1、 背景介紹

電力監控系統作為水電站最核心的組成部分，高度網(wǎng)絡(luò )化、系統化和自動(dòng)化。為保障電力監控系統信息安全，防范黑客及惡意代碼等網(wǎng)絡(luò )攻擊，我國先后頒布《電力監控系統安全防護規定》（14號令）《電力監控系統安全防護總體方案》(國能安全〔2015〕36號)、《電力行業(yè)網(wǎng)絡(luò )安全等級保護基本要求》等多項政策法規，對電力監控系統網(wǎng)絡(luò )安全建設進(jìn)行規范指導。電力企業(yè)需要建立符合規范、全面防護的信息系統安全防護體系。

通過(guò)網(wǎng)絡(luò )安全防護方案實(shí)現電力監控系統信息安全監測、預警、審計、應急和接入防護等功能全方面的防御保護，結合自身網(wǎng)絡(luò )安全綜合防護能力建設過(guò)程中出現的網(wǎng)絡(luò )安全問(wèn)題進(jìn)行全面整改。網(wǎng)絡(luò )安全綜合防護能力的建設應進(jìn)一步落實(shí)關(guān)鍵信息中基礎設施的防護責任，加強關(guān)鍵信息基礎設施的網(wǎng)絡(luò )安全防護，完善網(wǎng)絡(luò )安全機制、手段和能力建設，加快對網(wǎng)絡(luò )安全專(zhuān)業(yè)人才的培養，提高網(wǎng)絡(luò )安全事件應急指揮能力，不斷提升網(wǎng)絡(luò )安全的綜合防護水平，保障電力系統安全穩定運行。

2、 目標與原則

本項目通過(guò)對水洛河水電安全現狀和電力監控系統安全防護能力調研，對電力監控系統進(jìn)行合理的安全加固，完善發(fā)電企業(yè)電力監控系統安全體系框架，提升發(fā)電企業(yè)電力監控系統網(wǎng)絡(luò )安全防護能力，確保目標單位電力監控系統網(wǎng)絡(luò )安全滿(mǎn)足國家及行業(yè)監管要求。同時(shí)建立成熟的自主可控發(fā)電企業(yè)工控態(tài)勢感知與預警平臺，針對工控網(wǎng)絡(luò )的安全威脅特點(diǎn)，重點(diǎn)實(shí)現對電力監控系統的監測、預警、審計和接入防護等功能，及時(shí)發(fā)現外部攻擊及內部非法操作，并進(jìn)行應急響應，有效地實(shí)現防外及安內，防止因網(wǎng)絡(luò )安全事件造成重大電力安全生產(chǎn)事故，保障信息系統安全。

l  實(shí)現網(wǎng)絡(luò )安全態(tài)勢從未知到已知

通過(guò)建立水洛河水電電力監控系統態(tài)勢感知與預警平臺，摸清家底，感知網(wǎng)絡(luò )中的資產(chǎn)信息，實(shí)現網(wǎng)絡(luò )資產(chǎn)可視化。結合全球最新網(wǎng)絡(luò )安全威脅情報，從攻擊者的視角來(lái)分析當前網(wǎng)絡(luò )已存在或可能遭受的安全風(fēng)險和威脅，發(fā)現隱藏的安全事件，還原黑客攻擊路徑，解決遺留安全問(wèn)題；收集各類(lèi)安全設備數據，利用安全場(chǎng)景和模型進(jìn)行大數據分析，識別當前正在發(fā)生的安全事件，預測網(wǎng)絡(luò )安全發(fā)展趨勢。

l  實(shí)現網(wǎng)絡(luò )安全防御從被動(dòng)到主動(dòng)

本項目利用安全大數據、態(tài)勢感知、攻擊鏈模型和算法，結合最新的全球網(wǎng)絡(luò )安全威脅情報，持續監測，準確及時(shí)地發(fā)現各種潛在威脅和攻擊，并進(jìn)行通報預警，提前感知攻擊者的下一步攻擊計劃，采取有效處置措施，構建彈性防御體系，以期最大限度上避免、轉移、降低信息系統所面臨的風(fēng)險。

l  實(shí)現從單一設備防護到協(xié)同聯(lián)動(dòng)

通過(guò)建立水洛河水電電力監控系統態(tài)勢感知與預警平臺，作為聯(lián)動(dòng)樞紐，實(shí)現網(wǎng)絡(luò )中所有安全設備的數據匯總分析、數據共享及策略協(xié)同，打通終端、邊界協(xié)同聯(lián)動(dòng)，有機整合各種網(wǎng)絡(luò )安全技術(shù)，達到“智能檢測”、“智能上報”、“智能響應”，建立一個(gè)以威脅情報為驅動(dòng)，終端安全、邊界安全、大數據分析等多層次、縱深智能協(xié)同的安全防御體系，有效提升整體網(wǎng)絡(luò )防護能力。

l  實(shí)現網(wǎng)絡(luò )安全從邊界防護到縱深防御

通過(guò)落實(shí)國家信息安全等級保護制度及電力監控系統安全防護要求，對水洛河水電電力監控系統網(wǎng)絡(luò )安全進(jìn)行整改加固，在堅持“安全分區、網(wǎng)絡(luò )專(zhuān)用、橫向隔離、縱向認證”的原則，強化邊界防護的基礎上，加強內部的物理安全、網(wǎng)絡(luò )安全、操作系統安全、應用安全、數據安全防護以及安全運維管控，構建電力柵格狀立體縱深防線(xiàn)，實(shí)現發(fā)電企業(yè)電力監控系統網(wǎng)絡(luò )安全的縱深防御、綜合防護。

l  全方位人 + U盤(pán) + 文件 + 主機 + 網(wǎng)絡(luò )管控

針對工業(yè)主機系統多樣性、業(yè)務(wù)連續性、軟件兼容性特點(diǎn)和需求構建針對工業(yè)主機及關(guān)鍵業(yè)務(wù)軟件進(jìn)行全流程、全業(yè)務(wù)、全數據、全生命周期的安全解決方案，保障工業(yè)主機及關(guān)鍵業(yè)務(wù)軟件攻不破、起不來(lái)、搞不壞，同時(shí)和USB安全隔離裝置、終端防泄漏等產(chǎn)品形成協(xié)同聯(lián)動(dòng)終端安全解決方案，可以進(jìn)行系統加固、白名單防護，精準鎖定工業(yè)主機關(guān)鍵業(yè)務(wù)軟件，結合“疫苗注射”原理進(jìn)行內核級防護，對工業(yè)主機關(guān)鍵業(yè)務(wù)軟件從啟動(dòng)、運行、停止全生命周期中進(jìn)行靜態(tài)、動(dòng)態(tài)數據全方位安全防護，最大限度保障生產(chǎn)持續運行，為水洛河水電盈利服務(wù)。

3、 案例實(shí)施與應用情況

3.1、項目應用方案

l  縱向分層橫向分域，強化邊界訪(fǎng)問(wèn)控制

在生產(chǎn)控制大區控制區與非控制區邊界部署邊界隔離設備（防火墻/單向隔離網(wǎng)閘），提高各區域間訪(fǎng)問(wèn)控制能力，合理梳理優(yōu)化邊界設備的安全策略，遵循最小化和白名單原則，只允許業(yè)務(wù)數據通過(guò)邊界，阻斷其他非授權連接。例如來(lái)自區域之間的越權訪(fǎng)問(wèn)，病毒、蠕蟲(chóng)惡意軟件擴散和入侵攻擊，保護各個(gè)區域控制系統安全運行。

在電廠(chǎng)核心交換機處旁路部署1套入侵檢測系統，實(shí)現網(wǎng)絡(luò )威脅入侵檢測，及時(shí)發(fā)現網(wǎng)絡(luò )異常情況，蠕蟲(chóng)、木馬病毒以及APT等惡意程序的傳播狀況，并對僵尸主機監控定位，實(shí)現網(wǎng)絡(luò )運行狀態(tài)的實(shí)時(shí)監控。

l  基于白名單的技術(shù)，工控主機安全加固

在生產(chǎn)控制大區各終端主機、服務(wù)器中安裝工控主機安全衛士。針對工控系統主機病毒入侵、惡意軟件運行、應用程序零日攻擊等問(wèn)題，建立了基于“白名單”防御隔離屏障，監控工控主機的進(jìn)程狀態(tài)等，有效隔離僵木蠕的傳播，提高工控系統的穩定性和健壯性，保護系統的安全計算環(huán)境。

在主控機組DCS、輔控DCS系統、SIS系統的交換機旁路安裝USB安全隔離裝置。采用外設殺毒技術(shù)，集“認證、授權、審計、殺毒”于一體，可有效減少U盤(pán)等移動(dòng)存儲介質(zhì)攜帶病毒對內網(wǎng)計算機的安全性造成威脅。

l  全天候實(shí)時(shí)審計，追溯日志留存

在生產(chǎn)控制大區核心交換機旁路部署日志審計系統。通過(guò)日志審計分析系統可以采集系統中各種不同廠(chǎng)商的安全設備、網(wǎng)絡(luò )設備、主機、操作系統、以及各種應用系統產(chǎn)生的日志、事件、報警等信息，并將數據信息匯集到展示平臺，進(jìn)行集中存儲、展現、查詢(xún)和審計。滿(mǎn)足了公安部留存系統日志不少于六個(gè)月的規定。

針對DCS控制系統的重要網(wǎng)絡(luò )節點(diǎn)安全監測審計，在主控機組DCS、輔控DCS系統、SIS系統核心交換機旁路各部署1套工控安全審計系統，安全審計系統系統由管理端和采集端組成。在各系統A網(wǎng)和B網(wǎng)各部署1個(gè)采集端。將A/B雙網(wǎng)的流量發(fā)送至各自的采集端，通過(guò)管理端進(jìn)行分析處理，對外部入侵的行為和內部人員的操作行為進(jìn)行安全審計。通過(guò)協(xié)議的深度解析和UEBA用戶(hù)行為分析技術(shù)，及時(shí)發(fā)現網(wǎng)絡(luò )當中的異常流量、違規操作、誤操作、指令異常、非法連接等現象，生成當前生產(chǎn)網(wǎng)絡(luò )的行為日志和運行日志，彌補現有工控系統無(wú)安全日志的空白，便于事件追溯和分析。

l  統一安全管理中心，提供集中管控能力

在安全管理中心部署賬號管理與審計系統（堡壘機），通過(guò)堡壘機對系統資產(chǎn)進(jìn)行統一運維，滿(mǎn)足等保2.0集中運維管控的要求。堡壘機通過(guò)賬號集中管理、授權訪(fǎng)問(wèn)控制、操作行為審計等功能，為安全事件的追蹤溯源提供依據，保護企業(yè)內部網(wǎng)絡(luò )資產(chǎn)的安全性。

在安全管理中心部署工控安全管理平臺，對網(wǎng)絡(luò )系統中的安全設備進(jìn)行統一管理，綜合利用威脅情報和系統脆弱性來(lái)幫助用戶(hù)提前洞悉各種安全威脅；基于工控安全統一管理平臺的應用，用戶(hù)能完成監測、預判、發(fā)現、阻斷、溯源、情報的安全事件全生命周期處置。

l  系統資產(chǎn)實(shí)時(shí)監測，安全態(tài)勢集中展示

在安全管理中心部署安全態(tài)勢感知平臺，通過(guò)全方位監控和分析，實(shí)時(shí)感知全場(chǎng)景的網(wǎng)絡(luò )安全態(tài)勢?；诖髷祿夹g(shù)，平臺可以快速識別和分析異常情況，并及時(shí)發(fā)出預警。此外，平臺還具備自動(dòng)化響應和實(shí)時(shí)可視化的功能，能夠快速響應網(wǎng)絡(luò )安全事件，提高應急響應能力和決策效率。最后，平臺支持高效的安全態(tài)勢共享和協(xié)同，實(shí)現了企業(yè)內部和外部的信息共享和合作，提高了整體安全防御的水平。

工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知模塊，提供各種角度的態(tài)勢可視化分析，幫助客戶(hù)快速了解安全狀況并進(jìn)行決策?，F階段系統有八大態(tài)勢，包括綜合安全態(tài)勢、網(wǎng)絡(luò )資產(chǎn)態(tài)勢、資產(chǎn)漏洞態(tài)勢、工業(yè)威脅態(tài)勢、異常行為態(tài)勢、工業(yè)主機安全態(tài)勢、安全管理態(tài)勢、關(guān)鍵資產(chǎn)安全態(tài)勢。同時(shí)提供可配置化的告警響應彈框。

資產(chǎn)管理實(shí)現對所在區域內所有資產(chǎn)的統一查看與管理，包括資產(chǎn)基本信息、資產(chǎn)標簽信息、資產(chǎn)所在分組信息、資產(chǎn)漏洞信息、資產(chǎn)服務(wù)（開(kāi)放端口）信息、資產(chǎn)威脅信息、資產(chǎn)流量信息、資產(chǎn)連接關(guān)系、資產(chǎn)基線(xiàn)等多維度查看與管理。建立起以工業(yè)資產(chǎn)為核心的工業(yè)互聯(lián)網(wǎng)安全管理與分析平臺。

l  應急響應與恢復

我司對電力監控系統出現的緊急安全事件進(jìn)行積極響應，第一時(shí)間將危害降到最低，并在事后協(xié)助制定信息安全應急預案，解決電力監控系統應急預案未更新、應急響應系統未完善等問(wèn)題；同時(shí)對已有的信息安全事件應急預案進(jìn)行評審，全面梳理已有的安全攻擊事件及處置流程預案或方案的合理性、適用性、可行性、有效性，最終明顯、穩步地提升電力監控系統對重大安全事件應急處理與防范能力。

當電力監控系統因外部惡意用戶(hù)入侵、攻擊或由于內部誤操作等原因而引起安全異常時(shí)，我司安全響應團隊在第一時(shí)間到達現場(chǎng)，協(xié)助用戶(hù)對事件的成因及過(guò)程進(jìn)行分析與追溯，并根據分析結果提供針對性的修復建議，并輸出《應急響應報告》，報告內容包括應急響應全過(guò)程、事件成因分析以及安全建議等。

l  安全服務(wù)

開(kāi)展網(wǎng)絡(luò )安全優(yōu)化工作，制定相應的系統加固方案，針對不同目標系統，通過(guò)打補丁、修改安全配置、增加安全機制等方法，合理進(jìn)行安全性加強。

對用戶(hù)的安全設備、網(wǎng)絡(luò )設備、服務(wù)器提供狀態(tài)巡檢、安全策略配核查服務(wù)、日常巡檢服務(wù)；對重要資產(chǎn)包括服務(wù)器及工作站等，進(jìn)行漏洞掃描服務(wù)，并根據結果出具漏洞掃描報告；對關(guān)鍵資產(chǎn)和安全設備的配置策略，做好備份。

通過(guò)培訓使相關(guān)人員能夠分析系統、設備故障、管理系統設備，具備系統及設備管理和系統功能基本擴展與系統升級能力，能獨立承擔運維工作，提高企業(yè)信息安全從業(yè)人員的安全意識和安全技能。

3.2、創(chuàng )新性

（1）通過(guò)完整解析工業(yè)協(xié)議的規則和含義，準確的理解其上承載的工業(yè)數據，基于協(xié)議和數據持續構建和打造行業(yè)特色的安全防護模型。準確分辨不同的工業(yè)資產(chǎn)，排查資產(chǎn)對應的漏洞和潛在威脅，更好的對工業(yè)資產(chǎn)進(jìn)行管理和配置；

（2）針對工控上位主機外置病毒查殺引擎，獨創(chuàng )的“體外查毒”技術(shù)，U盤(pán)等移動(dòng)存儲設備與受保護主機隔離，在防護設備上進(jìn)行病毒查殺，切斷病毒傳播途徑；先進(jìn)的U盤(pán)認證機制，避免任何外來(lái)未知U盤(pán)接入系統，授權過(guò)程可追溯；嚴格的日志操作審計，詳細記錄U盤(pán)接入后各類(lèi)執行動(dòng)作，供管理員進(jìn)行日志審計和行為追溯，支持一機多殺、共享存儲；同時(shí)配合主機安全防護系統，進(jìn)一步確保沒(méi)有新的不安全因素進(jìn)入工控系統；

相比國內外常見(jiàn)的基于特征碼的檢測技術(shù)及行為分析技術(shù)等查殺行為，體外查毒由于該技術(shù)是在工控主機之外進(jìn)行殺毒操作，因此不會(huì )受到工控主機內部病毒的攻擊和破壞，更加安全可靠和全面。

（3）利用網(wǎng)絡(luò )安全防護一體化管理與感知平臺，對生產(chǎn)廠(chǎng)區全網(wǎng)關(guān)鍵節點(diǎn)綜合安全信息的實(shí)時(shí)監控，收集攻擊事件相關(guān)的技術(shù)信息（攻擊的特征、原理、危害、樣本及分析報告等），并利用多維度的海量數據挖掘和關(guān)聯(lián)分析技術(shù)，實(shí)現跨時(shí)域、跨設備和跨區域的蹤跡分析追蹤，對區域內各安全資產(chǎn)管理、進(jìn)行威脅檢測量化評估、網(wǎng)絡(luò )安全態(tài)勢分析以及預報預警，對突發(fā)事件有應急預案，及時(shí)響應。

4、應用價(jià)值與效益

通過(guò)應用該案例，顯著(zhù)提升了水洛河電站電力監控系統的安全防護能力。

（1）提升縱深防御能力：通過(guò)各類(lèi)安全設備構建電力柵格狀立體縱深防線(xiàn)，實(shí)現水洛河電站工控系統網(wǎng)絡(luò )的綜合防護，生產(chǎn)運行環(huán)境安全可信。

（2）USB外設權限管控：實(shí)施后非法USB設備接入阻斷率不低于99%，有效杜絕惡意USB設備的使用。設備接入認證過(guò)程安全可靠，認證成功率不低于95%。

（3）精準識別威脅：應用態(tài)勢感知系統后，水洛河電站能夠更加精準地識別潛在威脅，并提前采取相應的防范措施。同時(shí)，該系統還能夠對電力監控系統的安全狀況進(jìn)行實(shí)時(shí)評估，提供決策支持。

（4）應急響應與恢復優(yōu)化：當發(fā)生安全事件時(shí)，水洛河電站能夠迅速啟動(dòng)應急預案，通過(guò)快速隔離受感染部分、恢復關(guān)鍵服務(wù)和系統等方式，減少攻擊對電力系統的影響。網(wǎng)絡(luò )安全事故發(fā)生率降低至少30%，顯著(zhù)提升網(wǎng)絡(luò )安全防護水平。網(wǎng)絡(luò )安全事件平均響應時(shí)間縮短至30分鐘以?xún)?，提高應急響應效率?/p>

（5）集中管控：通過(guò)統一安全管理平臺實(shí)現全廠(chǎng)工控網(wǎng)絡(luò )安全產(chǎn)品的統一策略下發(fā)，提高運維效率，降低維護成本。

（6）態(tài)勢感知及監測預警：能夠對網(wǎng)絡(luò )漏洞情況、合規配置、安全事件、網(wǎng)絡(luò )威脅等風(fēng)險進(jìn)行監測預警，提供了全方位、全天候的網(wǎng)絡(luò )安全態(tài)勢感知展示和事件應急處置的數據支撐；實(shí)現電力監控系統網(wǎng)絡(luò )的安全威脅分析。