旁路部署在SIS内网核心交换机上,通过交换机配置双方向端口镜像的方式,实时获取网络数据包,并进行分析。
工控安全数据库审计系统部署图
产品特点
自主可控
实现设备高度国产化,操作系统采用开放性系统架构,优化硬件驱动,建立快速内核层和用户层交换机制,并实现全盘加密。
工控实时数据库审计
支持对PI、PHD等工控实时数据库的用户操作、数据操作、结构操作等行为进行审计和统计。
网络行为审计
支持对OPC、Modbus、IEC104、Siemens S7等主流工控协议报文进行内容、指令级深度审计。
数据回放
通过对历史数据处理,实现某一时段的事件进行回放,真实展现当时的完整操作过程,便于分析和追溯系统安全问题。
(点击图片即可阅读)
领取专属 10元无门槛券
私享最新 技术干货