Hệ thống SCADA/DMS đóng vai trò rất quan trọng trong hoạt động quản lý, vận hành hệ thống điện của Trung tâm điều độ hệ thống điện TP.HCM, giúp hệ thống điện hoạt động ngày càng ổn định, cung cấp điện an toàn, liên tục, đảm bảo chất lượng điện năng, đảm bảo hệ thống điện vận hành kinh tế nhất. Hiểu được tầm quan trọng của hệ thống SCADA/DMS và trong bối cảnh an toàn thông tin đang là vấn đề nhức nhối mà không một đơn vị nào có thể xem nhẹ, Tổng công ty Điện lực TP.HCM đã đầu tư và triển khai các giải pháp hiện đại để đảm bảo an toàn thông tin cho hệ thống SCADA/DMS
Mô hình an toàn thông tin của hệ thống SCADA/DMS tại Trung tâm điều độ đầy đủ 8 hạng mục theo định hướng của Tập đoàn Điện lực Việt Nam, bao gồm: Cổng bảo mật một chiều (USG - Unidirectional Security Gateways), Cổng bảo mật hai chiều (BSG - Bidirectional Security Gateways), Giải pháp tường lửa thế hệ mới cho mạng lõi, Giải pháp lưu trữ nhật ký tập trung (Logger), Giải pháp quản lý mật khẩu đặc quyền (PIM - Privileged Identity Management), Kiểm soát truy cập vật lý, Giải pháp xác thực mạng (2FA - Two factor authentication), Giải pháp bảo mật đầu cuối cho máy trạm và chủ (EPS - EndPoint Security).
Các giải pháp cụ thể đã được triển khai trong hệ thống SCADA/DMS như sau:
- Cổng bảo mật một chiều (USG - Unidirectional Security Gateways) với giải pháp tường lửa một chiều (Digisafe Data Diode) giúp tách biệt luồng dữ liệu thành hai hướng riêng biệt, đảm bảo việc dữ liệu không thể đi ra và đi vào đồng thời trên cùng một hệ thống SCADA/DMS.
- Cổng bảo mật hai chiều (BSG - Bidirectional Security Gateways)
Giải pháp bảo mật hỗ trợ kiểm tra các giao thức: DNP3, IEC 60870-5-104, IEC 60870-6 (ICCP), IEC 61850, Modbus, OPC,… Cổng bảo mật hai chiều này nằm tại vị trí trung tâm, kiểm soát tất cả các luồng dữ liệu vào/ra hệ thống máy chủ và các phân vùng mạng liên quan.
- Tường lửa thế hệ mới: Giải pháp tường lửa mạng và ngăn chặn xâm nhập (IPS - Intrusion Prevention System) được kết hợp với hệ thống BSG (Bidirectional Security Gateways) để bảo vệ hệ thống máy chủ trung tâm.
- Phân tích log tập trung (Logger): Sử dụng giải pháp của LogRhythm bao gồm thiết bị LogRhythm XM và thiết bị LogRhythm NM. Thiết bị LogRhythm XM kết nối với 2 switch đang chạy High Availability (HA), thực hiện nhận log từ các thiết bị, máy chủ gửi về. Thiết bị LogRhythm NM thực hiện SPAN lưu lượng mạng từ 2 switch, giám sát các thông tin lưu lượng và gửi về thiết bị LogRhythm XM.
- Giải pháp quản lý mật khẩu đặc quyền (PIM - Privileged Identity Management): Hệ thống ATTT cho SCADA/DMS đang sử dụng giải pháp quản lý danh tính và quá trình truy cập đến các thiết bị như máy chủ, switch,… của các quản trị viên với đặc quyền truy cập nhằm theo dõi, kiểm soát và hạn chế tối đa ảnh hưởng đến hệ thống trong trường hợp lọt lộ thông tin tài khoản quản trị.
- Kiểm soát truy cập vật lý: Hệ thống SCADA/DMS được đặt trong Data Center tại Tổng công ty với hệ thống an ninh vật lý giám sát ra vào (Access Control) của Data Center.
- Giải pháp xác thực mạng (2FA - Two factor authentication): Giải pháp xác thực 2 yếu tố của sử dụng đảm bảo việc đăng nhập vào các trạm làm việc SCADA chỉ dành cho các điều hành viên chính thức theo lịch công tác đã được phê duyệt trước.
- Giải pháp bảo mật cho máy trạm, máy chủ chủ (EPS - Endpoint Security): Các máy trạm và máy chủ SCADA/DMS đã được triển khai EPS nhằm bảo vệ trước sự tấn công của virus, mã độc. Hệ thống EPS được quản lý tập trung, thường xuyên được cập nhật dữ liệu nhận dạng virus theo hình thức offline nhằm ngăn chặn, tiêu diệt mã độc/virus lây lan trong hệ thống mạng máy tính SCADA/DMS.
Đồng thời, Tổng công ty đang triển khai hệ thống diệt mã độc chuyên dụng với các tính năng nổi bật như sau: Quét mã độc với nhiều engine (multi-scanning), vô hiệu hóa mã độc - làm sạch dữ liệu (deep CDR), dò quét lỗ hổng (Vulnerability Assessment), phòng chống thất thoát dữ liệu (DLP) nhằm đảm bảo tất các các dữ liệu bên ngoài vào khai thác bên trong hệ thống SCADA.
Tổng công ty tiếp tục nghiên cứu, tìm hiểu các giải pháp bảo mật mới, tiên tiến để triển khai, áp dụng nhằm đảm bảo an toàn thông tin cho các hệ thống OT của Tổng công ty, đồng thời nghiên cứu tiêu chuẩn ISO/IEC 27019:2017 để triển khai trong thời gian sắp tới.
Mô hình an toàn thông tin của hệ thống SCADA/DMS tại Trung tâm điều độ đầy đủ 8 hạng mục theo định hướng của Tập đoàn Điện lực Việt Nam, bao gồm: Cổng bảo mật một chiều (USG - Unidirectional Security Gateways), Cổng bảo mật hai chiều (BSG - Bidirectional Security Gateways), Giải pháp tường lửa thế hệ mới cho mạng lõi, Giải pháp lưu trữ nhật ký tập trung (Logger), Giải pháp quản lý mật khẩu đặc quyền (PIM - Privileged Identity Management), Kiểm soát truy cập vật lý, Giải pháp xác thực mạng (2FA - Two factor authentication), Giải pháp bảo mật đầu cuối cho máy trạm và chủ (EPS - EndPoint Security).
Các giải pháp cụ thể đã được triển khai trong hệ thống SCADA/DMS như sau:
- Cổng bảo mật một chiều (USG - Unidirectional Security Gateways) với giải pháp tường lửa một chiều (Digisafe Data Diode) giúp tách biệt luồng dữ liệu thành hai hướng riêng biệt, đảm bảo việc dữ liệu không thể đi ra và đi vào đồng thời trên cùng một hệ thống SCADA/DMS.
- Cổng bảo mật hai chiều (BSG - Bidirectional Security Gateways)
Giải pháp bảo mật hỗ trợ kiểm tra các giao thức: DNP3, IEC 60870-5-104, IEC 60870-6 (ICCP), IEC 61850, Modbus, OPC,… Cổng bảo mật hai chiều này nằm tại vị trí trung tâm, kiểm soát tất cả các luồng dữ liệu vào/ra hệ thống máy chủ và các phân vùng mạng liên quan.
- Tường lửa thế hệ mới: Giải pháp tường lửa mạng và ngăn chặn xâm nhập (IPS - Intrusion Prevention System) được kết hợp với hệ thống BSG (Bidirectional Security Gateways) để bảo vệ hệ thống máy chủ trung tâm.
- Phân tích log tập trung (Logger): Sử dụng giải pháp của LogRhythm bao gồm thiết bị LogRhythm XM và thiết bị LogRhythm NM. Thiết bị LogRhythm XM kết nối với 2 switch đang chạy High Availability (HA), thực hiện nhận log từ các thiết bị, máy chủ gửi về. Thiết bị LogRhythm NM thực hiện SPAN lưu lượng mạng từ 2 switch, giám sát các thông tin lưu lượng và gửi về thiết bị LogRhythm XM.
- Giải pháp quản lý mật khẩu đặc quyền (PIM - Privileged Identity Management): Hệ thống ATTT cho SCADA/DMS đang sử dụng giải pháp quản lý danh tính và quá trình truy cập đến các thiết bị như máy chủ, switch,… của các quản trị viên với đặc quyền truy cập nhằm theo dõi, kiểm soát và hạn chế tối đa ảnh hưởng đến hệ thống trong trường hợp lọt lộ thông tin tài khoản quản trị.
- Kiểm soát truy cập vật lý: Hệ thống SCADA/DMS được đặt trong Data Center tại Tổng công ty với hệ thống an ninh vật lý giám sát ra vào (Access Control) của Data Center.
- Giải pháp xác thực mạng (2FA - Two factor authentication): Giải pháp xác thực 2 yếu tố của sử dụng đảm bảo việc đăng nhập vào các trạm làm việc SCADA chỉ dành cho các điều hành viên chính thức theo lịch công tác đã được phê duyệt trước.
- Giải pháp bảo mật cho máy trạm, máy chủ chủ (EPS - Endpoint Security): Các máy trạm và máy chủ SCADA/DMS đã được triển khai EPS nhằm bảo vệ trước sự tấn công của virus, mã độc. Hệ thống EPS được quản lý tập trung, thường xuyên được cập nhật dữ liệu nhận dạng virus theo hình thức offline nhằm ngăn chặn, tiêu diệt mã độc/virus lây lan trong hệ thống mạng máy tính SCADA/DMS.
Đồng thời, Tổng công ty đang triển khai hệ thống diệt mã độc chuyên dụng với các tính năng nổi bật như sau: Quét mã độc với nhiều engine (multi-scanning), vô hiệu hóa mã độc - làm sạch dữ liệu (deep CDR), dò quét lỗ hổng (Vulnerability Assessment), phòng chống thất thoát dữ liệu (DLP) nhằm đảm bảo tất các các dữ liệu bên ngoài vào khai thác bên trong hệ thống SCADA.
Tổng công ty tiếp tục nghiên cứu, tìm hiểu các giải pháp bảo mật mới, tiên tiến để triển khai, áp dụng nhằm đảm bảo an toàn thông tin cho các hệ thống OT của Tổng công ty, đồng thời nghiên cứu tiêu chuẩn ISO/IEC 27019:2017 để triển khai trong thời gian sắp tới.
Bài viết liên quan
Bài viết mới