今日頭條
官方微信
官方抖音
資訊頻道1、 背景介紹
電力監控系統作為水電站最核心的組成部分,高度網絡化、系統化和自動化。為保障電力監控系統信息安全,防范黑客及惡意代碼等網絡攻擊,我國先后頒布《電力監控系統安全防護規定》(14號令)《電力監控系統安全防護總體方案》(國能安全〔2015〕36號)、《電力行業網絡安全等級保護基本要求》等多項政策法規,對電力監控系統網絡安全建設進行規范指導。電力企業需要建立符合規范、全面防護的信息系統安全防護體系。
通過網絡安全防護方案實現電力監控系統信息安全監測、預警、審計、應急和接入防護等功能全方面的防御保護,結合自身網絡安全綜合防護能力建設過程中出現的網絡安全問題進行全面整改。網絡安全綜合防護能力的建設應進一步落實關鍵信息中基礎設施的防護責任,加強關鍵信息基礎設施的網絡安全防護,完善網絡安全機制、手段和能力建設,加快對網絡安全專業人才的培養,提高網絡安全事件應急指揮能力,不斷提升網絡安全的綜合防護水平,保障電力系統安全穩定運行。
2、 目標與原則
本項目通過對水洛河水電安全現狀和電力監控系統安全防護能力調研,對電力監控系統進行合理的安全加固,完善發電企業電力監控系統安全體系框架,提升發電企業電力監控系統網絡安全防護能力,確保目標單位電力監控系統網絡安全滿足國家及行業監管要求。同時建立成熟的自主可控發電企業工控態勢感知與預警平臺,針對工控網絡的安全威脅特點,重點實現對電力監控系統的監測、預警、審計和接入防護等功能,及時發現外部攻擊及內部非法操作,并進行應急響應,有效地實現防外及安內,防止因網絡安全事件造成重大電力安全生產事故,保障信息系統安全。
l 實現網絡安全態勢從未知到已知
通過建立水洛河水電電力監控系統態勢感知與預警平臺,摸清家底,感知網絡中的資產信息,實現網絡資產可視化。結合全球最新網絡安全威脅情報,從攻擊者的視角來分析當前網絡已存在或可能遭受的安全風險和威脅,發現隱藏的安全事件,還原黑客攻擊路徑,解決遺留安全問題;收集各類安全設備數據,利用安全場景和模型進行大數據分析,識別當前正在發生的安全事件,預測網絡安全發展趨勢。
l 實現網絡安全防御從被動到主動
本項目利用安全大數據、態勢感知、攻擊鏈模型和算法,結合最新的全球網絡安全威脅情報,持續監測,準確及時地發現各種潛在威脅和攻擊,并進行通報預警,提前感知攻擊者的下一步攻擊計劃,采取有效處置措施,構建彈性防御體系,以期最大限度上避免、轉移、降低信息系統所面臨的風險。
l 實現從單一設備防護到協同聯動
通過建立水洛河水電電力監控系統態勢感知與預警平臺,作為聯動樞紐,實現網絡中所有安全設備的數據匯總分析、數據共享及策略協同,打通終端、邊界協同聯動,有機整合各種網絡安全技術,達到“智能檢測”、“智能上報”、“智能響應”,建立一個以威脅情報為驅動,終端安全、邊界安全、大數據分析等多層次、縱深智能協同的安全防御體系,有效提升整體網絡防護能力。
l 實現網絡安全從邊界防護到縱深防御
通過落實國家信息安全等級保護制度及電力監控系統安全防護要求,對水洛河水電電力監控系統網絡安全進行整改加固,在堅持“安全分區、網絡專用、橫向隔離、縱向認證”的原則,強化邊界防護的基礎上,加強內部的物理安全、網絡安全、操作系統安全、應用安全、數據安全防護以及安全運維管控,構建電力柵格狀立體縱深防線,實現發電企業電力監控系統網絡安全的縱深防御、綜合防護。
l 全方位人 + U盤 + 文件 + 主機 + 網絡管控
針對工業主機系統多樣性、業務連續性、軟件兼容性特點和需求構建針對工業主機及關鍵業務軟件進行全流程、全業務、全數據、全生命周期的安全解決方案,保障工業主機及關鍵業務軟件攻不破、起不來、搞不壞,同時和USB安全隔離裝置、終端防泄漏等產品形成協同聯動終端安全解決方案,可以進行系統加固、白名單防護,精準鎖定工業主機關鍵業務軟件,結合“疫苗注射”原理進行內核級防護,對工業主機關鍵業務軟件從啟動、運行、停止全生命周期中進行靜態、動態數據全方位安全防護,最大限度保障生產持續運行,為水洛河水電盈利服務。
3、 案例實施與應用情況
3.1、項目應用方案
l 縱向分層橫向分域,強化邊界訪問控制
在生產控制大區控制區與非控制區邊界部署邊界隔離設備(防火墻/單向隔離網閘),提高各區域間訪問控制能力,合理梳理優化邊界設備的安全策略,遵循最小化和白名單原則,只允許業務數據通過邊界,阻斷其他非授權連接。例如來自區域之間的越權訪問,病毒、蠕蟲惡意軟件擴散和入侵攻擊,保護各個區域控制系統安全運行。
在電廠核心交換機處旁路部署1套入侵檢測系統,實現網絡威脅入侵檢測,及時發現網絡異常情況,蠕蟲、木馬病毒以及APT等惡意程序的傳播狀況,并對僵尸主機監控定位,實現網絡運行狀態的實時監控。
l 基于白名單的技術,工控主機安全加固
在生產控制大區各終端主機、服務器中安裝工控主機安全衛士。針對工控系統主機病毒入侵、惡意軟件運行、應用程序零日攻擊等問題,建立了基于“白名單”防御隔離屏障,監控工控主機的進程狀態等,有效隔離僵木蠕的傳播,提高工控系統的穩定性和健壯性,保護系統的安全計算環境。
在主控機組DCS、輔控DCS系統、SIS系統的交換機旁路安裝USB安全隔離裝置。采用外設殺毒技術,集“認證、授權、審計、殺毒”于一體,可有效減少U盤等移動存儲介質攜帶病毒對內網計算機的安全性造成威脅。
l 全天候實時審計,追溯日志留存
在生產控制大區核心交換機旁路部署日志審計系統。通過日志審計分析系統可以采集系統中各種不同廠商的安全設備、網絡設備、主機、操作系統、以及各種應用系統產生的日志、事件、報警等信息,并將數據信息匯集到展示平臺,進行集中存儲、展現、查詢和審計。滿足了公安部留存系統日志不少于六個月的規定。
針對DCS控制系統的重要網絡節點安全監測審計,在主控機組DCS、輔控DCS系統、SIS系統核心交換機旁路各部署1套工控安全審計系統,安全審計系統系統由管理端和采集端組成。在各系統A網和B網各部署1個采集端。將A/B雙網的流量發送至各自的采集端,通過管理端進行分析處理,對外部入侵的行為和內部人員的操作行為進行安全審計。通過協議的深度解析和UEBA用戶行為分析技術,及時發現網絡當中的異常流量、違規操作、誤操作、指令異常、非法連接等現象,生成當前生產網絡的行為日志和運行日志,彌補現有工控系統無安全日志的空白,便于事件追溯和分析。
l 統一安全管理中心,提供集中管控能力
在安全管理中心部署賬號管理與審計系統(堡壘機),通過堡壘機對系統資產進行統一運維,滿足等保2.0集中運維管控的要求。堡壘機通過賬號集中管理、授權訪問控制、操作行為審計等功能,為安全事件的追蹤溯源提供依據,保護企業內部網絡資產的安全性。
在安全管理中心部署工控安全管理平臺,對網絡系統中的安全設備進行統一管理,綜合利用威脅情報和系統脆弱性來幫助用戶提前洞悉各種安全威脅;基于工控安全統一管理平臺的應用,用戶能完成監測、預判、發現、阻斷、溯源、情報的安全事件全生命周期處置。
l 系統資產實時監測,安全態勢集中展示
在安全管理中心部署安全態勢感知平臺,通過全方位監控和分析,實時感知全場景的網絡安全態勢。基于大數據技術,平臺可以快速識別和分析異常情況,并及時發出預警。此外,平臺還具備自動化響應和實時可視化的功能,能夠快速響應網絡安全事件,提高應急響應能力和決策效率。最后,平臺支持高效的安全態勢共享和協同,實現了企業內部和外部的信息共享和合作,提高了整體安全防御的水平。
工業互聯網安全態勢感知模塊,提供各種角度的態勢可視化分析,幫助客戶快速了解安全狀況并進行決策。現階段系統有八大態勢,包括綜合安全態勢、網絡資產態勢、資產漏洞態勢、工業威脅態勢、異常行為態勢、工業主機安全態勢、安全管理態勢、關鍵資產安全態勢。同時提供可配置化的告警響應彈框。
資產管理實現對所在區域內所有資產的統一查看與管理,包括資產基本信息、資產標簽信息、資產所在分組信息、資產漏洞信息、資產服務(開放端口)信息、資產威脅信息、資產流量信息、資產連接關系、資產基線等多維度查看與管理。建立起以工業資產為核心的工業互聯網安全管理與分析平臺。
l 應急響應與恢復
我司對電力監控系統出現的緊急安全事件進行積極響應,第一時間將危害降到最低,并在事后協助制定信息安全應急預案,解決電力監控系統應急預案未更新、應急響應系統未完善等問題;同時對已有的信息安全事件應急預案進行評審,全面梳理已有的安全攻擊事件及處置流程預案或方案的合理性、適用性、可行性、有效性,最終明顯、穩步地提升電力監控系統對重大安全事件應急處理與防范能力。
當電力監控系統因外部惡意用戶入侵、攻擊或由于內部誤操作等原因而引起安全異常時,我司安全響應團隊在第一時間到達現場,協助用戶對事件的成因及過程進行分析與追溯,并根據分析結果提供針對性的修復建議,并輸出《應急響應報告》,報告內容包括應急響應全過程、事件成因分析以及安全建議等。
l 安全服務
開展網絡安全優化工作,制定相應的系統加固方案,針對不同目標系統,通過打補丁、修改安全配置、增加安全機制等方法,合理進行安全性加強。
對用戶的安全設備、網絡設備、服務器提供狀態巡檢、安全策略配核查服務、日常巡檢服務;對重要資產包括服務器及工作站等,進行漏洞掃描服務,并根據結果出具漏洞掃描報告;對關鍵資產和安全設備的配置策略,做好備份。
通過培訓使相關人員能夠分析系統、設備故障、管理系統設備,具備系統及設備管理和系統功能基本擴展與系統升級能力,能獨立承擔運維工作,提高企業信息安全從業人員的安全意識和安全技能。
3.2、創新性
(1)通過完整解析工業協議的規則和含義,準確的理解其上承載的工業數據,基于協議和數據持續構建和打造行業特色的安全防護模型。準確分辨不同的工業資產,排查資產對應的漏洞和潛在威脅,更好的對工業資產進行管理和配置;
(2)針對工控上位主機外置病毒查殺引擎,獨創的“體外查毒”技術,U盤等移動存儲設備與受保護主機隔離,在防護設備上進行病毒查殺,切斷病毒傳播途徑;先進的U盤認證機制,避免任何外來未知U盤接入系統,授權過程可追溯;嚴格的日志操作審計,詳細記錄U盤接入后各類執行動作,供管理員進行日志審計和行為追溯,支持一機多殺、共享存儲;同時配合主機安全防護系統,進一步確保沒有新的不安全因素進入工控系統;
相比國內外常見的基于特征碼的檢測技術及行為分析技術等查殺行為,體外查毒由于該技術是在工控主機之外進行殺毒操作,因此不會受到工控主機內部病毒的攻擊和破壞,更加安全可靠和全面。
(3)利用網絡安全防護一體化管理與感知平臺,對生產廠區全網關鍵節點綜合安全信息的實時監控,收集攻擊事件相關的技術信息(攻擊的特征、原理、危害、樣本及分析報告等),并利用多維度的海量數據挖掘和關聯分析技術,實現跨時域、跨設備和跨區域的蹤跡分析追蹤,對區域內各安全資產管理、進行威脅檢測量化評估、網絡安全態勢分析以及預報預警,對突發事件有應急預案,及時響應。
4、應用價值與效益
通過應用該案例,顯著提升了水洛河電站電力監控系統的安全防護能力。
(1)提升縱深防御能力:通過各類安全設備構建電力柵格狀立體縱深防線,實現水洛河電站工控系統網絡的綜合防護,生產運行環境安全可信。
(2)USB外設權限管控:實施后非法USB設備接入阻斷率不低于99%,有效杜絕惡意USB設備的使用。設備接入認證過程安全可靠,認證成功率不低于95%。
(3)精準識別威脅:應用態勢感知系統后,水洛河電站能夠更加精準地識別潛在威脅,并提前采取相應的防范措施。同時,該系統還能夠對電力監控系統的安全狀況進行實時評估,提供決策支持。
(4)應急響應與恢復優化:當發生安全事件時,水洛河電站能夠迅速啟動應急預案,通過快速隔離受感染部分、恢復關鍵服務和系統等方式,減少攻擊對電力系統的影響。網絡安全事故發生率降低至少30%,顯著提升網絡安全防護水平。網絡安全事件平均響應時間縮短至30分鐘以內,提高應急響應效率。
(5)集中管控:通過統一安全管理平臺實現全廠工控網絡安全產品的統一策略下發,提高運維效率,降低維護成本。
(6)態勢感知及監測預警:能夠對網絡漏洞情況、合規配置、安全事件、網絡威脅等風險進行監測預警,提供了全方位、全天候的網絡安全態勢感知展示和事件應急處置的數據支撐;實現電力監控系統網絡的安全威脅分析。
北京市公安局海淀分局備案號:11010802023656號