夏日炎炎 保障电力|安盟信息火力发电工控安全解决方案

炎炎夏日，每年酷暑难耐的夏季，都是全年社会用电量的高峰期，尤其是近期京津冀等地持续高温，部分地区突破了历史同期的用电负荷峰值，火力发电是我国电力生产的支柱，目前，针对关键信息基础设施的新型网络攻击和破坏手段层出不穷，火力发电行业面临的网络安全威胁也在急剧增加，安盟信息火力发电工控安全解决方案，助力保障电力供应安全平稳有序。

我国电力系统由发电、变电、输电、配电、用电和调度组成，其中发电企业是整个电力系统中的起始环节，是国家重点领域关键信息基础设施的核心组成，直接关系到人民生命财产安全、社会稳定甚至国家安全。

• 生产系统

包括汽水系统、锅炉系统、电气系统称为火力发电厂的三大生产系统，还包含煤磨系统、煤灰处置、环保除尘系统、辅控系统等。

• 分区介绍

控制区（安全区I）：主要包括 DCS、辅控系统、AGC，AVC，火电厂厂级信息监控系统的监控功能，电气的继保系统、励磁系统、五防系统等。

非控制区（安全区Ⅱ）：主要包括火电厂厂级信息监控系统的优化功能，电能量采集装置、电力市场报价终端、故障滤波信息管理终端等。

管理信息大区：主要包括火电厂厂级信息监控系统的管理功能、报价辅助决策系统，检修管理系统和管理信息系统（MIS）等

• 防护范围

针对当前电力行业的网络安全现状，为保障火电厂生产持续、稳定、可靠运行，按照电力行业标准规范及安全等级保护基本 要求整体规划，涉及范围包括主控系统 DCS 设备，相关辅控系统 PLC 设备，以及生产控制大区内部关键业务系统等。

政策依据

国家发展和改革委员会《电力监控系统安全防护规定》2014 年 第 14 号令

公安部《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）

国家能源局《电力监控系统安全防护总体方案》( 国能安全〔2015〕36 号 )

中国电力企业联合会《电力信息系统安全等级保护实施指南》GB/T 37138-2018

需求分析

• 标准合规性需求

作为国家重要的基础设施，企业要加快完成安全技术体系与管理体系的建设工作，使之符合《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）、《信息安全技术信息系统密码应用基本要求》（GB/T 39786-2021）、《工业控制系统信息安全防护指南》等相关安全要求。

• 业务安全性需求

从工控网络与架构、工控系统现场控制与过程监控层及工控协议安全三个层面进行需求分析。

工控网络与架构

自动化系统与信息化系统种类较多，且大多企业存在数据流向不清晰、隔离措施不完善、隔离强度不达标等问题，造成各网络子域间及跨网交换非授权访问风险和病毒横向传播风险。

工控系统现场控制与过程监控层

上位机、服务器存在大量漏洞，管理员对打补丁比较排斥，身份鉴别过于单一等情况；各主机未部署对已知与未知病毒的防护措施；同时存在误操作、非法攻击、勒索病毒感染等风险。生产企业迫切需要对工控主机进行加固及病毒免疫等。

工控协议安全

当前在工控网络中，各类安全威胁不断涌入控制系统，而企业内部缺少对工业流量监测审计的手段，更无法对工控指令攻击和控制参数篡改进行实时监测和告警，让网络入侵轻易成功，最终导致安全生产事故的发生。

• 新技术安全需求

大数据、人工智能、云计算、物联网等新技术逐渐应用到生产业务中。各生产工艺流程高度集成的自动控制系统，使得一些非法攻击与入侵更容易进入生产控制网络，信息安全风险极高。

解决方案

在满足等级保护合规要求的前提下，结合电力生产系统的特点，围绕着生产系统生命周期的高可用性，安盟信息基于“一中心、两分离、三边界”安全防护设计思想，融合工控安全设备与生产系统功能要求，解决应用场景“个性化”安全需求，提升抵御安全风险及安全事件应对能力，确保生产系统可持续运行。

一中心：是指建设火电厂生产控制大区的网络安全管理中心，对工业生产全景进行安全态势感知、分析、预警及准入控制，并对异常报警行为形成工单分配给人工进行干预处理，同时与相应防护设备进行协同防御。

两分离：为降低生产网因设备管理带来的风险，建议企业规划与业务网相对独立的安全管理网络，实现业务数据流和安全管理防护数据流的分离，互不干涉。安全管理网络实现对网络安全设备的配置管理、运行状态收集、分析数据收集等。

三边界：是指生产控制大区边界、安全一区与二区的边界、主机边界三个边界。基于三边界不同安全防护侧重点和业务连续性要求，提供不同的安全防护技术和设备。

火力发电企业工控安全解决方案拓扑结构示意图

方案价值

• 业务保障

深度结合电力系统应用，解决系统存在的安全问题，降低安全运营风险，提高安全运维效率，为电力自动化、智能化建设提供安全保障。

• 安全合规

符合国家能源局 36 号文电力监控系统安全防护规定，符合《信息安全技术网络安全等级保护基本要求》 (GBT22239-2019)。

• 综合防护

通过强化区域内网络、主机、物理环境及数据的安全防护，增强整体安全防护能力，确保电力安全生产稳定运营，形成以边界防护为要点、多层防线构成的纵深防护体系。