久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

1、 背景介紹

電力監(jiān)控系統(tǒng)作為水電站最核心的組成部分，高度網(wǎng)絡(luò)化、系統(tǒng)化和自動化。為保障電力監(jiān)控系統(tǒng)信息安全，防范黑客及惡意代碼等網(wǎng)絡(luò)攻擊，我國先后頒布《電力監(jiān)控系統(tǒng)安全防護規(guī)定》（14號令）《電力監(jiān)控系統(tǒng)安全防護總體方案》(國能安全〔2015〕36號)、《電力行業(yè)網(wǎng)絡(luò)安全等級保護基本要求》等多項政策法規(guī)，對電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)進行規(guī)范指導(dǎo)。電力企業(yè)需要建立符合規(guī)范、全面防護的信息系統(tǒng)安全防護體系。

通過網(wǎng)絡(luò)安全防護方案實現(xiàn)電力監(jiān)控系統(tǒng)信息安全監(jiān)測、預(yù)警、審計、應(yīng)急和接入防護等功能全方面的防御保護，結(jié)合自身網(wǎng)絡(luò)安全綜合防護能力建設(shè)過程中出現(xiàn)的網(wǎng)絡(luò)安全問題進行全面整改。網(wǎng)絡(luò)安全綜合防護能力的建設(shè)應(yīng)進一步落實關(guān)鍵信息中基礎(chǔ)設(shè)施的防護責(zé)任，加強關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全防護，完善網(wǎng)絡(luò)安全機制、手段和能力建設(shè)，加快對網(wǎng)絡(luò)安全專業(yè)人才的培養(yǎng)，提高網(wǎng)絡(luò)安全事件應(yīng)急指揮能力，不斷提升網(wǎng)絡(luò)安全的綜合防護水平，保障電力系統(tǒng)安全穩(wěn)定運行。

2、 目標與原則

本項目通過對水洛河水電安全現(xiàn)狀和電力監(jiān)控系統(tǒng)安全防護能力調(diào)研，對電力監(jiān)控系統(tǒng)進行合理的安全加固，完善發(fā)電企業(yè)電力監(jiān)控系統(tǒng)安全體系框架，提升發(fā)電企業(yè)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護能力，確保目標單位電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全滿足國家及行業(yè)監(jiān)管要求。同時建立成熟的自主可控發(fā)電企業(yè)工控態(tài)勢感知與預(yù)警平臺，針對工控網(wǎng)絡(luò)的安全威脅特點，重點實現(xiàn)對電力監(jiān)控系統(tǒng)的監(jiān)測、預(yù)警、審計和接入防護等功能，及時發(fā)現(xiàn)外部攻擊及內(nèi)部非法操作，并進行應(yīng)急響應(yīng)，有效地實現(xiàn)防外及安內(nèi)，防止因網(wǎng)絡(luò)安全事件造成重大電力安全生產(chǎn)事故，保障信息系統(tǒng)安全。

l  實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢從未知到已知

通過建立水洛河水電電力監(jiān)控系統(tǒng)態(tài)勢感知與預(yù)警平臺，摸清家底，感知網(wǎng)絡(luò)中的資產(chǎn)信息，實現(xiàn)網(wǎng)絡(luò)資產(chǎn)可視化。結(jié)合全球最新網(wǎng)絡(luò)安全威脅情報，從攻擊者的視角來分析當前網(wǎng)絡(luò)已存在或可能遭受的安全風(fēng)險和威脅，發(fā)現(xiàn)隱藏的安全事件，還原黑客攻擊路徑，解決遺留安全問題；收集各類安全設(shè)備數(shù)據(jù)，利用安全場景和模型進行大數(shù)據(jù)分析，識別當前正在發(fā)生的安全事件，預(yù)測網(wǎng)絡(luò)安全發(fā)展趨勢。

l  實現(xiàn)網(wǎng)絡(luò)安全防御從被動到主動

本項目利用安全大數(shù)據(jù)、態(tài)勢感知、攻擊鏈模型和算法，結(jié)合最新的全球網(wǎng)絡(luò)安全威脅情報，持續(xù)監(jiān)測，準確及時地發(fā)現(xiàn)各種潛在威脅和攻擊，并進行通報預(yù)警，提前感知攻擊者的下一步攻擊計劃，采取有效處置措施，構(gòu)建彈性防御體系，以期最大限度上避免、轉(zhuǎn)移、降低信息系統(tǒng)所面臨的風(fēng)險。

l  實現(xiàn)從單一設(shè)備防護到協(xié)同聯(lián)動

通過建立水洛河水電電力監(jiān)控系統(tǒng)態(tài)勢感知與預(yù)警平臺，作為聯(lián)動樞紐，實現(xiàn)網(wǎng)絡(luò)中所有安全設(shè)備的數(shù)據(jù)匯總分析、數(shù)據(jù)共享及策略協(xié)同，打通終端、邊界協(xié)同聯(lián)動，有機整合各種網(wǎng)絡(luò)安全技術(shù)，達到“智能檢測”、“智能上報”、“智能響應(yīng)”，建立一個以威脅情報為驅(qū)動，終端安全、邊界安全、大數(shù)據(jù)分析等多層次、縱深智能協(xié)同的安全防御體系，有效提升整體網(wǎng)絡(luò)防護能力。

l  實現(xiàn)網(wǎng)絡(luò)安全從邊界防護到縱深防御

通過落實國家信息安全等級保護制度及電力監(jiān)控系統(tǒng)安全防護要求，對水洛河水電電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全進行整改加固，在堅持“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”的原則，強化邊界防護的基礎(chǔ)上，加強內(nèi)部的物理安全、網(wǎng)絡(luò)安全、操作系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全防護以及安全運維管控，構(gòu)建電力柵格狀立體縱深防線，實現(xiàn)發(fā)電企業(yè)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的縱深防御、綜合防護。

l  全方位人 + U盤 + 文件 + 主機 + 網(wǎng)絡(luò)管控

針對工業(yè)主機系統(tǒng)多樣性、業(yè)務(wù)連續(xù)性、軟件兼容性特點和需求構(gòu)建針對工業(yè)主機及關(guān)鍵業(yè)務(wù)軟件進行全流程、全業(yè)務(wù)、全數(shù)據(jù)、全生命周期的安全解決方案，保障工業(yè)主機及關(guān)鍵業(yè)務(wù)軟件攻不破、起不來、搞不壞，同時和USB安全隔離裝置、終端防泄漏等產(chǎn)品形成協(xié)同聯(lián)動終端安全解決方案，可以進行系統(tǒng)加固、白名單防護，精準鎖定工業(yè)主機關(guān)鍵業(yè)務(wù)軟件，結(jié)合“疫苗注射”原理進行內(nèi)核級防護，對工業(yè)主機關(guān)鍵業(yè)務(wù)軟件從啟動、運行、停止全生命周期中進行靜態(tài)、動態(tài)數(shù)據(jù)全方位安全防護，最大限度保障生產(chǎn)持續(xù)運行，為水洛河水電盈利服務(wù)。

3、 案例實施與應(yīng)用情況

3.1、項目應(yīng)用方案

l  縱向分層橫向分域，強化邊界訪問控制

在生產(chǎn)控制大區(qū)控制區(qū)與非控制區(qū)邊界部署邊界隔離設(shè)備（防火墻/單向隔離網(wǎng)閘），提高各區(qū)域間訪問控制能力，合理梳理優(yōu)化邊界設(shè)備的安全策略，遵循最小化和白名單原則，只允許業(yè)務(wù)數(shù)據(jù)通過邊界，阻斷其他非授權(quán)連接。例如來自區(qū)域之間的越權(quán)訪問，病毒、蠕蟲惡意軟件擴散和入侵攻擊，保護各個區(qū)域控制系統(tǒng)安全運行。

在電廠核心交換機處旁路部署1套入侵檢測系統(tǒng)，實現(xiàn)網(wǎng)絡(luò)威脅入侵檢測，及時發(fā)現(xiàn)網(wǎng)絡(luò)異常情況，蠕蟲、木馬病毒以及APT等惡意程序的傳播狀況，并對僵尸主機監(jiān)控定位，實現(xiàn)網(wǎng)絡(luò)運行狀態(tài)的實時監(jiān)控。

l  基于白名單的技術(shù)，工控主機安全加固

在生產(chǎn)控制大區(qū)各終端主機、服務(wù)器中安裝工控主機安全衛(wèi)士。針對工控系統(tǒng)主機病毒入侵、惡意軟件運行、應(yīng)用程序零日攻擊等問題，建立了基于“白名單”防御隔離屏障，監(jiān)控工控主機的進程狀態(tài)等，有效隔離僵木蠕的傳播，提高工控系統(tǒng)的穩(wěn)定性和健壯性，保護系統(tǒng)的安全計算環(huán)境。

在主控機組DCS、輔控DCS系統(tǒng)、SIS系統(tǒng)的交換機旁路安裝USB安全隔離裝置。采用外設(shè)殺毒技術(shù)，集“認證、授權(quán)、審計、殺毒”于一體，可有效減少U盤等移動存儲介質(zhì)攜帶病毒對內(nèi)網(wǎng)計算機的安全性造成威脅。

l  全天候?qū)崟r審計，追溯日志留存

在生產(chǎn)控制大區(qū)核心交換機旁路部署日志審計系統(tǒng)。通過日志審計分析系統(tǒng)可以采集系統(tǒng)中各種不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機、操作系統(tǒng)、以及各種應(yīng)用系統(tǒng)產(chǎn)生的日志、事件、報警等信息，并將數(shù)據(jù)信息匯集到展示平臺，進行集中存儲、展現(xiàn)、查詢和審計。滿足了公安部留存系統(tǒng)日志不少于六個月的規(guī)定。

針對DCS控制系統(tǒng)的重要網(wǎng)絡(luò)節(jié)點安全監(jiān)測審計，在主控機組DCS、輔控DCS系統(tǒng)、SIS系統(tǒng)核心交換機旁路各部署1套工控安全審計系統(tǒng)，安全審計系統(tǒng)系統(tǒng)由管理端和采集端組成。在各系統(tǒng)A網(wǎng)和B網(wǎng)各部署1個采集端。將A/B雙網(wǎng)的流量發(fā)送至各自的采集端，通過管理端進行分析處理，對外部入侵的行為和內(nèi)部人員的操作行為進行安全審計。通過協(xié)議的深度解析和UEBA用戶行為分析技術(shù)，及時發(fā)現(xiàn)網(wǎng)絡(luò)當中的異常流量、違規(guī)操作、誤操作、指令異常、非法連接等現(xiàn)象，生成當前生產(chǎn)網(wǎng)絡(luò)的行為日志和運行日志，彌補現(xiàn)有工控系統(tǒng)無安全日志的空白，便于事件追溯和分析。

l  統(tǒng)一安全管理中心，提供集中管控能力

在安全管理中心部署賬號管理與審計系統(tǒng)（堡壘機），通過堡壘機對系統(tǒng)資產(chǎn)進行統(tǒng)一運維，滿足等保2.0集中運維管控的要求。堡壘機通過賬號集中管理、授權(quán)訪問控制、操作行為審計等功能，為安全事件的追蹤溯源提供依據(jù)，保護企業(yè)內(nèi)部網(wǎng)絡(luò)資產(chǎn)的安全性。

在安全管理中心部署工控安全管理平臺，對網(wǎng)絡(luò)系統(tǒng)中的安全設(shè)備進行統(tǒng)一管理，綜合利用威脅情報和系統(tǒng)脆弱性來幫助用戶提前洞悉各種安全威脅；基于工控安全統(tǒng)一管理平臺的應(yīng)用，用戶能完成監(jiān)測、預(yù)判、發(fā)現(xiàn)、阻斷、溯源、情報的安全事件全生命周期處置。

l  系統(tǒng)資產(chǎn)實時監(jiān)測，安全態(tài)勢集中展示

在安全管理中心部署安全態(tài)勢感知平臺，通過全方位監(jiān)控和分析，實時感知全場景的網(wǎng)絡(luò)安全態(tài)勢?；诖髷?shù)據(jù)技術(shù)，平臺可以快速識別和分析異常情況，并及時發(fā)出預(yù)警。此外，平臺還具備自動化響應(yīng)和實時可視化的功能，能夠快速響應(yīng)網(wǎng)絡(luò)安全事件，提高應(yīng)急響應(yīng)能力和決策效率。最后，平臺支持高效的安全態(tài)勢共享和協(xié)同，實現(xiàn)了企業(yè)內(nèi)部和外部的信息共享和合作，提高了整體安全防御的水平。

工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知模塊，提供各種角度的態(tài)勢可視化分析，幫助客戶快速了解安全狀況并進行決策?，F(xiàn)階段系統(tǒng)有八大態(tài)勢，包括綜合安全態(tài)勢、網(wǎng)絡(luò)資產(chǎn)態(tài)勢、資產(chǎn)漏洞態(tài)勢、工業(yè)威脅態(tài)勢、異常行為態(tài)勢、工業(yè)主機安全態(tài)勢、安全管理態(tài)勢、關(guān)鍵資產(chǎn)安全態(tài)勢。同時提供可配置化的告警響應(yīng)彈框。

資產(chǎn)管理實現(xiàn)對所在區(qū)域內(nèi)所有資產(chǎn)的統(tǒng)一查看與管理，包括資產(chǎn)基本信息、資產(chǎn)標簽信息、資產(chǎn)所在分組信息、資產(chǎn)漏洞信息、資產(chǎn)服務(wù)（開放端口）信息、資產(chǎn)威脅信息、資產(chǎn)流量信息、資產(chǎn)連接關(guān)系、資產(chǎn)基線等多維度查看與管理。建立起以工業(yè)資產(chǎn)為核心的工業(yè)互聯(lián)網(wǎng)安全管理與分析平臺。

l  應(yīng)急響應(yīng)與恢復(fù)

我司對電力監(jiān)控系統(tǒng)出現(xiàn)的緊急安全事件進行積極響應(yīng)，第一時間將危害降到最低，并在事后協(xié)助制定信息安全應(yīng)急預(yù)案，解決電力監(jiān)控系統(tǒng)應(yīng)急預(yù)案未更新、應(yīng)急響應(yīng)系統(tǒng)未完善等問題；同時對已有的信息安全事件應(yīng)急預(yù)案進行評審，全面梳理已有的安全攻擊事件及處置流程預(yù)案或方案的合理性、適用性、可行性、有效性，最終明顯、穩(wěn)步地提升電力監(jiān)控系統(tǒng)對重大安全事件應(yīng)急處理與防范能力。

當電力監(jiān)控系統(tǒng)因外部惡意用戶入侵、攻擊或由于內(nèi)部誤操作等原因而引起安全異常時，我司安全響應(yīng)團隊在第一時間到達現(xiàn)場，協(xié)助用戶對事件的成因及過程進行分析與追溯，并根據(jù)分析結(jié)果提供針對性的修復(fù)建議，并輸出《應(yīng)急響應(yīng)報告》，報告內(nèi)容包括應(yīng)急響應(yīng)全過程、事件成因分析以及安全建議等。

l  安全服務(wù)

開展網(wǎng)絡(luò)安全優(yōu)化工作，制定相應(yīng)的系統(tǒng)加固方案，針對不同目標系統(tǒng)，通過打補丁、修改安全配置、增加安全機制等方法，合理進行安全性加強。

對用戶的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器提供狀態(tài)巡檢、安全策略配核查服務(wù)、日常巡檢服務(wù)；對重要資產(chǎn)包括服務(wù)器及工作站等，進行漏洞掃描服務(wù)，并根據(jù)結(jié)果出具漏洞掃描報告；對關(guān)鍵資產(chǎn)和安全設(shè)備的配置策略，做好備份。

通過培訓(xùn)使相關(guān)人員能夠分析系統(tǒng)、設(shè)備故障、管理系統(tǒng)設(shè)備，具備系統(tǒng)及設(shè)備管理和系統(tǒng)功能基本擴展與系統(tǒng)升級能力，能獨立承擔(dān)運維工作，提高企業(yè)信息安全從業(yè)人員的安全意識和安全技能。

3.2、創(chuàng)新性

（1）通過完整解析工業(yè)協(xié)議的規(guī)則和含義，準確的理解其上承載的工業(yè)數(shù)據(jù)，基于協(xié)議和數(shù)據(jù)持續(xù)構(gòu)建和打造行業(yè)特色的安全防護模型。準確分辨不同的工業(yè)資產(chǎn)，排查資產(chǎn)對應(yīng)的漏洞和潛在威脅，更好的對工業(yè)資產(chǎn)進行管理和配置；

（2）針對工控上位主機外置病毒查殺引擎，獨創(chuàng)的“體外查毒”技術(shù)，U盤等移動存儲設(shè)備與受保護主機隔離，在防護設(shè)備上進行病毒查殺，切斷病毒傳播途徑；先進的U盤認證機制，避免任何外來未知U盤接入系統(tǒng)，授權(quán)過程可追溯；嚴格的日志操作審計，詳細記錄U盤接入后各類執(zhí)行動作，供管理員進行日志審計和行為追溯，支持一機多殺、共享存儲；同時配合主機安全防護系統(tǒng)，進一步確保沒有新的不安全因素進入工控系統(tǒng)；

相比國內(nèi)外常見的基于特征碼的檢測技術(shù)及行為分析技術(shù)等查殺行為，體外查毒由于該技術(shù)是在工控主機之外進行殺毒操作，因此不會受到工控主機內(nèi)部病毒的攻擊和破壞，更加安全可靠和全面。

（3）利用網(wǎng)絡(luò)安全防護一體化管理與感知平臺，對生產(chǎn)廠區(qū)全網(wǎng)關(guān)鍵節(jié)點綜合安全信息的實時監(jiān)控，收集攻擊事件相關(guān)的技術(shù)信息（攻擊的特征、原理、危害、樣本及分析報告等），并利用多維度的海量數(shù)據(jù)挖掘和關(guān)聯(lián)分析技術(shù)，實現(xiàn)跨時域、跨設(shè)備和跨區(qū)域的蹤跡分析追蹤，對區(qū)域內(nèi)各安全資產(chǎn)管理、進行威脅檢測量化評估、網(wǎng)絡(luò)安全態(tài)勢分析以及預(yù)報預(yù)警，對突發(fā)事件有應(yīng)急預(yù)案，及時響應(yīng)。

4、應(yīng)用價值與效益

通過應(yīng)用該案例，顯著提升了水洛河電站電力監(jiān)控系統(tǒng)的安全防護能力。

（1）提升縱深防御能力：通過各類安全設(shè)備構(gòu)建電力柵格狀立體縱深防線，實現(xiàn)水洛河電站工控系統(tǒng)網(wǎng)絡(luò)的綜合防護，生產(chǎn)運行環(huán)境安全可信。

（2）USB外設(shè)權(quán)限管控：實施后非法USB設(shè)備接入阻斷率不低于99%，有效杜絕惡意USB設(shè)備的使用。設(shè)備接入認證過程安全可靠，認證成功率不低于95%。

（3）精準識別威脅：應(yīng)用態(tài)勢感知系統(tǒng)后，水洛河電站能夠更加精準地識別潛在威脅，并提前采取相應(yīng)的防范措施。同時，該系統(tǒng)還能夠?qū)﹄娏ΡO(jiān)控系統(tǒng)的安全狀況進行實時評估，提供決策支持。

（4）應(yīng)急響應(yīng)與恢復(fù)優(yōu)化：當發(fā)生安全事件時，水洛河電站能夠迅速啟動應(yīng)急預(yù)案，通過快速隔離受感染部分、恢復(fù)關(guān)鍵服務(wù)和系統(tǒng)等方式，減少攻擊對電力系統(tǒng)的影響。網(wǎng)絡(luò)安全事故發(fā)生率降低至少30%，顯著提升網(wǎng)絡(luò)安全防護水平。網(wǎng)絡(luò)安全事件平均響應(yīng)時間縮短至30分鐘以內(nèi)，提高應(yīng)急響應(yīng)效率。

（5）集中管控：通過統(tǒng)一安全管理平臺實現(xiàn)全廠工控網(wǎng)絡(luò)安全產(chǎn)品的統(tǒng)一策略下發(fā)，提高運維效率，降低維護成本。

（6）態(tài)勢感知及監(jiān)測預(yù)警：能夠?qū)W(wǎng)絡(luò)漏洞情況、合規(guī)配置、安全事件、網(wǎng)絡(luò)威脅等風(fēng)險進行監(jiān)測預(yù)警，提供了全方位、全天候的網(wǎng)絡(luò)安全態(tài)勢感知展示和事件應(yīng)急處置的數(shù)據(jù)支撐；實現(xiàn)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)的安全威脅分析。