电力行业安全解决方案

电力行业作为国家关键基础设施的重要组成部分，一直备受瞩目。因此，电力行业的发展对于控制系统要求也极为严格，火力发电的控制系统对于火电厂安全环保至关重要。火力发电厂普遍采用了高度自动化的生产技术装备和高度信息化的运营管理手段。与此同时，严峻的网络安全风险也如影随形。火力发电厂网络信息安全防护有其特殊性。一是其防护的攻击主体特殊，与以谋财、牟利为目的的网络诈骗、网络入侵等传统网络攻击所不同，产业入侵者不会是一般意义上的“黑客”，而很可能是恐怖组织甚至是敌对国家力量支撑的组织；二是遭受攻击破坏后果严重，火力发电厂关键设施一旦遭受攻击，会直接威胁到国民经济的发展和社会安定。

因此国家相关主管部门非常重视，针对电力工控系统安全防护先后出台各类政策。能源局36号文规定了电力企业工控系统的“网络分区、安全专用，横向隔离、纵向认证”的方针。目前火电行业在企业工控系统中更多使用传统安全技术来进行安全防护。

解决方案

针对发电企业工控系统网络安全的设计思路，考虑到电厂工业控制系统的业务连续性和工业特性，并且结合国家发改委的14号令《电力监控系统安全防护规定》、国家能源局发布《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》（国能安全〔2015〕36号）及其附件，和工信部的《工业控制系统信息安全防护指南》，以及各电力企业针对电厂工业控制系统的相关技术要求，形成如下安全解决方案：

网络边界安全

在工控网络同厂级SIS网络间部署工业防火墙，实现工控网络边界隔离，识别工控网络中已知的安全威胁，根据火电行业相关工艺定义白名单安全策略，对工控网络中的网络通信行为进行细粒度的控制，防止外部网络向工控网络传输基于工控协议的各类攻击，保证通路可靠。

网络流量审计

在生产网络各核心交换机处旁路部署网络工业网络监测审计平台，对火电厂工业控制网络全网数据流量进行协议级审计，产品采用细粒度检测技术，协议分析技术，误用检测技术，协议异常检测，可有效检测各种攻击和欺骗实时监控控制网络安全，发现异常行为及病毒木马，实现网络安全审计及入侵检测。

主机安全防护

在工业控制网络上位机上安装部署工控主机卫士终端安全防护产品，开启主机白名单安全防护，能使工控网络中的上位机、服务器等抵御木马、工控病毒等恶意程序的攻击。工控主机卫士能够防护火电厂信息系统中的各种服务器及HMI等终端的主机安全。

安全风险感知

在火电企业工控网络中部署威胁评估平台，可定期对工控网络环境实现静态扫描，感知企业工控网络安全状况，为企业制定各种安全政策提供技术、管理依据。

统一安全管理

部署统一安全管理平台，统一管控所有工控网络安全设备与安全防护手段，可对相关安全产品实现统一管理、统一策略下发、版本更新等。将系统的工控网络安全现状实时、全面地进行监控。

火电工业控制系统网络安全部署示意图