★ 奇安信科技集团股份有限公司

1 项目概况

1.1 项目背景

近年来，随着国家能源局印发的《电力监控系统安全防护总体方案等安全防护方案和评估规范》《关于加强电力行业网络安全工作的指导意见》《电力信息系统安全等级保护实施指南》及电力行业网络安全管理办法（修订征求意见稿）》《电力行业网络安全等级保护管理办法（修订征求意见稿）》的部署推进，电力行业网络安全问题得到高度重视。

青海黄河电力运营有限公司（以下简称：电力运营公司）西宁集控中心的电力监控系统有新能源集控系统、电调系统、水调系统和电能量计量系统等。电力监控系统作为电力运营公司生产系统中最为核心的系统之一，其网络安全可靠与否直接关乎电力运营公司电力生产的安全稳定运行。

为了深入贯彻落实国家及行业网络安全要求，加强电力运营公司生产控制系统的网络安全防护，奇安信集团结合电力运营公司生产控制大区网络安全现状，落实工业网络安全建设，及时发现网络中的异常事件，实时掌握网络安全状况，抵御黑客及恶意代码等对电力运营公司生产控制系统发起的攻击和恶意破坏，保障电力系统安全稳定运行。

1.2 项目简介

本项目的核心工作围绕电力监控系统安全监测与态势感知能力建设开展，构建关键信息基础设施安全防护体系，建设覆盖电力监控系统（新能源集控系统、电调系统、水调系统和电能量计量系统）的安全态势感知与管理平台。工业安全态势感知与管理平台的数据源、分析功能、展示界面等维度均需要根据电力运营公司网络现状和实际需求进行定制化设计，从平台功能规划、平台技术架构、平台部署架构等多维度开展，利用平台的安全监测与态势感知能力，建立关键信息基础设施威胁可知、管控可视、应急可控的安全运维机制，全天候、全方位监测网络安全状态，全面分析展示网络安全情况。

对集控中心电力监控系统整体架构进行优化，搭建流量监测网和安全管理网，提升电力监控系统在网络安全方面的可扩展性和可管理性，同时根据新的网络架构优化安全设备的部署位置，提升设备防护范围和利用率。

在集控中心电力监控系统安全管理区域部署工业安全态势感知与管理平台，实现对集控中心电力监控系统网络安全状况的实时监测、风险预警、集中管控和应急处置。在集控中心生产区部署必要的安全防护产品，包含工业安全监测系统、工业日志审计系统、工业堡垒机和工业漏洞扫描系统等，同步完善基础安全防护措施，切实提升电力运营公司关键信息基础设施的网络安全保障能力。

1.3 项目目标

本项目规划贯彻落实电力运营公司“安全分区、纵深防护、统一监控”的安全防护原则，在保持“安全分区”的前提下，进一步完善集控中心“安全防护”能力，同时实现“统一监控”防护措施提升基础防护水平，构建监测预警能力。

（1）安全要素获取：工业安全态势感知与管理平台能够对接网络中现有及未来可能扩容的各类安全防护产品、网络流量日志等，充分利用已有的安全设备，实现全面且灵活开放的态势感知系统架构。

（2）全面的资产管理：资产发现与管理是态势感知的基础，工业安全态势感知与管理平台实现资产全面梳理，提供以业务系统为核心的资产感知和管理能力，建立全面的资产信息态势，并为其他维度的分析和呈现提供有力支撑。

（3）安全态势分析：工业安全态势感知与管理平台基于收集到的安全信息要素进行融合、关联分析和挖掘分析，包括对资产及业务系统受到的攻击威胁和自身风险程度的分析、攻击的危害及影响范围分析、攻击威胁溯源分析等。

（4）安全态势呈现：工业安全态势感知与管理平台通过资产感知、脆弱性感知、运行感知、威胁感知、风险感知、流量感知和态势总览多个维度来覆盖安全态势各个方面，实现全方位的态势感知。

（5）预警通告及处置：工业安全态势感知与管理平台内置完整的预警通告及处置工作流程，并具备相应的应急处置预案，帮助运维人员实现安全运维处置的闭环。

2 项目实施

2.1 应用场景分析

电力运营公司西宁集控中心核心电力监控系统有新能源集控系统、电调系统、水调系统和电能量计量系统。在物理位置方面，新能源集控系统部署在青海黄河运营有限公司西宁集控中心，位于西宁市城东区；电调系统、水调系统和电能量计量系统部署在黄河上游水电开发有限责任公司本部，位于西宁市城西区。在网络位置方面，新能源集控系统部署于生产控制大区，安全区Ⅰ和安全区Ⅱ均有部署；电调系统、水调系统和电能量计量系统均跨生产控制大区和管理信息大区部署，其中电调系统部署于生产控制大区安全区Ⅰ和管理信息大区，水调系统和电能量计量系统部署于生产控制大区安全区Ⅱ和管理信息大区。

2.2 安全需求分析

奇安信股份工业安全专家从网络监测和态势感知等方面进行大量调研，帮助电力运营公司落实网络安全建设，发现如下网络安全风险：

（1）生产控制大区缺乏流量监测手段：对生产控制大区中安全域网络通信流量缺乏监测手段，当发生恶意流量时无法实时感知。

（2）生产控制大区工控系统资产缺乏有效监测：工控系统的资产数量和工作状态不清楚，无法监测资产之间通信的流量，无法识别资产漏洞，不能及时定位非法接入、幽灵资产及失陷主机。

（3）生产控制大区缺乏审计手段：对工控系统生产过程中的数据交换、组态变更、协议通信、数据采集等缺乏必要的感知审计手段。

（4）生产控制大区缺乏网络威胁检测：对工业控制系统网络中的病毒、木马等恶意威胁缺乏实时检测，无法有效检测工控网络威胁。

（5）针对生产控制大区安全状态缺乏整体态势感知：不掌握工业控制系统整体安全状况，当安全事件发生时无法及时追踪溯源。

2.3 技术方案

根据电力运营公司工业控制系统现阶段的安全现状，结合整体安全监测与态势感知建设的必要性，设计工业安全解决方案。如图1所示，在生产控制大区东区新能源集控系统安全I区核心交换机旁路部署工业安全监测系统，实时监测该电力运营公司工控系统网络内的异常流量及异常行为；在生产控制大区东区和西区的I区、II区部署工业日志审计系统，实现工业网络中安全设备、网络设备、操作系统、数据库、中间件及应用系统等的日志与报警信息的全面采集；在生产控制大区II区部署工业堡垒机和工业漏洞扫描系统；在管理信息大区部署工业安全态势感知与管理平台，收集工业安全监测系统、工业日志审计系统和工业漏洞扫描系统上报的新能源集控系统、电调自动化系统、水调自动化系统和电能量计量系统的各项网络安全数据，并对其进行分析并最终态势化展示。

图1 部署实施架构

以电力运营公司工业资产为中心，安全风险监测为主线，在生产控制大区东区I区部署工业安全监测系统，实现资产自动识别、漏洞无损发现、威胁实时检测、行为异常分析、工业协议审计等安全能力，同时为工业安全监测与态势感知平台提供持续安全检测与审计数据，为电力运营公司进行全面工业安全管理和分析提供数据支撑。

在生产控制大区东区和西区核心交换机部署工业日志审计系统。采用大数据技术和智能分析方法，实现日志采集与存储、日志归一化、交互式分析、关联分析、仪表板、报表统计、告警管理等，实现工业网络中安全设备、网络设备、操作系统、数据库、中间件及应用系统等的日志与报警信息的全面采集、存储、分析和展示。

在生产控制大区II区部署工业堡垒机和工业漏洞扫描系统。工业堡垒机通过集中化运维管控、运维过程实时监管、运维访问合规性控制、运维过程图形化审计等能力，构建事前预防、事中监控、事后审计的安全体系；工业安全漏洞扫描系统采用深度设备服务探测、资产识别、设备配置检查以及弱口令检查等方式相结合的技术，检测网络脆弱性，规避安全风险。

在安全III区部署工业安全监测与态势感知平台，通过收集工业安全监测系统上报的数据，实时展现资产态势、威胁态势、脆弱性态势、漏洞态势等，帮助华电增城电厂快速、宏观地了解整个企业的安全态势。

3 案例亮点及创新性

（1）以资产为中心：本案例中工业安全监测系统通过资产自动识别、资产管理和资产网络关系图绘制，提供了以资产为中心的安全管理视角。工业生产流程比较固定，相较于以告警事件为中心的威胁分析方案，以资产为中心的漏洞发现与风险分析更符合工业环境管理习惯。级联无损部署方式，不影响生产。

（2）提高漏洞运维能力和效率：本方案具备完整的漏洞管理机制，方便管理者跟踪、记录和验证评估的成效，通过量化的报表来真实反映网络安全问题，并把问题的重要性和优先级进行分类，方便用户有效地落实漏洞修补的工作。

（3）提高工控安全运维人员工作效率：本案例中工业日志审计系统能够快速准确识别工业网络中的安全告警信息，并及时发现工业网络中的违规行为，助力工控安全运维人员进行应急响应。

（4）工业安全态势统一管理：基于工业安全态势感知与管理平台，本案例可以实现工业网络设备统一管理、安全统一分析、日志统一采集和态势统一展示，实时将工业安全风险可视化；支持单个、分组、全局等资产的风险分析，并能基于风险等级及告警，进行进一步的溯源分析。

通过工业安全态势感知与管理平台的部署和成功实施，本案例成功帮助电力运营公司实现工控系统流量的一体化集中监测与态势感知，为电力运营公司提供安全管理的抓手，同时可以进一步帮助企业进行安全预防性维护、应急响应和事故调查。本项目的落实，树立了电力行业工业安全防护案例标杆，提升了电力企业工业网络安全监测与态势感知能力，并形成了良好的示范效应。

《自动化博览》2023年1月刊暨《工业控制系统信息安全专刊（第九辑）》