★ 浙江齊安信息科技有限公司

1 項目概況

1.1 項目背景

國網(wǎng)重慶供電公司的供電轄區內有220kV變電站3座，110kV變電站12座，35kV變電站6座。在變電站檢修作業(yè)時(shí)，普遍存在由運維人員攜帶筆記本電腦，直接接入現場(chǎng)系統進(jìn)行檢修作業(yè)的情況。為降低運維人員通過(guò)筆記本電腦帶入惡意代碼的潛在風(fēng)險，變電站因此配置了專(zhuān)用的運維筆記本電腦，但依然存在通過(guò)運維筆記本電腦進(jìn)行操作管控的要求不能達到安全防范標準的問(wèn)題，且現場(chǎng)作業(yè)過(guò)程無(wú)法進(jìn)行審計與記錄，因此存在較高的安全風(fēng)險。

針對國網(wǎng)某供電公司客戶(hù)在變電站進(jìn)行運維作業(yè)時(shí)現場(chǎng)系統臨時(shí)接入作業(yè)這一場(chǎng)景存在的事前無(wú)認證、事中無(wú)防護、事后無(wú)審計等問(wèn)題，我司根據客戶(hù)運維現場(chǎng)的痛點(diǎn)和實(shí)際需求，以及結合在工業(yè)安全監測領(lǐng)域的積累，潛心研發(fā)完成檢修作業(yè)安全運維系統，并以行業(yè)解決方案為導向不斷開(kāi)拓創(chuàng )新，在變電站電力監控系統網(wǎng)絡(luò )安全運維領(lǐng)域持續垂直深耕。

1.2 項目簡(jiǎn)介

為了提升電力監控系統的安全防護水平，變電站通常會(huì )在網(wǎng)絡(luò )安全層面采用多種安全防護技術(shù)，包括安全分區、網(wǎng)絡(luò )專(zhuān)用等，從應用控制、審計等多個(gè)層面進(jìn)行安全防護。但是變電站作業(yè)現場(chǎng)檢修運維的安全隱患往往容易被忽視，工作人員不合規的操作會(huì )引發(fā)安全事故。

本方案根據前期對客戶(hù)的調研，旨在研發(fā)并實(shí)施一套電力監控系統檢修作業(yè)安全運維裝置，以解決分散運維過(guò)程中的安全問(wèn)題。該裝置基于上述需求研發(fā)設計，并采用多角色的用戶(hù)管理方式，具有惡意代碼檢查、外設檢查、違規外聯(lián)檢查、視頻取證、文件歸檔等功能，可有效減少供電公司，特別是變電站工控系統現場(chǎng)檢修運維的外來(lái)風(fēng)險，保障工控設備安全。

本方案依托先進(jìn)的總體架構設計和功能創(chuàng )新設計，基于精細化運維操作授權管控方法，系統解決了身份鑒別與檢修權限控制、檢修過(guò)程臨時(shí)邊界安全防護、惡意代碼防范、入侵防范、安全審計、數據防泄密與安全存儲等痛點(diǎn)難點(diǎn)問(wèn)題，大大加強了檢修作業(yè)運維過(guò)程中對人員的行為管控和審計力度，提高了變電站現場(chǎng)作業(yè)的安全性。本方案已成功部署在重慶市電力公司的多家分公司，并正向更多省市推廣應用。

1.3 項目目標

本項目的目標是根據前期調研結果，研制并實(shí)施一套電力監控系統檢修作業(yè)運維裝置，以解決分散運維過(guò)程中的安全問(wèn)題。該運維裝置與工單系統對接，對運維過(guò)程進(jìn)行授權；該運維裝置僅開(kāi)啟與本次檢修作業(yè)相關(guān)的通信端口，并實(shí)時(shí)監測運維電腦的違規外聯(lián)情況，一旦發(fā)生外聯(lián)行為，實(shí)時(shí)報警記錄并中斷檢修鏈路；該運維裝置集成惡意代碼檢查功能，對所有需要接入電力監控系統的移動(dòng)介質(zhì)進(jìn)行惡意代碼查殺；該運維裝置能夠實(shí)時(shí)記錄檢修全過(guò)程，包括檢修過(guò)程的屏幕錄像、鍵盤(pán)觸發(fā)事件等檢修行為，形成檢修過(guò)程完整審計記錄；該運維裝置支持本地和遠程運維場(chǎng)景。

1.3.1 系統架構

檢修作業(yè)安全運維系統由安全運維裝置（簡(jiǎn)稱(chēng)：裝置端）和安全專(zhuān)用密盾（簡(jiǎn)稱(chēng)：密盾端）兩部分構成，通過(guò)裝置端內置的安全運維程序與密盾端配合完成身份認證、主機外聯(lián)檢查、惡意代碼檢查等功能，達到物理和軟件層面雙重安全防護的效果。

安全運維裝置為B/S架構設計，分為界面層、核心功能層、數據層和系統層，其系統架構如圖1所示。

圖1 檢修作業(yè)安全運維系統架構圖

2 項目實(shí)施

2.1 項目實(shí)施主要內容

2.1.1 功能架構

檢修作業(yè)安全運維系統必須搭配安全專(zhuān)用Ukey使用。安全專(zhuān)用Ukey內置多個(gè)業(yè)務(wù)應用模塊，可完成身份認證、惡意代碼查殺及主機外聯(lián)檢查等功能。

圖2 檢修作業(yè)安全運維系統功能架構圖

在現場(chǎng)進(jìn)行檢修作業(yè)時(shí)，檢修作業(yè)安全運維系統的2個(gè)網(wǎng)絡(luò )接口分別連接被檢修的系統和運維電腦。檢修作業(yè)安全運維系統在結構上成為運維電腦與目標控制系統的隔離層，同時(shí)在數據流上，通過(guò)內置虛擬防火墻達到真正數據隔離的效果，提升檢修維護工作的安全性。而安全專(zhuān)用Ukey接入運維電腦的USB接口，只有在運維電腦通過(guò)一系列安全檢查后，通過(guò)二次確認機制，才可打通檢修運維鏈路，保障檢修運維安全。

2.1.2 技術(shù)內容

（1）三層架構設計

根據變電站電力監控系統網(wǎng)絡(luò )安全運維監控在身份認證、審計管理、設備安全等方面的具體要求，基于變電站運維場(chǎng)景，我司研究提出滿(mǎn)足“安全+效率”的總體技術(shù)架構，計劃構建“管理側+裝置側+接入側”的三層架構系統：管理側“集中管控”、裝置側“分散應用”、接入側“身份管控”。管理側作為數據管理中心，對裝置側收集的審計數據進(jìn)行集中存儲與分析，提供工程文件配置、授權下發(fā)、檢修記錄查詢(xún)等功能；裝置側作為運維筆記本進(jìn)入電力系統進(jìn)行運維檢修工作的“門(mén)閘”，對整個(gè)運維檢修過(guò)程進(jìn)行記錄與安全管控；接入側采用“專(zhuān)用定制PKI密鑰設備+口令”或者“IC芯片卡+口令”等“雙因子”組合方式進(jìn)行身份鑒別，以保障運維工作人員的身份與授權的合法性。

（2）精細化身份認證與授權關(guān)鍵技術(shù)

基于本質(zhì)安全理念，與變電站電力監控系統的每張工作票對應，每項工作的事前安全防護，需要確定場(chǎng)景、時(shí)間、運維對象、運維人員與工具，需要解決安全運維裝置多場(chǎng)景配置與快速切換、運維人員與工具（一般指筆記本電腦）的授權及認證管理等關(guān)鍵技術(shù)。本系統采取精細化運維操作授權管控方法，形成工程配置文件授權與現場(chǎng)作業(yè)聯(lián)動(dòng)體系。

（3）基于COM、KVM的本地運維監控技術(shù)

本系統采用基于COM、KVM的本地運維監控技術(shù)，摒棄傳統堡壘機的錄像審計技術(shù)，實(shí)現本地運維的監控審計。

（4）外部接入設備的全過(guò)程安全管控技術(shù)

本系統嚴格考慮接入設備和變電站系統的安全隔離以及接入設備自身行為控制兩方面的影響，采用全過(guò)程安全管控技術(shù)。一是研究一系列外部設備在接入變電站電力監控系統前進(jìn)入安全環(huán)境狀態(tài)的技術(shù)實(shí)現方式，確保工作場(chǎng)景的安全快速搭建；二是針對工作場(chǎng)景搭建后，如出現違規互連、非法文件拷貝的異常行為，快速辨識并迅速斷開(kāi)可疑設備。

（5）原型系統研發(fā)技術(shù)

變電站安全運維裝置與傳統堡壘機相比，功能需求有了較大的變化，需要開(kāi)展硬件及配套軟件集成專(zhuān)項研發(fā)，完成成套具體裝置試制。

2.2 應用場(chǎng)景分析

很多安全事故的發(fā)生，與人為因素有關(guān)。近年來(lái)，國內外數次發(fā)生因內部人員故意破壞或誤操作導致數據庫被刪除、服務(wù)器宕機等事件，嚴重影響系統穩定運行，如2020年微盟惡意刪庫事件、2018年順豐誤刪庫事件。電力行業(yè)雖然做足了網(wǎng)絡(luò )安全的事前準備，但是針對電力現場(chǎng)的檢修運維場(chǎng)景的安全措施還存在不足。當前，變電站運維工作中缺少必要的安全防護及審計措施，存在運維人員使用自帶筆記本電腦及U盤(pán)等運維工具直接接入變電站監控系統的情況，容易引起違規外聯(lián)、誤操作、惡意代碼、網(wǎng)絡(luò )攻擊等安全風(fēng)險。國網(wǎng)安監部曾多次通報關(guān)于電力監控系統感染惡意代碼、違規外聯(lián)等安全事件。變電站的外聯(lián)風(fēng)險、違規操作、惡意代碼感染問(wèn)題屢禁不止。

該解決方案特別適合電力現場(chǎng)中的一些常見(jiàn)安全場(chǎng)景，如：檢修實(shí)施人員中“外單位運維人員”、“檢查人員”存在較多第三方人員，其運維操作缺乏審計管理；在檢修運維中大量使用筆記本電腦；被運維對象種類(lèi)較多，包括自動(dòng)化專(zhuān)用設備、保護設備、網(wǎng)絡(luò )安防設備等。齊安科技檢修作業(yè)安全運維系統將作為運維電腦進(jìn)入電力系統進(jìn)行檢修工作的“門(mén)閘”，對整個(gè)檢修作業(yè)進(jìn)行安全管控。

2.3 實(shí)際應用效果

國網(wǎng)重慶市電力公司長(cháng)壽分公司、江津分公司、璧山分公司、萬(wàn)州分公司、綦南分公司及市南供電公司作為項目試點(diǎn)，已部署了該系統。用戶(hù)反饋檢修作業(yè)安全運維系統運行穩定，可平穩對接電網(wǎng)OMS工單系統、II型安全監測認證裝置及安全態(tài)勢感知平臺，實(shí)現調度網(wǎng)數據共享。

本系統采用三權分立的管理方式，利用自定義授權規則、非法外聯(lián)檢查和對移動(dòng)介質(zhì)進(jìn)行防病毒處理，實(shí)時(shí)監測運維人員的操作行為和不明設備接入的情況，保障運維電腦處于安全運行環(huán)境，并通過(guò)完整的記錄留存工控檢修下裝文件，為事后取證和溯源分析提供依據。

據客戶(hù)反應，項目實(shí)施后，客戶(hù)方提高了運維安全水平。系統基于每一次檢修運維作業(yè)的事前、事中、事后三個(gè)階段建立了一套完整的安全機制，有效提高了運維作業(yè)安全性，規范了操作流程，并通過(guò)技術(shù)手段對運維人員的行為進(jìn)行了有效管控，規范了其在作業(yè)過(guò)程中的操作行為，有效保障了被運維設備的安全。

3 案例亮點(diǎn)及創(chuàng )新性

3.1 技術(shù)的示范效應

（1）精細化身份認證與授權關(guān)鍵技術(shù)

基于本質(zhì)安全理念，與變電站電力監控系統的每張工作票對應，每項工作的事前安全防護，需要確定場(chǎng)景、時(shí)間、運維對象、運維人員與工具，需要解決安全運維裝置多場(chǎng)景配置與快速切換、運維人員與工具（一般指筆記本電腦）的授權及認證管理等關(guān)鍵技術(shù)。我司提出精細化運維操作授權管控方法，形成工程配置文件授權與現場(chǎng)作業(yè)聯(lián)動(dòng)體系。

（2）基于COM、KVM的本地運維監控技術(shù)

本系統采用了基于COM、KVM的本地運維監控技術(shù)，摒棄了傳統堡壘機的錄像審計技術(shù)，實(shí)現了本地運維的監控審計。

3.2 項目建設價(jià)值

（1）社會(huì )效益：由于能源行業(yè)的特殊性，一旦發(fā)生安全事故，后果不可估量，不僅會(huì )影響自身的發(fā)展，還會(huì )引發(fā)一系列社會(huì )問(wèn)題。檢修作業(yè)安全運維系統為能源行業(yè)帶來(lái)了安全的福音，于企業(yè)，保障生產(chǎn)提高效益；于社會(huì )，保障民生促進(jìn)穩定。做好安全工作，是一件功在當代、利在千秋的事業(yè)。

（2）經(jīng)濟效益：工控現場(chǎng)安全事故會(huì )造成嚴重損失。企業(yè)應重視生產(chǎn)安全防護的投入，防患于未然。檢修作業(yè)安全運維系統通過(guò)先進(jìn)的技術(shù)和有效的手段，實(shí)現了運維作業(yè)的安全可控，降低了事故發(fā)生的風(fēng)險，保障了企業(yè)的生命財產(chǎn)安全。

3.3 項目推廣情況

齊安科技緊跟市場(chǎng)需求最新形勢，不斷加強本系統的應用推廣力度，以該系統的需求前景為抓手，織密市場(chǎng)網(wǎng)絡(luò )，特別是電網(wǎng)領(lǐng)域的客戶(hù)。

國網(wǎng)西南某供電公司擁有多座變電站，在日常的檢修運維作業(yè)中存在普遍的外部設備直接接入現場(chǎng)系統的現象，存在較高的安全風(fēng)險。鑒于以上背景，用戶(hù)部署了檢修作業(yè)安全運維系統，覆蓋主要智能變電站的檢修運維接入作業(yè)過(guò)程，系統解決了身份鑒別與檢修權限控制、檢修過(guò)程臨時(shí)邊界安全防護、惡意代碼防范、入侵防范、安全審計、數據防泄密與安全存儲等痛點(diǎn)難點(diǎn)問(wèn)題。

截至2021年底，檢修作業(yè)安全運維系統已成功部署在重慶市電力公司長(cháng)壽分公司、江津分公司、璧山分公司、萬(wàn)州分公司、綦南分公司、市南分公司變電站等試點(diǎn)單位。該系統功能針對性強，性能穩定，正在向北京市、遼寧省、廣西省等部分省市推廣。

與此同時(shí)，本系統自面市以來(lái)，多次主動(dòng)參與業(yè)內各聯(lián)盟/協(xié)會(huì )/機構組織的標準宣貫、試點(diǎn)示范、評優(yōu)推廣等各類(lèi)市場(chǎng)活動(dòng)，使系統的應用規模性和可復制性不斷加強、市場(chǎng)預期不斷改善。

《自動(dòng)化博覽》2023年1月刊暨《工業(yè)控制系統信息安全專(zhuān)刊（第九輯）》