方案概述

本方案針對DCS系統(tǒng)、SIS系統(tǒng)的安全問題進行完善，按照國家和電力行業(yè)相關網(wǎng)絡安全防護的政策與網(wǎng)絡安全防護體系要求，針對火力發(fā)電生產(chǎn)控制技術發(fā)展，利用當前先進的網(wǎng)絡安全防護理念、技術與產(chǎn)品，建設縱深立體的網(wǎng)絡安全防護體系，輔助企業(yè)建立網(wǎng)絡安全監(jiān)測、通報預警與聯(lián)動處置機制，為綜合安全防護能力提供技術支撐，為火力發(fā)電企業(yè)生產(chǎn)控制系統(tǒng)安全運行提供必要的網(wǎng)絡安全保障。

1.方案背景

電力系統(tǒng)的安全發(fā)展和安全穩(wěn)定運行關系到國計民生，而在電力系統(tǒng)當中，要保證電力系統(tǒng)的安全、穩(wěn)定運行，網(wǎng)絡安全防護工作顯得十分重要。近年來，針對電力系統(tǒng)的網(wǎng)絡安全攻擊事件屢屢發(fā)生，“伊朗核電站震網(wǎng)病毒事件”、“ 烏克蘭電網(wǎng)大面積停電事件”等，更給電力系統(tǒng)的網(wǎng)絡安全防護工作敲響警鐘。

2017年6月，《中華人民共和國網(wǎng)絡安全法》的實施，提出實行等級保護制度，明確網(wǎng)絡運營單位應當按照網(wǎng)絡安全等級保護制度的要求，履行安全保護義務，采取防范計算機病毒和網(wǎng)絡攻擊、網(wǎng)絡侵入等危害網(wǎng)絡安全行為的技術措施，保障網(wǎng)絡免受干擾、破壞或者未經(jīng)授權的訪問，防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取、篡改。《中華人民共和國網(wǎng)絡安全法》及GB/T 22239-2019 《網(wǎng)絡安全等級保護基本要求》等一系列法律及行業(yè)規(guī)定要求的頒布實施，更進一步凸顯電力系統(tǒng)運營單位開展網(wǎng)絡安全防護工作的重要性、逼迫性和必要性。

2.方案簡介

本方案主要是針對某火力發(fā)電廠的DCS系統(tǒng)、SIS系統(tǒng)等工控系統(tǒng)安全防護建設。

某火電廠建設2臺66萬千瓦燃煤機組。其機組配套DCS系統(tǒng)控制系統(tǒng)為和利時DCS分散控制系統(tǒng)，兩臺單元機組、公用系統(tǒng)均獨立組網(wǎng)，整體構成某火電廠發(fā)電監(jiān)控系統(tǒng)。DCS通過UDP接口程序將生產(chǎn)數(shù)據(jù)經(jīng)過單向隔離裝置發(fā)送到SIS系統(tǒng)。SIS系統(tǒng)為大唐先一建設集成，采集1#DCS、2#DCS、公用等數(shù)據(jù)，通過SIS核心網(wǎng)絡寫入實時數(shù)據(jù)庫，實時數(shù)據(jù)庫經(jīng)單向隔離同步到管理信息大區(qū)的鏡像數(shù)據(jù)庫，用于生產(chǎn)經(jīng)營應用。

3.方案目標

依據(jù)電力行業(yè)已發(fā)布的國家與行業(yè)標準規(guī)范，設計、建設DCS系統(tǒng)、SIS系統(tǒng)加固信息安全防護體系：

深度檢查：面向應用層對特有的工業(yè)通訊協(xié)議進行內(nèi)容深度檢查，告別病毒庫升級缺陷；

安全審計：完善的安全審計平臺，對網(wǎng)絡運行日志、操作系統(tǒng)運行日志、安全設施運行日志等進行集中收集、自動分析，及時發(fā)現(xiàn)各種違規(guī)行為以及病毒和黑客的攻擊行為；

威脅檢查：部署于網(wǎng)絡邊界的威脅檢測系統(tǒng)能夠快速準確發(fā)現(xiàn)入侵監(jiān)控系統(tǒng)的病毒和惡意代碼，并實施清除并報警。

實時報警：所有部署的工控信息安全產(chǎn)品都能由管理平臺統(tǒng)一進行實時監(jiān)控，任何非法的（沒有被組態(tài)允許的）訪問，都會在管理平臺產(chǎn)生實時報警信息，從而故障問題會在原始發(fā)生區(qū)域被迅速的發(fā)現(xiàn)和解決。

實現(xiàn)以下建設目標：

（1）提高DCS系統(tǒng)、SIS系統(tǒng)信息安全防護能力

基于某火電廠DCS系統(tǒng)、SIS系統(tǒng)網(wǎng)絡安全現(xiàn)狀，在工業(yè)控制系統(tǒng)的主機層和網(wǎng)絡層進行安全加固、入侵檢測、安全審計和邊界防護以有效抵御來自工控網(wǎng)絡內(nèi)部、外部的病毒、入侵、滲透以及違規(guī)操作行為對DCS系統(tǒng)、SIS系統(tǒng)造成破壞，防范信息安全事故的發(fā)生。

（2）滿足合規(guī)性要求

方案建設滿足能源局36號文中綜合防護的要求，提供網(wǎng)絡內(nèi)部入侵檢測、主機與網(wǎng)絡設備加固、安全審計和惡意代碼防護的要求，使某火電廠DCS系統(tǒng)、SIS系統(tǒng)安全防護措施達到國家監(jiān)管部門對發(fā)電企業(yè)的要求。

（3）方案成果的應用

此方案的進一步加強了某火電廠DCS系統(tǒng)、SIS系統(tǒng)信息安全的重視程度和實施力度，將切實保證免受病毒、惡意代碼等威脅，保持安全穩(wěn)定運行的狀態(tài)。

方案實施概況

方案結合火力發(fā)電廠工業(yè)控制系統(tǒng)的實際安全需求和等級保護2.0、電力36號文“安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證、綜合防護”，實現(xiàn)事前預警、事中防范和事后取證等安全能力。

1. 方案總體架構和主要內(nèi)容

（1）頂層設計架構

本方案參考《信息安全技術網(wǎng)絡安全等級保護》、電力36號文等相關技術要求，以縱深防御的防護理念為核心，結合火力發(fā)電行業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡的業(yè)務特點，構建以工業(yè)控制網(wǎng)絡、設備、數(shù)據(jù)、控制、應用為目標防護對象的立體安全防護思路。

圖11-1  設計思路

安全技術防護和安全管理防護是工業(yè)控制系統(tǒng)縱深防御的核心內(nèi)容，是保障工業(yè)控制系統(tǒng)安全運營之兩翼，缺少其中一個，都無法確保系統(tǒng)的安全。在安全技術方向，方案遵從P2DR模型，主要從威脅防護、監(jiān)測感知、處置恢復三個維度展開技術防護工作。

在安全管理方向，主要從火力發(fā)電廠行業(yè)工業(yè)控制系統(tǒng)的全生命周期安全風險管理、企業(yè)安全建設目標、系統(tǒng)安全建設策略三個方面展開安全管理工作。

2. 網(wǎng)絡、平臺或安全互聯(lián)架構

圖11-2  整體防護架構圖

方案總體技術架構參考等級保護要求，結合防護指南和36號文等相關要求，基于某火電廠生產(chǎn)系統(tǒng)的工業(yè)網(wǎng)絡安全防護需求，依靠安全現(xiàn)狀和需求，建設某火電廠DCS系統(tǒng)、SIS系統(tǒng)工控網(wǎng)絡防護體系框架，設計電力企業(yè)網(wǎng)絡安全綜合防護平臺基礎機構，建設安全態(tài)主動防御平臺，提升某火電廠統(tǒng)一管理與主動防御能力，構建多層次一體化工業(yè)網(wǎng)絡安全防御能力，為安全生產(chǎn)提供保障。

拓撲說明：

（1）邊界隔離

為保障火電廠生產(chǎn)控制大區(qū)安全防護標準已以滿足行業(yè)防護需求和建設原則，秉承安全分區(qū)網(wǎng)絡專用原則，生產(chǎn)控制大區(qū)內(nèi)部應DCS機組之間應進行有效的邊界隔離和防護手段，生產(chǎn)區(qū)域內(nèi)各業(yè)務系統(tǒng)邊界部署工業(yè)防火墻實現(xiàn)業(yè)務系統(tǒng)邏輯隔離。

（2）入侵檢測

采用旁路方式在廠級監(jiān)控信息系統(tǒng)（SIS）核心交換機和場站生產(chǎn)系統(tǒng)交換機部署工業(yè)入侵檢測系統(tǒng)，實現(xiàn)包括入侵檢測、協(xié)議解析、病毒檢測、DNS監(jiān)測、DDOS攻擊檢測等安全監(jiān)測能力。

（3）安全審計

在廠級監(jiān)控信息系統(tǒng)（SIS）及現(xiàn)場設備層各生產(chǎn)域交換機采用旁路方式，部署工控網(wǎng)絡安全審計系統(tǒng)，檢測生產(chǎn)控制系統(tǒng)中的操作行為和異常網(wǎng)絡行為，便于進行事件取證和定責。

（4）主機加固

針對火電廠所有操作系統(tǒng)，采用工業(yè)主機安全防護系統(tǒng)進行安全加固和防護，提供主機系統(tǒng)加固、白名單可信防護、惡意代碼攔截、系統(tǒng)數(shù)據(jù)訪問控制、外設管控等多種安全能力。

（5）集中管控

根據(jù)等保標準“安全管理中心”相關要求，部署集中安全集中管理平臺，采集生產(chǎn)網(wǎng)絡中各工控安全設備及系統(tǒng)的數(shù)據(jù)，實現(xiàn)全局化安全管控，加強電力監(jiān)控系統(tǒng)安全管理水平，和監(jiān)管能力。

（6）運維管控

為保證電力監(jiān)控系統(tǒng)生產(chǎn)網(wǎng)絡的安全運維，部署運維安全審計系統(tǒng)，通過賬號集中管理、細粒度訪問權限、操作審計，讓運維人員的操作處于可管、可控的狀態(tài)下，規(guī)范運維操作。

（7）日志分析

通過部署日志審計與分析系統(tǒng)對一區(qū)、二區(qū)的各網(wǎng)絡設備、安全設備、操作站、Windows、Linux、的運行狀態(tài)信息、告警信息進行集中采集、分類、過濾、范式與合并，對網(wǎng)絡全局的日志安全事件進行自動聯(lián)系分析，跟系統(tǒng)默認的或自定義的規(guī)則來識別網(wǎng)絡威脅和負責的攻擊模式，從而確定事件的真實性、進行事件分級并進行有效的響應 。通過對日志內(nèi)容的深度分析，對采集到的日志數(shù)據(jù)進行動態(tài)分析，將網(wǎng)絡非法訪問、數(shù)據(jù)違規(guī)操作、系統(tǒng)進程異常、設備故障等高危安全事件，從海量日志數(shù)據(jù)中提取出來，并通過內(nèi)置告警規(guī)則采用桌面屏幕、郵件、短信、SYSLOG、SNMP等方式通知管理員及時處理。

（8）態(tài)勢感知與威脅預警

通過態(tài)勢感知與預警平臺能夠實現(xiàn)針對發(fā)電廠生產(chǎn)系統(tǒng)全局風險的感知，比如工控資產(chǎn)分類與統(tǒng)計、資產(chǎn)存在的漏洞等級與數(shù)量統(tǒng)計，同時依據(jù)國內(nèi)外最新通報的安全事件和威脅信息，通過內(nèi)置威脅感知引擎和外部威脅情報的支持，利用現(xiàn)場安全設備的告警日志、網(wǎng)絡流量異常狀態(tài)、主機安全狀態(tài)分析，針對潛在的風險進行高級動態(tài)分析和定位，提供網(wǎng)絡安全應急處置策略和建議，同時，為使用方提供威脅預警能力，基于少量的異常行為和特征信息預測當前將要出現(xiàn)的網(wǎng)絡攻擊和威脅，為決策指揮人員提供技術依據(jù)和支撐，便于有針對制定安全防范措施和預案。

3. 具體應用場景和安全應用模式

本套方案可以廣泛應用于電力、智能制造、石油石化、天然氣、水利、鐵路、軌道交通、城市市政以及其他與國計民生緊密相關領域的工業(yè)控制系統(tǒng)，提供可定制化和可擴展的安全解決方案。

系統(tǒng)整體可采用分布式架構，支持單級或多級應用部署（廠區(qū)級、分公司級、集團級）滿足不同層級的用戶應用場景。支持全方位工控安全數(shù)據(jù)采集，主要包括來自于工控主機、工控網(wǎng)絡設備、工控網(wǎng)絡安全設備、工控數(shù)據(jù)庫軟件的威脅事件、操作日志，以及關鍵位置的工控流量數(shù)據(jù)采集。

并通過對安全大數(shù)據(jù)的深度挖掘，借助AI智能技術，充分利用資產(chǎn)管理、流量分析、威脅感知、關聯(lián)分析、風險評估、可視化等技術和功能，實現(xiàn)整體安全防護能力和運營能力的提升。

4. 安全及可靠性

本方案通過以下技術加強系統(tǒng)自身安全可靠：

基于SSL的遠程管理：通過網(wǎng)絡可以直接對工控安全審計系統(tǒng)進行管理和配置。所有通訊采用了SSL加密技術，所有數(shù)據(jù)和所有配置管理信息在網(wǎng)絡上全部以密文傳輸，可以防止惡意攻擊者使用網(wǎng)絡監(jiān)聽工具竊取信息。

部分關鍵控制接口，可通過國密SM3算法保護數(shù)據(jù)。

基于角色的分權分級管理，更便于系統(tǒng)權限劃分，減少對系統(tǒng)的濫用。

通過可信設備授權，只能通過已經(jīng)授權的IP（或者IP段）登錄。

用戶口令嘗試次數(shù)限制和鎖定時間限制，有效防止暴力破解登錄密碼。

可支持信息安全管理體系的三權分立管理。

5. 其他亮點

集成了工控環(huán)境下白名單、黑名單、IP/MAC地址綁定、異常流量等常用的安全策略，輔以自定義的安全策略，能調(diào)用工業(yè)防火墻、工控安全審計、主機加固等安全產(chǎn)品實現(xiàn)對工控網(wǎng)絡APT攻擊、異常行為和非法數(shù)據(jù)包等多種威脅進行多方式保護，對發(fā)現(xiàn)的威脅進行告警和阻斷，保護工業(yè)控制網(wǎng)絡安全，有效的提高網(wǎng)絡的安全性。

以工控資產(chǎn)及業(yè)務為核心，以安全事件管理為關鍵流程，采用安全域劃分的思想,建立一套實時的風險模型，實現(xiàn)對各類資產(chǎn)和業(yè)務的信息采集、關聯(lián)分析、日志審計、事件監(jiān)控、流量分析、網(wǎng)絡攻擊防范、態(tài)勢感知、安全預警和快速響應，做到“集中監(jiān)控、統(tǒng)一管理、全面分析、快速響應”。

下一步實施計劃

1. 計劃1

研制分布式全流量、全空間、全時間的網(wǎng)絡安全動態(tài)預警裝置，能提高網(wǎng)絡安全監(jiān)控的力度，提升針對火力發(fā)電行業(yè)工控網(wǎng)絡安全的自動化運維程度；

建立基于多維度的通信流量抓取的網(wǎng)絡安全分析評估模型，實現(xiàn)對網(wǎng)絡狀態(tài)的全方位掌握。

2. 計劃2

構建火力發(fā)電行業(yè)網(wǎng)絡安全事件快速定位機制，網(wǎng)絡安全問題的快速、準確定位。

建立火力發(fā)電行業(yè)網(wǎng)絡安全預測和預警訓練模型，實現(xiàn)全網(wǎng)絡、全時段的網(wǎng)絡安全的動態(tài)預警。

方案創(chuàng)新點和實施效果

1. 方案先進性及創(chuàng)新點

原有的網(wǎng)絡安全監(jiān)測主要依靠網(wǎng)絡流量進行采集和展示，且流量源有限，協(xié)議解析能力有限，對危險的識別也有限，并且各自成體系，無法形成統(tǒng)一的網(wǎng)絡安全管理系統(tǒng)，造成網(wǎng)絡安全監(jiān)測“死角”的存在，無法做到事前預測、事中防御、事后追溯的效果。通過擴展安全數(shù)據(jù)源、增強協(xié)議解析能力，同時增加AI安全大數(shù)據(jù)分析和挖掘，訓練出更適合當?shù)叵到y(tǒng)的安全分析、預測、決策模型，并以快速定位、易理解、易管理的展示形式，形成一套完整的火力發(fā)電廠企業(yè)安全防護和態(tài)勢感知系統(tǒng)。

2. 實施效果

優(yōu)化了網(wǎng)絡安全管理模式，減輕網(wǎng)絡安全運維人員的網(wǎng)絡安全現(xiàn)狀檢查及分析的工作；同時，按照近年各行業(yè)事故數(shù)量和經(jīng)濟損失統(tǒng)計估算，本成果推廣應用預期可對事故發(fā)生進行合理規(guī)避，減少經(jīng)濟損失。

既做好了安全風險把控，又節(jié)省了人力物力，節(jié)約了工作成本，減少經(jīng)濟損失，提升了經(jīng)濟效益。

增強對全局工控系統(tǒng)信息安全的掌控能力，提升網(wǎng)絡安全防護管理和運營水平，實現(xiàn)了國家、行業(yè)和企業(yè)對網(wǎng)絡安全的要求。

單位基本信息

北京珞安科技有限責任公司（簡稱：珞安科技）專注于工業(yè)網(wǎng)絡空間安全，是國家創(chuàng)新型高科技企業(yè)和國家級專精特新“小巨人”企業(yè)。

珞安科技成立于 2016 年，秉承“守護工業(yè)網(wǎng)絡空間安全，為國家關鍵信息基礎設施安全保駕護航”的企業(yè)使命，聚集國內(nèi)工業(yè)網(wǎng)絡空間安全領域頂尖人才，組建工業(yè)網(wǎng)絡空間安全研究實驗室及工控安全專家團隊。在北京、武漢、西安、天津建立四大研發(fā)中心，以零信任理念和體系化思想為指導，自主研發(fā)了“實戰(zhàn)化、易部署、易維護”工控網(wǎng)絡安全產(chǎn)品體系，全面覆蓋工控安全、業(yè)務安全和工業(yè)互聯(lián)網(wǎng)安全，構建了資產(chǎn)可見、威脅可感、安全可視、攻擊可溯、主動防御的工業(yè)網(wǎng)絡空間安全防護體系。目前，擁有公安部第一研究所、中國網(wǎng)絡安全審查技術與認證中心和中國電子工業(yè)標準化技術協(xié)會頒發(fā)的安全建設、安全服務和運行維護能力認證證書，具備質量管理體系、信息安全管理體系、信息技術服務管理體系國際化標準認證等 100+ 資質體系認證、100+ 軟件著作權、80+ 發(fā)明專利。

珞安科技依托強大的技術原廠商實力，積極開展安全服務和安全運營，業(yè)務遍布發(fā)電、電網(wǎng)、石油石化、軌道交通、智能制造、煤炭、鋼鐵、化工、市政、水利、煙草、軍工、教育等 20 多個工業(yè)行業(yè)，覆蓋 600 多家監(jiān)管機構和大型工業(yè)企業(yè)，服務近 2000 家中小企業(yè)，創(chuàng)造多個業(yè)內(nèi)大規(guī)模安全產(chǎn)品部署成功案例，獲得政府主管部門和行業(yè)、產(chǎn)業(yè)界的高度認可，并攬獲多項省部級科技進步獎。

珞安科技總部位于北京，在武漢、西安、上海、杭州、廣州、成都、南京、重慶、寧夏、天津等核心城市設有 20+ 家分子公司及辦事處，堅持以保障國家關鍵信息基礎設施運行安全為己任，全力打造國內(nèi)科技創(chuàng)新高地、人才聚集高地，為中國工業(yè)的信息化和智能化安全保駕護航。