今日頭條
官方微信
官方抖音
案例頻道★ 深圳融安網(wǎng)絡科技有限公司
1 項目概況
1.1 項目背景
在我國,電力系統(tǒng)是由發(fā)電、輸電、變電、配電、用電和調度組成的。其中發(fā)電企業(yè)是整個電力系統(tǒng)中的起始環(huán)節(jié),也是整個能源閉環(huán)系統(tǒng)中最主要的生產環(huán)節(jié)。目前國內主要的發(fā)電形式為火力發(fā)電、水電、核電、風電、光伏等,其中火力發(fā)電在電力結構中占比最高。據(jù)統(tǒng)計,截至2017年底,全國發(fā)電裝機容量達17.7億千瓦,是世界上發(fā)電裝機規(guī)模最大的國家,其中火電比重約占62%,發(fā)電煤耗量占全國煤炭消費總量60%以上。隨著大容量、高參數(shù)火電機組的不斷投產和運行,火力發(fā)電控制系統(tǒng)對自動化控制的要求也不斷提高,新型火力發(fā)電控制系統(tǒng)已向數(shù)字化、網(wǎng)絡化和智能化進行轉變。而且,隨著電廠控制系統(tǒng)的不斷發(fā)展,各種通用的網(wǎng)絡技術被廣泛應用于電廠控制系統(tǒng),其安全問題日益突出。但是相比互聯(lián)網(wǎng)信息安全領域的“火熱”,電廠控制系統(tǒng)安全作為信息安全的重要領域卻一直“備受冷落”。
直到近年國外發(fā)生多起因黑客網(wǎng)絡攻擊導致電力系統(tǒng)癱瘓的事件,才引起人們對電廠控制系統(tǒng)信息安全的重視。因此,在日益嚴峻的電力監(jiān)控系統(tǒng)網(wǎng)絡安全形勢下,發(fā)電企業(yè)有效采取風險消控措施,保障機組、電網(wǎng)的安全運行,有著極其重要的經(jīng)濟和社會意義。
1.2 項目簡介
本項目的實施對象為福建華電可門發(fā)電有限公司旗下的可門發(fā)電廠,對工控系統(tǒng)網(wǎng)絡進行系統(tǒng)信息安全防護建設,新增生產控制網(wǎng)絡安全綜合防護與智能管理平臺以保障華電可門發(fā)電廠所承載應用系統(tǒng)的安全。
1.3 項目目標
本項目按照等保2.0建設要求,整體實現(xiàn)邊界-終端-運管三位一體的全面安全防護體系,并基于大數(shù)據(jù)分析技術,建設具有風險識別、安全防御、安全檢測、安全響應和安全編排能力的安全管理平臺。
結合電廠內部的網(wǎng)絡層次架構,分別從企業(yè)資源層、生產管理層、過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設備層各層面入手,運用工控協(xié)議解析、黑白名單機制和主動防御等工業(yè)控制系統(tǒng)防護技術,添加安全隔離、入侵檢測、安全審計等技術措施,并形成統(tǒng)一安全管理中心,優(yōu)化日常安全管理體系,健全安全管理制度,提升生產系統(tǒng)網(wǎng)絡安全整體防護能力水平,實現(xiàn)“合規(guī)”安全生產。
結合可門電廠生產控制大區(qū)網(wǎng)絡安全現(xiàn)狀和電力安全等級保護等的相關規(guī)定,按照等保2.0建設要求,整體實現(xiàn)邊界-終端-運管三位一體的全面安全防護體系。融合不同安全區(qū)域(包括安全IV區(qū))之間的數(shù)據(jù),匯聚攻擊檢測、異常感知、業(yè)務特征匹配、漏洞檢測等安全的多源異構數(shù)據(jù),基于大數(shù)據(jù)分析技術,建設具有風險識別、安全防御、安全檢測、安全響應和安全編排能力的安全管理平臺。
2 項目實施
本項目技術應用以發(fā)電廠安全數(shù)據(jù)為基礎,以安全能力為核心,建設覆蓋風險識別、安全防御、安全檢測和安全響應能力的安全編排、自動化與響應平臺,及具有脆弱性識別、弱點識別、網(wǎng)絡層防護、應用層防護、系統(tǒng)層防護、運維層防護、流量檢測、入侵檢測、日志檢測、事件響應等安全能力的安全管理平臺。緊密結合發(fā)電廠網(wǎng)絡架構,設計大數(shù)據(jù)智能化安全體系,確保整體架構的先進性;利用前瞻性SOAR技術,深入結合大數(shù)據(jù)技術,確保技術的先進性。
通過安全自動化編排響應體系建設,加強發(fā)電廠安全的實戰(zhàn)能力與保障能力,不斷利用系統(tǒng)手段和人員力量,做好安全監(jiān)測與防護、自動化事件響應等工作,形成運轉高效、處置得當?shù)陌踩幣彭憫獧C制。
此外,根據(jù)《國家能源局關于印發(fā)電力監(jiān)控系統(tǒng)安全防護總體方案等安全防護方案和評估規(guī)范的通知》(國能安全〔2015〕36號)中《附件4發(fā)電廠監(jiān)控系統(tǒng)安全防護方案》及《信息安全技術網(wǎng)絡安全等級保護基本要求》2.0版本相應的要求,在發(fā)電廠電力監(jiān)控系統(tǒng)內部署相關安全防護系統(tǒng)以解決目前存在的安全問題,并分別從網(wǎng)絡監(jiān)測、日志審計、主機安全、集中管控、邊界防護等方面進行安全防護建設工作,同時滿足相關監(jiān)管部門的檢查要求。
2.1 網(wǎng)絡監(jiān)測
分別在各網(wǎng)絡關鍵節(jié)點中旁路部署工業(yè)入侵檢測系統(tǒng)和監(jiān)測審計系統(tǒng),對攻擊行為進行檢測和告警,實現(xiàn)網(wǎng)絡流量的采集分析監(jiān)測和異常告警。
2.2 日志審計
分別在各生產車間網(wǎng)絡中部署日志審計系統(tǒng),實現(xiàn)日志信息的收集和集中分析,并提供日志查詢、歷史日志查詢和事件告警功能,及時了解網(wǎng)絡設備運行狀態(tài),識別存在的安全事件,提高系統(tǒng)安全防護能力。
2.3 主機安全
部署工業(yè)終端安全衛(wèi)士,對操作系統(tǒng)進行安全加固。采取“白名單”機制,實現(xiàn)病毒主動免疫和USB接入行為管控。
2.4 集中管控
建立生產控制網(wǎng)絡安全綜合防護與智能管理平臺,實現(xiàn)對網(wǎng)絡安全設備的統(tǒng)一安全管控,實現(xiàn)安全設備的狀態(tài)監(jiān)控、審計管理和策略管理等集中管控功能,構筑安全管理中心平臺,提升整體網(wǎng)絡安全防護和運維管控水平。
2.5 邊界防護
在各生產車間網(wǎng)絡的邊界處部署工業(yè)防火墻和電力隔離裝置,采用適用于工控網(wǎng)絡的“黑白名單”機制和協(xié)議解析,細化訪問控制粒度,對非法及異常訪問行為進行攔截阻斷,降低設備廠家遠程接入運維時面臨的網(wǎng)絡安全風險。
圖1 網(wǎng)絡安全防護拓撲圖
3 案例亮點及創(chuàng)新性
我國在信息安全領域,尤其是工業(yè)信息安全領域的研究起步較晚。目前國內外針對發(fā)電廠的整體的SOAR自動響應還未有相關產品。習總書記曾在全國網(wǎng)信工作會議上強調,要加強網(wǎng)絡安全信息統(tǒng)籌機制、手段和平臺建設,加強網(wǎng)絡安全事件應急聯(lián)動處置,積極發(fā)展網(wǎng)絡安全產業(yè),做到端口前移,防患于未然。因此,本項目旨在發(fā)電企業(yè)建設安全管理平臺并引入SOAR技術,結合大數(shù)據(jù)分析技術,提高發(fā)電企業(yè)自身業(yè)務安全保障能力,同時該技術將成為國內外首創(chuàng)。
通過發(fā)電企業(yè)生產控制網(wǎng)絡安全綜合防護與智能管理平臺建設,可以為發(fā)電廠電力監(jiān)控系統(tǒng)網(wǎng)絡安全帶來行業(yè)示范效果。
(1)模式的創(chuàng)新性
通過建設生產控制網(wǎng)絡安全綜合防護與智能管理平臺,利用大數(shù)據(jù)等技術將工控網(wǎng)絡安全信息一網(wǎng)打盡。通過智能化的分析,為企業(yè)提供一個可視化的安全監(jiān)管平臺,可實時了解企業(yè)網(wǎng)絡安全狀態(tài),對企業(yè)的整體工控系統(tǒng)的安全規(guī)劃、管理和決策提供依據(jù),滿足國家的發(fā)展要求和行業(yè)的發(fā)展趨勢。
(2)政策的合規(guī)性
根據(jù)國家等有關發(fā)電廠網(wǎng)絡安全政策文件規(guī)定,以實際需求為導向,在合規(guī)的基礎上考慮整體安全設計,規(guī)范做好發(fā)電廠安全自動化編排響應體系建設,保障安全工作推進的統(tǒng)一性、一致性、有效性和規(guī)范性。
(3)策略的統(tǒng)一性
通過安全自動化編排響應體系建設,加強發(fā)電廠安全的實戰(zhàn)能力與保障能力,不斷利用系統(tǒng)手段和人員力量,做好安全監(jiān)測與防護、自動化事件響應等工作,形成運轉高效、處置得當?shù)陌踩幣彭憫獧C制。
發(fā)電廠安全自動化編排響應體系建設應按照網(wǎng)絡安全等級保護制度和相關規(guī)范的要求,并行開展技術手段建設和管理制度建設,實現(xiàn)技術配合管理,管理指導技術,確保技術與管理雙管齊下,切實落實相關工作科學有效開展。
(4)成本的經(jīng)濟性
成熟的產品體系以及模塊化的功能設計,可以作為示范項目快速復制,極大節(jié)約推廣和運營成本。
(5)掌握發(fā)電企業(yè)電力監(jiān)控系統(tǒng)實際安裝設備狀況
國內電力企業(yè)電力監(jiān)控系統(tǒng)應用在條塊分割的封閉體系中,安全防護意識不強。國內工控設備生產缺乏安全技術保障,進口系統(tǒng)和設備的安全性處于半透明狀態(tài)。對于多少系統(tǒng)應列為國家重點防護對象,亟需摸清底數(shù),有助于對已有故障隱患的設備進行及時維護,減少損失。
(6)掌握質量隱患和依賴情況
掌握威脅情報是幫助我們發(fā)現(xiàn)威脅并進行處置的必要手段,威脅情報是盡可能獲得安全事件的基礎性資源。建立工控網(wǎng)絡安全漏洞挖掘、風險評估、威脅檢測、信息共享等一整套機制并加以保障,形成全面、權威的統(tǒng)計信息,有利于實現(xiàn)和推動工控網(wǎng)絡安全防護的提升,有效避免重大工控安全事故的發(fā)生。
(7)人工智能與網(wǎng)絡安全相結合,建立防御新生態(tài)
加快發(fā)展新一代人工智能是我們贏得全球科技競爭主動權的重要戰(zhàn)略抓手。隨著人工智能技術快速發(fā)展和產業(yè)爆發(fā),人工智能安全越發(fā)受到關注。
人工智能技術可應用于網(wǎng)絡安全領域,通過感知、預測、預警關鍵信息基礎設施運行的重大態(tài)勢,主動決策反應,從而提升工控網(wǎng)絡防護能力。基于人工智能的網(wǎng)絡安全防護應用已成為國內外網(wǎng)絡安全產業(yè)發(fā)展的重點方向。調查顯示,部分網(wǎng)絡安全公司正逐步使用人工智能技術,改善安全防御體系,開創(chuàng)網(wǎng)絡防護新時代。
(8)持續(xù)對威脅進行監(jiān)控和檢測
依靠安全大數(shù)據(jù)驅動的智能化與自動化的安全檢測能力,及時發(fā)現(xiàn)異常安全事件,實現(xiàn)智能化主動安全;通過策略自動編排,協(xié)同平臺、網(wǎng)絡、終端、應用等安全資源,對網(wǎng)絡安全異常事件進行協(xié)同閉環(huán)處置,確保威脅能夠在最短的時間內得到清除或緩解,保護核心資產安全。
(9)系統(tǒng)的可靠性
符合國家的要求,實現(xiàn)系統(tǒng)的穩(wěn)定性、安全性和可用性,從而實現(xiàn)創(chuàng)新驅動、引領發(fā)展、夯實基礎、持續(xù)安全。
《自動化博覽》2023年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊(第九輯)》
北京市公安局海淀分局備案號:11010802023656號