绿盟科技助力火电行业工控安全试点示范，构建电力栅格状立体纵深防线

国内某大型火电厂历史悠久，总装机容量189万kW，一期建设三台循环流化床燃煤机组，二期建设两台66万kW级超超临界燃煤发电机组。

该火电厂作为中电联组织的电力企业电力工控系统信息安全试点单位，开展工控安全试点建设工作。绿盟科技凭借专业的技术能力、可靠的安全产品和丰富的行业经验，成为试点承建单位对该火电厂电力工控系统信息安全进行整体规划和建设。

经现场实地考察和风险评估分析后，该水电站安全现状总结如下：

栅格状边界防线已建立，已按照发改委14号令及国家能源局36号文中要求的“安全分区、网络专用、横向隔离、纵向认证”，初步建立纵横交错的栅格状边界防线；

网络边界防护力度不足，安全区Ⅰ和安全区Ⅱ之间的边界防护措施不够完善，部署的传统IT防火墙缺乏对工业协议的支持以及对工业病毒的防护；

恶意代码防范机制缺失，安全区Ⅰ和安全区Ⅱ的上位机、接口机、服务器等主机设备均处于“裸奔”状态，无法对恶意代码进行有效防范；

移动介质安全管控缺失，移动介质滥用、乱用现象严重：随意拷贝数据造成敏感信息泄露，移动介质携带病毒造成主机感染进而导致系统瘫痪；

入侵检测防范机制缺失，生产控制大区与调度数据网之间缺少入侵检测能力，无法对内部和外部发起的违规操作、误操作以及病毒、木马等攻击行为进行检测；

全网漏洞感知能力缺失，无法对全网漏洞情况进行全面感知，无法了解电力工控系统网络资产的脆弱性状况和薄弱节点，无法形成针对性的防护措施；

工控系统监测审计缺失，缺少针对上位机、服务器、用户行为和网络行为等信息的监测审计能力，更无法实现对电力工控系统安全设备的统一监管。

针对发现的安全风险和问题，绿盟专家技术团队根据该火电厂DCS系统、NCS系统和SIS系统情况，结合发改委、工信部和国家能源局等主管机构对发电厂工控系统安全防护的具体要求，为该火电厂电力工控系统构建栅格状、立体化的纵深防线。

1、在安全区Ⅰ的DCS系统、NCS系统和安全区Ⅱ的SIS系统之间部署工业防火墙，实现两个安全区域的边界防护和访问控制，同时对边界处流经的OPC协议进行深度报文解析和动态端口控制；

2、在原有网络架构基础上划分出安全管理区，在安全管理区的Ⅰ、Ⅱ区边界部署电力专用正向隔离装置，保障Ⅰ区安全设备的数据仅经过E文本单向传输到Ⅱ区。

1、在安全区Ⅰ的DCS、NCS交换机和安全区Ⅱ的SIS交换机上旁路部署工控安全审计，精准记录火电厂电力工控系统关键节点的网络通信行为，基于对火电厂业务系统的理解和工业协议的深度解码，结合火电厂业务系统操作过程中相关的规程要求，感知潜在的异常操作行为；

2、在安全区Ⅰ的RTU远动系统和安全区Ⅱ的SIS系统、保信子站上旁路部署工控入侵检测，及时发现来自电力工控系统内部和外部的攻击行为，防止攻击扩散蔓延，保障电力生产网络的安全运行。

1、在安全区Ⅰ和安全区Ⅱ的上位机、接口机和服务器等主机上安装主机卫士客户端软件，利用一键固化白名单技术，对电力工控系统的应用程序、进程、服务等进行管控，并利用主机加固功能对重要文件、注册表、进程进行加固保护，解决工业主机入侵检测、恶意代码防范能力不强的问题；

2、同时通过主机卫士客户端软件进行白名单式的USB安全管控，防范移动介质滥用，阻断从移动介质引发的病毒传播攻击；

3、在生产控制大区部署工控漏洞扫描，通过轻量化扫描、无损扫描等特定针对工控场景的扫描方式在系统上线前或机组检修期对电力工控系统进行资产脆弱性和威胁识别，可以及时了解电力工控系统的薄弱环节，从而针对性进行预防与加固。

1、将全网安全设备汇集在安全管理区，通过在Ⅰ区和Ⅱ区部署的安全数据转发器汇总区域内安全设备、网络设备、主机白名单软件、服务器等资产的安全数据，以E文本形式经过电力专用正向隔离装置单向传输到管理信息大区部署的工业网络安全监测管理平台；

2、通过工业网络安全监测管理平台的大数据分析技术对收集到的安全数据进行范式化处理，同时开展行为分析、业务关联和机械学习，实现对火电厂整体安全的态势感知和预警监测，发现异常行为，及时处置从而降低安全风险。

合规达标，风险可控：满足国家和电力行业相关法律法规以及政策标准等合规方面的要求，将电力工控系统的网络安全风险降低至可控范围。

趋势预警，成果可视：通过威胁情报和态势感知等新技术达到安全风险趋势预警，将电力工控系统异常行为的告警和处置成果在平台上展示。

平稳运行，业务可靠：整体方案实施完成后未对火电厂正常生产业务造成异常的影响，保障电力工控系统平稳运行、业务系统数据可靠传输。

纵深防御，安全可信：通过各类安全设备构建电力栅格状立体纵深防线，实现火电厂电力工控系统网络的综合防护，生产运行环境安全可信。