電力生產(chǎn)企業(yè)工業(yè)互聯(lián)網(wǎng)安全能力建設(shè)實(shí)踐

◆邊澤楠

電力生產(chǎn)企業(yè)工業(yè)互聯(lián)網(wǎng)安全能力建設(shè)實(shí)踐

◆邊澤楠

（國家能源集團(tuán)神華九江發(fā)電有限責(zé)任公司 江西 332500）

本文依據(jù)網(wǎng)絡(luò)安全保護(hù)相關(guān)法規(guī)制度要求、電力生產(chǎn)企業(yè)生產(chǎn)運(yùn)營管理特點(diǎn)，結(jié)合國家行業(yè)網(wǎng)絡(luò)安全監(jiān)管機(jī)制，基于實(shí)戰(zhàn)能力提升構(gòu)建適合電力生產(chǎn)特色的工業(yè)互聯(lián)網(wǎng)安全防護(hù)體系，以電力生產(chǎn)工業(yè)網(wǎng)絡(luò)安全賦能，采用二級三層架構(gòu)設(shè)計(jì)，建設(shè)電力生產(chǎn)企業(yè)工業(yè)互聯(lián)網(wǎng)安全綜合服務(wù)平臺，形成基層電力生產(chǎn)企業(yè)、上級主管單位、國家或行業(yè)監(jiān)管機(jī)構(gòu)、工業(yè)設(shè)備制造商、工業(yè)網(wǎng)絡(luò)安全服務(wù)商等工業(yè)生產(chǎn)供應(yīng)鏈體系化安全運(yùn)營機(jī)制，構(gòu)建完整的網(wǎng)絡(luò)安全運(yùn)營服務(wù)體系，為電力生產(chǎn)單位提供專業(yè)全面的安全服務(wù)，合法、依規(guī)、安全、高效為電力生產(chǎn)工業(yè)企業(yè)智能化升級轉(zhuǎn)型助力，踐行國家網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、密碼法、等保2.0等法律法規(guī)要求在電力生產(chǎn)行業(yè)的示范應(yīng)用。

電力生產(chǎn)企業(yè)；網(wǎng)絡(luò)安全；能力建設(shè)

1 背景概述

新一代信息技術(shù)正在驅(qū)動(dòng)工業(yè)由信息化向智能化升級轉(zhuǎn)型，全球傳統(tǒng)工業(yè)強(qiáng)國、大國紛紛進(jìn)入“工業(yè)智能化賽道”，紛紛推出自己的行動(dòng)戰(zhàn)略路線，如德國推出“工業(yè)4.0”，日本推出“工業(yè)價(jià)值鏈”，我國推出的“中國制造2025”等。電力行業(yè)也在努力尋求產(chǎn)業(yè)智能化升級，構(gòu)建數(shù)字驅(qū)動(dòng)的智慧化電力生產(chǎn)運(yùn)營能力，打造新能源時(shí)代的智慧能源供給商成為大勢所趨、產(chǎn)業(yè)所向。以“兩網(wǎng)五大”為代表的能源央企電力行業(yè)數(shù)字化轉(zhuǎn)型方向來看，數(shù)字化技術(shù)的應(yīng)用與數(shù)字經(jīng)濟(jì)的發(fā)展正在影響甚至顛覆行業(yè)的傳統(tǒng)格局，推動(dòng)產(chǎn)業(yè)升級。工業(yè)互聯(lián)網(wǎng)作為包括電力生產(chǎn)在內(nèi)的工業(yè)數(shù)字化智能化轉(zhuǎn)型升級的基石，正在改變電力生產(chǎn)運(yùn)營與生產(chǎn)安全格局的同時(shí)，也給傳統(tǒng)工業(yè)生產(chǎn)網(wǎng)絡(luò)帶來更為嚴(yán)峻的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與挑戰(zhàn)，全球范圍內(nèi)工業(yè)網(wǎng)絡(luò)安全事件日益增多。國家高度重視網(wǎng)絡(luò)安全，網(wǎng)絡(luò)安全法制建設(shè)快速推進(jìn)，《中華人民共和國網(wǎng)絡(luò)安全法》，《中華人民共和國網(wǎng)絡(luò)密碼法》，《中華人民共和國數(shù)據(jù)安全法》等相關(guān)法律法規(guī)相繼頒布實(shí)施，標(biāo)志著網(wǎng)絡(luò)安全已經(jīng)從早期的行業(yè)標(biāo)準(zhǔn)規(guī)范上升到國家法律層面。伴隨網(wǎng)絡(luò)安全法制化建設(shè)，相關(guān)的行業(yè)安全標(biāo)準(zhǔn)與規(guī)范在同步修訂實(shí)施，如國家標(biāo)準(zhǔn)《GBT25070-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計(jì)技術(shù)要求》（業(yè)界稱為等保2.0）、工信部聯(lián)網(wǎng)安〔2019〕168號《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》、2020年工信部發(fā)布《關(guān)于推動(dòng)工業(yè)互聯(lián)網(wǎng)加快發(fā)展的通知》等國家標(biāo)準(zhǔn)與規(guī)范要求相繼出臺。

2 功能架構(gòu)設(shè)計(jì)

依據(jù)網(wǎng)絡(luò)安全保護(hù)相關(guān)法規(guī)制度要求，電力生產(chǎn)企業(yè)生產(chǎn)運(yùn)營管理特點(diǎn)，結(jié)合國家行業(yè)網(wǎng)絡(luò)安全監(jiān)管機(jī)制，基于實(shí)戰(zhàn)能力提升構(gòu)建適合電力生產(chǎn)特色的工業(yè)互聯(lián)網(wǎng)安全防護(hù)體系，以電力生產(chǎn)工業(yè)網(wǎng)絡(luò)安全賦能，采用二級三層架構(gòu)設(shè)計(jì)，建設(shè)電力生產(chǎn)企業(yè)工業(yè)互聯(lián)網(wǎng)安全綜合服務(wù)平臺，形成基層電力生產(chǎn)企業(yè)、上級主管單位、國家或行業(yè)監(jiān)管機(jī)構(gòu)、工業(yè)設(shè)備制造商、工業(yè)網(wǎng)絡(luò)安全服務(wù)商等工業(yè)生產(chǎn)供應(yīng)鏈體系化安全運(yùn)營機(jī)制，構(gòu)建完整的網(wǎng)絡(luò)安全運(yùn)營服務(wù)體系，為電力生產(chǎn)單位提供專業(yè)全面的安全服務(wù)，合法、依規(guī)、安全、高效為電力生產(chǎn)工業(yè)企業(yè)智能化升級轉(zhuǎn)型助力，踐行國家網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、密碼法、等保2.0等法律法規(guī)要求在電力生產(chǎn)行業(yè)的示范應(yīng)用?？傮w功能架構(gòu)設(shè)計(jì)圖如圖1所示。

圖1 總體功能架構(gòu)設(shè)計(jì)圖

工業(yè)互聯(lián)網(wǎng)安全服務(wù)平臺（以下簡稱UCSP）提供工業(yè)互聯(lián)網(wǎng)安全監(jiān)測分析、態(tài)勢感知與綜合服務(wù)能力，同時(shí)可對接上級監(jiān)管單位和國家平臺，滿足監(jiān)管要求并共享威脅情報(bào)資源等綜合安全職能服務(wù)。具備互聯(lián)網(wǎng)工業(yè)資產(chǎn)探測、流量分析、風(fēng)險(xiǎn)識別、態(tài)勢分析、預(yù)警通報(bào)、應(yīng)急處置、態(tài)勢感知等安全業(yè)務(wù)功能，從業(yè)務(wù)角度分析并實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)資產(chǎn)、監(jiān)測單位和整體的安全態(tài)勢覺察、跟蹤和分析，并通過大屏實(shí)現(xiàn)可視化呈現(xiàn)，全面掌握企業(yè)工業(yè)生產(chǎn)網(wǎng)絡(luò)的安全態(tài)勢，及時(shí)預(yù)警所監(jiān)測范圍內(nèi)的安全威脅、安全風(fēng)險(xiǎn)和安全隱患。

工業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)測分析系統(tǒng)可從防護(hù)技術(shù)策略角度出發(fā)，協(xié)助和指導(dǎo)電力生產(chǎn)企業(yè)滿足等保2.0合格，滿足國家相關(guān)法律法規(guī)與標(biāo)準(zhǔn)要求，確保工業(yè)生產(chǎn)區(qū)的網(wǎng)絡(luò)邊界安全、網(wǎng)絡(luò)通信安全、應(yīng)用安全、數(shù)據(jù)安全。生產(chǎn)企業(yè)工業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)測系統(tǒng)涵蓋安全企業(yè)生產(chǎn)經(jīng)營管理中相關(guān)國家與行業(yè)安全防護(hù)技術(shù)規(guī)范要求。企業(yè)側(cè)安全設(shè)計(jì)以安全風(fēng)險(xiǎn)可知、可視、可控作為安全防護(hù)體系建設(shè)的主要目標(biāo)，強(qiáng)化電力工業(yè)生產(chǎn)企業(yè)網(wǎng)絡(luò)安全管理能力。企業(yè)辦公管理區(qū)具備安全信息采集、資產(chǎn)識別管理、安全審計(jì)、安全告警、安全處置跟蹤以及數(shù)據(jù)治理等功能，同時(shí)為統(tǒng)一網(wǎng)絡(luò)空間安全服務(wù)平臺提供在線安全狀態(tài)監(jiān)測情報(bào)，作為服務(wù)平臺在線服務(wù)的數(shù)據(jù)支撐。企業(yè)工控邊緣層是工業(yè)生產(chǎn)控制安全防護(hù)的核心區(qū)域，實(shí)施分層分域安全策略，構(gòu)建多技術(shù)融合安全防護(hù)體系，提升工業(yè)互聯(lián)網(wǎng)邊緣側(cè)設(shè)備安全、控制安全、網(wǎng)絡(luò)安全防護(hù)能力。

電力生產(chǎn)企業(yè)的工業(yè)控制設(shè)備采用身份鑒別與訪問控制、固件安全增強(qiáng)、漏洞修復(fù)等安全策略。接入工控網(wǎng)絡(luò)的現(xiàn)場設(shè)備具備硬件特征的惟一標(biāo)識符，為上層應(yīng)用提供基于硬件標(biāo)識的身份鑒別與訪問控制能力，確保只有合法的設(shè)備能夠接入工業(yè)網(wǎng)絡(luò)，根據(jù)訪問控制規(guī)則發(fā)送或讀取數(shù)據(jù)。

工業(yè)控制過程采取控制協(xié)議安全機(jī)制、控制軟件安全加固、指令安全審計(jì)、故障保護(hù)等安全策略。對使用系統(tǒng)的用戶進(jìn)行身份認(rèn)證，未經(jīng)認(rèn)證的用戶所發(fā)出的控制命令不被執(zhí)行。在控制協(xié)議通信過程中，加入認(rèn)證約束，避免攻擊者通過截獲報(bào)文獲取合法地址建立會話，影響控制過程安全。控制協(xié)議采用加密措施，保證通信雙方的信息不被第三方非法獲?。豢刂栖浖踩庸谭矫?，及時(shí)對控制軟件中出現(xiàn)的漏洞進(jìn)行修復(fù)或提供其他替代解決方案，如關(guān)閉可能被利用的端口等；指令安全審計(jì)可及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全事件，避免發(fā)生安全事故。

3 部署方案

電力生產(chǎn)企業(yè)統(tǒng)一網(wǎng)絡(luò)空間安全服務(wù)平臺（UCSP）由基礎(chǔ)設(shè)備層、系統(tǒng)組件層、功能服務(wù)層與態(tài)勢展示層構(gòu)成。其中基礎(chǔ)設(shè)備層包括計(jì)算資源設(shè)備與威脅情報(bào)探針以及現(xiàn)場安全檢測工具箱；系統(tǒng)組件層與功能服務(wù)層包括安全數(shù)據(jù)存儲系統(tǒng)、數(shù)據(jù)融合系統(tǒng)、大數(shù)據(jù)集群節(jié)點(diǎn)授權(quán)、資產(chǎn)管理系統(tǒng)、安全監(jiān)測系統(tǒng)、預(yù)警通報(bào)系統(tǒng)、處置服務(wù)系統(tǒng)、分類分級貫標(biāo)服務(wù)系統(tǒng)、態(tài)勢感知與指揮協(xié)調(diào)系統(tǒng)九大組件功能；態(tài)勢展示層通過態(tài)勢監(jiān)視大屏提供五大安全態(tài)勢展示功能。UCSP包括高級APT威脅情報(bào)感知和網(wǎng)絡(luò)安全態(tài)勢監(jiān)測溯源兩類業(yè)務(wù)功能，包含工業(yè)網(wǎng)絡(luò)流量日志探針、大數(shù)據(jù)分析引擎、安全監(jiān)測分析平臺和公共安全服務(wù)門戶四部分。

工業(yè)生產(chǎn)控制區(qū)部署工業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)測分析系統(tǒng)（以下簡稱AISEC），負(fù)責(zé)工控生產(chǎn)網(wǎng)絡(luò)安全情報(bào)分析、統(tǒng)一安全管理和安全風(fēng)險(xiǎn)狀態(tài)監(jiān)測大屏展示，同時(shí)作為工業(yè)生產(chǎn)區(qū)網(wǎng)絡(luò)邊緣層安全態(tài)勢情報(bào)，通過加密接口發(fā)送給UCSP管理平臺進(jìn)行更深層次的分析處理。安全情報(bào)接口層負(fù)責(zé)數(shù)據(jù)采集、設(shè)備管理、數(shù)據(jù)外發(fā)；數(shù)據(jù)層對原始數(shù)據(jù)進(jìn)行預(yù)處理，包括過濾、轉(zhuǎn)換、富化等，并進(jìn)一步處理成上層所需的各種業(yè)務(wù)、資產(chǎn)數(shù)據(jù)等；服務(wù)層提煉出安全基線引擎、策略管理引擎、數(shù)據(jù)統(tǒng)計(jì)引擎、關(guān)聯(lián)分析引擎、安全風(fēng)險(xiǎn)引擎、報(bào)表管理、權(quán)限管理等；應(yīng)用層包括工業(yè)集中統(tǒng)一管理、工業(yè)日志集中審計(jì)、工業(yè)安全運(yùn)營分析、組態(tài)化的工業(yè)態(tài)勢感知大屏，以及十幾個(gè)子功能模塊，包括資產(chǎn)管理、風(fēng)險(xiǎn)管理、漏洞管理、威脅管理、異常行為分析、設(shè)備管理、設(shè)備監(jiān)控、拓?fù)涔芾怼⑷罩緳z索、報(bào)表管理等。同時(shí)提供六塊從整體到局部的工業(yè)安全態(tài)勢大屏，包括工業(yè)安全態(tài)勢、工業(yè)資產(chǎn)態(tài)勢、資產(chǎn)漏洞態(tài)勢、工業(yè)威脅態(tài)勢、異常行為態(tài)勢、網(wǎng)絡(luò)監(jiān)控態(tài)勢。

工業(yè)邊緣層部署漏洞與缺陷監(jiān)測探針，實(shí)現(xiàn)資產(chǎn)自動(dòng)識別、漏洞無損發(fā)現(xiàn)、威脅實(shí)時(shí)檢測、行為異常分析、工業(yè)協(xié)議審計(jì)等核心功能，通過接入旁路鏡像流量的方式部署，監(jiān)測對應(yīng)網(wǎng)絡(luò)交換機(jī)的鏡像端口流量，實(shí)現(xiàn)對部署區(qū)域網(wǎng)絡(luò)的監(jiān)測審計(jì)，工控系統(tǒng)設(shè)備的安全狀態(tài)數(shù)據(jù)采集、設(shè)備系統(tǒng)漏洞發(fā)現(xiàn)，違規(guī)操作識別、設(shè)備日志采集、流量協(xié)議分析，并通過邊緣計(jì)算安全系統(tǒng)進(jìn)行前置網(wǎng)絡(luò)安全情報(bào)及安全事件處理，將有效的安全情報(bào)數(shù)據(jù)加密上傳到AISEC平臺。

4 應(yīng)用示范價(jià)值

4.1 形成完善的電力生產(chǎn)企業(yè)工業(yè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系

應(yīng)急響應(yīng)作為保障工業(yè)生產(chǎn)網(wǎng)絡(luò)安全可靠運(yùn)行的最后壁壘，是網(wǎng)絡(luò)安全公共服務(wù)基礎(chǔ)能力的重要體現(xiàn)，是確保工業(yè)互聯(lián)網(wǎng)安全的有力支撐。

（1）完善電力生產(chǎn)企業(yè)工業(yè)互聯(lián)網(wǎng)安全應(yīng)急響應(yīng)機(jī)制，構(gòu)建專業(yè)化、自動(dòng)化、全面化的工業(yè)互聯(lián)網(wǎng)安全事件應(yīng)急響應(yīng)預(yù)案體系?；谕晟频墓I(yè)互聯(lián)網(wǎng)應(yīng)急響應(yīng)機(jī)制，實(shí)現(xiàn)各類資源調(diào)配的網(wǎng)絡(luò)化和智能化，提升應(yīng)急響應(yīng)協(xié)調(diào)能力。

（2）推進(jìn)電力生產(chǎn)企業(yè)工業(yè)互聯(lián)網(wǎng)安全應(yīng)急響應(yīng)技術(shù)手段建設(shè)，整合包括數(shù)據(jù)、平臺和系統(tǒng)等在內(nèi)的現(xiàn)有工業(yè)互聯(lián)網(wǎng)安全應(yīng)急響應(yīng)資源，形成跨專業(yè)、跨部門、跨層級、跨地域的工業(yè)互聯(lián)網(wǎng)安全應(yīng)急響應(yīng)能力，同步提升對工業(yè)信息安全漏洞庫的收集、分析能力。

（3）推動(dòng)建立常態(tài)化安全應(yīng)急演練機(jī)制，以實(shí)戰(zhàn)的方式提升電力生產(chǎn)企業(yè)應(yīng)急響應(yīng)能力，豐富工業(yè)互聯(lián)網(wǎng)安全從業(yè)人員的應(yīng)急處置經(jīng)驗(yàn)。研發(fā)應(yīng)急響應(yīng)能力評估模型和工具集，在實(shí)戰(zhàn)過程中同步測試和完善，全面評估應(yīng)急響應(yīng)能力的有效性和充分性。

4.2 集約化創(chuàng)新提升工業(yè)網(wǎng)安全監(jiān)測能力

UCSP服務(wù)平臺通過采集工業(yè)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施數(shù)據(jù)，結(jié)合能力儲備，進(jìn)行全方位檢測分析，突破數(shù)據(jù)集成、平臺管理、開發(fā)工具、微服務(wù)框架、建模分析等關(guān)鍵技術(shù)瓶頸，形成對工業(yè)互聯(lián)網(wǎng)的有效支撐。通過大數(shù)據(jù)關(guān)聯(lián)分析和安全數(shù)據(jù)挖掘等技術(shù)，對資產(chǎn)數(shù)據(jù)、安全事件告警數(shù)據(jù)進(jìn)行梳理，形成行業(yè)資產(chǎn)庫、行業(yè)威脅情報(bào)庫、安全事件庫等有工業(yè)互聯(lián)網(wǎng)行業(yè)特點(diǎn)的安全基線標(biāo)準(zhǔn)和閉環(huán)事件處理機(jī)制。

通過UCSP服務(wù)平臺可以實(shí)時(shí)監(jiān)控各類工業(yè)系統(tǒng)的訪問，能夠有效地提高工業(yè)控制系統(tǒng)的整體信息安全，及時(shí)發(fā)現(xiàn)工業(yè)網(wǎng)絡(luò)中的可疑行為，有效地降低可能的風(fēng)險(xiǎn)，保障工業(yè)系統(tǒng)的信息安全。UCSP服務(wù)平臺能夠改善電力生產(chǎn)企業(yè)工控系統(tǒng)的安全現(xiàn)狀，逐步排除現(xiàn)有的安全隱患，防止?jié)撛陲L(fēng)險(xiǎn)發(fā)生，保障國民經(jīng)濟(jì)生產(chǎn)及國家建設(shè)，符合國家信息安全的戰(zhàn)略需求。

[1]國家市場監(jiān)督管理總局，中國國家標(biāo)準(zhǔn)化管理委員會. 信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計(jì)技術(shù)要求GBT25070-2019[S].2019.

[2]國家市場監(jiān)督管理總局，中國國家標(biāo)準(zhǔn)化管理委員會. 信息安全技術(shù)網(wǎng)絡(luò)安全威脅信息格式規(guī)范GB/T36643-2018[S].2018.

[3]State Administration for Market Regulation，Standardization Administration of the People's Republic of China. Information security technology—Cyber security threat information format：GB/T 36643-2018[S]. 2018.

[4]邢黎聞. 何積豐院士：工業(yè)互聯(lián)網(wǎng)安全發(fā)展趨勢與關(guān)鍵技術(shù)[J]. 信息化建設(shè)，2016（11）：38-40.

[5]陶源，黃濤，張墨涵，等. 網(wǎng)絡(luò)安全態(tài)勢感知關(guān)鍵技術(shù)研究及發(fā)展趨勢分析[J]. 信息網(wǎng)絡(luò)安全，2018（8）：79-85.