★ 深圳融安网络科技有限公司

1 项目概况

1.1 项目背景

在我国，电力系统是由发电、输电、变电、配电、用电和调度组成的。其中发电企业是整个电力系统中的起始环节，也是整个能源闭环系统中最主要的生产环节。目前国内主要的发电形式为火力发电、水电、核电、风电、光伏等，其中火力发电在电力结构中占比最高。据统计，截至2017年底，全国发电装机容量达17.7亿千瓦，是世界上发电装机规模最大的国家，其中火电比重约占62%，发电煤耗量占全国煤炭消费总量60%以上。随着大容量、高参数火电机组的不断投产和运行，火力发电控制系统对自动化控制的要求也不断提高，新型火力发电控制系统已向数字化、网络化和智能化进行转变。而且，随着电厂控制系统的不断发展，各种通用的网络技术被广泛应用于电厂控制系统，其安全问题日益突出。但是相比互联网信息安全领域的“火热”，电厂控制系统安全作为信息安全的重要领域却一直“备受冷落”。

直到近年国外发生多起因黑客网络攻击导致电力系统瘫痪的事件，才引起人们对电厂控制系统信息安全的重视。因此，在日益严峻的电力监控系统网络安全形势下，发电企业有效采取风险消控措施，保障机组、电网的安全运行，有着极其重要的经济和社会意义。

1.2 项目简介

本项目的实施对象为福建华电可门发电有限公司旗下的可门发电厂，对工控系统网络进行系统信息安全防护建设，新增生产控制网络安全综合防护与智能管理平台以保障华电可门发电厂所承载应用系统的安全。

1.3 项目目标

本项目按照等保2.0建设要求，整体实现边界-终端-运管三位一体的全面安全防护体系，并基于大数据分析技术，建设具有风险识别、安全防御、安全检测、安全响应和安全编排能力的安全管理平台。

结合电厂内部的网络层次架构，分别从企业资源层、生产管理层、过程监控层、现场控制层和现场设备层各层面入手，运用工控协议解析、黑白名单机制和主动防御等工业控制系统防护技术，添加安全隔离、入侵检测、安全审计等技术措施，并形成统一安全管理中心，优化日常安全管理体系，健全安全管理制度，提升生产系统网络安全整体防护能力水平，实现“合规”安全生产。

结合可门电厂生产控制大区网络安全现状和电力安全等级保护等的相关规定，按照等保2.0建设要求，整体实现边界－终端－运管三位一体的全面安全防护体系。融合不同安全区域（包括安全IV区）之间的数据，汇聚攻击检测、异常感知、业务特征匹配、漏洞检测等安全的多源异构数据，基于大数据分析技术，建设具有风险识别、安全防御、安全检测、安全响应和安全编排能力的安全管理平台。

2 项目实施

本项目技术应用以发电厂安全数据为基础，以安全能力为核心，建设覆盖风险识别、安全防御、安全检测和安全响应能力的安全编排、自动化与响应平台，及具有脆弱性识别、弱点识别、网络层防护、应用层防护、系统层防护、运维层防护、流量检测、入侵检测、日志检测、事件响应等安全能力的安全管理平台。紧密结合发电厂网络架构，设计大数据智能化安全体系，确保整体架构的先进性；利用前瞻性SOAR技术，深入结合大数据技术，确保技术的先进性。

通过安全自动化编排响应体系建设，加强发电厂安全的实战能力与保障能力，不断利用系统手段和人员力量，做好安全监测与防护、自动化事件响应等工作，形成运转高效、处置得当的安全编排响应机制。

此外，根据《国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》（国能安全〔2015〕36号）中《附件4发电厂监控系统安全防护方案》及《信息安全技术网络安全等级保护基本要求》2.0版本相应的要求，在发电厂电力监控系统内部署相关安全防护系统以解决目前存在的安全问题，并分别从网络监测、日志审计、主机安全、集中管控、边界防护等方面进行安全防护建设工作，同时满足相关监管部门的检查要求。

2.1 网络监测

分别在各网络关键节点中旁路部署工业入侵检测系统和监测审计系统，对攻击行为进行检测和告警，实现网络流量的采集分析监测和异常告警。

2.2 日志审计

分别在各生产车间网络中部署日志审计系统，实现日志信息的收集和集中分析，并提供日志查询、历史日志查询和事件告警功能，及时了解网络设备运行状态，识别存在的安全事件，提高系统安全防护能力。

2.3 主机安全

部署工业终端安全卫士，对操作系统进行安全加固。采取“白名单”机制，实现病毒主动免疫和USB接入行为管控。

2.4 集中管控

建立生产控制网络安全综合防护与智能管理平台，实现对网络安全设备的统一安全管控，实现安全设备的状态监控、审计管理和策略管理等集中管控功能，构筑安全管理中心平台，提升整体网络安全防护和运维管控水平。

2.5 边界防护

在各生产车间网络的边界处部署工业防火墙和电力隔离装置，采用适用于工控网络的“黑白名单”机制和协议解析，细化访问控制粒度，对非法及异常访问行为进行拦截阻断，降低设备厂家远程接入运维时面临的网络安全风险。

图1 网络安全防护拓扑图

3 案例亮点及创新性

我国在信息安全领域，尤其是工业信息安全领域的研究起步较晚。目前国内外针对发电厂的整体的SOAR自动响应还未有相关产品。习总书记曾在全国网信工作会议上强调，要加强网络安全信息统筹机制、手段和平台建设，加强网络安全事件应急联动处置，积极发展网络安全产业，做到端口前移，防患于未然。因此，本项目旨在发电企业建设安全管理平台并引入SOAR技术，结合大数据分析技术，提高发电企业自身业务安全保障能力，同时该技术将成为国内外首创。

通过发电企业生产控制网络安全综合防护与智能管理平台建设，可以为发电厂电力监控系统网络安全带来行业示范效果。

（1）模式的创新性

通过建设生产控制网络安全综合防护与智能管理平台，利用大数据等技术将工控网络安全信息一网打尽。通过智能化的分析，为企业提供一个可视化的安全监管平台，可实时了解企业网络安全状态，对企业的整体工控系统的安全规划、管理和决策提供依据，满足国家的发展要求和行业的发展趋势。

（2）政策的合规性

根据国家等有关发电厂网络安全政策文件规定，以实际需求为导向，在合规的基础上考虑整体安全设计，规范做好发电厂安全自动化编排响应体系建设，保障安全工作推进的统一性、一致性、有效性和规范性。

（3）策略的统一性

通过安全自动化编排响应体系建设，加强发电厂安全的实战能力与保障能力，不断利用系统手段和人员力量，做好安全监测与防护、自动化事件响应等工作，形成运转高效、处置得当的安全编排响应机制。

发电厂安全自动化编排响应体系建设应按照网络安全等级保护制度和相关规范的要求，并行开展技术手段建设和管理制度建设，实现技术配合管理，管理指导技术，确保技术与管理双管齐下，切实落实相关工作科学有效开展。

（4）成本的经济性

成熟的产品体系以及模块化的功能设计，可以作为示范项目快速复制，极大节约推广和运营成本。

（5）掌握发电企业电力监控系统实际安装设备状况

国内电力企业电力监控系统应用在条块分割的封闭体系中，安全防护意识不强。国内工控设备生产缺乏安全技术保障，进口系统和设备的安全性处于半透明状态。对于多少系统应列为国家重点防护对象，亟需摸清底数，有助于对已有故障隐患的设备进行及时维护，减少损失。

（6）掌握质量隐患和依赖情况

掌握威胁情报是帮助我们发现威胁并进行处置的必要手段，威胁情报是尽可能获得安全事件的基础性资源。建立工控网络安全漏洞挖掘、风险评估、威胁检测、信息共享等一整套机制并加以保障，形成全面、权威的统计信息，有利于实现和推动工控网络安全防护的提升，有效避免重大工控安全事故的发生。

（7）人工智能与网络安全相结合，建立防御新生态

加快发展新一代人工智能是我们赢得全球科技竞争主动权的重要战略抓手。随着人工智能技术快速发展和产业爆发，人工智能安全越发受到关注。

人工智能技术可应用于网络安全领域，通过感知、预测、预警关键信息基础设施运行的重大态势，主动决策反应，从而提升工控网络防护能力。基于人工智能的网络安全防护应用已成为国内外网络安全产业发展的重点方向。调查显示，部分网络安全公司正逐步使用人工智能技术，改善安全防御体系，开创网络防护新时代。

（8）持续对威胁进行监控和检测

依靠安全大数据驱动的智能化与自动化的安全检测能力，及时发现异常安全事件，实现智能化主动安全；通过策略自动编排，协同平台、网络、终端、应用等安全资源，对网络安全异常事件进行协同闭环处置，确保威胁能够在最短的时间内得到清除或缓解，保护核心资产安全。

（9）系统的可靠性

符合国家的要求，实现系统的稳定性、安全性和可用性，从而实现创新驱动、引领发展、夯实基础、持续安全。

《自动化博览》2023年1月刊暨《工业控制系统信息安全专刊（第九辑）》