长扬科技——工控安全及物联网安全行业应用专家（电力篇）

电力行业（火电）

行业背景

电力行业作为国家关键基础设施的重要组成部分，一直备受瞩目。因此，电力行业的发展对于控制系统要求也极为严格，火力发电的控制系统对于火电厂安全环保至关重要。火力发电厂普遍采用了高度自动化的生产技术装备和高度信息化的运营管理手段。

与此同时，严峻的网络安全风险也如影随形。火力发电厂网络信息安全防护有其特殊性。一是其防护的攻击主体特殊，与以谋财、牟利为目的的网络诈骗、网络入侵等传统网络攻击所不同，产业入侵者不会是一般意义上的“黑客”，而很可能是恐怖组织甚至是敌对国家力量支撑的组织；二是遭受攻击破坏后果严重，火力发电厂关键设施一旦遭受攻击，会直接威胁到国民经济的发展和社会安定。

因此国家相关主管部门非常重视，针对电力工控系统安全防护先后出台各类政策。能源局36号文规定了电力企业工控系统的“网络分区、安全专用，横向隔离、纵向认证”的方针。目前火电行业在企业工控系统中更多使用传统安全技术来进行安全防护。

解决方案

长扬科技针对发电企业工控系统网络安全的设计思路充分考虑到电厂工业控制系统的业务连续性和工业特性，并且结合国家发改委的14号令《电力监控系统安全防护规定》、国家能源局发布《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》（国能安全〔2015〕36号）及其附件，和工信部的《工业控制系统信息安全防护指南》，以及各电力企业针对电厂工业控制系统的相关技术要求，形成如下安全解决方案：

◆  网络边界安全

在工控网络同厂级SIS网络间部署工业防火墙，实现工控网络边界隔离，识别工控网络中已知的安全威胁，根据火电行业相关工艺定义白名单安全策略，对工控网络中的网络通信行为进行细粒度的控制，防止外部网络向工控网络传输基于工控协议的各类攻击，保证通路可靠。

◆ 网络流量审计

在生产网络各核心交换机处旁路部署网络工业网络监测审计平台，对火电厂工业控制网络全网数据流量进行协议级审计，产品采用细粒度检测技术，协议分析技术，误用检测技术，协议异常检测，可有效检测各种攻击和欺骗实时监控控制网络安全，发现异常行为及病毒木马，实现网络安全审计及入侵检测。

◆  主机安全防护

在工业控制网络上位机上安装部署工控精灵终端安全防护产品，开启主机白名单安全防护，能使工控网络中的上位机、服务器等抵御木马、工控病毒等恶意程序的攻击。工控精灵能够防护火电厂信息系统中的各种服务器及HMI等终端的主机安全。

◆  安全风险感知

在火电企业工控网络中部署安全检查平台，可定期对工控网络环境实现静态扫描，感知企业工控网络安全状况，为企业制定各种安全政策提供技术、管理依据。

◆  统一安全管理

部署工控网络安全管理平台，统一管控所有工控网络安全设备与安全防护手段，可对相关安全产品实现统一管理、统一策略下发、版本更新等。将系统的工控网络安全现状实时、全面地进行监控。

长扬科技火电工业控制系统网络安全部署示意图如下所示：

火电工业控制系统网络安全部署示意图

电力行业（风电）

行业背景

发电厂是国家重要的基础设施之一，随着国家电网建设与使用，发电厂工控系统所面临的安全风险越来越突出，发电系统安全事关国家安全，影响国计民生。近年来，国际上出现了“8.14美加大停电”、“11.4欧洲大停电、2015年乌克兰电网事件”等多起大停电事故，造成恶劣的影响与重大的经济损失。

2017年，全球陆上风电度电成本已下降至每千瓦时6.7美分，成为最经济的绿色电力，为了抵御各种攻击对发电生产控制系统的破坏，国家发展和改革委员会颁布第14号令《电力监控系统安全防护规定》，国家能源局颁布《电力工控信息安全专项监管工作方案》与《电力监控系统安全防护总体方案》，形成了电力二次系统安全防护纵深防护体系，对全国电力系统包括风电场的信息安全体系化建设进行了指导。

解决方案

长扬科技针对发电企业工控系统网络安全的设计思路充分考虑到电厂工业控制系统的业务连续性和工业特性，并且结合国家发改委的14号令《电力监控系统安全防护规定》、国家能源局发布《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》（国能安全〔2015〕36号）及其附件，和工信部的《工业控制系统信息安全防护指南》，以及各电力企业针对电厂工业控制系统的相关技术要求，形成如下安全解决方案：

◆  网络边界安全

在生产Ⅰ区同生产Ⅱ区（厂级SIS网络）间部署工业防火墙，实现工控网络边界隔离。长扬科技工业防火墙可识别工控网络中已知的安全威胁，根据风电行业相关工艺定义白名单安全策略，对工控网络中的网络通信行为进行细粒度的控制，防止外部网络向工控网络传输基于工控协议的各类攻击，保证通路可靠。长扬科技工业防火墙能够根据数据包的源地址、目的地址、传输层协议、应用层协议、端口（对应请求的服务类型）、时间、用户名等信息执行访问控制规则。能够识别大多数主流工控协议，做到协议深层识别，明确区分正常流量和恶意流量。可以使正常业务数据穿过该系统，其他非法访问、恶意流量均被禁止。

在生产Ⅱ区同非生产区网络（电场MIS网络）间部署网闸产品，实现生产大区同非生产区域网络的物理隔离。产品针对网络边界采用专用的安全通道进行内外网信息交换，生产数据通过物理隔离、协议隔离、内容隔离等措施使MIS及互联网络数据无法进入生产网络。

◆  网络流量审计  

在生产网络Ⅱ区核心交换机处旁路部署网络工业网络监测审计平台，对风电厂工业控制网络全网数据流量进行协议级审计，产品采用细粒度检测技术，协议分析技术，误用检测技术，协议异常检测，可有效检测各种攻击和欺骗实时监控控制网络安全，发现异常行为及病毒木马，实现网络安全审计及入侵检测。

◆  主机安全防护

在风电场生产网络中各操作员站、工程师站上安装部署工控精灵终端安全防护产品，开启主机白名单安全防护，能使工控网络中的上位机、服务器等抵御木马、工控病毒等恶意程序的攻击。工控精灵能够防护风电厂信息系统中的各种服务器及HMI等终端的主机安全。

◆  安全风险感知

在生产Ⅱ区网络中部署安全检查平台，可定期对工控网络环境实现静态扫描，感知企业工控网络安全状况，为企业制定各种安全政策提供技术、管理依据。

◆  统一安全管理

在生产Ⅱ区核心交换机处部署工控网络安全管理平台，统一管控所有工控网络安全设备与安全防护手段，可对相关安全产品实现统一管理、统一策略下发、版本更新等。将系统的工控网络安全现状实时、全面地进行监控。

长扬科技风电行业工业控制系统网络安全部署示意图如下所示：

风电行业工业控制系统网络安全部署示意图