廠級電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)方案分享解讀

1、前言

近期國家能源局發(fā)布了《電力行業(yè)網(wǎng)絡(luò)安全等級保護(hù)管理辦法》、

《電力行業(yè)網(wǎng)絡(luò)安全管理辦法》、《電力二次系統(tǒng)安全管理若干規(guī)定》

等電力行業(yè)的規(guī)章制度，木鏈科技秉承其工控安全企業(yè)的社會責(zé)任，

積極提升發(fā)電廠電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)能力，抵御黑客及惡意

代碼等對發(fā)電廠監(jiān)控系統(tǒng)發(fā)起的惡意破壞和攻擊，以及其它非法操作,

防止發(fā)電廠電力監(jiān)控系統(tǒng)癱瘓和失控，和由此導(dǎo)致的發(fā)電廠一次系統(tǒng)

事故和其他事故，進(jìn)而整理編制本方案，推進(jìn)電廠電力監(jiān)控系統(tǒng)安全

防護(hù)體系的建設(shè)和完善。

適用范圍：火電廠、水電廠、核電站、風(fēng)電場、光伏電站、燃機(jī)

電廠、儲能等各種類型電廠。

2、安全防護(hù)框架

圖多維柵格狀安全防護(hù)體系結(jié)構(gòu)

結(jié)合當(dāng)前電力行業(yè)的政令法規(guī)，依托木鏈科技的工控安全技術(shù)積

累，分別從技術(shù)防護(hù)、安全管理、應(yīng)急備用三個方面建立三維一體的

電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系，通過加固電力專用安全防護(hù)架構(gòu),

完善通用網(wǎng)絡(luò)安全防護(hù)能力，應(yīng)用前沿網(wǎng)絡(luò)安全防護(hù)技術(shù)，鑄就健全

的電力行業(yè)網(wǎng)絡(luò)安全防護(hù)免疫體系。

3、電力專用安全防護(hù)

3.1安全分區(qū)

按照《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》，將發(fā)電廠基于計算機(jī)及網(wǎng)

絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)，并根據(jù)業(yè)務(wù)

系統(tǒng)的重要性和對一次系統(tǒng)的影響程度將生產(chǎn)控制大區(qū)劃分為控制

區(qū)（安全區(qū)I）及非控制區(qū)（安全區(qū)TI）,重點保護(hù)生產(chǎn)控制以及直

接影響電力生產(chǎn)（機(jī)組運(yùn)行）的系統(tǒng)。

3.2網(wǎng)絡(luò)專用

電力調(diào)度數(shù)據(jù)網(wǎng)是與生產(chǎn)控制大區(qū)相連接的專用網(wǎng)絡(luò)，承載電力

實時控制、在線生產(chǎn)交易等業(yè)務(wù)。發(fā)電廠端的電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當(dāng)在

專用通道上使用獨立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，在物理層面上實現(xiàn)與電力企業(yè)

其它數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。發(fā)電廠端的電力調(diào)度數(shù)據(jù)

網(wǎng)應(yīng)當(dāng)劃分為邏輯隔離的實時子網(wǎng)和非實時子網(wǎng)，分別連接控制區(qū)和

非控制區(qū)。

3.3橫向隔離

橫向隔離是電力監(jiān)控系統(tǒng)安全防護(hù)體系的橫向防線。采用不同強(qiáng)

度的安全設(shè)備隔離各安全區(qū)，在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必

須部署經(jīng)國家指定部門檢測認(rèn)證的電力專用橫向單向安全隔離裝置,

隔離強(qiáng)度應(yīng)當(dāng)接近或達(dá)到物理隔離。生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間

應(yīng)當(dāng)采用具有訪問控制功能的網(wǎng)絡(luò)設(shè)備、安全可靠硬件防火墻或者相

當(dāng)功能的設(shè)施，實現(xiàn)邏輯隔離。防火墻的功能、性能、電磁兼容性必

須經(jīng)過國家相關(guān)部門的認(rèn)證和測試。

3.4縱向認(rèn)證

縱向加密認(rèn)證是電力監(jiān)控系統(tǒng)安全防護(hù)體系的縱向防線。發(fā)電廠

生產(chǎn)控制大區(qū)與調(diào)度數(shù)據(jù)網(wǎng)的縱向連接處設(shè)置經(jīng)過國家指定部門檢

測認(rèn)證的電力專用縱向加密認(rèn)證裝置，實現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)加密

和訪問控制。

4、通用安全防護(hù)

4.1入侵檢測

生產(chǎn)控制大區(qū)可以統(tǒng)一部署一套網(wǎng)絡(luò)行為工控入侵檢測系統(tǒng)，合

理設(shè)置檢測規(guī)則，檢測發(fā)現(xiàn)隱藏于流經(jīng)網(wǎng)絡(luò)邊界正常信息流中的入侵

行為、分析潛在威脅、進(jìn)行安全審計。

4.2主機(jī)與網(wǎng)絡(luò)設(shè)備加固

發(fā)電廠廠級信息監(jiān)控系統(tǒng)等關(guān)鍵應(yīng)用系統(tǒng)的主服務(wù)器，以及網(wǎng)絡(luò)

邊界處的通信網(wǎng)關(guān)機(jī)、Wob服務(wù)器等，使用安全加固的操作系統(tǒng)。加

固方式包括：安全配置、安全補(bǔ)丁、采用專用軟件強(qiáng)化操作系統(tǒng)訪問

控制能力以及配置安全的應(yīng)用程序，其中配置的更改和補(bǔ)丁的安裝應(yīng)

當(dāng)經(jīng)過測試。

非控制區(qū)的網(wǎng)絡(luò)設(shè)備與安全設(shè)備應(yīng)當(dāng)進(jìn)行身份鑒別、訪問權(quán)限控

制、會話控制等安全配置加固。可以應(yīng)用數(shù)字證書，在網(wǎng)絡(luò)設(shè)備和安

全設(shè)備實現(xiàn)支持HTTPS的縱向安全Web服務(wù)，能夠?qū)g覽器客戶端訪

問進(jìn)行身份認(rèn)證及加密傳輸。

應(yīng)對外部存儲器、打印機(jī)等外設(shè)的使用進(jìn)行嚴(yán)格管理。生產(chǎn)控制

大區(qū)中除安全接入?yún)^(qū)外，禁止選用具有無線通信功能的設(shè)備。管理信

息大區(qū)業(yè)務(wù)系統(tǒng)使用無線網(wǎng)絡(luò)傳輸業(yè)務(wù)信息時，具備接入認(rèn)證、加密

等安全機(jī)制。

4.3應(yīng)用安全控制

發(fā)電廠廠級信息監(jiān)控系統(tǒng)等業(yè)務(wù)系統(tǒng)逐步采用用戶數(shù)字證書技

術(shù)，對用戶登錄應(yīng)用系統(tǒng)、訪問系統(tǒng)資源等操作進(jìn)行身份認(rèn)證，提供

登錄失敗處理功能，根據(jù)身份與權(quán)限進(jìn)行訪問控制，并且對操作行為

進(jìn)行安全審計。

對于發(fā)電廠內(nèi)部遠(yuǎn)程訪問業(yè)務(wù)系統(tǒng)的情況，應(yīng)當(dāng)進(jìn)行會話控制,

并采用會話認(rèn)證、加密與抗抵賴等安全機(jī)制。

4.4安全審計

生產(chǎn)控制大區(qū)的監(jiān)控系統(tǒng)部署工控安全審計功能，對操作系統(tǒng)、

數(shù)據(jù)庫、業(yè)務(wù)應(yīng)用的重要操作進(jìn)行記錄、分析，及時發(fā)現(xiàn)各種違規(guī)行

為以及病毒和黑客的攻擊行為。對于遠(yuǎn)程用戶登錄到本地系統(tǒng)中的操

作行為，應(yīng)該進(jìn)行嚴(yán)格的安全審計。

應(yīng)用安全審計功能，對網(wǎng)絡(luò)運(yùn)行日志、操作系統(tǒng)運(yùn)行日志、數(shù)據(jù)

庫訪問日志、'業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行日志、安全設(shè)施運(yùn)行日志等進(jìn)行集中

收集、自動分析。

4.5備用與容災(zāi)

定期對關(guān)鍵業(yè)務(wù)的數(shù)據(jù)進(jìn)行備份，實現(xiàn)歷史歸檔數(shù)據(jù)的異地保存。

關(guān)鍵主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備或關(guān)鍵部件應(yīng)當(dāng)進(jìn)行相應(yīng)的冗余配置。控制

區(qū)的業(yè)務(wù)應(yīng)當(dāng)采用冗余方式。

4.6惡意代碼防范

及時更新特征碼，查看查殺記錄。惡意代碼更新文件的安裝應(yīng)當(dāng)

經(jīng)過測試。禁止生產(chǎn)控制大區(qū)與管理信息大區(qū)共用一套防惡意代碼管

理服務(wù)器。

4.7設(shè)備選型及漏洞整改

發(fā)電廠電力監(jiān)控系統(tǒng)在設(shè)備選型及配置時，禁止選用未經(jīng)國家相

關(guān)管理部門檢測認(rèn)定并經(jīng)國家能源局通報存在漏洞和風(fēng)險的系統(tǒng)及

設(shè)備（如PLC、工業(yè)交換機(jī)等關(guān)鍵設(shè)備）；對于已經(jīng)投入運(yùn)行的系統(tǒng)

及設(shè)備，應(yīng)當(dāng)按照國家能源局及其派出機(jī)構(gòu)的要求及時進(jìn)行改造，同

時應(yīng)當(dāng)加強(qiáng)相關(guān)系統(tǒng)及設(shè)備的運(yùn)行管理和安全防護(hù)措施。

5、特色安全防護(hù)

5.1安全運(yùn)營中心

建立安全運(yùn)營中心，整合該公司當(dāng)前資產(chǎn)，充分收集各類安全相

關(guān)數(shù)據(jù)，通過大范圍和深度地廣泛檢查，盡可能發(fā)現(xiàn)相關(guān)安全問題。

并以多種安全問題管理為目標(biāo)、以數(shù)據(jù)為核心、威脅情報為特色、打

通安全防護(hù)中的檢測、響應(yīng)、預(yù)警、防御多個領(lǐng)域環(huán)節(jié)的完整安全體

系。

生產(chǎn)控制大區(qū)管理信息大區(qū)一麗?

?MM?a?M

圖安全運(yùn)營中心典型拓?fù)涫疽鈭D

5.2電力監(jiān)控系統(tǒng)內(nèi)網(wǎng)監(jiān)視系統(tǒng)

對電廠內(nèi)部的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)類設(shè)備通過設(shè)備自身感

知和網(wǎng)絡(luò)行為分析?，實現(xiàn)全面的網(wǎng)絡(luò)安全事件監(jiān)視和網(wǎng)絡(luò)行為態(tài)勢感

知。

威脅事件

F

:載荷投遞

偵查追蹤2突防利用c安裝植入c通信控制J達(dá)成目標(biāo)

.上付可執(zhí)行文忤、

■口日描，、東Sil的■瑪、木執(zhí)行豆!?代碼開啟定時任務(wù)端口”發(fā)■侵入侵行為

';馬文件，

1

修動可執(zhí)行文件斷0/?改服彳設(shè)?BH后門

:通過外Mlifl?感

，壞系統(tǒng)通行

：■代碼

■KHBHfann

[........幅,IBK代碼啟動代修

：《SH氣口令爆金

口令墀*

1

.4J增添文件權(quán)限△動守護(hù)避出SSHttW

?

、.；傳Si包含怒意代

、SSHHMD^

群ping/科的報文進(jìn)程劫持污0共享文件選一步橫向移動

圖網(wǎng)絡(luò)攻擊行為分析圖

5.3電力靶場模擬演練

構(gòu)建靶場平臺高仿真場景，通過虛實互聯(lián)技術(shù)虛擬網(wǎng)絡(luò)場景中各

類資源與現(xiàn)場工控環(huán)境設(shè)備相連，實現(xiàn)場景現(xiàn)實化延中，開展攻防技

術(shù)演練。結(jié)合電力行業(yè)法規(guī)政策和行業(yè)技術(shù)動態(tài)，模擬現(xiàn)實環(huán)境深層

次完成網(wǎng)絡(luò)安全技術(shù)訓(xùn)練，讓相關(guān)人員通過實戰(zhàn)的方式學(xué)習(xí)最前沿的

網(wǎng)絡(luò)安全技術(shù)，提升專業(yè)技術(shù)水平。

圖實驗室效果展示

5.4電力物聯(lián)網(wǎng)設(shè)備內(nèi)生安全檢測平臺

電力物聯(lián)網(wǎng)設(shè)備內(nèi)生安全檢測平臺是由木鏈科技自主研發(fā)的集

“漏洞檢測、漏洞挖掘、仿真測試、協(xié)議分析”為一體的設(shè)備安全檢

驗平臺，通過模糊測試、仿真分析等技術(shù)，以高效率、高準(zhǔn)確度檢測、

挖掘設(shè)備潛在漏洞。

平臺功能:

1.固件分析

2.配置核查

3.待議分析

4.設(shè)備識別

5.漏洞掃描

6.模糊測試