一背景簡介

國內某大型水電站是國家西電東送“十五”期間重點工程，該電站總裝機容量100萬kW，年發電量24億kW·h，同時具備多年調節的性能。

該水電站作為中電聯組織的電力企業電力工控系統信息安全試點單位，開展工控安全試點建設工作。綠盟科技憑借專業的技術能力、可靠的安全產品和豐富的行業經驗，成為試點承建單位對水電站進行電力工控系統信息安全進行整體規劃和建設。

二安全現狀

某水電站電力工控系統現狀拓撲

經現場實地考察和風險評估分析后，該水電站安全現狀總結如下：

柵格狀邊界防線已建立。已按照發改委14號令及國家能源局36號文中要求的“安全分區、網絡專用、橫向隔離、縱向認證”，初步建立縱橫交錯的柵格狀邊界防線；

網絡邊界防護力度不足。安全區Ⅰ和安全區Ⅱ之間的邊界防護措施不夠完善，部署的傳統IT防火墻缺乏對工業協議的支持以及對工業病毒的防護；

水情測控接入防護缺失。安全區Ⅱ的水情系統前端測控站與后端服務器之間通過微波進行無線通信，缺乏安全防護設備在接收端對數據的無線輸入進行安全防護；

惡意代碼防范機制缺失。安全區Ⅰ和安全區Ⅱ的上位機、服務器等主機設備均處于“裸奔”狀態，無法對惡意代碼進行有效防范；

移動介質安全管控缺乏。移動介質濫用、亂用現象嚴重：隨意拷貝數據造成敏感信息泄露，移動介質攜帶病毒造成主機感染進而導致系統癱瘓；

監控系統監測審計缺少。缺少針對上位機、服務器、網絡行為等監測審計能力，更無法實現對電力監控系統安全設備的統一監管；

重要控制設備防護缺失。針對各控制系統PLC的防護措施不足，無法對流經的工業協議進行深度包檢測，發現異常操作和違規行為；

廠站安全管理制度不全。電力監控系統網絡安全管理制度不健全，無法落實網絡安全工作職責和責任，相關軟硬件設備得不到有效保養維護。

三解決方案

針對發現的安全風險和問題，綠盟科技專家技術團隊根據該水電站計算機監控系統和水情水調自動化系統情況，結合發改委、工信部和國家能源局等主管機構對發電廠工控系統安全防護的具體要求，為水電站電力工控系統構建柵格狀、立體化的縱深防線。

區域邊界防護

在安全區Ⅰ和安全區Ⅱ之間部署工業防火墻，實現兩個安全區域的邊界防護和訪問控制；在安全區Ⅰ的監控系統中各處LCU和站控層交換機之間部署工業防火墻，實現對LCU內部重要控制設備PLC的精準防護；在安全區Ⅱ的水情系統中測控裝置后端加設安全接入區，在安全接入區中部署電力專用正向隔離裝置確保數據單向傳輸，防止攻擊通過無線通信蔓延至內部網絡中。

通信網絡監測

在安全區Ⅰ的調度實時交換機、集控實時交換機上旁路部署工控安全審計，在安全區Ⅰ的監控系統的站控層交換機上旁路部署工控安全審計，在安全區Ⅱ的調度非實時交換機、集控非實時交換機上旁路部署工控安全審計，精準記錄水電站電力監控系統關鍵節點的網絡通信行為，基于對水電站業務系統的理解和工業協議的深度解碼，結合水電站業務系統操作過程中相關的規程要求，感知潛在的異常操作行為。

計算環境防范

在安全區Ⅰ和安全區Ⅱ的上位機、服務器等主機上安裝主機衛士客戶端軟件，利用機器自學習白名單建模技術，對電力監控系統的應用程序、進程、服務以及外設進行管控，同時利用主機加固功能對重要文件、注冊表、進程進行加固保護，解決工業主機入侵檢測、惡意代碼防范能力不強的問題；并在這些主機上部署USB保護裝置，配置安全策略只允許可信U盤進行接入，禁止非授權移動介質的接入，實現USB的安全管控。

管理中心態勢

在安全區Ⅱ中部署工業網絡安全監測管理平臺，接入水電廠安全設備、網絡設備、主機白名單軟件、服務器等資產，通過大數據技術進行行為分析、業務關聯和機械學習，實現對水電站整體安全的態勢感知和預警監測，發現異常行為，及時處置從而降低安全風險。

物理環境監測

在通訊機房、計算機監控機房、集控機房、MIS機房部署6套精密工業空調，并安裝水浸傳感器、煙感傳感器等裝置，同時將機房UPS電源接入動態環境監測系統中，實現對機房物理環境的實時監測。

管理制度健全

建設一套適用于該水電廠的安全管理以及應急預案制度，安全管理制度包括組織建設、外來人員、網絡安全、風險評估、變更、供應商、介質等一系列管理制度。

四客戶價值

★ 合規達標，風險可控

滿足國家、行業法律法規以及政策標準等合規方面的要求，通過等保三級測評，將網絡安全風險降低到可控范圍內。

★ 趨勢預警，成果可視

通過大數據、威脅情報和態勢感知等新技術達到安全風險趨勢預警，網絡安全成果可在平臺進行展示。

★ 平穩運行，業務可靠

整體方案實施完成后未對水電站正常生產業務造成影響，保障電力監控系統平穩運行，業務系統數據傳輸可靠。

★ 縱深防御，安全可信

通過各類安全設備構建電力柵格狀立體縱深防線，實現水電站生產控制系統網絡安全的縱深防御和綜合防護，生產運行環境安全可信。