★ 深圳融安網(wǎng)絡(luò )科技有限公司

1 項目概況

1.1 項目背景

在我國，電力系統是由發(fā)電、輸電、變電、配電、用電和調度組成的。其中發(fā)電企業(yè)是整個(gè)電力系統中的起始環(huán)節，也是整個(gè)能源閉環(huán)系統中最主要的生產(chǎn)環(huán)節。目前國內主要的發(fā)電形式為火力發(fā)電、水電、核電、風(fēng)電、光伏等，其中火力發(fā)電在電力結構中占比最高。據統計，截至2017年底，全國發(fā)電裝機容量達17.7億千瓦，是世界上發(fā)電裝機規模最大的國家，其中火電比重約占62%，發(fā)電煤耗量占全國煤炭消費總量60%以上。隨著(zhù)大容量、高參數火電機組的不斷投產(chǎn)和運行，火力發(fā)電控制系統對自動(dòng)化控制的要求也不斷提高，新型火力發(fā)電控制系統已向數字化、網(wǎng)絡(luò )化和智能化進(jìn)行轉變。而且，隨著(zhù)電廠(chǎng)控制系統的不斷發(fā)展，各種通用的網(wǎng)絡(luò )技術(shù)被廣泛應用于電廠(chǎng)控制系統，其安全問(wèn)題日益突出。但是相比互聯(lián)網(wǎng)信息安全領(lǐng)域的“火熱”，電廠(chǎng)控制系統安全作為信息安全的重要領(lǐng)域卻一直“備受冷落”。

直到近年國外發(fā)生多起因黑客網(wǎng)絡(luò )攻擊導致電力系統癱瘓的事件，才引起人們對電廠(chǎng)控制系統信息安全的重視。因此，在日益嚴峻的電力監控系統網(wǎng)絡(luò )安全形勢下，發(fā)電企業(yè)有效采取風(fēng)險消控措施，保障機組、電網(wǎng)的安全運行，有著(zhù)極其重要的經(jīng)濟和社會(huì )意義。

1.2 項目簡(jiǎn)介

本項目的實(shí)施對象為福建華電可門(mén)發(fā)電有限公司旗下的可門(mén)發(fā)電廠(chǎng)，對工控系統網(wǎng)絡(luò )進(jìn)行系統信息安全防護建設，新增生產(chǎn)控制網(wǎng)絡(luò )安全綜合防護與智能管理平臺以保障華電可門(mén)發(fā)電廠(chǎng)所承載應用系統的安全。

1.3 項目目標

本項目按照等保2.0建設要求，整體實(shí)現邊界-終端-運管三位一體的全面安全防護體系，并基于大數據分析技術(shù)，建設具有風(fēng)險識別、安全防御、安全檢測、安全響應和安全編排能力的安全管理平臺。

結合電廠(chǎng)內部的網(wǎng)絡(luò )層次架構，分別從企業(yè)資源層、生產(chǎn)管理層、過(guò)程監控層、現場(chǎng)控制層和現場(chǎng)設備層各層面入手，運用工控協(xié)議解析、黑白名單機制和主動(dòng)防御等工業(yè)控制系統防護技術(shù)，添加安全隔離、入侵檢測、安全審計等技術(shù)措施，并形成統一安全管理中心，優(yōu)化日常安全管理體系，健全安全管理制度，提升生產(chǎn)系統網(wǎng)絡(luò )安全整體防護能力水平，實(shí)現“合規”安全生產(chǎn)。

結合可門(mén)電廠(chǎng)生產(chǎn)控制大區網(wǎng)絡(luò )安全現狀和電力安全等級保護等的相關(guān)規定，按照等保2.0建設要求，整體實(shí)現邊界－終端－運管三位一體的全面安全防護體系。融合不同安全區域（包括安全IV區）之間的數據，匯聚攻擊檢測、異常感知、業(yè)務(wù)特征匹配、漏洞檢測等安全的多源異構數據，基于大數據分析技術(shù)，建設具有風(fēng)險識別、安全防御、安全檢測、安全響應和安全編排能力的安全管理平臺。

2 項目實(shí)施

本項目技術(shù)應用以發(fā)電廠(chǎng)安全數據為基礎，以安全能力為核心，建設覆蓋風(fēng)險識別、安全防御、安全檢測和安全響應能力的安全編排、自動(dòng)化與響應平臺，及具有脆弱性識別、弱點(diǎn)識別、網(wǎng)絡(luò )層防護、應用層防護、系統層防護、運維層防護、流量檢測、入侵檢測、日志檢測、事件響應等安全能力的安全管理平臺。緊密結合發(fā)電廠(chǎng)網(wǎng)絡(luò )架構，設計大數據智能化安全體系，確保整體架構的先進(jìn)性；利用前瞻性SOAR技術(shù)，深入結合大數據技術(shù)，確保技術(shù)的先進(jìn)性。

通過(guò)安全自動(dòng)化編排響應體系建設，加強發(fā)電廠(chǎng)安全的實(shí)戰能力與保障能力，不斷利用系統手段和人員力量，做好安全監測與防護、自動(dòng)化事件響應等工作，形成運轉高效、處置得當的安全編排響應機制。

此外，根據《國家能源局關(guān)于印發(fā)電力監控系統安全防護總體方案等安全防護方案和評估規范的通知》（國能安全〔2015〕36號）中《附件4發(fā)電廠(chǎng)監控系統安全防護方案》及《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》2.0版本相應的要求，在發(fā)電廠(chǎng)電力監控系統內部署相關(guān)安全防護系統以解決目前存在的安全問(wèn)題，并分別從網(wǎng)絡(luò )監測、日志審計、主機安全、集中管控、邊界防護等方面進(jìn)行安全防護建設工作，同時(shí)滿(mǎn)足相關(guān)監管部門(mén)的檢查要求。

2.1 網(wǎng)絡(luò )監測

分別在各網(wǎng)絡(luò )關(guān)鍵節點(diǎn)中旁路部署工業(yè)入侵檢測系統和監測審計系統，對攻擊行為進(jìn)行檢測和告警，實(shí)現網(wǎng)絡(luò )流量的采集分析監測和異常告警。

2.2 日志審計

分別在各生產(chǎn)車(chē)間網(wǎng)絡(luò )中部署日志審計系統，實(shí)現日志信息的收集和集中分析，并提供日志查詢(xún)、歷史日志查詢(xún)和事件告警功能，及時(shí)了解網(wǎng)絡(luò )設備運行狀態(tài)，識別存在的安全事件，提高系統安全防護能力。

2.3 主機安全

部署工業(yè)終端安全衛士，對操作系統進(jìn)行安全加固。采取“白名單”機制，實(shí)現病毒主動(dòng)免疫和USB接入行為管控。

2.4 集中管控

建立生產(chǎn)控制網(wǎng)絡(luò )安全綜合防護與智能管理平臺，實(shí)現對網(wǎng)絡(luò )安全設備的統一安全管控，實(shí)現安全設備的狀態(tài)監控、審計管理和策略管理等集中管控功能，構筑安全管理中心平臺，提升整體網(wǎng)絡(luò )安全防護和運維管控水平。

2.5 邊界防護

在各生產(chǎn)車(chē)間網(wǎng)絡(luò )的邊界處部署工業(yè)防火墻和電力隔離裝置，采用適用于工控網(wǎng)絡(luò )的“黑白名單”機制和協(xié)議解析，細化訪(fǎng)問(wèn)控制粒度，對非法及異常訪(fǎng)問(wèn)行為進(jìn)行攔截阻斷，降低設備廠(chǎng)家遠程接入運維時(shí)面臨的網(wǎng)絡(luò )安全風(fēng)險。

圖1 網(wǎng)絡(luò )安全防護拓撲圖

3 案例亮點(diǎn)及創(chuàng )新性

我國在信息安全領(lǐng)域，尤其是工業(yè)信息安全領(lǐng)域的研究起步較晚。目前國內外針對發(fā)電廠(chǎng)的整體的SOAR自動(dòng)響應還未有相關(guān)產(chǎn)品。習總書(shū)記曾在全國網(wǎng)信工作會(huì )議上強調，要加強網(wǎng)絡(luò )安全信息統籌機制、手段和平臺建設，加強網(wǎng)絡(luò )安全事件應急聯(lián)動(dòng)處置，積極發(fā)展網(wǎng)絡(luò )安全產(chǎn)業(yè)，做到端口前移，防患于未然。因此，本項目旨在發(fā)電企業(yè)建設安全管理平臺并引入SOAR技術(shù)，結合大數據分析技術(shù)，提高發(fā)電企業(yè)自身業(yè)務(wù)安全保障能力，同時(shí)該技術(shù)將成為國內外首創(chuàng )。

通過(guò)發(fā)電企業(yè)生產(chǎn)控制網(wǎng)絡(luò )安全綜合防護與智能管理平臺建設，可以為發(fā)電廠(chǎng)電力監控系統網(wǎng)絡(luò )安全帶來(lái)行業(yè)示范效果。

（1）模式的創(chuàng )新性

通過(guò)建設生產(chǎn)控制網(wǎng)絡(luò )安全綜合防護與智能管理平臺，利用大數據等技術(shù)將工控網(wǎng)絡(luò )安全信息一網(wǎng)打盡。通過(guò)智能化的分析，為企業(yè)提供一個(gè)可視化的安全監管平臺，可實(shí)時(shí)了解企業(yè)網(wǎng)絡(luò )安全狀態(tài)，對企業(yè)的整體工控系統的安全規劃、管理和決策提供依據，滿(mǎn)足國家的發(fā)展要求和行業(yè)的發(fā)展趨勢。

（2）政策的合規性

根據國家等有關(guān)發(fā)電廠(chǎng)網(wǎng)絡(luò )安全政策文件規定，以實(shí)際需求為導向，在合規的基礎上考慮整體安全設計，規范做好發(fā)電廠(chǎng)安全自動(dòng)化編排響應體系建設，保障安全工作推進(jìn)的統一性、一致性、有效性和規范性。

（3）策略的統一性

通過(guò)安全自動(dòng)化編排響應體系建設，加強發(fā)電廠(chǎng)安全的實(shí)戰能力與保障能力，不斷利用系統手段和人員力量，做好安全監測與防護、自動(dòng)化事件響應等工作，形成運轉高效、處置得當的安全編排響應機制。

發(fā)電廠(chǎng)安全自動(dòng)化編排響應體系建設應按照網(wǎng)絡(luò )安全等級保護制度和相關(guān)規范的要求，并行開(kāi)展技術(shù)手段建設和管理制度建設，實(shí)現技術(shù)配合管理，管理指導技術(shù)，確保技術(shù)與管理雙管齊下，切實(shí)落實(shí)相關(guān)工作科學(xué)有效開(kāi)展。

（4）成本的經(jīng)濟性

成熟的產(chǎn)品體系以及模塊化的功能設計，可以作為示范項目快速復制，極大節約推廣和運營(yíng)成本。

（5）掌握發(fā)電企業(yè)電力監控系統實(shí)際安裝設備狀況

國內電力企業(yè)電力監控系統應用在條塊分割的封閉體系中，安全防護意識不強。國內工控設備生產(chǎn)缺乏安全技術(shù)保障，進(jìn)口系統和設備的安全性處于半透明狀態(tài)。對于多少系統應列為國家重點(diǎn)防護對象，亟需摸清底數，有助于對已有故障隱患的設備進(jìn)行及時(shí)維護，減少損失。

（6）掌握質(zhì)量隱患和依賴(lài)情況

掌握威脅情報是幫助我們發(fā)現威脅并進(jìn)行處置的必要手段，威脅情報是盡可能獲得安全事件的基礎性資源。建立工控網(wǎng)絡(luò )安全漏洞挖掘、風(fēng)險評估、威脅檢測、信息共享等一整套機制并加以保障，形成全面、權威的統計信息，有利于實(shí)現和推動(dòng)工控網(wǎng)絡(luò )安全防護的提升，有效避免重大工控安全事故的發(fā)生。

（7）人工智能與網(wǎng)絡(luò )安全相結合，建立防御新生態(tài)

加快發(fā)展新一代人工智能是我們贏(yíng)得全球科技競爭主動(dòng)權的重要戰略抓手。隨著(zhù)人工智能技術(shù)快速發(fā)展和產(chǎn)業(yè)爆發(fā)，人工智能安全越發(fā)受到關(guān)注。

人工智能技術(shù)可應用于網(wǎng)絡(luò )安全領(lǐng)域，通過(guò)感知、預測、預警關(guān)鍵信息基礎設施運行的重大態(tài)勢，主動(dòng)決策反應，從而提升工控網(wǎng)絡(luò )防護能力?；谌斯ぶ悄艿木W(wǎng)絡(luò )安全防護應用已成為國內外網(wǎng)絡(luò )安全產(chǎn)業(yè)發(fā)展的重點(diǎn)方向。調查顯示，部分網(wǎng)絡(luò )安全公司正逐步使用人工智能技術(shù)，改善安全防御體系，開(kāi)創(chuàng )網(wǎng)絡(luò )防護新時(shí)代。

（8）持續對威脅進(jìn)行監控和檢測

依靠安全大數據驅動(dòng)的智能化與自動(dòng)化的安全檢測能力，及時(shí)發(fā)現異常安全事件，實(shí)現智能化主動(dòng)安全；通過(guò)策略自動(dòng)編排，協(xié)同平臺、網(wǎng)絡(luò )、終端、應用等安全資源，對網(wǎng)絡(luò )安全異常事件進(jìn)行協(xié)同閉環(huán)處置，確保威脅能夠在最短的時(shí)間內得到清除或緩解，保護核心資產(chǎn)安全。

（9）系統的可靠性

符合國家的要求，實(shí)現系統的穩定性、安全性和可用性，從而實(shí)現創(chuàng )新驅動(dòng)、引領(lǐng)發(fā)展、夯實(shí)基礎、持續安全。

《自動(dòng)化博覽》2023年1月刊暨《工業(yè)控制系統信息安全專(zhuān)刊（第九輯）》