廠級電力監控系統網絡安全防護方案分享解讀

1、前言

近期國家能源局發布了《電力行業網絡安全等級保護管理辦法》、

《電力行業網絡安全管理辦法》、《電力二次系統安全管理若干規定》

等電力行業的規章制度，木鏈科技秉承其工控安全企業的社會責任，

積極提升發電廠電力監控系統的網絡安全防護能力，抵御黑客及惡意

代碼等對發電廠監控系統發起的惡意破壞和攻擊，以及其它非法操作,

防止發電廠電力監控系統癱瘓和失控，和由此導致的發電廠一次系統

事故和其他事故，進而整理編制本方案，推進電廠電力監控系統安全

防護體系的建設和完善。

適用范圍：火電廠、水電廠、核電站、風電場、光伏電站、燃機

電廠、儲能等各種類型電廠。

2、安全防護框架

圖多維柵格狀安全防護體系結構

結合當前電力行業的政令法規，依托木鏈科技的工控安全技術積

累，分別從技術防護、安全管理、應急備用三個方面建立三維一體的

電力監控系統網絡安全防護體系，通過加固電力專用安全防護架構,

完善通用網絡安全防護能力，應用前沿網絡安全防護技術，鑄就健全

的電力行業網絡安全防護免疫體系。

3、電力專用安全防護

3.1安全分區

按照《電力監控系統安全防護規定》，將發電廠基于計算機及網

絡技術的業務系統劃分為生產控制大區和管理信息大區，并根據業務

系統的重要性和對一次系統的影響程度將生產控制大區劃分為控制

區（安全區I）及非控制區（安全區TI）,重點保護生產控制以及直

接影響電力生產（機組運行）的系統。

3.2網絡專用

電力調度數據網是與生產控制大區相連接的專用網絡，承載電力

實時控制、在線生產交易等業務。發電廠端的電力調度數據網應當在

專用通道上使用獨立的網絡設備組網，在物理層面上實現與電力企業

其它數據網及外部公共信息網的安全隔離。發電廠端的電力調度數據

網應當劃分為邏輯隔離的實時子網和非實時子網，分別連接控制區和

非控制區。

3.3橫向隔離

橫向隔離是電力監控系統安全防護體系的橫向防線。采用不同強

度的安全設備隔離各安全區，在生產控制大區與管理信息大區之間必

須部署經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置,

隔離強度應當接近或達到物理隔離。生產控制大區內部的安全區之間

應當采用具有訪問控制功能的網絡設備、安全可靠硬件防火墻或者相

當功能的設施，實現邏輯隔離。防火墻的功能、性能、電磁兼容性必

須經過國家相關部門的認證和測試。

3.4縱向認證

縱向加密認證是電力監控系統安全防護體系的縱向防線。發電廠

生產控制大區與調度數據網的縱向連接處設置經過國家指定部門檢

測認證的電力專用縱向加密認證裝置，實現雙向身份認證、數據加密

和訪問控制。

4、通用安全防護

4.1入侵檢測

生產控制大區可以統一部署一套網絡行為工控入侵檢測系統，合

理設置檢測規則，檢測發現隱藏于流經網絡邊界正常信息流中的入侵

行為、分析潛在威脅、進行安全審計。

4.2主機與網絡設備加固

發電廠廠級信息監控系統等關鍵應用系統的主服務器，以及網絡

邊界處的通信網關機、Wob服務器等，使用安全加固的操作系統。加

固方式包括：安全配置、安全補丁、采用專用軟件強化操作系統訪問

控制能力以及配置安全的應用程序，其中配置的更改和補丁的安裝應

當經過測試。

非控制區的網絡設備與安全設備應當進行身份鑒別、訪問權限控

制、會話控制等安全配置加固。可以應用數字證書，在網絡設備和安

全設備實現支持HTTPS的縱向安全Web服務，能夠對瀏覽器客戶端訪

問進行身份認證及加密傳輸。

應對外部存儲器、打印機等外設的使用進行嚴格管理。生產控制

大區中除安全接入區外，禁止選用具有無線通信功能的設備。管理信

息大區業務系統使用無線網絡傳輸業務信息時，具備接入認證、加密

等安全機制。

4.3應用安全控制

發電廠廠級信息監控系統等業務系統逐步采用用戶數字證書技

術，對用戶登錄應用系統、訪問系統資源等操作進行身份認證，提供

登錄失敗處理功能，根據身份與權限進行訪問控制，并且對操作行為

進行安全審計。

對于發電廠內部遠程訪問業務系統的情況，應當進行會話控制,

并采用會話認證、加密與抗抵賴等安全機制。

4.4安全審計

生產控制大區的監控系統部署工控安全審計功能，對操作系統、

數據庫、業務應用的重要操作進行記錄、分析，及時發現各種違規行

為以及病毒和黑客的攻擊行為。對于遠程用戶登錄到本地系統中的操

作行為，應該進行嚴格的安全審計。

應用安全審計功能，對網絡運行日志、操作系統運行日志、數據

庫訪問日志、'業務應用系統運行日志、安全設施運行日志等進行集中

收集、自動分析。

4.5備用與容災

定期對關鍵業務的數據進行備份，實現歷史歸檔數據的異地保存。

關鍵主機設備、網絡設備或關鍵部件應當進行相應的冗余配置。控制

區的業務應當采用冗余方式。

4.6惡意代碼防范

及時更新特征碼，查看查殺記錄。惡意代碼更新文件的安裝應當

經過測試。禁止生產控制大區與管理信息大區共用一套防惡意代碼管

理服務器。

4.7設備選型及漏洞整改

發電廠電力監控系統在設備選型及配置時，禁止選用未經國家相

關管理部門檢測認定并經國家能源局通報存在漏洞和風險的系統及

設備（如PLC、工業交換機等關鍵設備）；對于已經投入運行的系統

及設備，應當按照國家能源局及其派出機構的要求及時進行改造，同

時應當加強相關系統及設備的運行管理和安全防護措施。

5、特色安全防護

5.1安全運營中心

建立安全運營中心，整合該公司當前資產，充分收集各類安全相

關數據，通過大范圍和深度地廣泛檢查，盡可能發現相關安全問題。

并以多種安全問題管理為目標、以數據為核心、威脅情報為特色、打

通安全防護中的檢測、響應、預警、防御多個領域環節的完整安全體

系。

生產控制大區管理信息大區一麗?

?MM?a?M

圖安全運營中心典型拓撲示意圖

5.2電力監控系統內網監視系統

對電廠內部的網絡設備、安全設備、主機類設備通過設備自身感

知和網絡行為分析?，實現全面的網絡安全事件監視和網絡行為態勢感

知。

威脅事件

F

:載荷投遞

偵查追蹤2突防利用c安裝植入c通信控制J達成目標

.上付可執行文忤、

■口日描，、東Sil的■瑪、木執行豆!?代碼開啟定時任務端口”發■侵入侵行為

';馬文件，

1

修動可執行文件斷0/?改服彳設?BH后門

:通過外Mlifl?感

，壞系統通行

：■代碼

■KHBHfann

[........幅,IBK代碼啟動代修

：《SH氣口令爆金

口令墀*

1

.4J增添文件權限△動守護避出SSHttW

?

、.；傳Si包含怒意代

、SSHHMD^

群ping/科的報文進程劫持污0共享文件選一步橫向移動

圖網絡攻擊行為分析圖

5.3電力靶場模擬演練

構建靶場平臺高仿真場景，通過虛實互聯技術虛擬網絡場景中各

類資源與現場工控環境設備相連，實現場景現實化延中，開展攻防技

術演練。結合電力行業法規政策和行業技術動態，模擬現實環境深層

次完成網絡安全技術訓練，讓相關人員通過實戰的方式學習最前沿的

網絡安全技術，提升專業技術水平。

圖實驗室效果展示

5.4電力物聯網設備內生安全檢測平臺

電力物聯網設備內生安全檢測平臺是由木鏈科技自主研發的集

“漏洞檢測、漏洞挖掘、仿真測試、協議分析”為一體的設備安全檢

驗平臺，通過模糊測試、仿真分析等技術，以高效率、高準確度檢測、

挖掘設備潛在漏洞。

平臺功能:

1.固件分析

2.配置核查

3.待議分析

4.設備識別

5.漏洞掃描

6.模糊測試