划重点！火电关基设施安全防护建设总结

1、前言

随着大国博弈加剧，围绕关键信息基础设施的网络攻击、科技制裁已成为第二战场，网络武器的目标已经从破坏敌对国主要军事设施转向破坏敌对国的关键基础设施。我国关键信息基础设施安全保护工作有序推进。2016年发布的《中华人民共和国网络安全法》首次正式明确了关键信息基础设施的概念并提出了关键信息基础设施安全保护的相关要求。2021年9月，《关键信息基础设施安全保护条例》正式发布，明确了监督管理体制和运营者相关责任和义务。2023年5月起正式实施的《信息安全技术关键信息基础设施安全保护要求》（GB/T 39204-2022）作为首个正式发布的关键信息基础设施安全保护指导标准，规定了分析识别、安全防护、检测评估等关键信息基础设施安全保护的六个方面活动，及各环节运营者需遵循的相关要求。

电能是我国当前主要的能源之一，不仅关系到国家能源安全、环境安全，还关系各行各业的健康发展和民生建设，其安全稳定供应是国家安全战略的重要内容之一。保障电能的安全稳定供应，不仅需要对电力系统一次设备等资产进行保护，更需要对支撑电力行业关键业务运行的信息系统和电力监控系统及承担这些系统运行所需的软硬件设备和通信网络设施进行安全保护，即对电力CII进行重点保护，因为电力CII运行在通信网络环境中，其安全形势更为严峻和复杂，面临的安全威胁更多。这些系统要么关系到电力系统的安全稳定运行，要么系统内的数据不允许泄露，一旦外泄会给国家安全造成严重损失。因此，加强对电力CII的保护，是确保国家能源安全的重要举措。

1.1

电力CII定义

关键信息基础设施（CII）主要是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等，其严重危害性特征显著。

《电力安全事故应急处置和调查处理条例》（国务院令〔2011〕599 号）中将电力安全事故划分为特别重大、重大、较大和一般事故 4 个等级，参照CII 判定标准和电力安全事故分级标准，电力CII可以定义为，能够支撑电力关键业务运行，一旦遭到破坏、丧失功能或数据泄露，可能影响电力系统安全稳定运行和电力正常供应，引发重大电力安全事故，甚至严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。其中电力关键业务指对电力系统安全稳定运行和电力正常供应有重要作用，受损后可能引发重大电力安全事故甚至严重危害国家安全、国计民生、公共利益的电力业务。

1.2

CII保护与等级保护关系

网络安全法明确了对于关键信息基础设施的保护是在网络安全等级保护制度的基础上，实行重点保护，网络安全等级保护 2.0 标准中也强调了重要信息系统的优先保护原则，使得等级保护和CII保护能够有机衔接起来。在网络安全等级保护 2.0 标准实施后，网络安全等级保护是CII保护的基础，而 CII 保护则是在网络安全等级保护的基础上重点保护。狭义上理解两者均是针对信息系统或工业控制系统，CII保护强调保护支撑关键业务的信息或工业系统的保护，其技术措施和管理要求均高于等级保护，更能凸显国家网络安全战略。关键信息基础设施（CII）范围内的对象受到安全威胁后，会影响重点行业关键业务正常运行，同时给关联领域甚至国家安全造成严重损失。等级保护针对我国境内所有的信息系统进行保护，其中安全定级较高的信息系统与关键信息基础设施保护要求基本一致。从范围层面来看，“关保”更聚焦；从流程层面来看，“关保”更全面；从技术层面来看，“关保”更强化；从管理层面来看，“关保”更明确。

不同的发电企业在工业化和信息化过程中，针对不同的具体业务建设了不同的电力监控系统和管理信息系统。在未实施关键信息基础设施保护前，均统一按照等级保护要求进行安全防护建设和管理，对支撑关键业务的电力监控系统或信息系统的安全防护技术监督、人力资源配置和资金支持等方面的投入未重点倾斜。

2、火电CII认定与识别

2.1

火电CII现状

自2007年国务院《关于加快关停小火电机组若干意见的通知》，火电行业开始“上大压小”。新建、扩建、改建的火电厂发电机组规模越来越大，按照行业定级要求火电机组控制系统单机容量300兆瓦及以上的定级为三级来看，火电生产控制系统需要按等保三级要求重点防护的占比越来越高。电厂生产控制系统和电力监控系统是以计算机、通讯设备、测控单元为基本工具，为火电厂生产的实时数据采集、开关状态检测及远程控制提供了基础平台，它可以和检测、控制设备构成任意复杂的监控系统，在火电厂生产中发挥了核心作用，可以帮助企业消除信息孤岛，降低运作成本，提高生产效率，加快产电、变配电过程中的异常反应速度。当前火电企业CII普遍存在以下网络安全隐患：

1）火电企业系统众多、数据交互频繁，一旦防护不当会导致恶意攻击从信息网甚至互联网直接渗透到生产网络；

2）生产控制大区的工程师站、操作员站等大部分上位机为Windows/Linux平台。为保证过程控制系统的相对独立性，同时考虑到系统的稳定运行，通常在系统运行后不会安装杀毒软件，更新安全补丁或变更策略配置，防止埋下巨大的安全隐患。一旦感染恶意代码，极易传播扩散，导致非计划停机；

3）目前在火电DCS控制系统中，各类品牌设备普遍存在安全问题。近年来国内外漏洞平台陆续发布了针对工控系统HMI软件、PLC固件的多个漏洞。一旦漏洞没有及时修复被黑客利用，会造成严重影响；

4）缺乏对管理和技术人员操作行为的有效安全监管和审计，误操作或恶意操作安全风险较大；

5）大部分火电企业并无统一的信息安全管理策略，亦并未配置独立的安全管理中心。

2.2

火电CII的认定识别方法

分析识别是开展关保工作的第一步，也是开展后续安全活动的基础！围绕关键信息基础设施承载的关键业务，开展业务依赖性识别、关键资产识别、风险识别等活动。通过调研、访谈，同时利用漏洞扫描、风险评估等技术手段，手动+自动结合的方式实现对关键业务的分析识别！

图1 火电CII识别要素

2.2.1 火电关键业务识别

电力关键业务的确定是开展电力关键信息基础设施认定和保护的基础。只有确定了电力关键业务，才能从众多的信息系统或控制系统中筛选出需要进行重点保护的部分。火电业务关键性影响因素包括发电装机容量。发电装机容量是表征电厂建设规模和电力生产能力的主要指标之一，是决定发电业务关键性的主要因素。装机容量越大，表明其业务规模和服务范围越大，发生电力安全事故后的业务影响越大，业务替代性越小。

2.2.2 火电业务数据识别

业务数据已成为企业的重要资产之一，尤其是核心数据更是关系到企业的发展战略、经营情况。电力产业是国家的支柱性产业，通过对电力数据尤其是用电量信息的分析能够直接反应出国家的整体经济情况和产业分布。因此，在确定关键业务后，应当从数据敏感性、完整性、安全性、一致性等方面，分析关键业务生成的数据哪些应当进行重点保护。通过信息安全的保护实践和电力监控系统安全防护实践，从控制区、非控制区、管理区等维度划分出关键的业务数据，如电力监控系统数据、自动发电量控制数据、自动电压控制数据等。

2.2.3 火电CII识别

针对每项电力信息设施，根据信息设施的部署和应用规模，信息设施在电力关键业务逻辑、业务功能中的作用及信息设施可替代性等各方面因素，并充分考虑各项信息设施间依赖和关联影响，综合分析确定信息设施的重要程度。如：对电力业务逻辑、功能实现极其重要，无任何替代措施；如果信息设施不能运行，则业务完全无法开展。对电力业务逻辑、功能实现非常重要，有个别替代措施；如果信息设施不能运行，则业务大部分功能不能实现，部分重要业务无法开展。这些电力信息设施可直接判定为火电CII，如表1所示，火电厂关键信息设施。

表1 火电厂关键信息设施

2.2.4 火电CII边界识别

信息化高度发展和数字化的全面建设，使得系统与系统之间的交互更为紧密。在不对系统边界加以识别的前提下，将难以做到CII的重点、优先保护。在火电CII保护中，主要是对其中关键业务范围内的信息系统进行保护，为此以确定后的关键业务及业务数据划分的基础上，通过关键业务数据来源、流向的分析，对关键业务链进行梳理形成业务链图，来确定关键业务和数据所使用的网络设施、计算和存储设备，形成最小边界，从而降低火电CII的保护面，支撑关键信息基础设施“重点、优先保护”原则的具体实施。

图2 火电 CII边界识别工作流程图

3、火电CII安全防护

CII安全保护的组织机构建设和责任落实是开展电力关键信息基础设施保护的根本保障，也是国家相关法律和CII保护的基本要求。只有在统一CII组织机构领导下，才能将CII保护落实到日常工作中并形成常态化。

3.1

火电CII安全管理能力建设

CII管理能力建设是一个持续性过程，需要适应网络安全技术和安全威胁的发展与演变，不断完善管理手段和职责。在火电CII的安全管理能力建设中，各发电企业可根据现有安全管理组织机构和关键信息基础设施在企业中分布情况，建立分级管理机制，分别在集团公司和分子公司建立以企业主要负责人为负责人的CII安全管理专门机构，并在关键信息基础设施运营部门落实专岗专职，统一对企业内的关键信息基础设施网络安全进行管理。

定期组织开展自查自纠，按照国家有关工作部署要求针对关键信息基础设施开展网络攻防实演习和应急演练，组织技术检测力量定期对关键信息基础设施进行全面、深度渗透测试，开展专项风险评估，聚焦重点、抓纲带目、综合施策、攻防相长，及时发现关键信息基础设施安全保护工作薄弱环节，从管理和技术层面挖掘关键信息基础设施深层次安全风险隐患，防微杜渐，不断提升关键信息基础设施安全风险隐患的主动发现能力和攻防对抗能力。

3.2

火电CII纵深防御体系建设

在火电 CII 纵深防御体系建设中，需满足“电力监控系统安全防护”和网络安全等级保护，构筑火电CII保护的“四重防线”，实现对风险的有效管理和防控。技术上满足“安全分区、网络专用、横向隔离、纵向认证、综合防护”。威努特遵循电力行业的标准规范要求，采用“等保”和“关保”为建设依据，结合电力行业网络安全框架模式，落地以“态势感知”为目标的“纵深防御”网络安全技术体系解决方案，以保障火电CII网络安全。

图3 以“态势感知”为目标的“纵深防御”技术体系

第一重防线：针对工业主机的特殊性，建立工控主机安全计算环境 “白名单”，实现应用锁定、系统锁定、外设锁定、网络锁定，协同统一安全管理平台建立工控主机的安全管理中心、安全状态监测中心。通过漏洞管理、主机安全加固、禁用易受攻击端口、禁用非必要服务、主机防病毒、高强度口令、双因子认证等措施予以保证；

第二重防线：按照业务功能及重要性针对工业网络进行分区分域，通过技术手段实现安全区域边界的“白环境”，实现访问控制白名单固化、工业协议白名单固化、业务白名单固化，按最小化原则配置安全策略等进行安全控制；

第三重防线：建设安全管理中心，实现工业资产的主动发现、资产暴漏情况、漏洞的无损探测、网络攻击检测、威胁诱捕、安全运维、安全配置核查、日志审计分析、数据库高危操作审计等能力。通过统一安全管理平台实现全厂工控网络安全产品的统一策略下发，提高运维效率，降低维护成本，构建“一个中心、三重防护” 的纵深防御体系；

第四重防线：电力 CII 网络安全态势感知，全方位感知电力生产CII网络安全态势，实现资产管理、风险展示、业务可视、合规分析等，做到业务安全监测、态势分析以及攻击溯源能力提升建设，最终建立可靠的安全运营机制。

图4 火电CII网络安全防护方案

4、结束语

电力关键信息基础设施是保障电力关键基础设施的重要内容之一，保证其安全稳定运行，做到电力关键信息不泄露、关键业务不受网络攻击破坏，是保证电力基础设施持续稳定运行的重要方面。威努特以自主研发的全系列工控网络安全产品为基础，深度耦合电力行业安全运营需求，参照国内国际的标准技术体系规范，落地以“态势感知”为目标的“纵深防御”网络安全技术体系解决方案，为电力行业客户提供全生命周期纵深防御解决方案和专业化的安全服务，迄今已为国内及国外的1000多家电力行业客户实现了业务安全合规运营。其中多个项目标杆案例在满足行业合规要求的同时，等级保护测评均高分通过，方案有效性、产品稳定性、行业适配性得到行业充分验证，全球1000+电力行业客户的一致选择。

威努特简介

北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者，是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。

威努特依托率先独创的工业网络“白环境”核心技术理念，以自主研发的全系列工控安全产品为基础，为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务，迄今已为国内及“一带一路”沿线国家的6000多家行业客户实现了业务安全合规运行。

作为中国工控安全国家队，威努特积极推动产业集群建设构建生态圈发展，牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作，始终以保护我国关键信息基础设施安全为己任，致力成为建设网络强国的中坚力量!

渠道合作咨询田先生 15611262709

稿件合作微信:shushu12121