今日頭條
官方微信
官方抖音
資訊頻道1、 背景介紹
電力監(jiān)控系統(tǒng)作為水電站最核心的組成部分,高度網(wǎng)絡(luò)化、系統(tǒng)化和自動化。為保障電力監(jiān)控系統(tǒng)信息安全,防范黑客及惡意代碼等網(wǎng)絡(luò)攻擊,我國先后頒布《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》(14號令)《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》(國能安全〔2015〕36號)、《電力行業(yè)網(wǎng)絡(luò)安全等級保護(hù)基本要求》等多項(xiàng)政策法規(guī),對電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)進(jìn)行規(guī)范指導(dǎo)。電力企業(yè)需要建立符合規(guī)范、全面防護(hù)的信息系統(tǒng)安全防護(hù)體系。
通過網(wǎng)絡(luò)安全防護(hù)方案實(shí)現(xiàn)電力監(jiān)控系統(tǒng)信息安全監(jiān)測、預(yù)警、審計(jì)、應(yīng)急和接入防護(hù)等功能全方面的防御保護(hù),結(jié)合自身網(wǎng)絡(luò)安全綜合防護(hù)能力建設(shè)過程中出現(xiàn)的網(wǎng)絡(luò)安全問題進(jìn)行全面整改。網(wǎng)絡(luò)安全綜合防護(hù)能力的建設(shè)應(yīng)進(jìn)一步落實(shí)關(guān)鍵信息中基礎(chǔ)設(shè)施的防護(hù)責(zé)任,加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全防護(hù),完善網(wǎng)絡(luò)安全機(jī)制、手段和能力建設(shè),加快對網(wǎng)絡(luò)安全專業(yè)人才的培養(yǎng),提高網(wǎng)絡(luò)安全事件應(yīng)急指揮能力,不斷提升網(wǎng)絡(luò)安全的綜合防護(hù)水平,保障電力系統(tǒng)安全穩(wěn)定運(yùn)行。
2、 目標(biāo)與原則
本項(xiàng)目通過對水洛河水電安全現(xiàn)狀和電力監(jiān)控系統(tǒng)安全防護(hù)能力調(diào)研,對電力監(jiān)控系統(tǒng)進(jìn)行合理的安全加固,完善發(fā)電企業(yè)電力監(jiān)控系統(tǒng)安全體系框架,提升發(fā)電企業(yè)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)能力,確保目標(biāo)單位電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全滿足國家及行業(yè)監(jiān)管要求。同時(shí)建立成熟的自主可控發(fā)電企業(yè)工控態(tài)勢感知與預(yù)警平臺,針對工控網(wǎng)絡(luò)的安全威脅特點(diǎn),重點(diǎn)實(shí)現(xiàn)對電力監(jiān)控系統(tǒng)的監(jiān)測、預(yù)警、審計(jì)和接入防護(hù)等功能,及時(shí)發(fā)現(xiàn)外部攻擊及內(nèi)部非法操作,并進(jìn)行應(yīng)急響應(yīng),有效地實(shí)現(xiàn)防外及安內(nèi),防止因網(wǎng)絡(luò)安全事件造成重大電力安全生產(chǎn)事故,保障信息系統(tǒng)安全。
l 實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢從未知到已知
通過建立水洛河水電電力監(jiān)控系統(tǒng)態(tài)勢感知與預(yù)警平臺,摸清家底,感知網(wǎng)絡(luò)中的資產(chǎn)信息,實(shí)現(xiàn)網(wǎng)絡(luò)資產(chǎn)可視化。結(jié)合全球最新網(wǎng)絡(luò)安全威脅情報(bào),從攻擊者的視角來分析當(dāng)前網(wǎng)絡(luò)已存在或可能遭受的安全風(fēng)險(xiǎn)和威脅,發(fā)現(xiàn)隱藏的安全事件,還原黑客攻擊路徑,解決遺留安全問題;收集各類安全設(shè)備數(shù)據(jù),利用安全場景和模型進(jìn)行大數(shù)據(jù)分析,識別當(dāng)前正在發(fā)生的安全事件,預(yù)測網(wǎng)絡(luò)安全發(fā)展趨勢。
l 實(shí)現(xiàn)網(wǎng)絡(luò)安全防御從被動到主動
本項(xiàng)目利用安全大數(shù)據(jù)、態(tài)勢感知、攻擊鏈模型和算法,結(jié)合最新的全球網(wǎng)絡(luò)安全威脅情報(bào),持續(xù)監(jiān)測,準(zhǔn)確及時(shí)地發(fā)現(xiàn)各種潛在威脅和攻擊,并進(jìn)行通報(bào)預(yù)警,提前感知攻擊者的下一步攻擊計(jì)劃,采取有效處置措施,構(gòu)建彈性防御體系,以期最大限度上避免、轉(zhuǎn)移、降低信息系統(tǒng)所面臨的風(fēng)險(xiǎn)。
l 實(shí)現(xiàn)從單一設(shè)備防護(hù)到協(xié)同聯(lián)動
通過建立水洛河水電電力監(jiān)控系統(tǒng)態(tài)勢感知與預(yù)警平臺,作為聯(lián)動樞紐,實(shí)現(xiàn)網(wǎng)絡(luò)中所有安全設(shè)備的數(shù)據(jù)匯總分析、數(shù)據(jù)共享及策略協(xié)同,打通終端、邊界協(xié)同聯(lián)動,有機(jī)整合各種網(wǎng)絡(luò)安全技術(shù),達(dá)到“智能檢測”、“智能上報(bào)”、“智能響應(yīng)”,建立一個(gè)以威脅情報(bào)為驅(qū)動,終端安全、邊界安全、大數(shù)據(jù)分析等多層次、縱深智能協(xié)同的安全防御體系,有效提升整體網(wǎng)絡(luò)防護(hù)能力。
l 實(shí)現(xiàn)網(wǎng)絡(luò)安全從邊界防護(hù)到縱深防御
通過落實(shí)國家信息安全等級保護(hù)制度及電力監(jiān)控系統(tǒng)安全防護(hù)要求,對水洛河水電電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全進(jìn)行整改加固,在堅(jiān)持“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的原則,強(qiáng)化邊界防護(hù)的基礎(chǔ)上,加強(qiáng)內(nèi)部的物理安全、網(wǎng)絡(luò)安全、操作系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全防護(hù)以及安全運(yùn)維管控,構(gòu)建電力柵格狀立體縱深防線,實(shí)現(xiàn)發(fā)電企業(yè)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的縱深防御、綜合防護(hù)。
l 全方位人 + U盤 + 文件 + 主機(jī) + 網(wǎng)絡(luò)管控
針對工業(yè)主機(jī)系統(tǒng)多樣性、業(yè)務(wù)連續(xù)性、軟件兼容性特點(diǎn)和需求構(gòu)建針對工業(yè)主機(jī)及關(guān)鍵業(yè)務(wù)軟件進(jìn)行全流程、全業(yè)務(wù)、全數(shù)據(jù)、全生命周期的安全解決方案,保障工業(yè)主機(jī)及關(guān)鍵業(yè)務(wù)軟件攻不破、起不來、搞不壞,同時(shí)和USB安全隔離裝置、終端防泄漏等產(chǎn)品形成協(xié)同聯(lián)動終端安全解決方案,可以進(jìn)行系統(tǒng)加固、白名單防護(hù),精準(zhǔn)鎖定工業(yè)主機(jī)關(guān)鍵業(yè)務(wù)軟件,結(jié)合“疫苗注射”原理進(jìn)行內(nèi)核級防護(hù),對工業(yè)主機(jī)關(guān)鍵業(yè)務(wù)軟件從啟動、運(yùn)行、停止全生命周期中進(jìn)行靜態(tài)、動態(tài)數(shù)據(jù)全方位安全防護(hù),最大限度保障生產(chǎn)持續(xù)運(yùn)行,為水洛河水電盈利服務(wù)。
3、 案例實(shí)施與應(yīng)用情況
3.1、項(xiàng)目應(yīng)用方案
l 縱向分層橫向分域,強(qiáng)化邊界訪問控制
在生產(chǎn)控制大區(qū)控制區(qū)與非控制區(qū)邊界部署邊界隔離設(shè)備(防火墻/單向隔離網(wǎng)閘),提高各區(qū)域間訪問控制能力,合理梳理優(yōu)化邊界設(shè)備的安全策略,遵循最小化和白名單原則,只允許業(yè)務(wù)數(shù)據(jù)通過邊界,阻斷其他非授權(quán)連接。例如來自區(qū)域之間的越權(quán)訪問,病毒、蠕蟲惡意軟件擴(kuò)散和入侵攻擊,保護(hù)各個(gè)區(qū)域控制系統(tǒng)安全運(yùn)行。
在電廠核心交換機(jī)處旁路部署1套入侵檢測系統(tǒng),實(shí)現(xiàn)網(wǎng)絡(luò)威脅入侵檢測,及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)異常情況,蠕蟲、木馬病毒以及APT等惡意程序的傳播狀況,并對僵尸主機(jī)監(jiān)控定位,實(shí)現(xiàn)網(wǎng)絡(luò)運(yùn)行狀態(tài)的實(shí)時(shí)監(jiān)控。
l 基于白名單的技術(shù),工控主機(jī)安全加固
在生產(chǎn)控制大區(qū)各終端主機(jī)、服務(wù)器中安裝工控主機(jī)安全衛(wèi)士。針對工控系統(tǒng)主機(jī)病毒入侵、惡意軟件運(yùn)行、應(yīng)用程序零日攻擊等問題,建立了基于“白名單”防御隔離屏障,監(jiān)控工控主機(jī)的進(jìn)程狀態(tài)等,有效隔離僵木蠕的傳播,提高工控系統(tǒng)的穩(wěn)定性和健壯性,保護(hù)系統(tǒng)的安全計(jì)算環(huán)境。
在主控機(jī)組DCS、輔控DCS系統(tǒng)、SIS系統(tǒng)的交換機(jī)旁路安裝USB安全隔離裝置。采用外設(shè)殺毒技術(shù),集“認(rèn)證、授權(quán)、審計(jì)、殺毒”于一體,可有效減少U盤等移動存儲介質(zhì)攜帶病毒對內(nèi)網(wǎng)計(jì)算機(jī)的安全性造成威脅。
l 全天候?qū)崟r(shí)審計(jì),追溯日志留存
在生產(chǎn)控制大區(qū)核心交換機(jī)旁路部署日志審計(jì)系統(tǒng)。通過日志審計(jì)分析系統(tǒng)可以采集系統(tǒng)中各種不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、以及各種應(yīng)用系統(tǒng)產(chǎn)生的日志、事件、報(bào)警等信息,并將數(shù)據(jù)信息匯集到展示平臺,進(jìn)行集中存儲、展現(xiàn)、查詢和審計(jì)。滿足了公安部留存系統(tǒng)日志不少于六個(gè)月的規(guī)定。
針對DCS控制系統(tǒng)的重要網(wǎng)絡(luò)節(jié)點(diǎn)安全監(jiān)測審計(jì),在主控機(jī)組DCS、輔控DCS系統(tǒng)、SIS系統(tǒng)核心交換機(jī)旁路各部署1套工控安全審計(jì)系統(tǒng),安全審計(jì)系統(tǒng)系統(tǒng)由管理端和采集端組成。在各系統(tǒng)A網(wǎng)和B網(wǎng)各部署1個(gè)采集端。將A/B雙網(wǎng)的流量發(fā)送至各自的采集端,通過管理端進(jìn)行分析處理,對外部入侵的行為和內(nèi)部人員的操作行為進(jìn)行安全審計(jì)。通過協(xié)議的深度解析和UEBA用戶行為分析技術(shù),及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)當(dāng)中的異常流量、違規(guī)操作、誤操作、指令異常、非法連接等現(xiàn)象,生成當(dāng)前生產(chǎn)網(wǎng)絡(luò)的行為日志和運(yùn)行日志,彌補(bǔ)現(xiàn)有工控系統(tǒng)無安全日志的空白,便于事件追溯和分析。
l 統(tǒng)一安全管理中心,提供集中管控能力
在安全管理中心部署賬號管理與審計(jì)系統(tǒng)(堡壘機(jī)),通過堡壘機(jī)對系統(tǒng)資產(chǎn)進(jìn)行統(tǒng)一運(yùn)維,滿足等保2.0集中運(yùn)維管控的要求。堡壘機(jī)通過賬號集中管理、授權(quán)訪問控制、操作行為審計(jì)等功能,為安全事件的追蹤溯源提供依據(jù),保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)資產(chǎn)的安全性。
在安全管理中心部署工控安全管理平臺,對網(wǎng)絡(luò)系統(tǒng)中的安全設(shè)備進(jìn)行統(tǒng)一管理,綜合利用威脅情報(bào)和系統(tǒng)脆弱性來幫助用戶提前洞悉各種安全威脅;基于工控安全統(tǒng)一管理平臺的應(yīng)用,用戶能完成監(jiān)測、預(yù)判、發(fā)現(xiàn)、阻斷、溯源、情報(bào)的安全事件全生命周期處置。
l 系統(tǒng)資產(chǎn)實(shí)時(shí)監(jiān)測,安全態(tài)勢集中展示
在安全管理中心部署安全態(tài)勢感知平臺,通過全方位監(jiān)控和分析,實(shí)時(shí)感知全場景的網(wǎng)絡(luò)安全態(tài)勢。基于大數(shù)據(jù)技術(shù),平臺可以快速識別和分析異常情況,并及時(shí)發(fā)出預(yù)警。此外,平臺還具備自動化響應(yīng)和實(shí)時(shí)可視化的功能,能夠快速響應(yīng)網(wǎng)絡(luò)安全事件,提高應(yīng)急響應(yīng)能力和決策效率。最后,平臺支持高效的安全態(tài)勢共享和協(xié)同,實(shí)現(xiàn)了企業(yè)內(nèi)部和外部的信息共享和合作,提高了整體安全防御的水平。
工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知模塊,提供各種角度的態(tài)勢可視化分析,幫助客戶快速了解安全狀況并進(jìn)行決策。現(xiàn)階段系統(tǒng)有八大態(tài)勢,包括綜合安全態(tài)勢、網(wǎng)絡(luò)資產(chǎn)態(tài)勢、資產(chǎn)漏洞態(tài)勢、工業(yè)威脅態(tài)勢、異常行為態(tài)勢、工業(yè)主機(jī)安全態(tài)勢、安全管理態(tài)勢、關(guān)鍵資產(chǎn)安全態(tài)勢。同時(shí)提供可配置化的告警響應(yīng)彈框。
資產(chǎn)管理實(shí)現(xiàn)對所在區(qū)域內(nèi)所有資產(chǎn)的統(tǒng)一查看與管理,包括資產(chǎn)基本信息、資產(chǎn)標(biāo)簽信息、資產(chǎn)所在分組信息、資產(chǎn)漏洞信息、資產(chǎn)服務(wù)(開放端口)信息、資產(chǎn)威脅信息、資產(chǎn)流量信息、資產(chǎn)連接關(guān)系、資產(chǎn)基線等多維度查看與管理。建立起以工業(yè)資產(chǎn)為核心的工業(yè)互聯(lián)網(wǎng)安全管理與分析平臺。
l 應(yīng)急響應(yīng)與恢復(fù)
我司對電力監(jiān)控系統(tǒng)出現(xiàn)的緊急安全事件進(jìn)行積極響應(yīng),第一時(shí)間將危害降到最低,并在事后協(xié)助制定信息安全應(yīng)急預(yù)案,解決電力監(jiān)控系統(tǒng)應(yīng)急預(yù)案未更新、應(yīng)急響應(yīng)系統(tǒng)未完善等問題;同時(shí)對已有的信息安全事件應(yīng)急預(yù)案進(jìn)行評審,全面梳理已有的安全攻擊事件及處置流程預(yù)案或方案的合理性、適用性、可行性、有效性,最終明顯、穩(wěn)步地提升電力監(jiān)控系統(tǒng)對重大安全事件應(yīng)急處理與防范能力。
當(dāng)電力監(jiān)控系統(tǒng)因外部惡意用戶入侵、攻擊或由于內(nèi)部誤操作等原因而引起安全異常時(shí),我司安全響應(yīng)團(tuán)隊(duì)在第一時(shí)間到達(dá)現(xiàn)場,協(xié)助用戶對事件的成因及過程進(jìn)行分析與追溯,并根據(jù)分析結(jié)果提供針對性的修復(fù)建議,并輸出《應(yīng)急響應(yīng)報(bào)告》,報(bào)告內(nèi)容包括應(yīng)急響應(yīng)全過程、事件成因分析以及安全建議等。
l 安全服務(wù)
開展網(wǎng)絡(luò)安全優(yōu)化工作,制定相應(yīng)的系統(tǒng)加固方案,針對不同目標(biāo)系統(tǒng),通過打補(bǔ)丁、修改安全配置、增加安全機(jī)制等方法,合理進(jìn)行安全性加強(qiáng)。
對用戶的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器提供狀態(tài)巡檢、安全策略配核查服務(wù)、日常巡檢服務(wù);對重要資產(chǎn)包括服務(wù)器及工作站等,進(jìn)行漏洞掃描服務(wù),并根據(jù)結(jié)果出具漏洞掃描報(bào)告;對關(guān)鍵資產(chǎn)和安全設(shè)備的配置策略,做好備份。
通過培訓(xùn)使相關(guān)人員能夠分析系統(tǒng)、設(shè)備故障、管理系統(tǒng)設(shè)備,具備系統(tǒng)及設(shè)備管理和系統(tǒng)功能基本擴(kuò)展與系統(tǒng)升級能力,能獨(dú)立承擔(dān)運(yùn)維工作,提高企業(yè)信息安全從業(yè)人員的安全意識和安全技能。
3.2、創(chuàng)新性
(1)通過完整解析工業(yè)協(xié)議的規(guī)則和含義,準(zhǔn)確的理解其上承載的工業(yè)數(shù)據(jù),基于協(xié)議和數(shù)據(jù)持續(xù)構(gòu)建和打造行業(yè)特色的安全防護(hù)模型。準(zhǔn)確分辨不同的工業(yè)資產(chǎn),排查資產(chǎn)對應(yīng)的漏洞和潛在威脅,更好的對工業(yè)資產(chǎn)進(jìn)行管理和配置;
(2)針對工控上位主機(jī)外置病毒查殺引擎,獨(dú)創(chuàng)的“體外查毒”技術(shù),U盤等移動存儲設(shè)備與受保護(hù)主機(jī)隔離,在防護(hù)設(shè)備上進(jìn)行病毒查殺,切斷病毒傳播途徑;先進(jìn)的U盤認(rèn)證機(jī)制,避免任何外來未知U盤接入系統(tǒng),授權(quán)過程可追溯;嚴(yán)格的日志操作審計(jì),詳細(xì)記錄U盤接入后各類執(zhí)行動作,供管理員進(jìn)行日志審計(jì)和行為追溯,支持一機(jī)多殺、共享存儲;同時(shí)配合主機(jī)安全防護(hù)系統(tǒng),進(jìn)一步確保沒有新的不安全因素進(jìn)入工控系統(tǒng);
相比國內(nèi)外常見的基于特征碼的檢測技術(shù)及行為分析技術(shù)等查殺行為,體外查毒由于該技術(shù)是在工控主機(jī)之外進(jìn)行殺毒操作,因此不會受到工控主機(jī)內(nèi)部病毒的攻擊和破壞,更加安全可靠和全面。
(3)利用網(wǎng)絡(luò)安全防護(hù)一體化管理與感知平臺,對生產(chǎn)廠區(qū)全網(wǎng)關(guān)鍵節(jié)點(diǎn)綜合安全信息的實(shí)時(shí)監(jiān)控,收集攻擊事件相關(guān)的技術(shù)信息(攻擊的特征、原理、危害、樣本及分析報(bào)告等),并利用多維度的海量數(shù)據(jù)挖掘和關(guān)聯(lián)分析技術(shù),實(shí)現(xiàn)跨時(shí)域、跨設(shè)備和跨區(qū)域的蹤跡分析追蹤,對區(qū)域內(nèi)各安全資產(chǎn)管理、進(jìn)行威脅檢測量化評估、網(wǎng)絡(luò)安全態(tài)勢分析以及預(yù)報(bào)預(yù)警,對突發(fā)事件有應(yīng)急預(yù)案,及時(shí)響應(yīng)。
4、應(yīng)用價(jià)值與效益
通過應(yīng)用該案例,顯著提升了水洛河電站電力監(jiān)控系統(tǒng)的安全防護(hù)能力。
(1)提升縱深防御能力:通過各類安全設(shè)備構(gòu)建電力柵格狀立體縱深防線,實(shí)現(xiàn)水洛河電站工控系統(tǒng)網(wǎng)絡(luò)的綜合防護(hù),生產(chǎn)運(yùn)行環(huán)境安全可信。
(2)USB外設(shè)權(quán)限管控:實(shí)施后非法USB設(shè)備接入阻斷率不低于99%,有效杜絕惡意USB設(shè)備的使用。設(shè)備接入認(rèn)證過程安全可靠,認(rèn)證成功率不低于95%。
(3)精準(zhǔn)識別威脅:應(yīng)用態(tài)勢感知系統(tǒng)后,水洛河電站能夠更加精準(zhǔn)地識別潛在威脅,并提前采取相應(yīng)的防范措施。同時(shí),該系統(tǒng)還能夠?qū)﹄娏ΡO(jiān)控系統(tǒng)的安全狀況進(jìn)行實(shí)時(shí)評估,提供決策支持。
(4)應(yīng)急響應(yīng)與恢復(fù)優(yōu)化:當(dāng)發(fā)生安全事件時(shí),水洛河電站能夠迅速啟動應(yīng)急預(yù)案,通過快速隔離受感染部分、恢復(fù)關(guān)鍵服務(wù)和系統(tǒng)等方式,減少攻擊對電力系統(tǒng)的影響。網(wǎng)絡(luò)安全事故發(fā)生率降低至少30%,顯著提升網(wǎng)絡(luò)安全防護(hù)水平。網(wǎng)絡(luò)安全事件平均響應(yīng)時(shí)間縮短至30分鐘以內(nèi),提高應(yīng)急響應(yīng)效率。
(5)集中管控:通過統(tǒng)一安全管理平臺實(shí)現(xiàn)全廠工控網(wǎng)絡(luò)安全產(chǎn)品的統(tǒng)一策略下發(fā),提高運(yùn)維效率,降低維護(hù)成本。
(6)態(tài)勢感知及監(jiān)測預(yù)警:能夠?qū)W(wǎng)絡(luò)漏洞情況、合規(guī)配置、安全事件、網(wǎng)絡(luò)威脅等風(fēng)險(xiǎn)進(jìn)行監(jiān)測預(yù)警,提供了全方位、全天候的網(wǎng)絡(luò)安全態(tài)勢感知展示和事件應(yīng)急處置的數(shù)據(jù)支撐;實(shí)現(xiàn)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)的安全威脅分析。
北京市公安局海淀分局備案號:11010802023656號