揭秘电力工控安全的黑匣子：全面解析安全审计

一

电力行业现状

✦

IT与OT融合现状

为了适应智能电网转型，满足新技术、新工具和新能力的需求，需要在IT与OT之间建立紧密联系。在技术应用方面，OT主要用于电力设备的控制和管理，而IT则侧重于企业级运营；在安全方面，IT和OT被部署在信息网络的不同区域。这导致了两个方面的问题：一方面，IT与OT发展不平衡，OT技术落后于IT技术；另一方面，部分系统由于IT与OT所采用的技术不同无法互联互通，底层数据无法进行集成共享，最终无法实现完全系统一体化管理的效果。

电力行业网络安全事件

2015年12月，乌克兰的Kyivoblenergo电力公司表示遭到BlackEnergy网络入侵，导致7个110KV的变电站和23个35KV的变电站出现故障，长达数小时的大规模停电，至少三个电力区域被攻击，占据全国一半地区。

2020年6月，巴西的电力公司Light S.A被黑客勒索1400万美元的赎金。

2023年8月，加拿大蒙特利尔市电力服务委员会第二大城市电力系统遭勒索攻击：被迫重建IT基础设施。

2023年11月斯洛文尼亚电力公司Holding Slovenske Elektrarne (HSE)遭受勒索软件攻击，其系统和加密文件遭到破坏。

事件分析

2015年12月，乌克兰的Kyivoblenergo电力公司遭受了BlackEnergy的网络攻击，这次攻击导致了大规模停电。攻击者通过钓鱼邮件进行投递，利用了BlackEnergy恶意软件在获取相关凭证后进行网络资产探测和横向移动，最终获得了SCADA系统的控制能力。

共性问题

网络安全意识不足：电力公司在网络安全方面的投资和培训常常不足，尤其是在应对复杂和高级的网络攻击方面。缺乏针对性的安全培训和意识教育，导致员工和系统对攻击的防御能力较弱。

应急响应和恢复能力不足：各事件表明，电力公司在遭遇网络攻击后的应急响应和恢复能力普遍不足。这包括对攻击的检测、分析、应对和恢复的速度，以及在攻击发生后保护关键基础设施和数据的能力。

漏洞管理和系统更新不及时：这些事件中的攻击往往利用了系统中的已知漏洞。公司在漏洞管理和补丁更新方面的滞后，使得攻击者能够利用未修补的漏洞进行入侵。

无安全审计溯源带来的困难

事件起因不明：没有日志记录，难以追踪网络安全事件的起始点。无法确定攻击是如何发生的，攻击者是如何进入系统的，或者是通过什么手段获得了访问权限。

攻击路径模糊：流量审计的缺失使得难以分析攻击者的行动路径和策略。没有流量数据，就无法清楚地了解攻击者在系统中如何移动和扩展。

缺乏行为模式分析：没有数据库审计，无法识别和分析异常的数据库操作行为。例如，数据被异常访问、篡改或删除的情况可能会被忽视。

难以确认受影响范围：没有日志或流量记录，很难确定事件影响的具体范围。无法追踪哪些系统、设备或数据被攻击者触及或影响。

预防措施失效：没有审计信息，难以分析攻击模式和漏洞，无法有效制定和改进预防措施，从而增加未来事件的发生风险。

无法提供证据：在法律和合规性要求下，缺乏审计记录可能无法提供有效的证据来支持调查和法律行动。这会影响对攻击者的追责和法律诉讼。

无法进行详细调查：没有审计数据，调查人员无法获得详细的信息来了解事件的详细情况，也就无法优化安全防御措施。

二

现行政策及法规要求

✦

▪️《中华人民共和国网络安全法》

该法规中规定，采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。

法规指出：“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度”。

▪️《关键信息基础设施安全保护要求》

该条例中规定应确保优先使用已在本组织登记备案的运维工具，如确需使用未登记备案的运维工具，应在使用前通过恶意代码检测等测试。

该条例中规定建立全流程数据处理活动的安全能力，符合相关国家标准关于数据安全保护的要求。

该条例中规定应针对监测发现的攻击活动，分析攻击路线、攻击目标，设置多道防线，采取诱捕、干扰、阻断、封控、加固等多种技术手段，切断攻击路径，快速处置网络攻击。

▪️《电力监控系统安全防护总体方案》

该条例中综合防护中规定结合国家信息安全等级保护工作的相关要求对电力监控系统从主机、网络设备、恶意代码防范、应用安全控制、审计、备份及容灾等多个层面进行信息安全防护。

该条例中规定发电厂厂级信息监控系统等业务系统应当逐步采用用户数字证书技术，对用户登录应用系统、访问系统资源等操作进行身份认证，提供登录失败处理功能，根据身份与权限进行访问控制，并且对操作行为进行安全审计；

该条例中规定生产控制大区的监控系统应当具备安全审计功能，能够对操作系统、数据库、业务应用的重要操作进行记录、分析，及时发现各种违规行为以及病毒和黑客的攻击行为。对于远程用户登录到本地系统中的操作行为，应该进行严格的安全审计。

▪️《信息安全技术网络安全等级保护基本要求》

该条例中规定“对系统管理员进行身份验证，并限制其仅能通过指定的命令或操作界面执行系统管理任务，并对这些操作进行审计记录。”

▪️《工业控制系统信息安全防护指南》

该条例规定“在工业控制网络中部署网络安全监测设备，应及时检测、报告和应对网络攻击或异常行为。”

三

电力行业安全审计设备的应用

✦

《电力监控系统安全防护规定》中安全分区的原则电力业务被划分为生产控制大区和管理信息大区，在综合防护中并针对安全审计提出了明确的要求。因此安全审计在电力行业的网络安全中有着至关重要的作用，是确保电力系统安全稳定运行的重要保障之一。

“黑匣子”，在航空领域用于记录飞行过程中的关键信息，以便在事故发生时进行分析。在网络安全领域，安全审计设备就像是一个“黑匣子”，记录着网络环境中的所有关键活动和事件，以下将从运维审计、数据库审计、日志审计、工控安全监测审计四个方面来说明。

威努特安全运维管理系统

部署位置

威努特安全运维管理系统可部署于场站侧安全Ⅰ区和集控中心侧的安全管理中心，对运维人员运维行为进行账号统一管理、资源和权限统一分配、操作全过程审计。实现对生产网内所有上位机、服务器、工业网络设备、安全设备、应用系统、数据库等资产的运维管理。辅助运维管理，提高运维权限管理，避免因运维人员权限过大导致的违规操作。

图安全运维管理系统部署示意图

解决问题

▪️ 清晰化的运维大屏展示

支持管理员首页拓扑图，包括运维用户、资产、资产组，并实时监测运维用户与被运维资产之间的运维关系，展示运维用户名称、运维方式、上次登录时间，展示资产名称、资产IP、资产类型等信息。

▪️ 全面的工业现场业务支持

全面支持工业现场上位机、服务器、工业网络设备、应用系统、数据库、安全设备等资产的安全运维管理。

▪️ 全面的运维协议支持

全面支持字符运维（SSH、Telnet）、图形运维（VNC、RDP）、文件传输（FTP、SFTP）、数据库运维（MySQL、SQLServer、Oracle等）、WEB运维（Https、Http）等。

▪️ 多元化的认证授权体系

支持本地认证、LDAP认证、RADIUS认证、USB key认证等多种认证方式，并可根据用户实际需求，设置混合认证方式，不同主账号采取不同的认证方式，实现按需认证。

产品优势

▪️ 自定义角色

支持自定义角色，支持将系统功能模块按需分配给角色，从而实现分级分权的管理模式。

▪️ 账号稽核

通过堡垒机对资产/系统帐号进行稽核，可以发现僵尸帐号、孤儿帐号、幽灵帐号，协助管理员快速发现低频使用的资产/系统帐号、未建立授权管理的资产/系统帐号和未托管到堡垒机的资产帐号。

▪️ 自动化运维

可以制定计划任务，资产执行提前编辑好的脚本。脚本超时执行时间为每个计划在机器上的超时时间，执行超过超时时间后会断开连接。自动化任务可关联堡垒机相应资产帐号。

威努特数据库审计

部署位置

威努特数据库审计部署场站侧安全Ⅰ区和集控中心侧的安全管理中心，审计设备在网络中以旁路方式部署，通过设备管理口提供策略配置、日志采集、查询报表等功能。访问数据库的流量通过交换机流量镜像引入到数据库审计设备中，系统对引入的流量进行审计和安全分析。

图数据库审计部署示意图

解决问题

▪️ 全面的数据库风险评估

支持Oracle、MySQL、SQLServer、Db2、Sybase、达梦、人大金仓、神州通用、Hadoop Hive等主流数据库，通过实时数据库运行状态监控，威努特数据库审计系统能够及时发现数据库在运行中出现的性能异常，并且结合审计日志准确定位异常操作，防止性能问题、误操作和恶意攻击而导致的业务瘫痪，合理优化业务系统。

▪️ 丰富的数据库操作审计规则

威努特数据库审计系统提供高级的审计规则，包括：多关键字匹配、正则表达式和SQL模式等，可以对数据库进行精确的访问行为监控。

当遇到数据访问量大、数据库用户繁多的数据库应用场景时，系统提供基于自动学习的基线策略模型，能够自动识别操作是否偏离基线策略，发现有偏离时将实时告警。

▪️ 高效的数据处理能力

支持硬件零拷贝技术、多级缓存技术、基于BigTable和MapReduce的存储技术和基于倒排索引的检索技术等，实现审计记录的快速查询。将设备旁路接入网络，即可对添加的数据库进行协议解析，并对解析内容快速入库建立索引文件，从而在审计分析时实现高效的查询机制。

产品优势

▪️ 完全自主的技术体系

硬件零拷贝技术：特殊数据包获取技术，更高效的网络通信内容解析。

多级缓存技术：多级分析结果缓存，高效的统计计算能力。

基于BigTable和MapReduce的存储：单机环境高效、海量存储。

基于倒排索引的检索：高效、灵活日志检索，报表生成。

▪️ 数据安全体系化防护

产品支持以Email、FTP、SNMP、SYSLOG、短信等方式向第三方平台发送日志告警等信息，结合态势感知等综合分析产品，构建多层次、多角度的数据安全纵深防御体系，对用户现场的数据资产做体系化防护。

▪️ 数据库状态实时监控

可将探针部署至数据节点和应用节点，支持对云环境的数据库进行审计。实现统一配置、自动部署、集中管理。用户能够实时监控探针的运行状态、资源占用等情况。

威努特日志审计与分析系统

部署位置

威努特日志审计与分析系统部署在场站侧安全Ⅰ区和集控中心侧的安全管理中心，该产品能够实时将工业控制网络中不同厂商的网络设备、安全设备、服务器、操作员站、数据库系统的日志信息，进行统一地收集、处理和关联分析，帮助一线管理人员从海量日志中迅速、精准地识别安全事件，及时对安全事件进行追溯或干预，满足网络安全法对日志保存六个月以上的要求。

图日志审计与分析系统部署示意图

解决问题

▪️ 工业主机日志分析

百种工业主机安全事件日志接收和解析，包括WindowsLinuxSolarisAIX系统日志、未经批准非法使用外部设备日志（U盘、CDROM、网卡、串口、并口）、禁用软件和服务日志、未经授权非法访问敏感文件日志、非法连接外网日志、违规开发高危端口日志等。

▪️ 智能关联分析引擎

支持事件关联、时序关联、统计关联分析功能，提供网络异常、流量异常、登录异常、行为异常等百余种关联分析策略。

▪️ 审计报表

自动生成专项审计报表，包括登录审计报表、账号审计报告、外设使用审计报表、配置变更审计报表、命令操作审计报表。

▪️ 实时告警

关联分析引擎自动将范化后的日志与系统内置的关联分析规则进行匹配，命中规则的日志实时上报告警信息。

支持通过短信、邮件、SNMP Trap、声光告警等方式将告警通知给相关人员。

产品优势

▪️ 日志解析

内置1100种日志解析规则，支持7大类百种常见设备日志范化规则，支持自定义配置范化规则，可满足常见应用场景的日志解析需求。支持对已范化日志进行二次解析，可自定义二次解析规则。

▪️ 数据分析

实时记录系统中各设备的登录、账号、外设、命令指令、配置变更等活动，对各类活动进行统计分析，筛选出可能存在风险的行为操作。

▪️ 精细化权限管理

除三权分立外，还可以定义其他的管理角色，能够为不同的管理角色分配不同的管理区域和管理界面

威努特工控安全监测审计系统

部署位置

威努特工控安全监测审计系统部署于安全Ⅰ区和集控中心侧，该产品可监测现场控制层设备流量，当设备出现端口、软件、网络、协议故障导致无流量时，产生告警信息。监测过程监控层设备的流入流出流量，并设置基线值，超出基线值将产生告警。

图工控安全监测审计部署示意图

解决问题

▪️ 细粒度协议值域检测与审计

通过工控协议的深度解析能力，结合“白名单+智能学习”机制，对各类工控协议数据包进行快速捕获和值域级解析。利用智能算法学习建立工控通信基线，对网络中工控协议通信行为与基线进行对比分析，不符合工控通信基线的异常指令操作、新设备（IP地址）、异常连接行为、异常通信地址/端口等将触发告警。

▪️ 异常流量监测

监测设备的流入流出流量并设置基线值，超出基线值进行报警。

监测并采集系统内正常的网络通信，并可手动调校相关通信连接基线，对偏离基线的行为进行检测告警。

▪️ 文件内容还原实时告警

支持FTP文件内容还原，还原的文件提供列表展示，内容包括：序号、IP、上传时间、文件名称、操作，支持按照IP、文件名称、上传时间范围查询。

▪️ 元数据上报

支持HTTP、DNS、SMTP、TELNET协议元数据上报。

产品优势

▪️ 资产识别

支持被动资产识别，设备侧解析收到的响应报文，根据报文负载字段与特征库是否匹配，被动识别出生产环境中存在的资产，识别结果上报安管平台，识别的资产属性包括：IP、MAC、用户、供应商、设备类型、资产分类、服务、固件、模型、版本、操作系统、最后发现时间。

▪️ 事件告警管理

支持对工程师站组态变更、操控指令变更、PLC下装、负载变更等关键事件告警；包括但不限于OPC的写操作，MODBUS各功能码的写操作，S7协议的写命令、请求上、请求下、下载完等，DNP3的写入、启动、保存、删除，IEC104协议的单、双命令。

▪️ 正常通信行为建模

支持基于指令周期/时序逻辑的工业行为基线建模，包括对通讯协议报文周期的检测、对通讯协议报文序号的检测、对报文应用层长度的检测、对报文长度字段的检测、对通讯协议报文中特定字段的值校验、对报文时序逻辑的检测。

四

客户价值

✦

▪️ 满足网络安全法、等级保护 2.0、国能安全 36 号文等政策法规要求，从政策合规性层面保障企业生产系统网络安全。

▪️ 提升企业工业生产系统网络安全防护水平，确保设备、系统、网络的可靠性、稳定性和安全性。

▪️ 保障生产网络内的数据私密性，避免企业相关工艺信息、关键参数、隐私信息泄漏。

▪️ 使企业具备及时发现、应对和解决网络安全事件的能力。在面对网络攻击或者安全漏洞时，企业能够快速采取措施并降低安全事件造成的损失。

▪️ 提高事件响应速度，通过结合日志审计、数据库审计、运维审计和工控安全监测审计的多层次信息，安全团队可以更快地识别、响应和解决网络安全事件，减少事件对业务的影响。

▪️ 增强安全防御能力，日志审计、数据库审计、运维审计和工控安全监测审计提供的详细信息和分析可以帮助识别系统中的安全漏洞和潜在风险，优化安全配置和防护措施，提高整体安全防御能力。

▪️ 支持合规性与审计，提供必要的审计记录和证据，帮助企业满足各种法规和标准的要求，支持合规性审计和法律诉讼。

▪️ 优化安全策略，通过对安全事件的全面分析，提供改进安全策略和防护措施的依据，持续提升安全防御体系的有效性。

五

成功案例

✦

XX水电站，是国家重点工程和实施西部大开发、“西电东送”战略的标志性工程，该项目需要替换已有的商用安全设备，采用国产化工控网络安全产品，避免非国产化产品带来的安全隐患。该水电站使用了威努特的日志审计、数据库审计、运维审计和工控安全监测审计四种产品，在安全Ⅰ区的安全管理中心部署日志审计、数据库审计和运维审计，在安全Ⅰ区交换机旁部署工控安全监测审计。项目满足等保2.0三级要求和国能安全[2015]36号中对安全审计的要求，进一步完善了水电站的安全防护体系，为安全生产保驾护航。

六

总结

✦

日志审计、数据库审计、运维审计和网络审计等措施是电力行业网络安全等级保护的重要组成部分。通过日志审计设备的详细记录功能，可以追踪安全事件的来源，为事件的追责定则提供依据，增强时候分析分析和取证能力。工控安全监测与审计设备可以实时监控网络活动，及时发现异常行为和潜在威胁，从而提高安全防护能力。数据库审计系统能够对数据库操作的风险行为进行实时告警，帮助管理人员及时采取应对措施，防止数据被破坏或窃取。运维审计可以规范运维操作，减少误操作和非授权操作带来的风险，提升运维效率和安全性。通过这些审计设备的精心部署与高效运行，电力行业得以全面提升其网络安全防护能力，确保电力系统在复杂多变的网络环境中始终安全、稳定地运行。网络安全是一项永无止境的工作，威努特将不断推陈出新，为国家电力行业展示全新的技术防护方案，从多维度、全方位地确保电力行业网络安全的持续稳定。

渠道合作咨询田先生 15611262709

稿件合作微信:shushu12121