01

解决方案概述 

本方案旨在提高电力行业的自主可控能力和安全防护水平，以应对日益复杂的网络安全威胁。该方案以国家相关政策为指导，分析了电力行业面临的主要网络安全风险，包括技术依赖、供应链安全、数据泄露等。建设包括安全防护体系、态势分析体系、安全运营体系及安全管理体系的整体框架，四套体系分别承担生产网系统中的安全防护及安全检测能力、安全场景分析能力，以及安全应急响应、安全咨询、安全加固等安全服务能力，构成整体纵深防御架构；所使用的产品适配国产化CPU及操作系统，降低对国外厂商的依赖，确保网络安全供应链的安全稳定。最终实现提高电力系统自主可控能力、确保安全稳定运行以及保障国家能源安全等价值。

02

解决方案背景

 

2.1  行业背景

 

电力行业是国家重要的关键基础设施，为商业、工业、制造和住宅客户提供必要的能源。随着工业化和信息化的加速融合，电力系统也从相互独立不与外网连接的管理模式逐渐与互联网互通互联，各系统间的互通增加了传统内部网络风险发生的几率，而我国工业网络安全基础设施建设落后，国内DCS所使用的CPU和操作系统等软、硬件依赖进口产品，存在巨大的安全隐患，且电力行业是技术密集和资产密集型产业，历来都是利益团体和黑客攻击的重点对象，因此，加快电力行业国产化替代，实现核心技术自主可控，加强行业网络信息安全建设，提高安全防护意识和能力成为当务之急。

2.2  政策要求   

2022年9月底，国家下发79号文，全面指导国资信创产业发展和进度，这一文件将信创的边界从党政小信创拓展到了“2+8+N”大信创。中央国有企业和地方国有企业在电力行业中占比加起来超过八成，电网资金投入充足，信创推进具有坚实保证，按照国家信创战略政策，电力行业信创替代势在必行。

作为典型的关基行业，电力监控系统网络安全规划和建设时除应依据GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》外，还要满足行业内国能安全〔2015〕36号《电力监控系统安全防护总体方案》、《电力监控系统安全防护规定》、《电力可靠性管理办法（暂行）》等相关网络安全要求。

03

解决方案总体设计

3.1  风险分析  

随着电力行业信息化网络建设步伐逐年加快，网络为电力生产及运营带来强大助力，与此同时，层出不穷的网络攻击也对电力行业的带来众多安全风险：

1)关键技术依赖

一些关键的网络安全技术和产品可能掌握在国外厂商手中，电厂网络安全建设对这些技术和产品的依赖可能导致安全风险。如果国外厂商停止供应或进行技术封锁，电厂的网络安全可能会受到严重影响。且可能会存在数据泄露和被窃取的风险，对电厂的安全运行造成威胁。

2)网络架构安全风险

电厂生产网络整合了多个生产业务系统，不同生产业务具有不同特点，但是目前生产网络中各业务系统之间没有划分明显的网络边界，使得不同业务系统内的设备存在互联互通现象。网络架构可能存在以下风险：

◼ 安全Ⅱ区中的风险（如病毒、木马程序）被引入到安全Ⅰ区实时控制网络中，导致生产停车、或生产系统故障；

◼ 安全Ⅱ区被越权访问，导致业务系统数据被恶意删除或篡改；

◼ 安全Ⅰ区生产过程控制系统被越权访问，或其它误操作等行为，造成生产数据被窃取、滥用甚至损坏，导致重要工艺参数或重要指令被篡改，严重影响生产参数或正常运行，甚至导致系统停车。

3)缺少访问控制手段

电力行业生产系统网络设计之初大多以实现网络可用性为出发点，并未采取技术手段对生产控制系统网络内部各网络资产之间的访问行为进行管控，因此在生产运营过程中无法对恶意传播、非法外连、非法接入等行为进行有效的控制。入侵者可以轻易利用生产控制系统网络中的某一个资产作为跳板，来访问其他重要资产，从而实现目标渗透，这是对生产系统产生安全威胁最为主要的原因之一。    

4)工业主机安全风险

大多数工业主机使用的是Windows XP及以下版本，这些操作系统存在的漏洞较多，存着被黑客恶意攻击风险。移动存储介质管控不足，一些工业生产环境中对移动存储介质处于零管控要求，移动存储介质在生产环境与互联网环境随意使用，导致病毒、木马、蠕虫等恶意代码程序通过移动存储介质进入到工业生产环境中。

5)缺少安全整体监控手段

随着两化融合的进一步推进，电力行业越来越多的信息系统与生产控制网络互联，可能面临更多来自第三方业务系统的安全威胁，而当前电力行业生产网络大多采取单一安全防护手段进行单层面的安全防护，无法对整个生产网络进行全方位不间断的安全风险监测，同样无法抵御不断更新的动态攻击手段。

 

3.2  建设目标

  

本项目通过对电厂安全现状和电力监控系统安全防护能力调研，对电力监控系统进行合理的安全加固，完善电力企业电力监控系统安全体系框架，提升电力监控系统网络安全防护能力，确保电力监控系统网络安全满足国家及行业监管要求。同时建立成熟的自主可控发电企业工控态势感知与预警平台，针对工控网络的安全威胁特点，重点实现对电力监控系统的监测、预警、审计和接入防护等功能，及时发现外部攻击及内部非法操作，并进行应急响应，有效地实现防外及安内，防止因网络安全事件造成重大电力安全生产事故，保障信息系统安全。

• 提高自主可控能力

通过实现网络安全产品的国产化，提高电厂对关键网络安全设备和系统的自主可控能力，降低对国外厂商的依赖，确保网络安全供应链的安全稳定。

• 实现网络安全态势从未知到已知

通过建立电力监控系统态势感知与预警平台，摸清家底，感知网络中的资产信息，实现网络资产可视化。结合全球最新网络安全威胁情报，从攻击者的视角来分析当前网络已存在或可能遭受的安全风险和威胁，发现隐藏的安全事件，还原黑客攻击路径，解决遗留安全问题；收集各类安全设备数据，利用安全场景和模型进行大数据分析，识别当前正在发生的安全事件，预测网络安全发展趋势。

• 实现从单一设备防护到协同联动

通过建立电力监控系统态势感知与预警平台，作为联动枢纽，实现网络中所有安全设备的数据汇总分析、数据共享及策略协同，打通终端、边界协同联动，有机整合各种网络安全技术，达到“智能检测”、“智能上报”、“智能响应”，建立一个以威胁情报为驱动，终端安全、边界安全、大数据分析等多层次、纵深智能协同的安全防御体系，有效提升整体网络防护能力。 

• 实现网络安全从边界防护到纵深防御

通过落实国家信息安全等级保护制度及电力监控系统安全防护要求，对电力监控系统网络安全进行整改加固，在坚持“安全分区、网络专用、横向隔离、纵向认证”的原则，强化边界防护的基础上，加强内部的物理安全、网络安全、操作系统安全、应用安全、数据安全防护以及安全运维管控，构建电力栅格状立体纵深防线，实现发电企业电力监控系统网络安全的纵深防御、综合防护。

• 全方位人 + U盘 + 文件 + 主机 + 网络管控

针对工业主机系统多样性、业务连续性、软件兼容性特点和需求构建针对工业主机及关键业务软件进行全流程、全业务、全数据、全生命周期的安全解决方案，保障工业主机及关键业务软件攻不破、起不来、搞不坏，同时和USB安全隔离装置、终端防泄漏等产品形成协同联动终端安全解决方案，可以进行系统加固、白名单防护，精准锁定工业主机关键业务软件，结合“疫苗注射”原理进行内核级防护，对工业主机关键业务软件从启动、运行、停止全生命周期中进行静态、动态数据全方位安全防护，最大限度保障生产持续运行。

 

3.3建设原则 

  

• 自主可控

在选择网络安全产品时，应优先考虑国产化产品，确保关键技术和供应链的自主可控。

• 安全可控

产品的安全性是首要考虑的因素，应具备强大的安全防护能力，并能够根据需要进行定制化配置，实现安全可控。

• 可靠稳定

网络安全产品需要具备高可靠性和稳定性，能够应对各种网络威胁和攻击，保证企业业务的正常运行。

• 重点保护

根据电力监控系统的业务模块的重要程度，应准确划分安全等级，重点保护生产控制系统核心业务的安全。

• 易于管理

网络安全产品的管理应简单易行，能够满足企业的日常管理和维护需求，降低管理成本。

• 可扩展性

随着企业业务的发展和网络环境的变化，网络安全产品应具备可扩展性，能够适应新的安全需求。

04

解决方案总体架构

整体框架分别由安全防护体系、态势分析体系、安全运营体系及安全管理体系构成，四套体系分别承担生产网系统中的安全防护及安全检测能力、安全场景分析能力，以及安全应急响应、安全咨询、安全加固等安全服务能力。四套体系数据交互，构成整体纵深防御架构。

◼ 安全防护体系

安全防护体系包含网络中的安全防护设备、管理设备等，防护范围覆盖生产系统网络，安全防护中心作为数据探知，将基于各个节点的安全数据、异常数据等上送至态势感知系统，用作安全环境、基线的分析，并执行分析的结果。同时，将生产系统网络、应用等运行状态传递至应急响应体系进行统一的运维监控。

◼态势分析体系

安全态势分析体系作为系统安全防护的“大脑”，承担安全信息分析的作用，通过采集安全防护体系中安全设备及监测数据，利用大数据手段，基于用户的安全基线进行安全建模，分析网络中安全威胁及主机、应用脆弱性，后依据分析结果下发策略至安全防护设备、安全审计设备以及应急响应团队执行安全策略的落地，形成基于用户行为的纵向安全防护体系。

◼ 安全运营体系

安全运营体系包括安全咨询、安全加固、应急响应服务等安全服务，其中应急响应体系是安全服务体系中较为关键的一项安全服务，包含运行监测中心及应急响应团队以及整体安全管理执行机构。

          

05

安全防护方案

5.1  安全通信网络  

 

5.1.1  网络架构 

 

依据国家能源局 36 号文中相关规定，对发电站生产网络进行安全域划分，目的旨在切割风险，即任意一点遭受攻击或网络风暴不会对其它生产过程产生影响，同时方便管理策略的执行。

安全域划分遵守以下原则：

a) 基于业务类型进行安全域划分，保证业务的可靠性、连续性；

b) 充分认知业务对象，严谨定位业务范围；

c) 结合业务自身特性，准确识别业务数据流；

d) 充分识别业务风险，明确业务防护需求。

发电站安全域划分遵照原有生产网络架构，原则上不同生产区域间禁止非授权访问。

5.2  安全区域边界  

 

5.2.1  边界防护  

本方案在发电站各安全区域边界处均采取边界隔离手段。明确不同安全域的网络边界，安全Ⅰ区与安全Ⅱ区分别为生产控制区和生产非控制区，两个区域之间需要采取必要的技术隔离手段，在区域边界进行隔离，防范来自外来区域的安全风险，借助网络白名单功能对通信报文进行过滤。  

 

5.2.2  访问控制 

 

为构建层次化、立体化的安全防护体系，应针对不同层级和不同安全域提供不同颗粒度的访问控制；能够实现 IP 地址颗粒度到端口颗粒度不同级别的细化；例如在主机和防火墙上关闭不用的端口，同时工业防火墙具备分片重组功能，需要严格限制同一片报文的分片数目，设置合理的分片缓冲超时时间，确保能够应对分片攻击。

在生产控制大区中，网络边界防火墙将以最小通过性原则部署配置，根据业务需求采用白名单方式，逐条梳理业务流程，增加开放 IP 和开放端口，实现严格流量管控。

5.2.3  入侵防范  

部署工控漏洞扫描，采用离线工控系统漏洞扫描和入网检测，检测对目标设备进行版本扫描和原来扫描，凡是生产网内工业控制系统中所特有的设备/系统（比如 SCADA、DCS、PLC 等，以及上游软件）必须经工控漏扫设备扫描检测合格后，方能具备入网资格。

5.2.4  恶意代码防护  

通过对发电站生产系统网络边界采取网关类边界安全防护手段，可使每个独立的安全域网络能够有效防护内部和外部网络恶意代码入侵、病毒木马感染、APT 攻击等安全威胁，将安全域可能面临的恶意代码安全风险降低到可控范围内，减少安全事件的发生，保护网络能够高效、稳定运行，减少因为恶意代码风险带来的损失。   

 

在工业主机上采用基于进程的白名单防护技术，将主机中常用的应用进行安全管控，阻止白名单库外的其它与生产运行无关的应用软件安装及使用，从本质上可防范软件安装过程中带来的恶意代码，或防范已安装软件感染恶意代码、木马程序，使整个计算环境能够防范恶意代码入侵风险，为工业主机提供安全可靠的运行环境。

5.2.5  安全审计

 

在发电站生产控制网络内部部署工控安全审计设备，对生产控制网络中可能存在的攻击行为、异常流量、重要操作等进行实时监测与审计，在各生产子系统部署工控安全审计系统，通过全流量镜像及大数据处理技术，实现网络流量监测、网络通讯审计、网络操作行为审计等安全功能；实现对网络中工业协议及IT协议进行通信的内容进行深度解析及过滤，进而实现生产控制系统内网络全流量的监测与审计。    

 

5.3  安全计算环境  

 

5.3.1  身份鉴别

 

对网络设备、主机系统、数据库系统、业务应用系统等身份认证及操作权限分配管理，应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。

5.3.2  安全审计  

在安全管理中心部署账号集中管理与审计系统，为认证、授权、审计提供可靠的保障，满足等级保护身份鉴别、访问控制、操作审计的要求，实现监视整个生产控制系统内主机、服务器、网络设备、应用程序运维安全管控，对整个生产网络中的运维过程进行安全审计，有效解决一切疏忽于管理上的安全问题事件的发生，为工控系统提供安全保障。

5.3.3  入侵防范

 

针对服务器和终端计算环境实施安全策略，通过部署入侵检测来检测针对内部计算环境中的恶意攻击和探测，诸如对网络蠕虫、间谍软件、木马软件、数据库攻击、欺骗劫持等多种深层攻击行为进行深入检测并及时报警。

5.3.4  主机加固

 

依据 36 号文发电厂监控系统安全防护方案综合安全防护要求：3.6主机加固，生产控制大区主机操作系统应当进行安全加固。4.4设备和应用系统接入管理，生产控制大区的各业务系统禁止以各种方式与互联网连接；严格控制在生产控制大区和管理信息大区之间交叉使用移动存储介质以及便携式计算机。确需保留的必须通过安全管理及技术措施实施严格监控。

• 终端安全防护系统

通过在生产控制大区各终端主机各部署1套终端安全防护系统，实现终端进程的可信管理，只允许需要的业务软件运行，其他病毒、恶意程序，以及与业务无关的软件都无法运行，提供极高的安全性。

终端安全防护系统将各种访问控制及安全性检测技术综合应用于设备主机系统安全性加固，阻止所有非网络管理员允许的软件或程序运行。即使由于各种不可预测的原因导致管理员密码被窃取，或入侵者通过某种特殊渠道进入操作系统也无法运行任何后门及木马程序，从根本上提高了工控主机的安全性。

• 主机安全类产品

本方案在生产控制大区各终端主机部署终端安全防护类软件，实现终端进程的可信管理，利用“防疫卫士”功能，优先保障客户自身软件正常运行，不被篡改，阻止其他病毒、恶意程序，以及与业务无关的软件运行，提供极高的安全性，且与国产软硬件兼容性强，目前已成功与飞腾、麒麟、凝思等国产化系统完美兼容和使用。 

   

包括安全防疫、安全卫士、安全加固三大模块，安全防疫卫士通过自动建模式安全防疫机制，建立自己的关键业务软件库，防疫卫士会检查每一项访问关键业务软件库的详细操作，包括但不限于关键业务文件被转储、关键业务数据库被修改、关键业务内存被嗅探、关键业务被本地注入、关键业务被远程调试、关键业务文被件修改、关键业务注册表被修改等。

主机安全加固系统，是一款面向工业控制系统中的监控主机、操作员站、工程师站、数据服务器等进行防护的终端安全防护类软件产品。针对工业控制系统主机进行安全加固的软件产品，通过建立白名单防御隔离屏障为工控主机形成初步进程级加固，又进一步对工业主机的文件、注册表、端口、访问控制、完整性保护、基线配置等多层面进行立体式防护，将工业主机操作系统全面提升为安全操作系统。有效解决工业主机面临的恶意程序（如 WannaCry、Havex等）攻击、越权访问、数据泄露、破坏数据完整性等威胁行为。提升工控主机操作系统整体的安全保护能力。

工控主机安全卫士是针对工业控制网络的主机产品，基于应用程序白名单管理机制，禁止非法进程运行，阻断工控主机中病毒等恶意程序的运行以及木马、蠕虫的传播。

工控主机安全卫士通过完善的 USB 移动存储设备权限与操作管理，具有读写、禁用两种功能。禁止非法 USB 设备连接到工控主机，确保没有非法设备连接、没有越权操作行为以及有效防止文件泄密。目前产品广泛应用在工程师站、操作员站、接口机、服务器等各个场景，同时和集团内部 USB 安全隔离装置联动，可以识别在 USB 安全隔离装置中注册过的 U 盘，并控制其读写、禁用权限。    

工控主机安全卫士还具有审计和告警功能，实时记录应用程序、内部操作、USB 管控、等行为，提供用户安全记录。

• USB安全隔离装置

在生产控制大区工程师站交换机上各部署USB安全隔离装置，防止病毒、木马等恶意文件通过USB接口进入系统，同时解决USB移动设备接入工控系统无管控、无记录等技术需求，从而提高主机的接口安全防护能力。

USB安全隔离装置是USB存储设备和计算机之间数据安全交互的桥梁，创新性的采用外设杀毒技术，对USB移动存储设备数据传输过程进行病毒查杀隔离，可有效减少通过USB移动存储设备携带病毒对内网计算机的安全性造成威胁，保证数据快速、安全地传输到内网计算机。

其中这三款产品可以联动发挥更大作用：

• 主机安全类产品+USB安全隔离装置

网藤科技主机安全类产品可以通过技术手段禁用U口，防止病毒从U盘带入，同时通过与USB安全隔离装置联动，识别已经在USB安全隔离装置中杀毒过的授权U盘。只允许经过病毒查杀的U盘插入主机，进一步保护外设安全，同时可以对授权U盘中的加密文件进行解密，保护文件机密性和完整性。    

 

• 主机安全类产品+终端威胁管理系统

对于本身带有病毒的主机，网藤科技主机安全类产品还可以和网藤科技终端威胁管理系统联动，安装主机安全产品之前，可以先通过终端威胁管理系统对主机进行病毒查杀，初始化一个安全环境。

5.3.5  数据泄露防护  

部署数据防泄漏，自动发现、梳理并识别工控企业存储设施内的敏感数据内容，并能对所有发现的敏感数据计算其数据指纹，针对性制定不同密级、不同类型的敏感数据监管和保护策略，智能化防止敏感信息的外泄。自动扫描内网所有敏感数据，同时多维度制定敏感数据分布地图。详细展现敏感数据的所在部门、所在存储设施及其存储路径。还能周期性自动更新地图，实时掌握敏感数据的分布，详细记录终端、服务器设施敏感数据存储情况。   

 

5.4  安全管理中心  

 

5.4.1  日志审计 

 

为了保障生产系统和网络信息数据不受来自非授权用户的破坏、泄露、窃取，在安全管理中心部署日志审计系统，以旁路的方式部署在生产控制系统核心交换机上，通过主动获取或被动接收集中采集各类设备与系统中的安全事件、系统运行状态、网络存取日志等各类信息，经过数据识别、数据处理和数据分析等处理后，以统一格式的展示并进行集中存储和管理，遇到特殊安全事件和系统故障，日志审计系统可以确保日志完整性和可用性，协助管理员进行故障快速定位，并提供客观依据进行追查和恢复。

5.4.2  集中管控  

为满足集中统一管理的要求，在生产控制大区安全生产Ⅱ区建立安全管理中心，在安全管理中心部署1套安全管理平台，数据采集层负责将网络设备、主机/服务器、安全设备、应用系统的流量数据、日志信息、威胁情报等，并对工业协议进行深度解析，对数据进行清洗、聚合后推送到数据存储分析层。数据存储层通过私有协议将采集层的数据存储在数据中心，并在存储层的智能分析中对已采集的数据进行建模、关联分析，并将分析结果再存储到数据中心，为展示层查询历史安全事件提供数据基础，同时智能分析中心还将实时安全事件直接推送到展示平台，为安全运维人员提供技术支撑。

          

06

态势分析体系设计

    

态势感知与预警平台是一款服务于工业企业的工业互联网安全平台型产品，平台通过部署在工业互联网中的各种工业安全设备来采集多维数据，以工业资产为中心，以建立工业互联网安全基线为基础，以数据可视化为手段集中展示工业互联网中存在的资产信息、网络威胁、业务异常、资产脆弱性等工业互联网安全现状并据此提供针对性的运营建议，同时该平台具备工业安全设备集中监管能力，进一步实现场景化分析与自动化响应。

 

6.1  架构设计 

本产品技术架构主要分为四层，分别为接口层、数据层、服务层、应用层。

其中接口层主要用于本产品的数据采集、设备管理、数据外发；数据层主要对采集的原始数据进行预处理，包括过滤、转换、孵化等，并进一步处理为上层所需的各种业务数据、资产数据等。服务层主要基于产品应用功能与数据之间抽象的通用处理关系，提炼出安全基线引擎、策略管理引擎、数据统计引擎、关联分析引擎、安全风险引擎、报表管理、权限管理等。

应用层主要围绕产品的四大核心主功能模块，包括工业集中统一管理、工业日志集中审计、工业安全运营分析、组态化的工业态势感知大屏，以及十几个子功能模块，包括资产管理、风险管理、漏洞管理、威胁管理、异常行为分析、设备管理、设备监控、拓扑管理、日志检索、报表管理等。

同时默认提供六块从整体到局部的综合安全态势大屏，包括综合安全态势、网络安全态势、资产漏洞态势、工业威胁态势、异常行为态势、工业主机态势。

 

 

6.2  数据采集 

 

• 多源异构日志数据采集

对主流安全设备、工业安全设备、网络设备、主机、数据库、中间件、应用系统和虚拟化系统等设备异构日志进行全面采集，实现资产日志数据统一管理。同时为满足日志数据共享需求，提供收集日志转发，当原始日志设备无法设置多个日志服务器时，可通过本系统进行日志转发将日志转发到其他日志存储设备。

• 全流量数据采集

对网络流量数据进行采集，并将捕获的通信数据转换为数据分组报文格式递交给上层组件，作为上层特征检测引擎分析处理的原始数据。通过双向流量检测对网络流量行为进行判定（例如数据报文恶意特征匹配、资源使用情况、使用者的访问行为等），识别病毒、木马、敏感信息等异常行为。

6.3  关联分析

 

基于大数据技术的海量数据存储和 AI 安全分析服务，对用户网络环境内发生的所有行为进行全面分析，实现对脆弱性、威胁、事件的深入分析和关联，从业务系统、应用境、用户等维度进行关联分析，实现攻击路径还原、攻击危害评估、调查取证、安全态势可视化分析等安全能力实现集中统一监控，以系统可用性、安全性监控为主线，构建统一集成的主机资源和应用服务监控平台，能够主动、及时地发现安全问题，提高定位攻击事件的准确性，还原攻击原貌，丰富攻击样本库，减少安全运维的时间成本和技术成本，帮助定位安全事件原因，快速恢复业务应用系统运行，建立安全事件告警分析及展示模块，制定的安全事件响应处理流程。

6.4  资产管理

 

资产管理实现对所在区域内所有资产的统一查看与管理，包括资产基本信息、资产标签信息、资产所在分组信息、资产漏洞信息、资产服务（开放端口）信息、资产威胁信息、资产流量信息、资产连接关系、资产基线等多维度查看与管理。建立起以工业资产为核心的工业互联网安全管理与分析平台。

6.5  异常行为分析

异常行为分析是针对工业安全典型场景采用的大数据行为建模分析方法，包括异常资产分析、异常网络行为分析、异常工艺行为分析等。 

   

异常资产分析，通过建立资产安全基线，可以分析出非法接入资产。资产安全基线可以根据起始时间段、数据来源进行动态学习，根据规则的不同，可以制定多条安全基线，但同一时间内，只能一条安全基线生效。资产安全基线也可以进行由用户进行导入。通过数据的实时分析，偏离安全基线的将产生非法接入资产告警。

 

网络异常行为，通过源地址、目的地址、目的端口、协议号、应用协议等进行建模分析，在指定时间段内分析出网络行为基线。网络行为基线也可以进行由用户进行导入。通过对数据的实时分析，及时将网络异常行为告警。

 

 

6.6  态势展示  

工业互联网安全态势感知模块，提供各种角度的态势可视化分析，帮助客户快速了解安全状况并进行决策。现阶段系统有八大态势，包括综合安全态势、网络资产态势、资产漏洞态势、工业威胁态势、异常行为态势、工业主机安全态势、安全管理态势、关键资产安全态势。同时提供可配置化的告警响应弹框。

• 综合安全态势

综合安全态势，围绕工业场景下所有资产的风险、漏洞、威胁、异常行为进行整体监控与趋势分析，帮助客户快速了解整体安全态势，统领全局，囊括集团分布在全国各地的厂区，与各厂区建立的安全防护体系数据共享，以工业网络资产为核心，从工业威胁、资产漏洞、异常行为等多维度分析呈现综合安全态势。  

 

• 网络资产态势

围绕资产维度进行分析，包括资产的变化趋势、活跃趋势、资产重要性占比、资产供应商、资产服务情况、资产分布情况等进行综合分析展示。通过中心位置的逻辑图可以看到集团下各厂区的网络资产逻辑分布与数量。

 

• 资产漏洞态势

围绕漏洞维度进行分析，包括漏洞资产、漏洞分类、漏洞严重性、漏洞分布、漏洞趋势等多个维度进行综合分析。    

 

• 工业威胁态势

围绕威胁维度进行分析，包括威胁告警趋势、威胁严重性、威胁分布、威胁处置状态等进行综合分析展示。

 

• 异常行为态势

围绕工业异常行为进行分析，包括网络异常行为、业务异常行为、异常行为资产、异常行为处置状态、异常行为分布等进行综合分析展示。    

 

• 工业主机安全态势

围绕工业主机进行分析，包括工业主机数量、工业主机防护占比、工业主机发生的威胁事件、异常行为等进行综合分析展示。

 

• 安全管理态势

包括设备在线状态、在线时长、设备分类、设备监控参数状态等，进行实时性的展示，能明确观察到各个厂区安全设备的具体状态。    

 

• 关键资产态势

显示重点设备的具体IP、端口、用途、异常连接数等，更加有针对性的对重点IP进行管控。

 

          

07

安全运营体系设计

 

7.1  风险评估  

风险评估应贯穿于信息系统的整个生命周期的各阶段中。依据信息系统生命周期五个基本阶段：规划、设计、实施、运维和废弃。信息系统生命周期各阶段中涉及的风险评估的原则和方法是一致的，按照风险评估实施过程进行适当简化与裁剪加以实施。但由于各阶段实施的内容、对象、安全需求不同，使得风险评估的对象、目的、要求等各方面也有所不同，因此，各阶段风险评估的具体实施要根据该阶段的特点有所侧重进行。

在信息系统生命周期的各阶段中的安全活动如下图所示：

 

 

7.2  安全加固  

安全加固是根据对集团当前网络安全评估情况及集团对网络安全的需求，协助集团制定并实施网络安全配置加固方案。安全配置加固内容包括网络设备、安全设备、操作系统、WEB应用、数据库等，目的是为了提高集团整体网络安全性，增强用户抵御各类网络攻击的能力。 

   

7.3  应急响应 

 

应急响应是集团工业网络安全防护水平的重要保障，集团应通过制定严密的工控安全应急响应预案保障工控系统在遭受攻击、系统异常等情况时能够快速响应并有效处理问题。应急响应工作是体系化工作，包括制定应急响应预案、组织应急演练、安全事件应急响应等内容。

7.4  攻防演练

工业互联网安全中的攻防演练服务主要提供组织演练活动、对接演练参与方、提供演练环境、演练后协助分析研讨等。

攻防演练主要根据客户系统的实际情况调研并在一定的规则下制定安全攻防演练方案，通过多种攻击手段对企事业的关键业务进行尝试攻击，获取服务器的权限，最终攻击内网的关键服务器获取敏感数据。通过对抗式演习，从安全技术、管理、维护等多个层面发现企事业安全的漏洞和问题，全面排查安全隐患，检验企事业的安全防护能力以及对安全事件的监测发现能力和应急处置能力，强化网络安全意识，提升企事业的网络安全防范能力和水平。

          

08

实施效果

 

本方案具有完全自主的知识产权，满足等保及国产化要求，采用主动防御体系及纵深防御思想，创新性的将被动的静态防御和主动的动态防御相结合的安全部署方式，提升电力系统网络结构安全和深层防御能力，有效检测工业网络中通信异常和协议异常并进行阻断，实现控制系统的安全网络隔离、访问控制以及专用工控协议的深度解析，全面提高生产控制网络的整体安全性，为电力安全生产保驾护航。

本项目实施后成效：

• 本方案采用先进的国产网络安全技术和产品，应用的产品适配国产处理器、操作系统，践行关键基础设施单位国产化的责任与义务，提高电厂对关键网络安全设备和系统的自主可控能力，减少对国外厂商的依赖。
• 实施后，可利于管理员定期分析各系统日志信息，对安全事件、用户访问记录、系统运行日志、系统运行状态、网络存取日志等各类信息进行集中管理分析，并可留存六个月以便后续查看。
• 实施后，减轻电站日常IOT资产设备的运维强度和成本，可通过集控中心统一安管平台，快速识别业务系统中的安全风险；提高系统管理人员安全意识，提高现场设备应对外来威胁的防御能力，减少自身脆弱性。
• 实施后，针对网络攻击、违规使用等情况，采用深度分析技术对网络进行不间断监控，分析来自网络内部和外部的入侵企图，并进行报警、响应和防范，有效延伸了网络安全防御层次，提高各系统网络安全事件的识别和响应能力。
• 实施后，对业务系统的定时和实时备份、异地容灾、连续数据保护等功能，减少因数据泄露带来的巨大损失，有效实现对业务系统的全方位保护。

09

方案亮点及创新性

安全产品实现基于国产化硬件平台的自主可控技术，积极支撑关基领域的国产化替代，为应用国产系统的用户提供全面、可靠的安全保障。

基于网藤科技多年技术积累以及对电力行业的深入理解，结合电力行业工艺流程特点，利用自有的行业知识库研发具有行业特色“安全保护模型”并建立“检测规则”，准确识别电厂生产网络中的异常流量、异常行为、漏洞利用攻击、恶意代码攻击等入侵行为并实时告警。

创新的工控主机外置病毒查杀机制，从根本上解决了工控主机与防病毒软件可能存在的兼容性、无法在线升级的问题，依托于1200万+病毒库及双引擎查杀能力，有效提高病毒检测能力，且可实现移动存储介质的授权管理、安全接入和综合审计等全流程管理，杜绝移动存储介质“滥用”的安全隐患。

方案中采用的工控主机安全卫士在“白名单”防护产品基础功能上，新增加了软件防疫卫士和病毒专杀工具，且可实现与USB安全隔离装置的策略联动，如U盘授权互认，利用主机本体 + 外设接口一体化防护技术，形成行业内创新的软件 + 硬件的终端防护方案，广泛适配国产化环境，为工控主机的安全保驾护航。

 

10

应用案例

 

10.1  项目背景  

江苏某发电有限公司建设有2X1000MW高效洁净超超临界燃煤发电机组，配套“华电睿蓝”智能控制系统，采用国产元器件、国产芯片、国产处理器、国产操作系统、国产数据库、国产服务器、国产交换机和开源软件，完成了DEH的设计、组态、调试和投运，并对MEH、ETS、FGD等系统进行了改造，在国内首次实现1000MW超超临界机组自主可控DCS&DEH一体化控制，实现火电厂的一体化控制、保护等功能。

本项目以江苏某发电有限公司#1机组DCS系统工业控制系统网络安全保护建设为主线，借助网络产品、安全产品、安全服务、管理制度等手段，建立全面的网络安全防控体系，以生产控制系统安全为重点，保证业务系统安全运行，从而全面提高生产的工作效率，提升信息化运用水平。

 

10.2  建设方案

 

• 边界威胁监测

在SIS系统控制层交换机旁路部署入侵检测系统，实现网络威胁入侵检测，及时发现网络异常情况，蠕虫、木马病毒以及APT等恶意程序的传播状况，并对僵尸主机监控定位，实现网络运行状态的实时监控。

• 主机安全防护

在1#机组DCS系统和脱硫系统内各部署1套工控主机安全防护系统，实现终端进程的可信管理，只允许需要的业务软件运行，其他病毒、恶意程序，以及与业务无关的软件都无法运行，提供极高的安全性。

   

• 日志安全分析

在1#机组DCS系统和脱硫系统核心交换机部署日志审计系统，该系统能够实时将工业控制网络中网络设备、安全设备、服务器、数据库系统的日志信息，进行统一地收集、处理和关联分析。

• 安全管理中心

在机组中控室部署一套综合安全管理平台，从而构建电厂安全体系的统一管理平台。

• 网络安全审计

在1#机组DCS系统和脱硫系统核心交换机旁路部署工控安全审计系统，及时发现网络当中的异常流量、违规操作、误操作、指令异常、非法连接等现象。

安全防护示意如下图所示：

10.3  方案价值 

 

通过对工控系统网络的安全防护，全面提升生产网络整体的安全性，确保设备、系统、网络的可靠性、稳定性，提高了安全生产管理水平、管理效率。  

 

全面提升电力生产网络安全防护管理的合规性，满足国家网络安全监管部门、国家局的相关政策与标准要求；通过对生产系统网络的安全加固，符合集团/公司总部针对工控系统安全防护的要求，同时也提高了工业系统生产控制网络本身的安全防护等级，极大推进了企业工控系统信息安全防护工作的进程。

11

建设清单

 

序号	产品名称	产品功能
1	工业防火墙	提供包过滤、身份认证、授权、访问控制、等传统防火墙功能，能够有效防御日益复杂的网络攻击。
2	工控安全审计	快速识别工业控制网络中存在的网络攻击、用户误操作、非法设备接入的传播并实时报警，同时详实记录一切网络通信行为，为用户分析工业网络信息提供依据。
3	工控安全管理平台	包括资产监控与管理、安全策略集中管理、安全日志管理、安全事件分析等功能，同时管控多种安全产品，提供整体网络安全保障。
4	工控主机安全卫士	建立了基于“白名单 ”防御隔离屏障，监控工控主机的进程状态等资源，有效隔离僵木蠕传播，具有完善的安全控制机制和周全的防御性能。
5	Usb安全隔离装置	采用外设杀毒技术，集“认证授权、杀毒隔离、访问控制、日志审计”于一体，可有效降低通过 U 盘等移动存储介质携带病毒对内网计算机的安全性造成威胁。
6	工控态势感知与预警平台	实现对区域工业资产集中管理、日志管理与分析、业务异常行为建模与分析，威胁统一分析与运营、态势感知大屏以及设备集中管理等核心功能。
7	工控日志审计	实时对各类安全设备、网络设备、操作系统、中间件、数据库的日志的统一采集，并对采集的数据上传至态势感知系统。
8	工控漏洞扫描	针对工业环境研发的脆弱性检测与漏洞扫描产品，准确定位其脆弱点和潜在威胁，深入检测出系统中存在的漏洞和弱点，协助管理员修补漏洞，全面提升整体安全性。
9	数据防泄漏	阻断用户通过个人终端外部设备接口泄露敏感数据，对被动/主动访问敏感数据内容的行为进行审计/阻断，全面杜绝恶意软件窃密及通过应用软件主动外发敏感数据的行为发生。
10	账号集中管理与审计系统	集用户管理、授权管理、认证管理和综合审计于一体的集中运维管理系统。能够详细记录用户对资源的访问及操作，达到对用户行为审计的需要。

 

出品 | 安东工作室

作者｜北京网藤科技有限公司

转载｜请注明出处