今日頭條
官方微信
官方抖音
案例頻道★ 深圳融安網(wǎng)絡(luò)科技有限公司
1 項目概況
1.1 項目背景
在我國,電力系統(tǒng)是由發(fā)電、輸電、變電、配電、用電和調(diào)度組成的。其中發(fā)電企業(yè)是整個電力系統(tǒng)中的起始環(huán)節(jié),也是整個能源閉環(huán)系統(tǒng)中最主要的生產(chǎn)環(huán)節(jié)。目前國內(nèi)主要的發(fā)電形式為火力發(fā)電、水電、核電、風(fēng)電、光伏等,其中火力發(fā)電在電力結(jié)構(gòu)中占比最高。據(jù)統(tǒng)計,截至2017年底,全國發(fā)電裝機(jī)容量達(dá)17.7億千瓦,是世界上發(fā)電裝機(jī)規(guī)模最大的國家,其中火電比重約占62%,發(fā)電煤耗量占全國煤炭消費總量60%以上。隨著大容量、高參數(shù)火電機(jī)組的不斷投產(chǎn)和運行,火力發(fā)電控制系統(tǒng)對自動化控制的要求也不斷提高,新型火力發(fā)電控制系統(tǒng)已向數(shù)字化、網(wǎng)絡(luò)化和智能化進(jìn)行轉(zhuǎn)變。而且,隨著電廠控制系統(tǒng)的不斷發(fā)展,各種通用的網(wǎng)絡(luò)技術(shù)被廣泛應(yīng)用于電廠控制系統(tǒng),其安全問題日益突出。但是相比互聯(lián)網(wǎng)信息安全領(lǐng)域的“火熱”,電廠控制系統(tǒng)安全作為信息安全的重要領(lǐng)域卻一直“備受冷落”。
直到近年國外發(fā)生多起因黑客網(wǎng)絡(luò)攻擊導(dǎo)致電力系統(tǒng)癱瘓的事件,才引起人們對電廠控制系統(tǒng)信息安全的重視。因此,在日益嚴(yán)峻的電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全形勢下,發(fā)電企業(yè)有效采取風(fēng)險消控措施,保障機(jī)組、電網(wǎng)的安全運行,有著極其重要的經(jīng)濟(jì)和社會意義。
1.2 項目簡介
本項目的實施對象為福建華電可門發(fā)電有限公司旗下的可門發(fā)電廠,對工控系統(tǒng)網(wǎng)絡(luò)進(jìn)行系統(tǒng)信息安全防護(hù)建設(shè),新增生產(chǎn)控制網(wǎng)絡(luò)安全綜合防護(hù)與智能管理平臺以保障華電可門發(fā)電廠所承載應(yīng)用系統(tǒng)的安全。
1.3 項目目標(biāo)
本項目按照等保2.0建設(shè)要求,整體實現(xiàn)邊界-終端-運管三位一體的全面安全防護(hù)體系,并基于大數(shù)據(jù)分析技術(shù),建設(shè)具有風(fēng)險識別、安全防御、安全檢測、安全響應(yīng)和安全編排能力的安全管理平臺。
結(jié)合電廠內(nèi)部的網(wǎng)絡(luò)層次架構(gòu),分別從企業(yè)資源層、生產(chǎn)管理層、過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設(shè)備層各層面入手,運用工控協(xié)議解析、黑白名單機(jī)制和主動防御等工業(yè)控制系統(tǒng)防護(hù)技術(shù),添加安全隔離、入侵檢測、安全審計等技術(shù)措施,并形成統(tǒng)一安全管理中心,優(yōu)化日常安全管理體系,健全安全管理制度,提升生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全整體防護(hù)能力水平,實現(xiàn)“合規(guī)”安全生產(chǎn)。
結(jié)合可門電廠生產(chǎn)控制大區(qū)網(wǎng)絡(luò)安全現(xiàn)狀和電力安全等級保護(hù)等的相關(guān)規(guī)定,按照等保2.0建設(shè)要求,整體實現(xiàn)邊界-終端-運管三位一體的全面安全防護(hù)體系。融合不同安全區(qū)域(包括安全I(xiàn)V區(qū))之間的數(shù)據(jù),匯聚攻擊檢測、異常感知、業(yè)務(wù)特征匹配、漏洞檢測等安全的多源異構(gòu)數(shù)據(jù),基于大數(shù)據(jù)分析技術(shù),建設(shè)具有風(fēng)險識別、安全防御、安全檢測、安全響應(yīng)和安全編排能力的安全管理平臺。
2 項目實施
本項目技術(shù)應(yīng)用以發(fā)電廠安全數(shù)據(jù)為基礎(chǔ),以安全能力為核心,建設(shè)覆蓋風(fēng)險識別、安全防御、安全檢測和安全響應(yīng)能力的安全編排、自動化與響應(yīng)平臺,及具有脆弱性識別、弱點識別、網(wǎng)絡(luò)層防護(hù)、應(yīng)用層防護(hù)、系統(tǒng)層防護(hù)、運維層防護(hù)、流量檢測、入侵檢測、日志檢測、事件響應(yīng)等安全能力的安全管理平臺。緊密結(jié)合發(fā)電廠網(wǎng)絡(luò)架構(gòu),設(shè)計大數(shù)據(jù)智能化安全體系,確保整體架構(gòu)的先進(jìn)性;利用前瞻性SOAR技術(shù),深入結(jié)合大數(shù)據(jù)技術(shù),確保技術(shù)的先進(jìn)性。
通過安全自動化編排響應(yīng)體系建設(shè),加強(qiáng)發(fā)電廠安全的實戰(zhàn)能力與保障能力,不斷利用系統(tǒng)手段和人員力量,做好安全監(jiān)測與防護(hù)、自動化事件響應(yīng)等工作,形成運轉(zhuǎn)高效、處置得當(dāng)?shù)陌踩幣彭憫?yīng)機(jī)制。
此外,根據(jù)《國家能源局關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護(hù)總體方案等安全防護(hù)方案和評估規(guī)范的通知》(國能安全〔2015〕36號)中《附件4發(fā)電廠監(jiān)控系統(tǒng)安全防護(hù)方案》及《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》2.0版本相應(yīng)的要求,在發(fā)電廠電力監(jiān)控系統(tǒng)內(nèi)部署相關(guān)安全防護(hù)系統(tǒng)以解決目前存在的安全問題,并分別從網(wǎng)絡(luò)監(jiān)測、日志審計、主機(jī)安全、集中管控、邊界防護(hù)等方面進(jìn)行安全防護(hù)建設(shè)工作,同時滿足相關(guān)監(jiān)管部門的檢查要求。
2.1 網(wǎng)絡(luò)監(jiān)測
分別在各網(wǎng)絡(luò)關(guān)鍵節(jié)點中旁路部署工業(yè)入侵檢測系統(tǒng)和監(jiān)測審計系統(tǒng),對攻擊行為進(jìn)行檢測和告警,實現(xiàn)網(wǎng)絡(luò)流量的采集分析監(jiān)測和異常告警。
2.2 日志審計
分別在各生產(chǎn)車間網(wǎng)絡(luò)中部署日志審計系統(tǒng),實現(xiàn)日志信息的收集和集中分析,并提供日志查詢、歷史日志查詢和事件告警功能,及時了解網(wǎng)絡(luò)設(shè)備運行狀態(tài),識別存在的安全事件,提高系統(tǒng)安全防護(hù)能力。
2.3 主機(jī)安全
部署工業(yè)終端安全衛(wèi)士,對操作系統(tǒng)進(jìn)行安全加固。采取“白名單”機(jī)制,實現(xiàn)病毒主動免疫和USB接入行為管控。
2.4 集中管控
建立生產(chǎn)控制網(wǎng)絡(luò)安全綜合防護(hù)與智能管理平臺,實現(xiàn)對網(wǎng)絡(luò)安全設(shè)備的統(tǒng)一安全管控,實現(xiàn)安全設(shè)備的狀態(tài)監(jiān)控、審計管理和策略管理等集中管控功能,構(gòu)筑安全管理中心平臺,提升整體網(wǎng)絡(luò)安全防護(hù)和運維管控水平。
2.5 邊界防護(hù)
在各生產(chǎn)車間網(wǎng)絡(luò)的邊界處部署工業(yè)防火墻和電力隔離裝置,采用適用于工控網(wǎng)絡(luò)的“黑白名單”機(jī)制和協(xié)議解析,細(xì)化訪問控制粒度,對非法及異常訪問行為進(jìn)行攔截阻斷,降低設(shè)備廠家遠(yuǎn)程接入運維時面臨的網(wǎng)絡(luò)安全風(fēng)險。
圖1 網(wǎng)絡(luò)安全防護(hù)拓?fù)鋱D
3 案例亮點及創(chuàng)新性
我國在信息安全領(lǐng)域,尤其是工業(yè)信息安全領(lǐng)域的研究起步較晚。目前國內(nèi)外針對發(fā)電廠的整體的SOAR自動響應(yīng)還未有相關(guān)產(chǎn)品。習(xí)總書記曾在全國網(wǎng)信工作會議上強(qiáng)調(diào),要加強(qiáng)網(wǎng)絡(luò)安全信息統(tǒng)籌機(jī)制、手段和平臺建設(shè),加強(qiáng)網(wǎng)絡(luò)安全事件應(yīng)急聯(lián)動處置,積極發(fā)展網(wǎng)絡(luò)安全產(chǎn)業(yè),做到端口前移,防患于未然。因此,本項目旨在發(fā)電企業(yè)建設(shè)安全管理平臺并引入SOAR技術(shù),結(jié)合大數(shù)據(jù)分析技術(shù),提高發(fā)電企業(yè)自身業(yè)務(wù)安全保障能力,同時該技術(shù)將成為國內(nèi)外首創(chuàng)。
通過發(fā)電企業(yè)生產(chǎn)控制網(wǎng)絡(luò)安全綜合防護(hù)與智能管理平臺建設(shè),可以為發(fā)電廠電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全帶來行業(yè)示范效果。
(1)模式的創(chuàng)新性
通過建設(shè)生產(chǎn)控制網(wǎng)絡(luò)安全綜合防護(hù)與智能管理平臺,利用大數(shù)據(jù)等技術(shù)將工控網(wǎng)絡(luò)安全信息一網(wǎng)打盡。通過智能化的分析,為企業(yè)提供一個可視化的安全監(jiān)管平臺,可實時了解企業(yè)網(wǎng)絡(luò)安全狀態(tài),對企業(yè)的整體工控系統(tǒng)的安全規(guī)劃、管理和決策提供依據(jù),滿足國家的發(fā)展要求和行業(yè)的發(fā)展趨勢。
(2)政策的合規(guī)性
根據(jù)國家等有關(guān)發(fā)電廠網(wǎng)絡(luò)安全政策文件規(guī)定,以實際需求為導(dǎo)向,在合規(guī)的基礎(chǔ)上考慮整體安全設(shè)計,規(guī)范做好發(fā)電廠安全自動化編排響應(yīng)體系建設(shè),保障安全工作推進(jìn)的統(tǒng)一性、一致性、有效性和規(guī)范性。
(3)策略的統(tǒng)一性
通過安全自動化編排響應(yīng)體系建設(shè),加強(qiáng)發(fā)電廠安全的實戰(zhàn)能力與保障能力,不斷利用系統(tǒng)手段和人員力量,做好安全監(jiān)測與防護(hù)、自動化事件響應(yīng)等工作,形成運轉(zhuǎn)高效、處置得當(dāng)?shù)陌踩幣彭憫?yīng)機(jī)制。
發(fā)電廠安全自動化編排響應(yīng)體系建設(shè)應(yīng)按照網(wǎng)絡(luò)安全等級保護(hù)制度和相關(guān)規(guī)范的要求,并行開展技術(shù)手段建設(shè)和管理制度建設(shè),實現(xiàn)技術(shù)配合管理,管理指導(dǎo)技術(shù),確保技術(shù)與管理雙管齊下,切實落實相關(guān)工作科學(xué)有效開展。
(4)成本的經(jīng)濟(jì)性
成熟的產(chǎn)品體系以及模塊化的功能設(shè)計,可以作為示范項目快速復(fù)制,極大節(jié)約推廣和運營成本。
(5)掌握發(fā)電企業(yè)電力監(jiān)控系統(tǒng)實際安裝設(shè)備狀況
國內(nèi)電力企業(yè)電力監(jiān)控系統(tǒng)應(yīng)用在條塊分割的封閉體系中,安全防護(hù)意識不強(qiáng)。國內(nèi)工控設(shè)備生產(chǎn)缺乏安全技術(shù)保障,進(jìn)口系統(tǒng)和設(shè)備的安全性處于半透明狀態(tài)。對于多少系統(tǒng)應(yīng)列為國家重點防護(hù)對象,亟需摸清底數(shù),有助于對已有故障隱患的設(shè)備進(jìn)行及時維護(hù),減少損失。
(6)掌握質(zhì)量隱患和依賴情況
掌握威脅情報是幫助我們發(fā)現(xiàn)威脅并進(jìn)行處置的必要手段,威脅情報是盡可能獲得安全事件的基礎(chǔ)性資源。建立工控網(wǎng)絡(luò)安全漏洞挖掘、風(fēng)險評估、威脅檢測、信息共享等一整套機(jī)制并加以保障,形成全面、權(quán)威的統(tǒng)計信息,有利于實現(xiàn)和推動工控網(wǎng)絡(luò)安全防護(hù)的提升,有效避免重大工控安全事故的發(fā)生。
(7)人工智能與網(wǎng)絡(luò)安全相結(jié)合,建立防御新生態(tài)
加快發(fā)展新一代人工智能是我們贏得全球科技競爭主動權(quán)的重要戰(zhàn)略抓手。隨著人工智能技術(shù)快速發(fā)展和產(chǎn)業(yè)爆發(fā),人工智能安全越發(fā)受到關(guān)注。
人工智能技術(shù)可應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域,通過感知、預(yù)測、預(yù)警關(guān)鍵信息基礎(chǔ)設(shè)施運行的重大態(tài)勢,主動決策反應(yīng),從而提升工控網(wǎng)絡(luò)防護(hù)能力。基于人工智能的網(wǎng)絡(luò)安全防護(hù)應(yīng)用已成為國內(nèi)外網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的重點方向。調(diào)查顯示,部分網(wǎng)絡(luò)安全公司正逐步使用人工智能技術(shù),改善安全防御體系,開創(chuàng)網(wǎng)絡(luò)防護(hù)新時代。
(8)持續(xù)對威脅進(jìn)行監(jiān)控和檢測
依靠安全大數(shù)據(jù)驅(qū)動的智能化與自動化的安全檢測能力,及時發(fā)現(xiàn)異常安全事件,實現(xiàn)智能化主動安全;通過策略自動編排,協(xié)同平臺、網(wǎng)絡(luò)、終端、應(yīng)用等安全資源,對網(wǎng)絡(luò)安全異常事件進(jìn)行協(xié)同閉環(huán)處置,確保威脅能夠在最短的時間內(nèi)得到清除或緩解,保護(hù)核心資產(chǎn)安全。
(9)系統(tǒng)的可靠性
符合國家的要求,實現(xiàn)系統(tǒng)的穩(wěn)定性、安全性和可用性,從而實現(xiàn)創(chuàng)新驅(qū)動、引領(lǐng)發(fā)展、夯實基礎(chǔ)、持續(xù)安全。
《自動化博覽》2023年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊(第九輯)》
北京市公安局海淀分局備案號:11010802023656號