案例背景

随着某电厂扩建工程的进行，选用了DCS系统及同步脱硫脱硝控制系统作为该工程的核心控制系统，在搭建生产网平台时，当前网络中病毒和木马的数量以几何级数增长，传统的查杀方式已很难跟上病毒增长的速度。且随着病毒技术的发展，很多病毒利用现在操作系统底层安全性不足的缺陷，已经深入到系统内核层，给DCS系统安全造成极大隐患。而近些年，内部人员的恶意攻击和破坏，DCS系统上敏感信息泄密，重要数据丢失，也呈现增长趋势，同时，由于安全管理体系的缺陷，人员安全意识薄弱造成的操作失误、设备配置不当，给DCS系统带来更多的、难以控制的安全隐患。

综上所述，北京科能腾达信息技术股份有限公司提供基于主机加固及下一代防火墙作为整体的安全解决方案，下一代防火墙具备攻击防护功能，能检测各种类型的网络攻击，并采取相应的安全策略来保护DCS系统的工程师站及脱硫脱硝工程师站免受恶意攻击，防止非授权的内部用户访问DCS系统的工程师站和脱硫脱硝工程师站，保证内部网络及系统的安全稳定，能满足电厂DCS系统稳定正常运行的需求，同时主机加固系统是一款跨平台的应用软件，可对主机系统安全涉及的控制点（如身份鉴别，敏感标记，强制访问控制，安全审计，剩余信息保护，入侵防范，恶意代码防范和资源控制等）形成立体防护，解决操作系统层面面临的恶意代码执行，越权访问，数据泄露 破坏数据机密性，完整性等各种攻击行为，以保障数据及业务系统的保密性，完整性，可用性，可靠性，提高安全防护标准，满足系统合规性要求。

建设目标

电厂DCS系统依赖于网络，大多数的DCS系统的核心都集中于工程师站。因此，对工程师站主机的安全保护是DCS信息安全建设的重中之重。DCS的信息系统，一般来说按照业务的不同，采用分区设计进行部署。从业务特性来看，可划分为服务器区（含核心生产业务的服务器区和支撑业务的服务器区）、内联区、外联区。各个分区的安全威胁和安全需求存在差异性，相应的安全策略也存在不同，DCS工程师站的典型安全需求包括：

• 业务数据大集中必然带来海量数据传输，安全设备应采取新的设计架构满足性能要求。

• 由于网络威胁呈复杂化和多样化，除了基本的防火墙防护功能，还需要针对复杂网络攻击提供安全防御，避免由于各种网络攻击或恶意代码引发安全事件。

• 安全设备应具有极高的可靠性，避免由于设备不稳定而造成业务中断。

• 安全审计各种安全事件及攻击日志，做到事前事后可溯源，防范未知威胁。

解决方案

本方案中，通过DCS工程师站前端及脱硫脱硝工程师站前端透明部署下一代防火墙，同时在DCS工程师站主机及脱硫脱硝工程师站主机上安装主机加固软件，实现DCS工程师站及脱硫工程师站的安全隔离和保护，防范由于恶意代码或网络攻击造成的安全事件，防范操作系统层面的越权访问与数据泄露，从而保障DCS系统的稳定，保证系统的合规性。

案例价值

在本方案中，通过在DCS工程师站及脱硫工程师站主机上安装主机加固软件及主机前端安装下一代防火墙，为工程师站主机提供整体性的安全防护，实现如下的安全效果：

• 主机加固软件解决主机操作系统层面面临的恶意代码执行，越权访问，数据泄露，破坏数据机密性与完整性，满足系统合规性要求。

• 为业务提供综合、立体安全防护。在下一代防火墙中融合了防火墙、防病毒、IPS入侵防御等多种安全技术，应对网络威胁的多样化、复杂化

• 实现安全防护的高性能，通过全并行和统一检测引擎技术打破原有安全设备的性能瓶颈，面对海量数据处理，游刃有余；

• 提供业界领先的可靠性保障，独有的多层级冗余技术，将设备可靠性提高到一个新的高度，为业务连续运行提供有力保障

• 安全审计各种安全事件及攻击日志，做到事前事后可溯源，防范未知威胁。