今日頭條
官方微信
官方抖音
案例頻道★ 奇安信科技集團股份有限公司
1 項目概況
1.1 項目背景
近年來,隨著國家能源局印發的《電力監控系統安全防護總體方案等安全防護方案和評估規范》《關于加強電力行業網絡安全工作的指導意見》《電力信息系統安全等級保護實施指南》及電力行業網絡安全管理辦法(修訂征求意見稿)》《電力行業網絡安全等級保護管理辦法(修訂征求意見稿)》的部署推進,電力行業網絡安全問題得到高度重視。
青海黃河電力運營有限公司(以下簡稱:電力運營公司)西寧集控中心的電力監控系統有新能源集控系統、電調系統、水調系統和電能量計量系統等。電力監控系統作為電力運營公司生產系統中最為核心的系統之一,其網絡安全可靠與否直接關乎電力運營公司電力生產的安全穩定運行。
為了深入貫徹落實國家及行業網絡安全要求,加強電力運營公司生產控制系統的網絡安全防護,奇安信集團結合電力運營公司生產控制大區網絡安全現狀,落實工業網絡安全建設,及時發現網絡中的異常事件,實時掌握網絡安全狀況,抵御黑客及惡意代碼等對電力運營公司生產控制系統發起的攻擊和惡意破壞,保障電力系統安全穩定運行。
1.2 項目簡介
本項目的核心工作圍繞電力監控系統安全監測與態勢感知能力建設開展,構建關鍵信息基礎設施安全防護體系,建設覆蓋電力監控系統(新能源集控系統、電調系統、水調系統和電能量計量系統)的安全態勢感知與管理平臺。工業安全態勢感知與管理平臺的數據源、分析功能、展示界面等維度均需要根據電力運營公司網絡現狀和實際需求進行定制化設計,從平臺功能規劃、平臺技術架構、平臺部署架構等多維度開展,利用平臺的安全監測與態勢感知能力,建立關鍵信息基礎設施威脅可知、管控可視、應急可控的安全運維機制,全天候、全方位監測網絡安全狀態,全面分析展示網絡安全情況。
對集控中心電力監控系統整體架構進行優化,搭建流量監測網和安全管理網,提升電力監控系統在網絡安全方面的可擴展性和可管理性,同時根據新的網絡架構優化安全設備的部署位置,提升設備防護范圍和利用率。
在集控中心電力監控系統安全管理區域部署工業安全態勢感知與管理平臺,實現對集控中心電力監控系統網絡安全狀況的實時監測、風險預警、集中管控和應急處置。在集控中心生產區部署必要的安全防護產品,包含工業安全監測系統、工業日志審計系統、工業堡壘機和工業漏洞掃描系統等,同步完善基礎安全防護措施,切實提升電力運營公司關鍵信息基礎設施的網絡安全保障能力。
1.3 項目目標
本項目規劃貫徹落實電力運營公司“安全分區、縱深防護、統一監控”的安全防護原則,在保持“安全分區”的前提下,進一步完善集控中心“安全防護”能力,同時實現“統一監控”防護措施提升基礎防護水平,構建監測預警能力。
(1)安全要素獲取:工業安全態勢感知與管理平臺能夠對接網絡中現有及未來可能擴容的各類安全防護產品、網絡流量日志等,充分利用已有的安全設備,實現全面且靈活開放的態勢感知系統架構。
(2)全面的資產管理:資產發現與管理是態勢感知的基礎,工業安全態勢感知與管理平臺實現資產全面梳理,提供以業務系統為核心的資產感知和管理能力,建立全面的資產信息態勢,并為其他維度的分析和呈現提供有力支撐。
(3)安全態勢分析:工業安全態勢感知與管理平臺基于收集到的安全信息要素進行融合、關聯分析和挖掘分析,包括對資產及業務系統受到的攻擊威脅和自身風險程度的分析、攻擊的危害及影響范圍分析、攻擊威脅溯源分析等。
(4)安全態勢呈現:工業安全態勢感知與管理平臺通過資產感知、脆弱性感知、運行感知、威脅感知、風險感知、流量感知和態勢總覽多個維度來覆蓋安全態勢各個方面,實現全方位的態勢感知。
(5)預警通告及處置:工業安全態勢感知與管理平臺內置完整的預警通告及處置工作流程,并具備相應的應急處置預案,幫助運維人員實現安全運維處置的閉環。
2 項目實施
2.1 應用場景分析
電力運營公司西寧集控中心核心電力監控系統有新能源集控系統、電調系統、水調系統和電能量計量系統。在物理位置方面,新能源集控系統部署在青海黃河運營有限公司西寧集控中心,位于西寧市城東區;電調系統、水調系統和電能量計量系統部署在黃河上游水電開發有限責任公司本部,位于西寧市城西區。在網絡位置方面,新能源集控系統部署于生產控制大區,安全區Ⅰ和安全區Ⅱ均有部署;電調系統、水調系統和電能量計量系統均跨生產控制大區和管理信息大區部署,其中電調系統部署于生產控制大區安全區Ⅰ和管理信息大區,水調系統和電能量計量系統部署于生產控制大區安全區Ⅱ和管理信息大區。
2.2 安全需求分析
奇安信股份工業安全專家從網絡監測和態勢感知等方面進行大量調研,幫助電力運營公司落實網絡安全建設,發現如下網絡安全風險:
(1)生產控制大區缺乏流量監測手段:對生產控制大區中安全域網絡通信流量缺乏監測手段,當發生惡意流量時無法實時感知。
(2)生產控制大區工控系統資產缺乏有效監測:工控系統的資產數量和工作狀態不清楚,無法監測資產之間通信的流量,無法識別資產漏洞,不能及時定位非法接入、幽靈資產及失陷主機。
(3)生產控制大區缺乏審計手段:對工控系統生產過程中的數據交換、組態變更、協議通信、數據采集等缺乏必要的感知審計手段。
(4)生產控制大區缺乏網絡威脅檢測:對工業控制系統網絡中的病毒、木馬等惡意威脅缺乏實時檢測,無法有效檢測工控網絡威脅。
(5)針對生產控制大區安全狀態缺乏整體態勢感知:不掌握工業控制系統整體安全狀況,當安全事件發生時無法及時追蹤溯源。
2.3 技術方案
根據電力運營公司工業控制系統現階段的安全現狀,結合整體安全監測與態勢感知建設的必要性,設計工業安全解決方案。如圖1所示,在生產控制大區東區新能源集控系統安全I區核心交換機旁路部署工業安全監測系統,實時監測該電力運營公司工控系統網絡內的異常流量及異常行為;在生產控制大區東區和西區的I區、II區部署工業日志審計系統,實現工業網絡中安全設備、網絡設備、操作系統、數據庫、中間件及應用系統等的日志與報警信息的全面采集;在生產控制大區II區部署工業堡壘機和工業漏洞掃描系統;在管理信息大區部署工業安全態勢感知與管理平臺,收集工業安全監測系統、工業日志審計系統和工業漏洞掃描系統上報的新能源集控系統、電調自動化系統、水調自動化系統和電能量計量系統的各項網絡安全數據,并對其進行分析并最終態勢化展示。
圖1 部署實施架構
以電力運營公司工業資產為中心,安全風險監測為主線,在生產控制大區東區I區部署工業安全監測系統,實現資產自動識別、漏洞無損發現、威脅實時檢測、行為異常分析、工業協議審計等安全能力,同時為工業安全監測與態勢感知平臺提供持續安全檢測與審計數據,為電力運營公司進行全面工業安全管理和分析提供數據支撐。
在生產控制大區東區和西區核心交換機部署工業日志審計系統。采用大數據技術和智能分析方法,實現日志采集與存儲、日志歸一化、交互式分析、關聯分析、儀表板、報表統計、告警管理等,實現工業網絡中安全設備、網絡設備、操作系統、數據庫、中間件及應用系統等的日志與報警信息的全面采集、存儲、分析和展示。
在生產控制大區II區部署工業堡壘機和工業漏洞掃描系統。工業堡壘機通過集中化運維管控、運維過程實時監管、運維訪問合規性控制、運維過程圖形化審計等能力,構建事前預防、事中監控、事后審計的安全體系;工業安全漏洞掃描系統采用深度設備服務探測、資產識別、設備配置檢查以及弱口令檢查等方式相結合的技術,檢測網絡脆弱性,規避安全風險。
在安全III區部署工業安全監測與態勢感知平臺,通過收集工業安全監測系統上報的數據,實時展現資產態勢、威脅態勢、脆弱性態勢、漏洞態勢等,幫助華電增城電廠快速、宏觀地了解整個企業的安全態勢。
3 案例亮點及創新性
(1)以資產為中心:本案例中工業安全監測系統通過資產自動識別、資產管理和資產網絡關系圖繪制,提供了以資產為中心的安全管理視角。工業生產流程比較固定,相較于以告警事件為中心的威脅分析方案,以資產為中心的漏洞發現與風險分析更符合工業環境管理習慣。級聯無損部署方式,不影響生產。
(2)提高漏洞運維能力和效率:本方案具備完整的漏洞管理機制,方便管理者跟蹤、記錄和驗證評估的成效,通過量化的報表來真實反映網絡安全問題,并把問題的重要性和優先級進行分類,方便用戶有效地落實漏洞修補的工作。
(3)提高工控安全運維人員工作效率:本案例中工業日志審計系統能夠快速準確識別工業網絡中的安全告警信息,并及時發現工業網絡中的違規行為,助力工控安全運維人員進行應急響應。
(4)工業安全態勢統一管理:基于工業安全態勢感知與管理平臺,本案例可以實現工業網絡設備統一管理、安全統一分析、日志統一采集和態勢統一展示,實時將工業安全風險可視化;支持單個、分組、全局等資產的風險分析,并能基于風險等級及告警,進行進一步的溯源分析。
通過工業安全態勢感知與管理平臺的部署和成功實施,本案例成功幫助電力運營公司實現工控系統流量的一體化集中監測與態勢感知,為電力運營公司提供安全管理的抓手,同時可以進一步幫助企業進行安全預防性維護、應急響應和事故調查。本項目的落實,樹立了電力行業工業安全防護案例標桿,提升了電力企業工業網絡安全監測與態勢感知能力,并形成了良好的示范效應。
《自動化博覽》2023年1月刊暨《工業控制系統信息安全專刊(第九輯)》
北京市公安局海淀分局備案號:11010802023656號