
推荐单位及作者

京能十堰热电有限公司
高晓亮
1
背景
2016年4月19日 习近平总书记在网络安全和信息化工作座谈会上指出:“维护网络安全,首先要知道风险在哪里,是什么样的风险,什么时候发生风险,正所谓“聪者听于无声,明者见于未形”。感知网络安全态势是最基本最基础的工作。要全面加强网络安全检查,摸清家底,认清风险,找出漏洞,通报结果,督促整改。要建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制,准确把握网络安全风险发生的规律、动向、趋势。要建立政府和企业网络安全信息共享机制,把企业掌握的大量网络安全信息用起来,龙头企业要带头参加这个机制。”
2017年2月17日 习近平在国家安全工作座谈会上的讲话:“要筑牢网络安全防线,提高网络安全保障水平,强化关键信息基础设施防护,加大核心技术研发力度和市场化引导,加强网络安全预警监测,确保大数据安全,实现全天候全方位感知和有效防护。”
习近平总书记明确指出:“加快构建关键信息基础设施安全保障体系。金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。”这些基础设施一旦被攻击,具有极大的破坏性和杀伤力,尤其是电力系统。近年来,电力系统网络安全形势严峻,存在诸多问题与挑战。着力保护电力关键信息基础设施网络安全,是当前国家网络完全工作的重点。
为贯彻落实习近平总书记的重要讲话精神,2019年1月,国资委召开能源智慧信息平台建设工作推进会:提出“推进网络安全态势感知、预警能力建设。建立行业、企业网络安全态势感知预警平台,加强电力监控系统、重要管理信息系统、互联网出口的全面监测,加强网络安全信息的汇集、研判。”2019年3月,国务院国资委联合工业和信息化部、国家能源局,共同开展能源类国有企业共商共建共享的网络安全及能源智慧信息平台(能源工业互联网平台)建设工作。并将工业信息安全态势感知平台的建设作为能源工业互联网平台的首要任务。
- 火电行业作为传统能源行业,正面临节能减排、效率提升和智能化转型的迫切需求。
- 5G技术的高速率、低延迟特性为火电行业的智能化提供了技术基础。
- 信创产业的自主可控特性为火电行业的信息安全提供了保障。
2
现状分析
2018年上半年,据工信部工业信息安全发展研究中心发布的《电力系统网络安全态势分析报告》,发现了国内1147个电力网络设备违规外联,暴露在互联网上,并且大部分设备都存在严重安全漏洞。针对这些设备的扫描和攻击达300万次之多,CNVD收录的电力行业专属设备安全漏洞近百条。监测到来自境外重点探测组织的IEC-104、MODBUS等电力协议的空闲端口探测事件共2880316起,涉及境外81个IP主要分布在欧美地区。抽取84个暴露在公网的重要WEB电力监控管理系统进行了为期1周的全流量监测,发现1486次来自境外的木马注入、权限获取等网络攻击事件。从以上数据我们可以看出,能源基础设施来自于网络的威胁日益增大,态势日趋严峻。
经前期到部分电厂实际调研走访,结合大量权威机构发布的安全数据进行分析,发现电厂目前普遍存在的安全问题如下:
2.1 违规外联问题普遍存在
发电企业均不同程度存在违规外联问题。以新能源为例,90%的电站为了方便业主及设备厂家维护,违规建立远程连接通道,造成能源基础设施完全暴露在互联网环境下。2018年,ICS-CERT通过对互联网中的新能源电站天气查询数据流量进行监测分析,共发现新能源智能电站及部分WEB资产相关IP共59个,其中新疆53个,西藏5个,宁夏1个。通过查询,显示这些IP分别属于宁夏**新能源基地、**变电站、新疆哈密**能源、新疆昌吉**以及新疆哈密**风电公司等新能源企业。并且在现场走访调研的过程中,我们发现更为严重的是大量违规外联指向境外IP,致使部分国家工业能源生产数据外泄。
2.2 80%关键控制系统依靠进口
目前,国有大型能源生产企业,尤其是火电、核电、石化、化工等行业的关键生产装置所使用的控制系统,绝大多数是霍尼韦尔、横河、三菱、艾默生、ABB、GE、西门子、施耐德等国外品牌,核心技术受制于人,面对国外设备的技术黑盒现状,缺乏有效手段检测软硬件存在的后门与漏洞,为能源企业安全生产埋下隐患。
2.3 病毒、木马泛滥
因防病毒软件对主机设备的内存占用较大,为了避免影响到主机设备性能,现场主机设备都存在未安装防病毒软件的情况。同时,移动介质交叉使用的现象会导致病毒木马在网络内扩散传播。在实地调研过程中,发现某风电场的AGC/AVC服务器存在7000多次木马爆发记录。
2.4 90%电厂缺少安全监控预警机制
目前发电企业生产设备的监测主要是对各控制系统生产运行的监控,主要监控工艺、参数、报警等生产信息。安装的安全防护设备也处于独立运行使用,安全数据没有进行采集汇总分析,无法做到出现安全攻击事件时提前预警、统一管控及应急处置。
2.5 95%控制系统存在已知安全漏洞
各类生产控制设备在厂商设计之初就极少考虑安全问题,导致设备安全漏洞不断涌现。国家信息安全漏洞共享平台(CNVD)、中国国家信息安全漏洞库(CNNVD)中已经发布了知名控制器厂家的DCS、SCADA、PLC存在大量高危漏洞。由于生产现场因保证业务的持续性和稳定性,基本都不会对已知漏洞进行修复,这些高危漏洞会一直存在。
2.6 80%发电企业安全仅达到最低防护标准
多数电厂的安全防护措施基本上达到了能源局电力监控系统防护要求及公安部等级保护要求的合格水平。但仅达到最低合格水平的安全防护措施,在面对针对性的网络攻击时,“木桶效应”就会显现,一攻即破。2018年12月,战略支援部队网军,渗透进入内蒙多个发电企业,企业并未及时发现。
随着能源智慧化的发展,催生了更多的互联、互通需求。而互联互通又给能源基础设施的网络安全带来了新的风险与挑战。为了推动国家智慧能源的发展,保障业务生产安全,迫切需要建立起全程全网的安全监控体系。
3
建设目标
按照“设备自身感知、数据就地采集、平台统一管控”的原则,电厂侧安全I区、安全II区和管理信息大区部署工控安全流量日志分析系统、管理信息大区新建安全区,部署工控统一安全管理平台。平台利用大数据采集、存储、分析技术,收集多种安全数据,并将各类安全数据进行关联分析,再利用可视化技术,将各种威胁事件行为、系统脆弱性进行可视化展示。实现对系统安全的整体展示、态势感知、攻击事件溯源、及对潜在威胁的预警功能。
完善电力监控系统安全防护体系,推动网络安全管理从“静态布防、边界监视”向“实时管控、纵深防御”的转变,全面实现“外部侵入有效阻断、外力干扰有效隔离、内部介入有效遏制、安全风险有效管控”的防控目标。为推动能源领域供给侧结构性改革,确保国家能源安全作出积极贡献。
4
建设范围
系统/设备的安全信息采集,主要信息为业务系统全流量数据、辅助信息为主机的安全事件和日志信息(如果具备条件)、安全设备和网络设备日志(如果具备条件)的采集,包括如下:
安全I区:所采集系统为DCS主控、辅控等;所采集设备为应用服务器、工程师站等,安全设备和网络设备(如防火墙、隔离设备、IDS、交换机等);
安全II区:所采集系统为SIS系统等;所采集设备为应用服务器、工作站等,安全设备和网络设备(如防火墙、隔离设备、IDS、交换机等);
管理信息大区:所采集系统为MIS系统、办公系统等;所采集设备为应用服务器、工作站等;安全设备和网络设备(如防火墙、隔离设备、IDS、交换机等);
场外通讯:其他向外传输链路数据采集(如政府)。
注:现场依据设备接入条件及火电厂实际情况对系统和设备相关信息进行采集,其中NCS不纳入采集范围。
5
建设内容
5.1 建设原则
1) 规范性
首先平台符合国家法律法规要求,符合行业相关标准要求。业内标准规范代表了完全的信息安全保障体系,为工业信息安全态势感知平台的建设和运维提供了先进的理论体系支撑,为行业信息安全防护体系奠定了坚实的基础。
2) 先进性
工业信息安全态势感知平台采用国际、国内流行的先进和稳定可靠信息采集、分析技术,并能够随着技术的进步而不断推陈出新,以适应智慧能源、智能电厂安全需求的不断演变。
3) 成熟性
以实用为原则,采用成熟的经过工程检验的先进技术。其事件采集、事件分析、大数据分析技术在国内外安全行业内均已经实现。
4) 兼容性
采用开放的技术标准,能够全面支持已部署的、主流厂商的相关安全产品、网络产品、服务器产品,支持各类安全协议、传输协议。平台部署后,能够快速的应用到各发电厂的实际网络环境中,发挥其本身的功能作用。
5) 安全性
平台提供三权分立机制,采用严格的、安全的可靠性措施,保证系统正常运行、信息传输的安全。平台部署符合《中华人民共和国网络安全法》、国家等级保护三级要求、能源行业标准要求,在各类电厂现有的安全防护体系中,起到进一步提高安全防护能力的作用。具备持续不间断地满足网络信息安全监测分析及预警的相关应用能力。
6) 可扩展性
平台在设计和建设之初就考虑到未来信息化发展和信息规模扩大情况下的系统的服务能力,在系统设计、部署时充分考虑系统的扩充、升级能力,多管理节点的统一监控能力。为此,平台支持分布式存储、分布式采集和分布式计算,支持水平弹性扩展,以满足能源行业信息化规模和不断增加的安全数据的处理需求,保护能源数据资产。
7) 易管理
平台考虑到管理维护的可视化、层次化及控制的实时性,真正做到系统所有资源状况、安全攻击事件一目了然。能充分保证将安全攻击行为控制在尽可能小的范围内,第一时间发现预警,提供有效的处理措施。运营人员只需要及时查看监控预警信息即可。平台提供WEB管理界面,提供集中展示功能,方便运营人员管理,管理人员监督检查。
5.2 建设依据
本方案以合规性要求为主,在实现合规的同时,满足行业的相关标准要求,提升各电厂侧的安全防护水平和应对突发事件的预警和处理能力,具体参考的标准如下:
Ø 《能源工业互联网平台安全态势感知技术规范》
Ø 《中华人民共和国网络安全法》
Ø 《网络安全等级保护2.0》
Ø 《国能发安全【2018】72号文国家能源局关于加强电力行业网络安全工作的指导意见》
Ø 《关键信息基础设施保护条例》
Ø 《电力监控系统安全防护规定》发改委14号令
Ø 国能安全〔2015〕36号《国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》
Ø 电监信息〔2012〕62号 《电力行业信息系统安全等级保护基本要求》
Ø 《国能发安全〔2018〕58号文关于印发电力行业应急能力建设行动计划(2018-2020年)的通知》
Ø 电监安全〔2006〕34号-电力二次系统安全防护方案
Ø 《信息安全技术 网络安全等级保护测评过程指南》GB/T 28449-2018
Ø 《信息安全技术 网络安全等级保护基本要求》GB/T22239-2019;
Ø 《信息安全技术 网络安全等级保护安全设计技术要求》GB/T25070-2019;
Ø 《信息安全技术 网络安全等级保护测评要求》GB/T28448-2019
5.3 技术方案
5.3.1 总体架构
整体方案采用独立组网,主备平台方式,保证数据日志存储满足合规性要求,同时具备事件追溯功能。总体架构如下:

总体架构说明如下:
Ø 接入说明
2019年12月17日,中国工业互联网研究院能源工业互联网联合创新中心发布《能源工业互联网平台安全态势感知技术规范》,工业信息安全态势感知平台按此技术规范进行建设。
Ø 设备组网说明
工业信息安全态势感知平台安全数据传输链路采用独立组网方式,数据单向传输。工控安全流量日志分析系统与接入交换机根据现场实际条件,可通过双网络线缆进行连接,一条采集流量数据(要求交换机配置镜像),另一条采集主机日志、安全设备和网络设备日志(要求网络可达)。
Ø 覆盖范围说明
火电厂网络结构复杂并且系统繁多,本方案的建设原则为覆盖安全I区(主控及辅控等所有涉及到DCS和PLC的系统)、安全II区(SIS系统等)和管理信息大区(MIS系统、办公系统等),但不包含独立组网系统,例如火灾报警系统等。
注:NCS不纳入采集范围。
Ø 流量采集说明
安全I区采集的网络流量须是主机(工程师站、操作员站、服务器等)与控制系统或设备(DCS,PLC等)之间交互的原始流量,一般接入点为根交换机;安全II区和管理信息大区采集业务系统之间交互的原始流量,一般接入点为核心交换机。流量采集通过在交换机上配置镜像的方式实现。
Ø 日志采集说明
主机日志采集通过主机上的日志采集软件(如果已经安装)获取主机事件日志,可有效进行主机行为安全审计;
安全设备和网络设备的日志(syslog)采集如果具备条件,需要厂方提供配置所需要的管理员用户和密码并配合完成,通过获取安全设备和网络设备的日志,可有效的监测安全设备和网络设备的行为和告警。
Ø 部署情况说明
遵循与火电厂原有网络结构一致性的原则进行建设。如果安全I区多套控制系统网络相互独立,分别通过多个接口机与安全II区进行通信,则部署多台工控安全流量日志分析系统分别进行信息采集。如果安全I区多套控制系统汇集到同一网络,通过同一接口机与安全II区进行通信,则部署一台工控安全流量日志分析系统统一进行信息采集。
5.3.2 核心产品介绍
工业信息安全态势感知平台核心产品如下:
Ø 工控统一安全管理平台
是针对电力系统安全事件统一管理的软硬件一体化产品。通过对工控网络中安全事件统一的管理和安全分析,实现对全网的安全设备、网络设备、系统及主机的统一监控、实时告警、流量分析等。降低运维成本,提高事件响应效率。
产品功能如下:
ü 安全事件报警;
ü 全流量采集存储分析;
ü 全流量安全回溯分析;
ü 攻击追踪溯源取证;
ü 高级攻击检测;
ü 告警事件管理;
ü 网络流量行为检测;
ü 丰富数据接口输出;
ü 资产管理;
ü 拓扑管理;
ü 知识库管理;
ü 响应与处理;
ü 关联分析;
ü 安全事件管理;
ü 工业系统行为监测。
Ø 工控安全流量日志分析系统
是针对电力侧系统安全事件统一管理的软硬件一体化产品。用于采集工控网络中的网络流量、系统及主机相关行为日志、安全设备和网络设备行为日志,转发至统一安全管理平台,并提供来自平台相关服务调用,同时支持网络安全事件的本地监视管理。
产品功能如下:
ü 主机安全监测;
ü 网络设备安全监视;
ü 安全设备安全监视;
ü 告警管理;
ü 平台对接;
ü 资产管理;
ü 运行状态检测;
ü 时钟同步;
ü 流量分析。
工业信息安全态势感知平台通用产品如下:
ü VPN安全网关:实现上传链路加密;
ü 交换机:平台组网或替换现场不可网管交换机,进行端口镜像;
ü 防火墙:区域逻辑隔离,并配置访问控制策略;
ü VPDN云网关:VPDN传输专用(依据现场实际情况选择不同运营商);
ü 网络安全隔离设备:区域物理隔离,配置访问策略;
ü CA证书:实现数据上传的身份鉴别和完整性校验。
5.3.3 链路安全建设
为了确保安全数据逐级上传的链路安全性、数据完整性,在各级上传中,将使用链路加密措施和身份认证措施,实现上传链路的隧道加密和身份鉴别。
电厂侧数据通过数据加密及认证设备、通过防火墙后使用VPDN将数据上传至中能数据中心,实现身份鉴别和完整性校验,中能数据中心通过入口防火墙与CA认证设备接收数据,并最终将数据传至接收服务器集群。其中链路加密与根CA是整体身份鉴别可靠性和完整性校验的主要措施。
5.3.4 平台展现
工控统一安全管理平台收集工控安全流量日志分析系统上传告警事件,对流量进行分析,并对结果进行展示,同时将结果上送至所属集团。
平台展示界面如下:



6
风险及规避措施
在电厂进行数据采集,从技术角度是通过端口镜像的方式,采集交换机的流量数据,原则上是不会对业务产生影响的。采集主机日志、网络设备及安全设备日志,为了保证电厂业务持续性,需要在实施工程中细节上进行把控,把可能对业务影响降低,规避实施风险,具体如下:
Ø 交换机流量采集选择
针对业务系统进行流量采集时,如果是主备交换机,可只选择一台交换机进行采集或两台交替完成采集,以保证系统运行的可靠性。流量收集通过端口镜像的方式实现,安全I区的配置工作须由系统厂家进行完成,并建议采用镜像端口数量逐步递增的方式,避免一次镜像流量过多,超出交换机承载能力。完成后对网络负荷进行查看,保证生产系统正常稳定运行。
Ø 日志信息采集
针对主机日志采集,需要和电厂侧确认,已经部署了主机日志采集软件的主机,如具备采集条件,可进行配置采集,不具备采集条件的主机可不采集,避免对主机业务产生影响。
安全设备和通信设备日志信息日志采集同理,根据现场实际情况决定是否在实施中进行采集。
Ø 布线施工
在布线施工中,特别需要注意,必须要保证不触碰其他业务端口的网线,尤其是电源插座,避免直接导致所属设备断电,业务暂停。
一旦在电厂实施中,因施工导致业务断电、网络故障,须第一时间通知电厂侧负责人,并第一时间重启相关业务系统、设备。如因网线插拔导致的业务中断,则立即将网线插回原交换机端口。并协助电厂侧实现业务恢复。
7
应用优势
1) 生产安全保障
厂内设置安全区,安全数据上传采取单向传输方式,经正向隔离到安全区后进行上传。
2) 独立组网
网络边界清晰,职责划分明确,传输带宽保障,故障排查快捷。
3) 采集范围全面
全流量采集,确保安全分析的全面性,同时可进行安全事件审计追溯;主机日志采集,实现对主机行为和预警的监测;安全设备和网络设备日志采集,实现对安全设备和网络设备的行为和预警的监测。
4) 数据链路安全建设
数据链路采用横向隔离、纵向加密的方式,实现传输链路的安全可靠性。数据上传链路采用CA认证方式,实现身份认证。通过链路加密与根CA实现整体身份鉴别可靠性和完整性校验。
5) 5G技术的深化应用
- 利用5G网络的高速率和低延迟特性,实现火电厂设备的实时监控与巡检。
- 通过信创工业软件和智能终端,实现巡检数据的自主采集与分析。
- 减少人工巡检成本,提高巡检效率。
- 实时发现设备故障,降低安全隐患。
6) 设备预测性维护
- 基于5G网络的大连接特性,实现火电厂设备运行数据的实时采集与传输。
- 利用信创大数据平台和AI算法,对设备运行状态进行预测性分析。
- 提前预警设备故障,减少停机时间。
- 优化设备维护策略,降低运维成本。
7) 利用5G远程控制与操作**
- 通过5G网络的低延迟特性,实现火电厂设备的远程控制与操作。
- 结合信创工业控制系统,确保操作的安全性与可靠性。
- 减少现场操作人员的工作强度。
- 提高操作精度和响应速度。
- 利用5G网络传输火电厂运行数据,结合信创能源管理平台,实现能源消耗的实时监控与优化。
- 降低能耗,提升能源利用效率。
- 支持碳排放监测与减排目标的实现。
8
结论
过部署工业信息安全态势感知平台,可全面提升工业安全防护水平完善电力监控系统安全防护体系,推动网络安全管理从“静态布防、边界监视”向“实时管控、纵深防御”的转变,全面实现“外部侵入有效阻断、外力干扰有效隔离、内部介入有效遏制、安全风险有效管控”的防控目标。
文章来源:
2025(第二届)
电力企业信创国产化技术研讨会

全电技术协作服务中心
全电技术协作服务中心是为社会团体、能源电力企业、科研机构、高等院校等单位提供技术交流与合作的服务平台,致力于推动能源电力技术(电网技术、发电技术、清洁能源技术)进步以及数智技术赋能传统的电力工业。
论文&成果征文投稿流程
投稿网址:https://www.aetc.org.cn/mms
点击左侧“项目申报”开启投稿!
当前论文&成果征集方向有:
发电行业水处理技术
电力企业信创国产化技术
燃料管理智能化技术





投稿步骤 从左至右 分别为第1-5步

扫描二维码丨关注我们
全电技术协作服务中心
往期推荐


