1、 背景介绍

电力监控系统作为水电站最核心的组成部分，高度网络化、系统化和自动化。为保障电力监控系统信息安全，防范黑客及恶意代码等网络攻击，我国先后颁布《电力监控系统安全防护规定》（14号令）《电力监控系统安全防护总体方案》(国能安全〔2015〕36号)、《电力行业网络安全等级保护基本要求》等多项政策法规，对电力监控系统网络安全建设进行规范指导。电力企业需要建立符合规范、全面防护的信息系统安全防护体系。

通过网络安全防护方案实现电力监控系统信息安全监测、预警、审计、应急和接入防护等功能全方面的防御保护，结合自身网络安全综合防护能力建设过程中出现的网络安全问题进行全面整改。网络安全综合防护能力的建设应进一步落实关键信息中基础设施的防护责任，加强关键信息基础设施的网络安全防护，完善网络安全机制、手段和能力建设，加快对网络安全专业人才的培养，提高网络安全事件应急指挥能力，不断提升网络安全的综合防护水平，保障电力系统安全稳定运行。

2、 目标与原则

本项目通过对水洛河水电安全现状和电力监控系统安全防护能力调研，对电力监控系统进行合理的安全加固，完善发电企业电力监控系统安全体系框架，提升发电企业电力监控系统网络安全防护能力，确保目标单位电力监控系统网络安全满足国家及行业监管要求。同时建立成熟的自主可控发电企业工控态势感知与预警平台，针对工控网络的安全威胁特点，重点实现对电力监控系统的监测、预警、审计和接入防护等功能，及时发现外部攻击及内部非法操作，并进行应急响应，有效地实现防外及安内，防止因网络安全事件造成重大电力安全生产事故，保障信息系统安全。

l  实现网络安全态势从未知到已知

通过建立水洛河水电电力监控系统态势感知与预警平台，摸清家底，感知网络中的资产信息，实现网络资产可视化。结合全球最新网络安全威胁情报，从攻击者的视角来分析当前网络已存在或可能遭受的安全风险和威胁，发现隐藏的安全事件，还原黑客攻击路径，解决遗留安全问题；收集各类安全设备数据，利用安全场景和模型进行大数据分析，识别当前正在发生的安全事件，预测网络安全发展趋势。

l  实现网络安全防御从被动到主动

本项目利用安全大数据、态势感知、攻击链模型和算法，结合最新的全球网络安全威胁情报，持续监测，准确及时地发现各种潜在威胁和攻击，并进行通报预警，提前感知攻击者的下一步攻击计划，采取有效处置措施，构建弹性防御体系，以期最大限度上避免、转移、降低信息系统所面临的风险。

l  实现从单一设备防护到协同联动

通过建立水洛河水电电力监控系统态势感知与预警平台，作为联动枢纽，实现网络中所有安全设备的数据汇总分析、数据共享及策略协同，打通终端、边界协同联动，有机整合各种网络安全技术，达到“智能检测”、“智能上报”、“智能响应”，建立一个以威胁情报为驱动，终端安全、边界安全、大数据分析等多层次、纵深智能协同的安全防御体系，有效提升整体网络防护能力。

l  实现网络安全从边界防护到纵深防御

通过落实国家信息安全等级保护制度及电力监控系统安全防护要求，对水洛河水电电力监控系统网络安全进行整改加固，在坚持“安全分区、网络专用、横向隔离、纵向认证”的原则，强化边界防护的基础上，加强内部的物理安全、网络安全、操作系统安全、应用安全、数据安全防护以及安全运维管控，构建电力栅格状立体纵深防线，实现发电企业电力监控系统网络安全的纵深防御、综合防护。

l  全方位人 + U盘 + 文件 + 主机 + 网络管控

针对工业主机系统多样性、业务连续性、软件兼容性特点和需求构建针对工业主机及关键业务软件进行全流程、全业务、全数据、全生命周期的安全解决方案，保障工业主机及关键业务软件攻不破、起不来、搞不坏，同时和USB安全隔离装置、终端防泄漏等产品形成协同联动终端安全解决方案，可以进行系统加固、白名单防护，精准锁定工业主机关键业务软件，结合“疫苗注射”原理进行内核级防护，对工业主机关键业务软件从启动、运行、停止全生命周期中进行静态、动态数据全方位安全防护，最大限度保障生产持续运行，为水洛河水电盈利服务。

3、 案例实施与应用情况

3.1、项目应用方案

l  纵向分层横向分域，强化边界访问控制

在生产控制大区控制区与非控制区边界部署边界隔离设备（防火墙/单向隔离网闸），提高各区域间访问控制能力，合理梳理优化边界设备的安全策略，遵循最小化和白名单原则，只允许业务数据通过边界，阻断其他非授权连接。例如来自区域之间的越权访问，病毒、蠕虫恶意软件扩散和入侵攻击，保护各个区域控制系统安全运行。

在电厂核心交换机处旁路部署1套入侵检测系统，实现网络威胁入侵检测，及时发现网络异常情况，蠕虫、木马病毒以及APT等恶意程序的传播状况，并对僵尸主机监控定位，实现网络运行状态的实时监控。

l  基于白名单的技术，工控主机安全加固

在生产控制大区各终端主机、服务器中安装工控主机安全卫士。针对工控系统主机病毒入侵、恶意软件运行、应用程序零日攻击等问题，建立了基于“白名单”防御隔离屏障，监控工控主机的进程状态等，有效隔离僵木蠕的传播，提高工控系统的稳定性和健壮性，保护系统的安全计算环境。

在主控机组DCS、辅控DCS系统、SIS系统的交换机旁路安装USB安全隔离装置。采用外设杀毒技术，集“认证、授权、审计、杀毒”于一体，可有效减少U盘等移动存储介质携带病毒对内网计算机的安全性造成威胁。

l  全天候实时审计，追溯日志留存

在生产控制大区核心交换机旁路部署日志审计系统。通过日志审计分析系统可以采集系统中各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的日志、事件、报警等信息，并将数据信息汇集到展示平台，进行集中存储、展现、查询和审计。满足了公安部留存系统日志不少于六个月的规定。

针对DCS控制系统的重要网络节点安全监测审计，在主控机组DCS、辅控DCS系统、SIS系统核心交换机旁路各部署1套工控安全审计系统，安全审计系统系统由管理端和采集端组成。在各系统A网和B网各部署1个采集端。将A/B双网的流量发送至各自的采集端，通过管理端进行分析处理，对外部入侵的行为和内部人员的操作行为进行安全审计。通过协议的深度解析和UEBA用户行为分析技术，及时发现网络当中的异常流量、违规操作、误操作、指令异常、非法连接等现象，生成当前生产网络的行为日志和运行日志，弥补现有工控系统无安全日志的空白，便于事件追溯和分析。

l  统一安全管理中心，提供集中管控能力

在安全管理中心部署账号管理与审计系统（堡垒机），通过堡垒机对系统资产进行统一运维，满足等保2.0集中运维管控的要求。堡垒机通过账号集中管理、授权访问控制、操作行为审计等功能，为安全事件的追踪溯源提供依据，保护企业内部网络资产的安全性。

在安全管理中心部署工控安全管理平台，对网络系统中的安全设备进行统一管理，综合利用威胁情报和系统脆弱性来帮助用户提前洞悉各种安全威胁；基于工控安全统一管理平台的应用，用户能完成监测、预判、发现、阻断、溯源、情报的安全事件全生命周期处置。

l  系统资产实时监测，安全态势集中展示

在安全管理中心部署安全态势感知平台，通过全方位监控和分析，实时感知全场景的网络安全态势。基于大数据技术，平台可以快速识别和分析异常情况，并及时发出预警。此外，平台还具备自动化响应和实时可视化的功能，能够快速响应网络安全事件，提高应急响应能力和决策效率。最后，平台支持高效的安全态势共享和协同，实现了企业内部和外部的信息共享和合作，提高了整体安全防御的水平。

工业互联网安全态势感知模块，提供各种角度的态势可视化分析，帮助客户快速了解安全状况并进行决策。现阶段系统有八大态势，包括综合安全态势、网络资产态势、资产漏洞态势、工业威胁态势、异常行为态势、工业主机安全态势、安全管理态势、关键资产安全态势。同时提供可配置化的告警响应弹框。

资产管理实现对所在区域内所有资产的统一查看与管理，包括资产基本信息、资产标签信息、资产所在分组信息、资产漏洞信息、资产服务（开放端口）信息、资产威胁信息、资产流量信息、资产连接关系、资产基线等多维度查看与管理。建立起以工业资产为核心的工业互联网安全管理与分析平台。

l  应急响应与恢复

我司对电力监控系统出现的紧急安全事件进行积极响应，第一时间将危害降到最低，并在事后协助制定信息安全应急预案，解决电力监控系统应急预案未更新、应急响应系统未完善等问题；同时对已有的信息安全事件应急预案进行评审，全面梳理已有的安全攻击事件及处置流程预案或方案的合理性、适用性、可行性、有效性，最终明显、稳步地提升电力监控系统对重大安全事件应急处理与防范能力。

当电力监控系统因外部恶意用户入侵、攻击或由于内部误操作等原因而引起安全异常时，我司安全响应团队在第一时间到达现场，协助用户对事件的成因及过程进行分析与追溯，并根据分析结果提供针对性的修复建议，并输出《应急响应报告》，报告内容包括应急响应全过程、事件成因分析以及安全建议等。

l  安全服务

开展网络安全优化工作，制定相应的系统加固方案，针对不同目标系统，通过打补丁、修改安全配置、增加安全机制等方法，合理进行安全性加强。

对用户的安全设备、网络设备、服务器提供状态巡检、安全策略配核查服务、日常巡检服务；对重要资产包括服务器及工作站等，进行漏洞扫描服务，并根据结果出具漏洞扫描报告；对关键资产和安全设备的配置策略，做好备份。

通过培训使相关人员能够分析系统、设备故障、管理系统设备，具备系统及设备管理和系统功能基本扩展与系统升级能力，能独立承担运维工作，提高企业信息安全从业人员的安全意识和安全技能。

3.2、创新性

（1）通过完整解析工业协议的规则和含义，准确的理解其上承载的工业数据，基于协议和数据持续构建和打造行业特色的安全防护模型。准确分辨不同的工业资产，排查资产对应的漏洞和潜在威胁，更好的对工业资产进行管理和配置；

（2）针对工控上位主机外置病毒查杀引擎，独创的“体外查毒”技术，U盘等移动存储设备与受保护主机隔离，在防护设备上进行病毒查杀，切断病毒传播途径；先进的U盘认证机制，避免任何外来未知U盘接入系统，授权过程可追溯；严格的日志操作审计，详细记录U盘接入后各类执行动作，供管理员进行日志审计和行为追溯，支持一机多杀、共享存储；同时配合主机安全防护系统，进一步确保没有新的不安全因素进入工控系统；

相比国内外常见的基于特征码的检测技术及行为分析技术等查杀行为，体外查毒由于该技术是在工控主机之外进行杀毒操作，因此不会受到工控主机内部病毒的攻击和破坏，更加安全可靠和全面。

（3）利用网络安全防护一体化管理与感知平台，对生产厂区全网关键节点综合安全信息的实时监控，收集攻击事件相关的技术信息（攻击的特征、原理、危害、样本及分析报告等），并利用多维度的海量数据挖掘和关联分析技术，实现跨时域、跨设备和跨区域的踪迹分析追踪，对区域内各安全资产管理、进行威胁检测量化评估、网络安全态势分析以及预报预警，对突发事件有应急预案，及时响应。

4、应用价值与效益

通过应用该案例，显著提升了水洛河电站电力监控系统的安全防护能力。

（1）提升纵深防御能力：通过各类安全设备构建电力栅格状立体纵深防线，实现水洛河电站工控系统网络的综合防护，生产运行环境安全可信。

（2）USB外设权限管控：实施后非法USB设备接入阻断率不低于99%，有效杜绝恶意USB设备的使用。设备接入认证过程安全可靠，认证成功率不低于95%。

（3）精准识别威胁：应用态势感知系统后，水洛河电站能够更加精准地识别潜在威胁，并提前采取相应的防范措施。同时，该系统还能够对电力监控系统的安全状况进行实时评估，提供决策支持。

（4）应急响应与恢复优化：当发生安全事件时，水洛河电站能够迅速启动应急预案，通过快速隔离受感染部分、恢复关键服务和系统等方式，减少攻击对电力系统的影响。网络安全事故发生率降低至少30%，显著提升网络安全防护水平。网络安全事件平均响应时间缩短至30分钟以内，提高应急响应效率。

（5）集中管控：通过统一安全管理平台实现全厂工控网络安全产品的统一策略下发，提高运维效率，降低维护成本。

（6）态势感知及监测预警：能够对网络漏洞情况、合规配置、安全事件、网络威胁等风险进行监测预警，提供了全方位、全天候的网络安全态势感知展示和事件应急处置的数据支撑；实现电力监控系统网络的安全威胁分析。