1、背景介绍

在数字经济浪潮的推动下，各行业正加速推进数字化变革。国家“十五五”规划建议中，提到“加快高水平科技自立自强，引领发展新质生产力。这一提法被列为“十五五”时期经济社会发展的主要目标之一，并作为战略任务进行部署。这是继习近平总书记在党的二十大报告后，再次强调科技自立自强在国家发展中的战略支撑作用。因此，信创不仅是各行各业实现数字化转型的关键抓手，同时也是我国强化网络安全的重要支撑。

电力行业作为国家关键基础设施，在信息化与数字化转型过程中不断加深对网络的依赖，然而其控制系统、工业操作系统及服务器等关键领域长期依赖国外厂商，导致网络安全风险日益凸显。一旦系统遭受攻击，可能引发供电中断、设备损坏等严重后果，威胁区域能源稳定并造成重大损失。为应对严峻的网络安全形势并满足等保三级及国家相关法规要求，大唐湖北能源开发公司计划开展集控中心及下属15家新能源场站的安全建设改造工作，通过推进信息技术应用创新与国产化进程，全面提升电力系统的安全防护能力，实现网络安全自主可控。

2、目标与原则

项目核心目标

本项目立足于电力监控系统的实际业务需求和网络安全现状，严格遵循国家等级保护三级安全要求和电力行业相关安全政策法规，旨在构建一套“可信、可控、可管、可溯”的全方位、多层次、立体化的网络安全保障体系，重点实现以下核心建设目标：

满足合规与监管要求

严格遵循电力 36 号文、电力 27 号令及网络安全等级保护三级防护标准要求进行安全建设，满足合规需求。

建立主动防御与响应能力

提升电力监控系统在“识别、防御、检测、响应”等方面的主动防御能力，满足不同业务系统、不同安全级别网络间能够进行数据实时交互的同时，做好跨系统、跨区域边界的访问控制以及网络内部非法设备接入、异常行为监测及处置等工作，形成安全闭环，确保电力监控系统平稳运行。

实现安全赋能与业务融合

深化网络安全能力与电力监控业务场景的深度融合，构建以业务为核心、动态防御与智能协同的安全防护体系，确保关键基础设施稳定可靠，助力电力监控系统在数字化、智能化进程中实现安全与发展的动态平衡。

项目建设原则

适度安全原则

任何信息系统都不能做到绝对的安全，在进行安全防护规划中，要在安全需求、安全风险和安全成本之间进行平衡和折中，过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。

因此在进行安全建设的过程中，一方面要严格遵循政策及标准要求，保障信息系统机密性、完整性和可用性，另外也要综合成本的角度，针对系统的实际风险，提出对应的保护强度，并按照保护强度进行安全防护系统的设计和建设，从而有效控制成本。

技术管理并重原则

网络安全问题从来就不是单纯的技术问题，把防范黑客入侵和病毒感染理解为工业网络安全问题的全部是片面的，仅仅通过部署安全产品很难完全覆盖所有的安全问题，因此必须要把技术措施和管理措施结合起来，更有效的保障信息系统的整体安全性，形成技术和管理两个部分的建设方案。

纵深防御，分层防护原则

在工业网络各层次部署差异化安全措施，形成协同互补、层层设防的纵深防御体系，确保单点被突破时，其他防护层仍能有效遏制风险，从而显著提升网络整体韧性与对抗能力。

安全保护与业务应用相结合原则

电力监控系统网络的安全保护工作需要与具体的业务功能相结合，在制定安全保护措施时做到有的放矢，让安全保护的作用达到最优，更好地平衡安全性和易用性。

3、案例实施与应用情况详细介绍

案例规划

设计思路

为全面提升电力监控系统的网络安全防护水平，方案基于"纵深防御、主动防护"的理念，从电力监控系统面临的本质安全威胁出发，深入分析业务系统中数据流与控制流的业务特征，构建了覆盖电力监控网络的层次化综合安全防护体系。通过采用涵盖边界防护、主机安全、行为审计、漏洞管理等多维度安全措施，形成在通信、控制、应用等多个层面的细粒度安全管控能力，实现从场站到集控中心的全方位安全防护，提升电力监控系统网络攻击的实时监测与防御能力，为电力监控系统稳定运行提供坚实可靠的安全保障。

方案架构

针对电力监控系统网络安全风险与安全需求，在“安全分区，网络专用，横向隔离，纵向认证” 总体原则基础上，构建了集综合安全防护、安全管理与安全运营管理于一体的安全架构，打造了覆盖电力监控系统网络的智能化工业网络安全运营体系。通过应用深度行为分析、工业数据变化率监测、入侵攻击检测、运维行为审计、集中管理能等技术，形成抵抗网络攻击、恶意代码、漏洞利用等安全威胁的综合防护能力，同时依托人工智能技术，通过告警降噪、威胁检测分析、安全决策辅助等能力，实现智能化的预警、分析、处置与响应闭环管理，全面提升电力监控系统网络安全防护能力，保障业务的稳定运行。

图1 安全框架

安全防护体系覆盖边界安全、主机安全、入侵检测、行为分析、运维安全、脆弱性检测、集中管理等安全能力建设，通过访问控制、非法指令监测、漏洞监测、异常攻击检测等技术手段，为电力监控系统打造覆盖网络、终端、应用、控制等全方位网络安全防护体系，可有效防范APT攻击、恶意代码等外部威胁，同时可有效管控内部误操作和越权访问风险，满足行业合规要求。此外，体系在提供多层级安全防护能力的同时，通过采集全网安全日志、流量数据、资产指纹等信息，为安全运营体系提供基础数据支撑。

安全管理体系是实现系统化、规范化安全管理的重要保障。通过构建涵盖安全管理机构、安全管理制度、安全人员管理、安全建设管理及安全运维管理的多维度体系，可以实现对安全工作的全面覆盖与高效管理。该体系以风险管理为导向，通过明确安全管理机构权责、健全安全管理制度标准、强化人员安全意识培训、规范项目生命周期安全管控以及建立常态化运维监测机制，实现预防为主、持续改进的安全治理效能，为业务安全运行提供系统化保障。

安全运营体系作为电力监控系统网络安全体系的核心大脑，以安全防护体系中的安全探针监测到的网络资产运行状态、异常访问行为、异常网络流量、运维审计记录等安全信息为支撑，实现漏洞监测、安全工单下发、流量分析、溯源分析、安全事件通报预警等安全功能，同时融入大数据分析、人工智能等先进技术手段，通过告警降噪、威胁精准研判及策略动态调优等，为电力监控系统构建智能化生产运营管控体系。

实施与应用的详细情况

安全防护体系

1) 构建安全Ⅰ区和安全Ⅱ区边界安全防护能力，防范不同安全域间未授权访问

在各场站与集控中心的安全Ⅰ区和安全Ⅱ区之间以及集控中心与场站之间应用工业防火墙，采用技术隔离手段和白名单访问控制策略，禁止不同安全域之间设备和数据的非授权访问行为，可防止伪装成正常通信协议数据包的恶意代码进入安全域内部，避免内外部非法人员或非法组织对电力系统的攻击破坏。

2) 构建集控中心针对攻击行为检测与审计能力，防范病毒、木马等网络威胁

在集控中心安全Ⅱ区交换机处应用工业入侵检测系统，构建对入侵攻击的检测能力，针对僵尸网络、木马、蠕虫、勒索病毒、移动端木马控制等多种僵尸主机行为进行检测。通过对数据内容比对、协议分析、模式识别和流量分析等多种技术手段，深入分析L2~L7层网络判断入侵行为，防范外来入侵威胁。

3) 构建集控中心与各场站操作行为安全审计能力，深度识别异常操作行为

在集控中心与各场站的安全Ⅰ区应用工业安全监测审计，基于数据流量内容还原完整协议，在对工控协议深度解析及自学习技术基础之上，建立基于资产、会话、流量、指令等多个维度可信的安全检测基线规则，将通讯行为与安全基线进行关联分析行为，并结合白名单审计、数据变化率等技术手段，对电力监控系统的写操作、写频率、参数范围、变化量范围、变化率范围进行安全审计，有效识别针对合法路径、合法协议、合法内容的行为下的异常行为，并对攻击行为及时预警。

4) 构建电力监控系统脆弱性检测能力，及时发现潜在弱点与安全漏洞

在集控中心安全管理区新增工业漏扫，对电力监控系统中的PLC、SCADA、组态软件等进行脆弱性扫描，及时发现不同应用对象的潜在弱点和安全漏洞，形成整体安全风险报告和漏洞修复建议，以便客户根据安全风险报告采取对应的防护技术措施进行漏洞修复。

5)  构建电力监控系统运维行为安全审计能力，保障运维过程安全管理

在集控中心与各场站安全管理区新增工业堡垒机，构建集身份认证、账号管理、权限管控、操作审计的一体化运维管理体系，实现对运维过程的精细化、全面化的安全管控，保障只有合法用户在合法权限下访问目标设备，最大限度保护用户资源的安全。同时，基于运维工单应用，使资产的运维管理具备完善的审计记录，实现运维过程的安全管理。

6) 构建电力监控系统日志集中收集与分析能力，实现安全日志关联性分析

在集控中心安全管理区新增工业日志审计，对电力监控系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；可以对收集到的审计信息集中存储，通过严格的权限控制，对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。

7) 为工业主机建设可靠的运行环境，实现应用、进程等精细化管理

在电力监控系统各场站与集控中心工作站、服务器等应用工业主机卫士，将工业主机中的应用程序、进程等可执行文件加入白名单库中，仅允许白名单库中的应用运行，阻止其它一切恶意程序、病毒木马，以及与业务无关的应用运行，为操作员站、工程师站和服务器等设备提供安全可靠的运行环境。

安全管理体系设计

为全面提升电力监控系统网络安全管理能力，需构建覆盖全生命周期的安全管理体系。该体系围绕制度建设、组织保障、人员管理、建设管控和运维监督五个维度开展：通过建立包含组织架构、安全策略等要素的网络安全管理制度体系，明确管理规范和标准；其次设立专职安全管理机构，配置专业团队，通过定期培训持续提升人员安全素养；同时在系统建设阶段实施严格的安全管控，并通过制定完善的安全运维管理制度、安全事件处置制度等，规范安全事件处置流程。通过这种多维协同的管理模式，形成从规划设计到运行维护的闭环管理机制，最终实现安全管理工作的规范化、标准化和制度化，为电力监控系统安全稳定运行提供有力保障。

1) 安全管理制度

安全管理制度作为信息安全保障体系的核心框架，是以规范化文件形式呈现的安全策略集合。通过构建"策略-制度-规程-记录"等管理体系，为信息安全管理工作提供系统性指导：首先确立覆盖组织安全目标、范围及框架的总体策略；其次针对不同岗位制定差异化的管理规范；同时配套具体操作规程和标准化记录表单。并经正式审批流程发布并实施严格的版本管控。为确保制度持续有效性，应建立定期评审机制，根据内外部环境变化及时进行动态调整，从而为企业的安全管理、技术防护和运维工作提供制度依据和标准规范。

2) 安全管理机构

要构建完善的信息安全管理体系，应建立层级分明、权责清晰的安全管理组织架构，并覆盖决策层、管理层和执行层三个层级，形成自上而下的统一管理机制。决策层由单位主要负责人组成，负责审批重大信息安全事项和资源配置；管理层设立专职信息安全管理部门，统筹协调各部门安全工作；执行层由各业务部门安全责任人组成，负责具体安全措施的实施。通过管理机构的设定，实现对重要信息系统建设、改造等事项进行安全审批；协调解决跨部门信息安全问题；组织开展对外安全合作交流；定期检查评估安全措施落实情况并督促整改。为信息安全管理工作的有效开展提供坚实的组织保障和制度支撑。

3) 安全管理人员

电力监控系统网络安全的实现从根本上依赖于对相关人员的有效管理，这涉及用户、设计者、实施者及管理者等多个角色。若未能妥善解决人员相关的安全问题，将无法实现真正的安全防护。完善的人员安全管理体系应覆盖内部和外部人员两个维度：对内部人员需建立从录用审查、在岗培训到离职审计的全周期管理机制，包括严格的身份定位、完善的考核制度、系统的安全培训以及规范的离岗流程；对外部人员则需实施有效的访问控制和行为监管。通过建立健全的人员档案管理、审批流程和安全教育体系，可显著降低人为失误、内部舞弊和操作不当等风险，从而为工控系统的安全稳定运行提供可靠的人力资源保障。

4) 安全建设管理

安全建设管理应贯穿到信息系统整个生命周期，在系统审批、建设、安全定级与备案、安全方案设计、软件开发与实施、验收与测试、系统交付与等级测评，以及服务商选择等过程均需要进行安全管理。应采用国家认可专业机构进行过安全性及电磁兼容性检测的工业控制系统重要设备及专用信息安全产品。

针对系统安全建设，需要建立针对系统建设的安全管理体系化制度保障，保障在系统建设过程中的科学化管理，来规范化系统建设，杜绝建设过程中留下的各种安全漏洞，为系统上线运行提供安全质量保障。同时制定合理化的安全解决方案，确保安全措施的落实。

5) 安全运维管理

系统运维管理主要是进行信息系统日常运行维护管理，利用管理制度以及安全管理中心进行，包括：环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等。使系统始终处于安全运行状态。

安全运维管理是整个系统安全运营的重要环节，系统运维管理的规范化，是系统安全运维的重要保证。建立科学的、体系化的系统运维管理制度、系统运维流程与突发事件处置机制，建立应急响应机制，为系统安全运维提供保障。

安全运营体系设计

安全运营体系从功能层级上可划分安全运营管理平台与应急保障支撑，由安全运营管理平台为电力监控系统网络提供监测预警、响应处置、事件分析与基于AI大模型的安全辅助等具体的业务应用，同时由应急保障作为安全运营体系的重要支撑，通过建立标准化的应急预案、配备专业应急队伍、开展常态化演练等措施，确保在安全事件发生时能够快速启动应急响应机制，实现安全风险的闭环管理。通过与安全运营管理平台的协同运作，共同构建起集监测、响应、处置于一体的电力监控系统网络安全运营体系。  

1) 监测预警安全设计

基于分布式探针采集网络流量、设备日志、设备运行状态等多元数据，经过存储、处理、分析后形成漏洞、资产、威胁等安全态势，并应用关联分析、业务安全基线、威胁情报等技术手段构建电力监控系统网络安全运营管理能力，通过将网络中的安全设备日志统一汇集，实现电力监控系统网络安全信息现状实时监测、收集，以及信息和状态监测，帮助企业实时了解网络安全状态，实现安全事件及时预警、响应、处置以及威胁溯源，并为后续的网络安全建设提供决策依据。

2) 响应处置安全设计

针对识别到安全事件，通过生成安全事件处置工单，下发至各责任部门，由各部门设备技术实施人员处置，形成运维行为痕迹化管理。与此同时，系统还会对安全事件产生的数据进行全面的收集、整理与分析，从而提炼出有价值的信息，逐步构建并完善安全知识库，形成高效、闭环的安全事件处置机制。知识库的构建将作为重要支撑，协助系统更精准地检测与识别安全事件，为安全防御提供有力保障。

3) 事件分析安全设计

通过深度关联分析日志、网络流量数据、资产信息及漏洞情报等多维数据源，构建智能化的安全分析体系，实现网络安全事件的精准识别与发现，同时通过对威胁预警、威胁情报、网络安全事件等进行关联分析研判，实现对网络攻击进行追踪溯源，提升电力监控系统网络安全主动防御能力，形成覆盖威胁感知、分析研判及溯源响应的闭环安全防护机制。

4) 应急保障安全设计

通过开展应急响应服务，帮助电力监控系统建立健全应急响应机制，抓好网络安全风险监测工作，制定网络安全事件应急预案，落实网络安全应急保障措施，在网络安全事件发生时做出快速反应，将事件损失控制到最小范围。

5) AI安全辅助设计

依托告警降噪、智能助手、安全决策辅助等能力，实现智能化的预警、分析、处置与响应闭环管理，提高安全运营管理效率。通过智能化告警降噪模型，智能过滤与抑制无关或重复告警、动态调整阈值以精准识别并呈现关键告警，提升威胁发现效率；采用自然语言对话的方式，协助情报、告警信息解读，辅助指令生成、任务拆解，生成分析汇报材料，以自动化方式协助人工值守，提升安全相关工作效率。此外，通过对告警、情报等进行深度分析和推理，为安全运营人员提供准确、全面的威胁评估和建议，有效提升网络安全保障能力。

安全设计

在安全管理区新增工业态势感知平台，基于机器学习和大数据分析等技术，对网络环境中的资产、流量、日志等安全数据进行全面分析，实现对资产、脆弱性、威胁、安全事件的深入分析和关联，形成安全态势可视化分析、资产脆弱性监测、攻击溯源分析、攻击关联分析、威胁画像等安全能力，并结合具有自学习能力的模型和算法进行动态分析，可对异常行为进行精准识别与预警；同时通过全流量分析技术实现完整的网络攻击溯源取证，不断丰富攻击样本库，帮助信息安全人员采取针对性的响应处置措施，提升安全运营效率。

图2 网络拓扑

案例创新性

面向漏洞利用攻击的轻量级靶向性虚拟补丁

通过构建控制系统检测引擎，并结合规则库分级分类、漏洞规则库新增等技术手段实现在网络层面对于漏洞的加固，同时采用靶向性的技术手段避免了高延时、误报的问题形成对电力监控系统已知漏洞的安全闭环。

基于数据变化率检测的控制领域信息安全行为识别方法

通过对电力监控系统网络中流量的数据报文进行完整性还原,识别报文中的控制指令依据业务的通信行为与指令进行关联分析，并建立业务的控制行为基线，通过行为基线构建深度分析体系，同时与态势感知安全信息进行匹配分析，识别异常控制行为。

采用基于数据字典的行为内容识别技术

在对工业协议、工业通信原理的分析基础之上，在其中加入通信主从站间数据字典能力，将报文监测的信息与物理数据信息进行关联，进而实现对数据处理权限的控制，解决了仅通过对通信报文监测，无法获取数据信息的难题。

基于AI的智能安全运营辅助决策技术

基于AI的海量数据分析与自然语言处理技术，快速解析安全问题，自动生成可视化分析结果，并且解读告警信息，辅助安全技术人员快速研判告警趋势、智能分析安全事件、快读定位问题根源等，并提供安全告警研判处置建议，大幅提高安全运营的效率和响应速度。

重点与难点问题及解决思路

重难点1：资产盲区且异构性，安全纳管存在难度

在工业网络环境中，由于大量设备服役年限长、品牌型号繁杂（如西门子、施耐德、ABB等并存），从而导致传统IT资产管理手段难以适用，使得资产无法被全面发现、准确识别与持续纳管，进而形成巨大的安全盲区，并为后续的风险评估、策略制定与威胁检测等环节带来根本性障碍。

解决思路：

通过资产探测、脆弱性扫描等主动、被动技术手段，对资产信息进行梳理和识别，准确识别工业资产开放端口、服务、操作系统、厂商、型号、版本号等信息和通信关系，建立动态资产清单，实现资产信息的全面管理。

重难点2：遗留系统与老旧设备，工业主机防护存在难度

在工业场景中，由于大量主机运行服役超过10年，普遍存在计算能力弱、内存小的固有缺陷，传统安全防护软件易导致系统资源占用过高，引发主机响应缓慢、操作指令延迟等问题；同时，传统杀毒软件依赖联网更新病毒库的模式难以适应工业现场环境。此外，移动介质的滥用更使这些主机直接暴露于病毒传播与恶意代码植入的风险之下，进一步加剧了工业基础环境的安全脆弱性。

解决思路：

通过采用基于白名单机制、轻量化的主机防护软件，全面扫描工业主机的可执行文件，建立安全白名单基线，禁止非法文件加载及执行，防范病毒木马感染；保护关键目录及注册表，实现业务应用与操作系统的安全加固；细粒度管理主机外设及移动存储权限，阻断病毒传播途径，从而对工业上位机及服务器实现全方位的安全防护，保障客户业务连续稳定运行。

AI 赋能网络攻击，传统安全防御存在难度

当前工业领域面临的网络威胁呈现出高度专业化、定向化的趋势。尤其在当下，越来越多的攻击者借助 AI 驱动的攻击技术，使攻击行为变得更加隐蔽、难以察觉，防御难度呈指数级上升，在这一背景下，依赖特征匹配与规则库的传统安全防护手段已显滞后，难以有效应对复杂多变的智能化攻击。

解决思路：

在传统安全运营模式基础之上，融入AI技术，通过告警降噪、威胁检测分析、安全决策辅助等能力，构建智能化的预警、分析、处置与响应闭环管理，实现在风险识别、安全防护、攻击检测、应急响应各环节的提质增效，推动安全运营工作实现“人防”到“智防”。

4、 应用价值与效益

经济效益

（1）提升电力监控系统安全防御能力

通过访问控制、入侵检测、主机防护等技术措施，有效保障电力监控系统网络的安全，减少病毒入侵的可能性，降低安全事件发生概率，提升电力监控系统网络安全防护水平。

（2）提升运维管理效率与响应速度

本项目建成后，将实现对全网态势、资产态势、脆弱性态势、攻击态势、告警态势等各种可视化展示。管理人员能够全面、精准地掌握电力监控系统中各类工业设备与应用产生的告警问题，从而快速掌控网络整体安全状况，显著提升运维管理效率与响应速度。

社会效益

（1）保障国家安全与社会稳定

通过构建全面感知、动态防御的主动防护体系，能够有效抵御网络攻击、病毒感染等风险，防止因网络事件引发的大面积停电或电网瘫痪，确保国家能源安全、经济安全和公共安全。

（2）符合国家重大发展战略要求

本项目建成后，可有效提升电力监控系统网络安全防护水平和核心竞争力，有助于营造良好的产业发展生态，高度契合国家关于网络强国、能源安全与新型工业化的重大战略导向。

复制推广

（1）解决方案可复制推广性

本项目从安全产品部署、安全技术等多个维度实现方案及产品的可行性验证与落地应用，该项目实施，在提升电力监控系统网络安全防护水平的同时，可为其他行业网络安全建设提供可借鉴的经验和模式，为网络安全建设的复制推广奠定坚实的基础。

（2）推动网络安全技术在电力行业产业化应用

通过工业网络安全技术在该电厂的落地应用，有效促进电力行业网络安全防护水平的提升，同时该项目构建的贴合实际业务场景的多层次、全方位的安全防御体系，可为企业提供深层次、全面的安全防护。同时该项目实践，将有效推动安全防御体系在电力行业的广泛普及与应用，带动电力行业产业化发展。