今日頭條
官方微信
官方抖音
案例頻道★ 奇安信科技集團股份有限公司
1 項目概況
1.1 項目背景
近年來,隨著國家能源局印發(fā)的《電力監(jiān)控系統(tǒng)安全防護總體方案等安全防護方案和評估規(guī)范》《關于加強電力行業(yè)網(wǎng)絡安全工作的指導意見》《電力信息系統(tǒng)安全等級保護實施指南》及電力行業(yè)網(wǎng)絡安全管理辦法(修訂征求意見稿)》《電力行業(yè)網(wǎng)絡安全等級保護管理辦法(修訂征求意見稿)》的部署推進,電力行業(yè)網(wǎng)絡安全問題得到高度重視。
青海黃河電力運營有限公司(以下簡稱:電力運營公司)西寧集控中心的電力監(jiān)控系統(tǒng)有新能源集控系統(tǒng)、電調(diào)系統(tǒng)、水調(diào)系統(tǒng)和電能量計量系統(tǒng)等。電力監(jiān)控系統(tǒng)作為電力運營公司生產(chǎn)系統(tǒng)中最為核心的系統(tǒng)之一,其網(wǎng)絡安全可靠與否直接關乎電力運營公司電力生產(chǎn)的安全穩(wěn)定運行。
為了深入貫徹落實國家及行業(yè)網(wǎng)絡安全要求,加強電力運營公司生產(chǎn)控制系統(tǒng)的網(wǎng)絡安全防護,奇安信集團結(jié)合電力運營公司生產(chǎn)控制大區(qū)網(wǎng)絡安全現(xiàn)狀,落實工業(yè)網(wǎng)絡安全建設,及時發(fā)現(xiàn)網(wǎng)絡中的異常事件,實時掌握網(wǎng)絡安全狀況,抵御黑客及惡意代碼等對電力運營公司生產(chǎn)控制系統(tǒng)發(fā)起的攻擊和惡意破壞,保障電力系統(tǒng)安全穩(wěn)定運行。
1.2 項目簡介
本項目的核心工作圍繞電力監(jiān)控系統(tǒng)安全監(jiān)測與態(tài)勢感知能力建設開展,構(gòu)建關鍵信息基礎設施安全防護體系,建設覆蓋電力監(jiān)控系統(tǒng)(新能源集控系統(tǒng)、電調(diào)系統(tǒng)、水調(diào)系統(tǒng)和電能量計量系統(tǒng))的安全態(tài)勢感知與管理平臺。工業(yè)安全態(tài)勢感知與管理平臺的數(shù)據(jù)源、分析功能、展示界面等維度均需要根據(jù)電力運營公司網(wǎng)絡現(xiàn)狀和實際需求進行定制化設計,從平臺功能規(guī)劃、平臺技術架構(gòu)、平臺部署架構(gòu)等多維度開展,利用平臺的安全監(jiān)測與態(tài)勢感知能力,建立關鍵信息基礎設施威脅可知、管控可視、應急可控的安全運維機制,全天候、全方位監(jiān)測網(wǎng)絡安全狀態(tài),全面分析展示網(wǎng)絡安全情況。
對集控中心電力監(jiān)控系統(tǒng)整體架構(gòu)進行優(yōu)化,搭建流量監(jiān)測網(wǎng)和安全管理網(wǎng),提升電力監(jiān)控系統(tǒng)在網(wǎng)絡安全方面的可擴展性和可管理性,同時根據(jù)新的網(wǎng)絡架構(gòu)優(yōu)化安全設備的部署位置,提升設備防護范圍和利用率。
在集控中心電力監(jiān)控系統(tǒng)安全管理區(qū)域部署工業(yè)安全態(tài)勢感知與管理平臺,實現(xiàn)對集控中心電力監(jiān)控系統(tǒng)網(wǎng)絡安全狀況的實時監(jiān)測、風險預警、集中管控和應急處置。在集控中心生產(chǎn)區(qū)部署必要的安全防護產(chǎn)品,包含工業(yè)安全監(jiān)測系統(tǒng)、工業(yè)日志審計系統(tǒng)、工業(yè)堡壘機和工業(yè)漏洞掃描系統(tǒng)等,同步完善基礎安全防護措施,切實提升電力運營公司關鍵信息基礎設施的網(wǎng)絡安全保障能力。
1.3 項目目標
本項目規(guī)劃貫徹落實電力運營公司“安全分區(qū)、縱深防護、統(tǒng)一監(jiān)控”的安全防護原則,在保持“安全分區(qū)”的前提下,進一步完善集控中心“安全防護”能力,同時實現(xiàn)“統(tǒng)一監(jiān)控”防護措施提升基礎防護水平,構(gòu)建監(jiān)測預警能力。
(1)安全要素獲取:工業(yè)安全態(tài)勢感知與管理平臺能夠?qū)泳W(wǎng)絡中現(xiàn)有及未來可能擴容的各類安全防護產(chǎn)品、網(wǎng)絡流量日志等,充分利用已有的安全設備,實現(xiàn)全面且靈活開放的態(tài)勢感知系統(tǒng)架構(gòu)。
(2)全面的資產(chǎn)管理:資產(chǎn)發(fā)現(xiàn)與管理是態(tài)勢感知的基礎,工業(yè)安全態(tài)勢感知與管理平臺實現(xiàn)資產(chǎn)全面梳理,提供以業(yè)務系統(tǒng)為核心的資產(chǎn)感知和管理能力,建立全面的資產(chǎn)信息態(tài)勢,并為其他維度的分析和呈現(xiàn)提供有力支撐。
(3)安全態(tài)勢分析:工業(yè)安全態(tài)勢感知與管理平臺基于收集到的安全信息要素進行融合、關聯(lián)分析和挖掘分析,包括對資產(chǎn)及業(yè)務系統(tǒng)受到的攻擊威脅和自身風險程度的分析、攻擊的危害及影響范圍分析、攻擊威脅溯源分析等。
(4)安全態(tài)勢呈現(xiàn):工業(yè)安全態(tài)勢感知與管理平臺通過資產(chǎn)感知、脆弱性感知、運行感知、威脅感知、風險感知、流量感知和態(tài)勢總覽多個維度來覆蓋安全態(tài)勢各個方面,實現(xiàn)全方位的態(tài)勢感知。
(5)預警通告及處置:工業(yè)安全態(tài)勢感知與管理平臺內(nèi)置完整的預警通告及處置工作流程,并具備相應的應急處置預案,幫助運維人員實現(xiàn)安全運維處置的閉環(huán)。
2 項目實施
2.1 應用場景分析
電力運營公司西寧集控中心核心電力監(jiān)控系統(tǒng)有新能源集控系統(tǒng)、電調(diào)系統(tǒng)、水調(diào)系統(tǒng)和電能量計量系統(tǒng)。在物理位置方面,新能源集控系統(tǒng)部署在青海黃河運營有限公司西寧集控中心,位于西寧市城東區(qū);電調(diào)系統(tǒng)、水調(diào)系統(tǒng)和電能量計量系統(tǒng)部署在黃河上游水電開發(fā)有限責任公司本部,位于西寧市城西區(qū)。在網(wǎng)絡位置方面,新能源集控系統(tǒng)部署于生產(chǎn)控制大區(qū),安全區(qū)Ⅰ和安全區(qū)Ⅱ均有部署;電調(diào)系統(tǒng)、水調(diào)系統(tǒng)和電能量計量系統(tǒng)均跨生產(chǎn)控制大區(qū)和管理信息大區(qū)部署,其中電調(diào)系統(tǒng)部署于生產(chǎn)控制大區(qū)安全區(qū)Ⅰ和管理信息大區(qū),水調(diào)系統(tǒng)和電能量計量系統(tǒng)部署于生產(chǎn)控制大區(qū)安全區(qū)Ⅱ和管理信息大區(qū)。
2.2 安全需求分析
奇安信股份工業(yè)安全專家從網(wǎng)絡監(jiān)測和態(tài)勢感知等方面進行大量調(diào)研,幫助電力運營公司落實網(wǎng)絡安全建設,發(fā)現(xiàn)如下網(wǎng)絡安全風險:
(1)生產(chǎn)控制大區(qū)缺乏流量監(jiān)測手段:對生產(chǎn)控制大區(qū)中安全域網(wǎng)絡通信流量缺乏監(jiān)測手段,當發(fā)生惡意流量時無法實時感知。
(2)生產(chǎn)控制大區(qū)工控系統(tǒng)資產(chǎn)缺乏有效監(jiān)測:工控系統(tǒng)的資產(chǎn)數(shù)量和工作狀態(tài)不清楚,無法監(jiān)測資產(chǎn)之間通信的流量,無法識別資產(chǎn)漏洞,不能及時定位非法接入、幽靈資產(chǎn)及失陷主機。
(3)生產(chǎn)控制大區(qū)缺乏審計手段:對工控系統(tǒng)生產(chǎn)過程中的數(shù)據(jù)交換、組態(tài)變更、協(xié)議通信、數(shù)據(jù)采集等缺乏必要的感知審計手段。
(4)生產(chǎn)控制大區(qū)缺乏網(wǎng)絡威脅檢測:對工業(yè)控制系統(tǒng)網(wǎng)絡中的病毒、木馬等惡意威脅缺乏實時檢測,無法有效檢測工控網(wǎng)絡威脅。
(5)針對生產(chǎn)控制大區(qū)安全狀態(tài)缺乏整體態(tài)勢感知:不掌握工業(yè)控制系統(tǒng)整體安全狀況,當安全事件發(fā)生時無法及時追蹤溯源。
2.3 技術方案
根據(jù)電力運營公司工業(yè)控制系統(tǒng)現(xiàn)階段的安全現(xiàn)狀,結(jié)合整體安全監(jiān)測與態(tài)勢感知建設的必要性,設計工業(yè)安全解決方案。如圖1所示,在生產(chǎn)控制大區(qū)東區(qū)新能源集控系統(tǒng)安全I區(qū)核心交換機旁路部署工業(yè)安全監(jiān)測系統(tǒng),實時監(jiān)測該電力運營公司工控系統(tǒng)網(wǎng)絡內(nèi)的異常流量及異常行為;在生產(chǎn)控制大區(qū)東區(qū)和西區(qū)的I區(qū)、II區(qū)部署工業(yè)日志審計系統(tǒng),實現(xiàn)工業(yè)網(wǎng)絡中安全設備、網(wǎng)絡設備、操作系統(tǒng)、數(shù)據(jù)庫、中間件及應用系統(tǒng)等的日志與報警信息的全面采集;在生產(chǎn)控制大區(qū)II區(qū)部署工業(yè)堡壘機和工業(yè)漏洞掃描系統(tǒng);在管理信息大區(qū)部署工業(yè)安全態(tài)勢感知與管理平臺,收集工業(yè)安全監(jiān)測系統(tǒng)、工業(yè)日志審計系統(tǒng)和工業(yè)漏洞掃描系統(tǒng)上報的新能源集控系統(tǒng)、電調(diào)自動化系統(tǒng)、水調(diào)自動化系統(tǒng)和電能量計量系統(tǒng)的各項網(wǎng)絡安全數(shù)據(jù),并對其進行分析并最終態(tài)勢化展示。
圖1 部署實施架構(gòu)
以電力運營公司工業(yè)資產(chǎn)為中心,安全風險監(jiān)測為主線,在生產(chǎn)控制大區(qū)東區(qū)I區(qū)部署工業(yè)安全監(jiān)測系統(tǒng),實現(xiàn)資產(chǎn)自動識別、漏洞無損發(fā)現(xiàn)、威脅實時檢測、行為異常分析、工業(yè)協(xié)議審計等安全能力,同時為工業(yè)安全監(jiān)測與態(tài)勢感知平臺提供持續(xù)安全檢測與審計數(shù)據(jù),為電力運營公司進行全面工業(yè)安全管理和分析提供數(shù)據(jù)支撐。
在生產(chǎn)控制大區(qū)東區(qū)和西區(qū)核心交換機部署工業(yè)日志審計系統(tǒng)。采用大數(shù)據(jù)技術和智能分析方法,實現(xiàn)日志采集與存儲、日志歸一化、交互式分析、關聯(lián)分析、儀表板、報表統(tǒng)計、告警管理等,實現(xiàn)工業(yè)網(wǎng)絡中安全設備、網(wǎng)絡設備、操作系統(tǒng)、數(shù)據(jù)庫、中間件及應用系統(tǒng)等的日志與報警信息的全面采集、存儲、分析和展示。
在生產(chǎn)控制大區(qū)II區(qū)部署工業(yè)堡壘機和工業(yè)漏洞掃描系統(tǒng)。工業(yè)堡壘機通過集中化運維管控、運維過程實時監(jiān)管、運維訪問合規(guī)性控制、運維過程圖形化審計等能力,構(gòu)建事前預防、事中監(jiān)控、事后審計的安全體系;工業(yè)安全漏洞掃描系統(tǒng)采用深度設備服務探測、資產(chǎn)識別、設備配置檢查以及弱口令檢查等方式相結(jié)合的技術,檢測網(wǎng)絡脆弱性,規(guī)避安全風險。
在安全III區(qū)部署工業(yè)安全監(jiān)測與態(tài)勢感知平臺,通過收集工業(yè)安全監(jiān)測系統(tǒng)上報的數(shù)據(jù),實時展現(xiàn)資產(chǎn)態(tài)勢、威脅態(tài)勢、脆弱性態(tài)勢、漏洞態(tài)勢等,幫助華電增城電廠快速、宏觀地了解整個企業(yè)的安全態(tài)勢。
3 案例亮點及創(chuàng)新性
(1)以資產(chǎn)為中心:本案例中工業(yè)安全監(jiān)測系統(tǒng)通過資產(chǎn)自動識別、資產(chǎn)管理和資產(chǎn)網(wǎng)絡關系圖繪制,提供了以資產(chǎn)為中心的安全管理視角。工業(yè)生產(chǎn)流程比較固定,相較于以告警事件為中心的威脅分析方案,以資產(chǎn)為中心的漏洞發(fā)現(xiàn)與風險分析更符合工業(yè)環(huán)境管理習慣。級聯(lián)無損部署方式,不影響生產(chǎn)。
(2)提高漏洞運維能力和效率:本方案具備完整的漏洞管理機制,方便管理者跟蹤、記錄和驗證評估的成效,通過量化的報表來真實反映網(wǎng)絡安全問題,并把問題的重要性和優(yōu)先級進行分類,方便用戶有效地落實漏洞修補的工作。
(3)提高工控安全運維人員工作效率:本案例中工業(yè)日志審計系統(tǒng)能夠快速準確識別工業(yè)網(wǎng)絡中的安全告警信息,并及時發(fā)現(xiàn)工業(yè)網(wǎng)絡中的違規(guī)行為,助力工控安全運維人員進行應急響應。
(4)工業(yè)安全態(tài)勢統(tǒng)一管理:基于工業(yè)安全態(tài)勢感知與管理平臺,本案例可以實現(xiàn)工業(yè)網(wǎng)絡設備統(tǒng)一管理、安全統(tǒng)一分析、日志統(tǒng)一采集和態(tài)勢統(tǒng)一展示,實時將工業(yè)安全風險可視化;支持單個、分組、全局等資產(chǎn)的風險分析,并能基于風險等級及告警,進行進一步的溯源分析。
通過工業(yè)安全態(tài)勢感知與管理平臺的部署和成功實施,本案例成功幫助電力運營公司實現(xiàn)工控系統(tǒng)流量的一體化集中監(jiān)測與態(tài)勢感知,為電力運營公司提供安全管理的抓手,同時可以進一步幫助企業(yè)進行安全預防性維護、應急響應和事故調(diào)查。本項目的落實,樹立了電力行業(yè)工業(yè)安全防護案例標桿,提升了電力企業(yè)工業(yè)網(wǎng)絡安全監(jiān)測與態(tài)勢感知能力,并形成了良好的示范效應。
《自動化博覽》2023年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊(第九輯)》
北京市公安局海淀分局備案號:11010802023656號