珞安科技守護(hù)電力網(wǎng)絡(luò)安全“生命線”助力數(shù)字中國建設(shè)

以“數(shù)實(shí)融合，數(shù)智賦能——高質(zhì)量推進(jìn)新型工業(yè)化”為主題，由工業(yè)和信息化部、江蘇省人民政府主辦，中國信息通信研究院、江蘇省工業(yè)和信息化廳等多家單位共同承辦的2023年工業(yè)互聯(lián)網(wǎng)大會于近期在蘇州圓滿成功舉辦。會議期間，珞安科技“某火力發(fā)電廠工控安全解決方案”憑借先進(jìn)防護(hù)理念、領(lǐng)先防護(hù)技術(shù)和優(yōu)秀實(shí)踐價(jià)值等多方面優(yōu)勢，獲評“2022年工業(yè)互聯(lián)網(wǎng)安全解決方案”。

工業(yè)互聯(lián)網(wǎng)安全解決方案由工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟負(fù)責(zé)征集，經(jīng)過相關(guān)專家評審與實(shí)地調(diào)研，綜合專家意見、調(diào)研情況經(jīng)過多輪篩選評定，對加快提升工業(yè)互聯(lián)網(wǎng)安全防護(hù)能力，強(qiáng)化工業(yè)互聯(lián)網(wǎng)安全綜合保障能力具有榜樣示范作用，有利于推動工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)有序發(fā)展。

珞安科技以用戶真實(shí)安全需求為出發(fā)點(diǎn)，深入工業(yè)企業(yè)實(shí)際生產(chǎn)場景調(diào)查、研究，利用當(dāng)前先進(jìn)的網(wǎng)絡(luò)安全防護(hù)理念、技術(shù)與產(chǎn)品，建立自主可控、安全可靠的工業(yè)互聯(lián)網(wǎng)安全整體防護(hù)體系，以安全賦能工業(yè)企業(yè)發(fā)展，助力數(shù)字化、智能化轉(zhuǎn)型建設(shè)。入選方案內(nèi)容如下：

項(xiàng)目背景

伴隨“云大物移”等新一代信息技術(shù)的快速發(fā)展以及在工業(yè)領(lǐng)域的廣泛應(yīng)用，IT網(wǎng)絡(luò)與OT網(wǎng)絡(luò)深度融合，傳統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不斷向工業(yè)網(wǎng)絡(luò)蔓延，致使工控安全事件頻發(fā)，關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)變得緊急且迫切。

電力監(jiān)控系統(tǒng)作為國家關(guān)鍵信息基礎(chǔ)設(shè)施的重要組成部分，目前已實(shí)現(xiàn)高度網(wǎng)絡(luò)化、系統(tǒng)化和自動化。為保障電力監(jiān)控系統(tǒng)信息安全，防范黑客及惡意代碼等網(wǎng)絡(luò)攻擊，我國先后頒布《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》(14號令)《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》(國能安全〔2015〕36號)等多項(xiàng)政策法規(guī)，對電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)進(jìn)行規(guī)范指導(dǎo)。電力企業(yè)需要建立符合規(guī)范、全面防護(hù)的信息系統(tǒng)安全防護(hù)體系。

項(xiàng)目介紹

某火力發(fā)電廠位于西北某省核心位置，建有2臺660MW燃煤機(jī)組，是當(dāng)?shù)刂匾娏碓?。機(jī)組配套DCS系統(tǒng)為某廠商DCS分散控制系統(tǒng)，兩臺單元機(jī)組、公用系統(tǒng)均獨(dú)立組網(wǎng)，整體構(gòu)成某火電廠發(fā)電監(jiān)控系統(tǒng)。DCS通過UDP接口程序?qū)⑸a(chǎn)數(shù)據(jù)經(jīng)過單向隔離裝置發(fā)送到SIS系統(tǒng)。

為保障電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全，防止因網(wǎng)絡(luò)攻擊造成系統(tǒng)崩潰或癱瘓，避免電力設(shè)備事故或電力安全事故，某火力發(fā)電廠按照國家、行業(yè)網(wǎng)絡(luò)安全防護(hù)相關(guān)政策與要求，針對DCS系統(tǒng)、SIS系統(tǒng)存在的安全隱患進(jìn)行整改，以保障電力監(jiān)控系統(tǒng)安全穩(wěn)定運(yùn)行。

項(xiàng)目目標(biāo)

珞安科技作為國內(nèi)技術(shù)實(shí)力領(lǐng)先的工控安全企業(yè)，以“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”為總體防護(hù)原則，參照《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》等相關(guān)要求，結(jié)合某火力發(fā)電廠DCS系統(tǒng)網(wǎng)絡(luò)安全防護(hù)需求，通過深度檢查、安全審計(jì)和威脅檢查設(shè)計(jì)、建設(shè)DCS系統(tǒng)、SIS系統(tǒng)加固信息安全防護(hù)體系，提高DCS系統(tǒng)、SIS系統(tǒng)信息安全防護(hù)能力，實(shí)現(xiàn)事前預(yù)警、事中防范和事后取證，并保證DCS系統(tǒng)滿足等保測評要求。

方案內(nèi)容

頂層設(shè)計(jì)架構(gòu)

珞安科技參考《信息安全技術(shù)—網(wǎng)絡(luò)安全等級保護(hù)基本要求》、《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》等相關(guān)技術(shù)要求，以縱深防御的防護(hù)理念為核心，結(jié)合火電行業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的業(yè)務(wù)特點(diǎn)，構(gòu)建以工業(yè)控制網(wǎng)絡(luò)、設(shè)備、數(shù)據(jù)、控制、應(yīng)用為目標(biāo)防護(hù)對象的立體安全防護(hù)思路。

方案中的安全技術(shù)防護(hù)和安全管理防護(hù)是工業(yè)控制系統(tǒng)縱深防御的核心內(nèi)容，是保障工業(yè)控制系統(tǒng)安全運(yùn)營的兩翼，缺少其中任何一個(gè)，都無法確保系統(tǒng)的安全。在安全技術(shù)方向，方案遵從P2DR模型，并主要從威脅防護(hù)、監(jiān)測感知、處置恢復(fù)三個(gè)維度開展安全技術(shù)防護(hù)工作。

在安全管理方向，主要從火力發(fā)電行業(yè)工業(yè)控制系統(tǒng)的全生命周期安全風(fēng)險(xiǎn)管理、企業(yè)安全建設(shè)目標(biāo)、系統(tǒng)安全建設(shè)策略三個(gè)方面展開安全管理工作。

安全互聯(lián)架構(gòu)

項(xiàng)目總體技術(shù)架構(gòu)主要參考等級保護(hù)要求，同時(shí)結(jié)合防護(hù)指南和36號文等相關(guān)要求，基于某火力發(fā)電生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全防護(hù)需求，依據(jù)安全現(xiàn)狀和需求，建設(shè)DCS系統(tǒng)、SIS系統(tǒng)工控網(wǎng)絡(luò)防護(hù)體系框架，設(shè)計(jì)電力企業(yè)網(wǎng)絡(luò)安全綜合防護(hù)平臺基礎(chǔ)機(jī)構(gòu)，建設(shè)安全態(tài)勢主動防御平臺，提升某火力發(fā)電廠統(tǒng)一管理與主動防御能力，構(gòu)建多層次一體化工業(yè)網(wǎng)絡(luò)安全防御體系，為安全生產(chǎn)提供保障。

邊界隔離防護(hù)

秉承安全分區(qū)網(wǎng)絡(luò)專用原則，生產(chǎn)控制大區(qū)內(nèi)部各DCS機(jī)組之間應(yīng)進(jìn)行邊界隔離和防護(hù)，生產(chǎn)區(qū)域內(nèi)各業(yè)務(wù)系統(tǒng)邊界部署工業(yè)防火墻實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)邏輯隔離。

入侵行為檢測

在廠級SIS系統(tǒng)核心交換機(jī)和場站生產(chǎn)系統(tǒng)交換機(jī)旁路部署工控入侵檢測系統(tǒng)，實(shí)現(xiàn)入侵檢測、協(xié)議解析、病毒檢測、DNS監(jiān)測、DDOS攻擊檢測等安全監(jiān)測能力。

安全行為審計(jì)

在廠級SIS系統(tǒng)及現(xiàn)場設(shè)備層各生產(chǎn)域交換機(jī)旁路部署工控安全審計(jì)系統(tǒng)，對生產(chǎn)控制系統(tǒng)中的操作行為和異常網(wǎng)絡(luò)行為進(jìn)行檢測，便于事件取證和定責(zé)。

主機(jī)安全加固

對某火力發(fā)電廠所有操作系統(tǒng)，采用主機(jī)安全加固系統(tǒng)進(jìn)行安全加固和防護(hù)，提供主機(jī)系統(tǒng)加固、白名單可信防護(hù)、惡意代碼攔截、系統(tǒng)數(shù)據(jù)訪問控制、外設(shè)管控等多種安全能力。

集中安全管理

根據(jù)等保標(biāo)準(zhǔn)“安全管理中心”相關(guān)要求，部署工控集中安全管理系統(tǒng)，采集生產(chǎn)網(wǎng)中各工控安全設(shè)備及系統(tǒng)的數(shù)據(jù)，實(shí)現(xiàn)全局化安全管控，加強(qiáng)電力監(jiān)控系統(tǒng)安全管理水平和監(jiān)管能力。

安全運(yùn)維管理

部署運(yùn)維安全審計(jì)系統(tǒng)，通過賬號集中管理、細(xì)粒度訪問權(quán)限、操作審計(jì)，讓運(yùn)維人員的操作處于可管、可控的狀態(tài)下，規(guī)范運(yùn)維操作。

日志審計(jì)與分析

通過部署日志審計(jì)與分析系統(tǒng)對一區(qū)、二區(qū)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作站、操作系統(tǒng)的運(yùn)行狀態(tài)信息、告警信息進(jìn)行集中采集、分類、過濾、范式與合并，對網(wǎng)絡(luò)全局的日志安全事件進(jìn)行自動聯(lián)系分析。通過對日志內(nèi)容、數(shù)據(jù)的深度分析、動態(tài)分析，借助內(nèi)置告警規(guī)則由桌面屏幕、郵件、短信、SYSLOG、SNMP等方式通知管理員及時(shí)處理。

態(tài)勢感知與威脅預(yù)警

通過工業(yè)安全管理與態(tài)勢分析系統(tǒng)實(shí)現(xiàn)對電廠生產(chǎn)系統(tǒng)全局風(fēng)險(xiǎn)的感知，依據(jù)國內(nèi)外最新通報(bào)的安全事件和威脅信息，通過內(nèi)置威脅感知引擎和外部威脅情報(bào)的支持，利用現(xiàn)場安全設(shè)備的告警日志、網(wǎng)絡(luò)流量異常狀態(tài)、主機(jī)安全狀態(tài)分析，對潛在的風(fēng)險(xiǎn)進(jìn)行高級動態(tài)分析和定位，并提供應(yīng)急處置策略和建議。

具體應(yīng)用場景和應(yīng)用模式

1、系統(tǒng)整體可采用分布式架構(gòu)，支持單級或多級應(yīng)用部署滿足不同層級的用戶應(yīng)用場景。

2、系統(tǒng)支持對工控主機(jī)、工控網(wǎng)絡(luò)設(shè)備、工控網(wǎng)絡(luò)安全設(shè)備、工控?cái)?shù)據(jù)庫軟件的威脅事件、操作日志等關(guān)鍵位置的工控流量數(shù)據(jù)采集，并通過對安全大數(shù)據(jù)的深度挖掘，借助AI智能技術(shù)，充分利用資產(chǎn)管理、流量分析、威脅感知、關(guān)聯(lián)分析、風(fēng)險(xiǎn)評估、可視化等技術(shù)和功能，實(shí)現(xiàn)整體安全防護(hù)能力和運(yùn)營能力的提升。

3、方案可廣泛應(yīng)用于電力電網(wǎng)、智能制造、石油石化、天然氣以及其他關(guān)鍵信息基礎(chǔ)設(shè)施工業(yè)控制系統(tǒng)，提供可定制化和可擴(kuò)展的安全解決方案。

方案亮點(diǎn)

方案集成了工控環(huán)境下白名單、黑名單、IP/MAC地址綁定、異常流量等常用的安全策略，輔以自定義的安全策略，調(diào)用網(wǎng)絡(luò)內(nèi)安全產(chǎn)品實(shí)現(xiàn)對工控網(wǎng)絡(luò)APT攻擊、異常行為和非法數(shù)據(jù)包等多種威脅的安全防護(hù)，并對威脅進(jìn)行告警和阻斷，保護(hù)工控網(wǎng)絡(luò)安全，有效的提高網(wǎng)絡(luò)的安全性。

方案以工控資產(chǎn)及業(yè)務(wù)為核心，以安全事件管理為關(guān)鍵流程，采用安全域劃分的思想，建立一套實(shí)時(shí)的風(fēng)險(xiǎn)模型，實(shí)現(xiàn)對各類資產(chǎn)和業(yè)務(wù)的信息采集、關(guān)聯(lián)分析、日志審計(jì)、事件監(jiān)控、流量分析、網(wǎng)絡(luò)攻擊防范、態(tài)勢感知、安全預(yù)警和快速響應(yīng)，做到“集中監(jiān)控、統(tǒng)一管理、全面分析、快速響應(yīng)”。

方案通過擴(kuò)展安全數(shù)據(jù)源、增強(qiáng)協(xié)議解析能力，增加AI安全大數(shù)據(jù)分析和挖掘，訓(xùn)練出更適合本地系統(tǒng)的安全分析、預(yù)測、決策模型，并以快速定位、易理解、易管理的展示形式，形成一套完整的火力發(fā)電廠安全防護(hù)和態(tài)勢感知系統(tǒng)。

客戶價(jià)值

1、滿足合規(guī)需求

在滿足國家能源局36號文件及行業(yè)監(jiān)管要求的同時(shí)，結(jié)合DCS系統(tǒng)的特點(diǎn)，在基于安全防護(hù)框架的指導(dǎo)下開展建設(shè)工作;

2、提高安全防護(hù)能力

基于電廠DCS系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀，在工業(yè)控制系統(tǒng)的主機(jī)層和網(wǎng)絡(luò)層進(jìn)行安全加固、入侵檢測、安全審計(jì)和邊界防護(hù)，有效抵御來自工控網(wǎng)絡(luò)內(nèi)外部的病毒入侵、滲透以及違規(guī)操作行為對DCS系統(tǒng)造成破壞，防范信息安全事故發(fā)生。

3、降本增效

優(yōu)化了網(wǎng)絡(luò)安全管理模式，減輕運(yùn)維人員的網(wǎng)絡(luò)安全現(xiàn)狀檢查及分析的工作;在做好安全風(fēng)險(xiǎn)把控的同時(shí)，節(jié)省人力物力，節(jié)約工作成本，減少經(jīng)濟(jì)損失，提升了經(jīng)濟(jì)效益。

結(jié)語

工業(yè)互聯(lián)網(wǎng)作為第四次工業(yè)革命的重要基石，通過對人、機(jī)、物、系統(tǒng)等的全面連接，構(gòu)建起覆蓋全產(chǎn)業(yè)鏈、全價(jià)值鏈的全新制造和服務(wù)體系，為工業(yè)乃至產(chǎn)業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化發(fā)展提供了實(shí)現(xiàn)路徑。在政、產(chǎn)、學(xué)、研、用各方的共同努力下，我國工業(yè)互聯(lián)網(wǎng)進(jìn)入快速成長期，基礎(chǔ)設(shè)施支撐能力不斷完善。

珞安科技將繼續(xù)緊跟行業(yè)發(fā)展趨勢，加大研發(fā)力度，在現(xiàn)有產(chǎn)品和解決方案的基礎(chǔ)上，結(jié)合工業(yè)互聯(lián)網(wǎng)發(fā)展特性進(jìn)行技術(shù)創(chuàng)新、產(chǎn)品革新，打造更多專業(yè)、高效、可靠的工控網(wǎng)絡(luò)產(chǎn)品和解決方案，保障國家關(guān)鍵信息基礎(chǔ)設(shè)施的安全與穩(wěn)定，為網(wǎng)絡(luò)強(qiáng)國與數(shù)字中國建設(shè)保駕護(hù)航。

（珞安科技）