★ 浙江齐安信息科技有限公司

1 项目概况

1.1 项目背景

国网重庆供电公司的供电辖区内有220kV变电站3座，110kV变电站12座，35kV变电站6座。在变电站检修作业时，普遍存在由运维人员携带笔记本电脑，直接接入现场系统进行检修作业的情况。为降低运维人员通过笔记本电脑带入恶意代码的潜在风险，变电站因此配置了专用的运维笔记本电脑，但依然存在通过运维笔记本电脑进行操作管控的要求不能达到安全防范标准的问题，且现场作业过程无法进行审计与记录，因此存在较高的安全风险。

针对国网某供电公司客户在变电站进行运维作业时现场系统临时接入作业这一场景存在的事前无认证、事中无防护、事后无审计等问题，我司根据客户运维现场的痛点和实际需求，以及结合在工业安全监测领域的积累，潜心研发完成检修作业安全运维系统，并以行业解决方案为导向不断开拓创新，在变电站电力监控系统网络安全运维领域持续垂直深耕。

1.2 项目简介

为了提升电力监控系统的安全防护水平，变电站通常会在网络安全层面采用多种安全防护技术，包括安全分区、网络专用等，从应用控制、审计等多个层面进行安全防护。但是变电站作业现场检修运维的安全隐患往往容易被忽视，工作人员不合规的操作会引发安全事故。

本方案根据前期对客户的调研，旨在研发并实施一套电力监控系统检修作业安全运维装置，以解决分散运维过程中的安全问题。该装置基于上述需求研发设计，并采用多角色的用户管理方式，具有恶意代码检查、外设检查、违规外联检查、视频取证、文件归档等功能，可有效减少供电公司，特别是变电站工控系统现场检修运维的外来风险，保障工控设备安全。

本方案依托先进的总体架构设计和功能创新设计，基于精细化运维操作授权管控方法，系统解决了身份鉴别与检修权限控制、检修过程临时边界安全防护、恶意代码防范、入侵防范、安全审计、数据防泄密与安全存储等痛点难点问题，大大加强了检修作业运维过程中对人员的行为管控和审计力度，提高了变电站现场作业的安全性。本方案已成功部署在重庆市电力公司的多家分公司，并正向更多省市推广应用。

1.3 项目目标

本项目的目标是根据前期调研结果，研制并实施一套电力监控系统检修作业运维装置，以解决分散运维过程中的安全问题。该运维装置与工单系统对接，对运维过程进行授权；该运维装置仅开启与本次检修作业相关的通信端口，并实时监测运维电脑的违规外联情况，一旦发生外联行为，实时报警记录并中断检修链路；该运维装置集成恶意代码检查功能，对所有需要接入电力监控系统的移动介质进行恶意代码查杀；该运维装置能够实时记录检修全过程，包括检修过程的屏幕录像、键盘触发事件等检修行为，形成检修过程完整审计记录；该运维装置支持本地和远程运维场景。

1.3.1 系统架构

检修作业安全运维系统由安全运维装置（简称：装置端）和安全专用密盾（简称：密盾端）两部分构成，通过装置端内置的安全运维程序与密盾端配合完成身份认证、主机外联检查、恶意代码检查等功能，达到物理和软件层面双重安全防护的效果。

安全运维装置为B/S架构设计，分为界面层、核心功能层、数据层和系统层，其系统架构如图1所示。

图1 检修作业安全运维系统架构图

2 项目实施

2.1 项目实施主要内容

2.1.1 功能架构

检修作业安全运维系统必须搭配安全专用Ukey使用。安全专用Ukey内置多个业务应用模块，可完成身份认证、恶意代码查杀及主机外联检查等功能。

图2 检修作业安全运维系统功能架构图

在现场进行检修作业时，检修作业安全运维系统的2个网络接口分别连接被检修的系统和运维电脑。检修作业安全运维系统在结构上成为运维电脑与目标控制系统的隔离层，同时在数据流上，通过内置虚拟防火墙达到真正数据隔离的效果，提升检修维护工作的安全性。而安全专用Ukey接入运维电脑的USB接口，只有在运维电脑通过一系列安全检查后，通过二次确认机制，才可打通检修运维链路，保障检修运维安全。

2.1.2 技术内容

（1）三层架构设计

根据变电站电力监控系统网络安全运维监控在身份认证、审计管理、设备安全等方面的具体要求，基于变电站运维场景，我司研究提出满足“安全+效率”的总体技术架构，计划构建“管理侧+装置侧+接入侧”的三层架构系统：管理侧“集中管控”、装置侧“分散应用”、接入侧“身份管控”。管理侧作为数据管理中心，对装置侧收集的审计数据进行集中存储与分析，提供工程文件配置、授权下发、检修记录查询等功能；装置侧作为运维笔记本进入电力系统进行运维检修工作的“门闸”，对整个运维检修过程进行记录与安全管控；接入侧采用“专用定制PKI密钥设备+口令”或者“IC芯片卡+口令”等“双因子”组合方式进行身份鉴别，以保障运维工作人员的身份与授权的合法性。

（2）精细化身份认证与授权关键技术

基于本质安全理念，与变电站电力监控系统的每张工作票对应，每项工作的事前安全防护，需要确定场景、时间、运维对象、运维人员与工具，需要解决安全运维装置多场景配置与快速切换、运维人员与工具（一般指笔记本电脑）的授权及认证管理等关键技术。本系统采取精细化运维操作授权管控方法，形成工程配置文件授权与现场作业联动体系。

（3）基于COM、KVM的本地运维监控技术

本系统采用基于COM、KVM的本地运维监控技术，摒弃传统堡垒机的录像审计技术，实现本地运维的监控审计。

（4）外部接入设备的全过程安全管控技术

本系统严格考虑接入设备和变电站系统的安全隔离以及接入设备自身行为控制两方面的影响，采用全过程安全管控技术。一是研究一系列外部设备在接入变电站电力监控系统前进入安全环境状态的技术实现方式，确保工作场景的安全快速搭建；二是针对工作场景搭建后，如出现违规互连、非法文件拷贝的异常行为，快速辨识并迅速断开可疑设备。

（5）原型系统研发技术

变电站安全运维装置与传统堡垒机相比，功能需求有了较大的变化，需要开展硬件及配套软件集成专项研发，完成成套具体装置试制。

2.2 应用场景分析

很多安全事故的发生，与人为因素有关。近年来，国内外数次发生因内部人员故意破坏或误操作导致数据库被删除、服务器宕机等事件，严重影响系统稳定运行，如2020年微盟恶意删库事件、2018年顺丰误删库事件。电力行业虽然做足了网络安全的事前准备，但是针对电力现场的检修运维场景的安全措施还存在不足。当前，变电站运维工作中缺少必要的安全防护及审计措施，存在运维人员使用自带笔记本电脑及U盘等运维工具直接接入变电站监控系统的情况，容易引起违规外联、误操作、恶意代码、网络攻击等安全风险。国网安监部曾多次通报关于电力监控系统感染恶意代码、违规外联等安全事件。变电站的外联风险、违规操作、恶意代码感染问题屡禁不止。

该解决方案特别适合电力现场中的一些常见安全场景，如：检修实施人员中“外单位运维人员”、“检查人员”存在较多第三方人员，其运维操作缺乏审计管理；在检修运维中大量使用笔记本电脑；被运维对象种类较多，包括自动化专用设备、保护设备、网络安防设备等。齐安科技检修作业安全运维系统将作为运维电脑进入电力系统进行检修工作的“门闸”，对整个检修作业进行安全管控。

2.3 实际应用效果

国网重庆市电力公司长寿分公司、江津分公司、璧山分公司、万州分公司、綦南分公司及市南供电公司作为项目试点，已部署了该系统。用户反馈检修作业安全运维系统运行稳定，可平稳对接电网OMS工单系统、II型安全监测认证装置及安全态势感知平台，实现调度网数据共享。

本系统采用三权分立的管理方式，利用自定义授权规则、非法外联检查和对移动介质进行防病毒处理，实时监测运维人员的操作行为和不明设备接入的情况，保障运维电脑处于安全运行环境，并通过完整的记录留存工控检修下装文件，为事后取证和溯源分析提供依据。

据客户反应，项目实施后，客户方提高了运维安全水平。系统基于每一次检修运维作业的事前、事中、事后三个阶段建立了一套完整的安全机制，有效提高了运维作业安全性，规范了操作流程，并通过技术手段对运维人员的行为进行了有效管控，规范了其在作业过程中的操作行为，有效保障了被运维设备的安全。

3 案例亮点及创新性

3.1 技术的示范效应

（1）精细化身份认证与授权关键技术

基于本质安全理念，与变电站电力监控系统的每张工作票对应，每项工作的事前安全防护，需要确定场景、时间、运维对象、运维人员与工具，需要解决安全运维装置多场景配置与快速切换、运维人员与工具（一般指笔记本电脑）的授权及认证管理等关键技术。我司提出精细化运维操作授权管控方法，形成工程配置文件授权与现场作业联动体系。

（2）基于COM、KVM的本地运维监控技术

本系统采用了基于COM、KVM的本地运维监控技术，摒弃了传统堡垒机的录像审计技术，实现了本地运维的监控审计。

3.2 项目建设价值

（1）社会效益：由于能源行业的特殊性，一旦发生安全事故，后果不可估量，不仅会影响自身的发展，还会引发一系列社会问题。检修作业安全运维系统为能源行业带来了安全的福音，于企业，保障生产提高效益；于社会，保障民生促进稳定。做好安全工作，是一件功在当代、利在千秋的事业。

（2）经济效益：工控现场安全事故会造成严重损失。企业应重视生产安全防护的投入，防患于未然。检修作业安全运维系统通过先进的技术和有效的手段，实现了运维作业的安全可控，降低了事故发生的风险，保障了企业的生命财产安全。

3.3 项目推广情况

齐安科技紧跟市场需求最新形势，不断加强本系统的应用推广力度，以该系统的需求前景为抓手，织密市场网络，特别是电网领域的客户。

国网西南某供电公司拥有多座变电站，在日常的检修运维作业中存在普遍的外部设备直接接入现场系统的现象，存在较高的安全风险。鉴于以上背景，用户部署了检修作业安全运维系统，覆盖主要智能变电站的检修运维接入作业过程，系统解决了身份鉴别与检修权限控制、检修过程临时边界安全防护、恶意代码防范、入侵防范、安全审计、数据防泄密与安全存储等痛点难点问题。

截至2021年底，检修作业安全运维系统已成功部署在重庆市电力公司长寿分公司、江津分公司、璧山分公司、万州分公司、綦南分公司、市南分公司变电站等试点单位。该系统功能针对性强，性能稳定，正在向北京市、辽宁省、广西省等部分省市推广。

与此同时，本系统自面市以来，多次主动参与业内各联盟/协会/机构组织的标准宣贯、试点示范、评优推广等各类市场活动，使系统的应用规模性和可复制性不断加强、市场预期不断改善。

《自动化博览》2023年1月刊暨《工业控制系统信息安全专刊（第九辑）》