电力生产企业工业互联网安全能力建设实践

◆边泽楠

电力生产企业工业互联网安全能力建设实践

◆边泽楠

（国家能源集团神华九江发电有限责任公司 江西 332500）

本文依据网络安全保护相关法规制度要求、电力生产企业生产运营管理特点，结合国家行业网络安全监管机制，基于实战能力提升构建适合电力生产特色的工业互联网安全防护体系，以电力生产工业网络安全赋能，采用二级三层架构设计，建设电力生产企业工业互联网安全综合服务平台，形成基层电力生产企业、上级主管单位、国家或行业监管机构、工业设备制造商、工业网络安全服务商等工业生产供应链体系化安全运营机制，构建完整的网络安全运营服务体系，为电力生产单位提供专业全面的安全服务，合法、依规、安全、高效为电力生产工业企业智能化升级转型助力，践行国家网络安全法、数据安全法、密码法、等保2.0等法律法规要求在电力生产行业的示范应用。

电力生产企业；网络安全；能力建设

1 背景概述

新一代信息技术正在驱动工业由信息化向智能化升级转型，全球传统工业强国、大国纷纷进入“工业智能化赛道”，纷纷推出自己的行动战略路线，如德国推出“工业4.0”，日本推出“工业价值链”，我国推出的“中国制造2025”等。电力行业也在努力寻求产业智能化升级，构建数字驱动的智慧化电力生产运营能力，打造新能源时代的智慧能源供给商成为大势所趋、产业所向。以“两网五大”为代表的能源央企电力行业数字化转型方向来看，数字化技术的应用与数字经济的发展正在影响甚至颠覆行业的传统格局，推动产业升级。工业互联网作为包括电力生产在内的工业数字化智能化转型升级的基石，正在改变电力生产运营与生产安全格局的同时，也给传统工业生产网络带来更为严峻的网络安全风险与挑战，全球范围内工业网络安全事件日益增多。国家高度重视网络安全，网络安全法制建设快速推进，《中华人民共和国网络安全法》，《中华人民共和国网络密码法》，《中华人民共和国数据安全法》等相关法律法规相继颁布实施，标志着网络安全已经从早期的行业标准规范上升到国家法律层面。伴随网络安全法制化建设，相关的行业安全标准与规范在同步修订实施，如国家标准《GBT25070-2019信息安全技术网络安全等级保护安全设计技术要求》（业界称为等保2.0）、工信部联网安〔2019〕168号《加强工业互联网安全工作的指导意见》、2020年工信部发布《关于推动工业互联网加快发展的通知》等国家标准与规范要求相继出台。

2 功能架构设计

依据网络安全保护相关法规制度要求，电力生产企业生产运营管理特点，结合国家行业网络安全监管机制，基于实战能力提升构建适合电力生产特色的工业互联网安全防护体系，以电力生产工业网络安全赋能，采用二级三层架构设计，建设电力生产企业工业互联网安全综合服务平台，形成基层电力生产企业、上级主管单位、国家或行业监管机构、工业设备制造商、工业网络安全服务商等工业生产供应链体系化安全运营机制，构建完整的网络安全运营服务体系，为电力生产单位提供专业全面的安全服务，合法、依规、安全、高效为电力生产工业企业智能化升级转型助力，践行国家网络安全法、数据安全法、密码法、等保2.0等法律法规要求在电力生产行业的示范应用。总体功能架构设计图如图1所示。

图1 总体功能架构设计图

工业互联网安全服务平台（以下简称UCSP）提供工业互联网安全监测分析、态势感知与综合服务能力，同时可对接上级监管单位和国家平台，满足监管要求并共享威胁情报资源等综合安全职能服务。具备互联网工业资产探测、流量分析、风险识别、态势分析、预警通报、应急处置、态势感知等安全业务功能，从业务角度分析并实现工业互联网资产、监测单位和整体的安全态势觉察、跟踪和分析，并通过大屏实现可视化呈现，全面掌握企业工业生产网络的安全态势，及时预警所监测范围内的安全威胁、安全风险和安全隐患。

工业网络安全风险监测分析系统可从防护技术策略角度出发，协助和指导电力生产企业满足等保2.0合格，满足国家相关法律法规与标准要求，确保工业生产区的网络边界安全、网络通信安全、应用安全、数据安全。生产企业工业网络安全风险监测系统涵盖安全企业生产经营管理中相关国家与行业安全防护技术规范要求。企业侧安全设计以安全风险可知、可视、可控作为安全防护体系建设的主要目标，强化电力工业生产企业网络安全管理能力。企业办公管理区具备安全信息采集、资产识别管理、安全审计、安全告警、安全处置跟踪以及数据治理等功能，同时为统一网络空间安全服务平台提供在线安全状态监测情报，作为服务平台在线服务的数据支撑。企业工控边缘层是工业生产控制安全防护的核心区域，实施分层分域安全策略，构建多技术融合安全防护体系，提升工业互联网边缘侧设备安全、控制安全、网络安全防护能力。

电力生产企业的工业控制设备采用身份鉴别与访问控制、固件安全增强、漏洞修复等安全策略。接入工控网络的现场设备具备硬件特征的惟一标识符，为上层应用提供基于硬件标识的身份鉴别与访问控制能力，确保只有合法的设备能够接入工业网络，根据访问控制规则发送或读取数据。

工业控制过程采取控制协议安全机制、控制软件安全加固、指令安全审计、故障保护等安全策略。对使用系统的用户进行身份认证，未经认证的用户所发出的控制命令不被执行。在控制协议通信过程中，加入认证约束，避免攻击者通过截获报文获取合法地址建立会话，影响控制过程安全。控制协议采用加密措施，保证通信双方的信息不被第三方非法获取；控制软件安全加固方面，及时对控制软件中出现的漏洞进行修复或提供其他替代解决方案，如关闭可能被利用的端口等；指令安全审计可及时发现网络安全事件，避免发生安全事故。

3 部署方案

电力生产企业统一网络空间安全服务平台（UCSP）由基础设备层、系统组件层、功能服务层与态势展示层构成。其中基础设备层包括计算资源设备与威胁情报探针以及现场安全检测工具箱；系统组件层与功能服务层包括安全数据存储系统、数据融合系统、大数据集群节点授权、资产管理系统、安全监测系统、预警通报系统、处置服务系统、分类分级贯标服务系统、态势感知与指挥协调系统九大组件功能；态势展示层通过态势监视大屏提供五大安全态势展示功能。UCSP包括高级APT威胁情报感知和网络安全态势监测溯源两类业务功能，包含工业网络流量日志探针、大数据分析引擎、安全监测分析平台和公共安全服务门户四部分。

工业生产控制区部署工业网络安全风险监测分析系统（以下简称AISEC），负责工控生产网络安全情报分析、统一安全管理和安全风险状态监测大屏展示，同时作为工业生产区网络边缘层安全态势情报，通过加密接口发送给UCSP管理平台进行更深层次的分析处理。安全情报接口层负责数据采集、设备管理、数据外发；数据层对原始数据进行预处理，包括过滤、转换、富化等，并进一步处理成上层所需的各种业务、资产数据等；服务层提炼出安全基线引擎、策略管理引擎、数据统计引擎、关联分析引擎、安全风险引擎、报表管理、权限管理等；应用层包括工业集中统一管理、工业日志集中审计、工业安全运营分析、组态化的工业态势感知大屏，以及十几个子功能模块，包括资产管理、风险管理、漏洞管理、威胁管理、异常行为分析、设备管理、设备监控、拓扑管理、日志检索、报表管理等。同时提供六块从整体到局部的工业安全态势大屏，包括工业安全态势、工业资产态势、资产漏洞态势、工业威胁态势、异常行为态势、网络监控态势。

工业边缘层部署漏洞与缺陷监测探针，实现资产自动识别、漏洞无损发现、威胁实时检测、行为异常分析、工业协议审计等核心功能，通过接入旁路镜像流量的方式部署，监测对应网络交换机的镜像端口流量，实现对部署区域网络的监测审计，工控系统设备的安全状态数据采集、设备系统漏洞发现，违规操作识别、设备日志采集、流量协议分析，并通过边缘计算安全系统进行前置网络安全情报及安全事件处理，将有效的安全情报数据加密上传到AISEC平台。

4 应用示范价值

4.1 形成完善的电力生产企业工业网络安全应急响应体系

应急响应作为保障工业生产网络安全可靠运行的最后壁垒，是网络安全公共服务基础能力的重要体现，是确保工业互联网安全的有力支撑。

（1）完善电力生产企业工业互联网安全应急响应机制，构建专业化、自动化、全面化的工业互联网安全事件应急响应预案体系。基于完善的工业互联网应急响应机制，实现各类资源调配的网络化和智能化，提升应急响应协调能力。

（2）推进电力生产企业工业互联网安全应急响应技术手段建设，整合包括数据、平台和系统等在内的现有工业互联网安全应急响应资源，形成跨专业、跨部门、跨层级、跨地域的工业互联网安全应急响应能力，同步提升对工业信息安全漏洞库的收集、分析能力。

（3）推动建立常态化安全应急演练机制，以实战的方式提升电力生产企业应急响应能力，丰富工业互联网安全从业人员的应急处置经验。研发应急响应能力评估模型和工具集，在实战过程中同步测试和完善，全面评估应急响应能力的有效性和充分性。

4.2 集约化创新提升工业网安全监测能力

UCSP服务平台通过采集工业互联网基础设施数据，结合能力储备，进行全方位检测分析，突破数据集成、平台管理、开发工具、微服务框架、建模分析等关键技术瓶颈，形成对工业互联网的有效支撑。通过大数据关联分析和安全数据挖掘等技术，对资产数据、安全事件告警数据进行梳理，形成行业资产库、行业威胁情报库、安全事件库等有工业互联网行业特点的安全基线标准和闭环事件处理机制。

通过UCSP服务平台可以实时监控各类工业系统的访问，能够有效地提高工业控制系统的整体信息安全，及时发现工业网络中的可疑行为，有效地降低可能的风险，保障工业系统的信息安全。UCSP服务平台能够改善电力生产企业工控系统的安全现状，逐步排除现有的安全隐患，防止潜在风险发生，保障国民经济生产及国家建设，符合国家信息安全的战略需求。

[1]国家市场监督管理总局，中国国家标准化管理委员会. 信息安全技术网络安全等级保护安全设计技术要求GBT25070-2019[S].2019.

[2]国家市场监督管理总局，中国国家标准化管理委员会. 信息安全技术网络安全威胁信息格式规范GB/T36643-2018[S].2018.

[3]State Administration for Market Regulation，Standardization Administration of the People's Republic of China. Information security technology—Cyber security threat information format：GB/T 36643-2018[S]. 2018.

[4]邢黎闻. 何积丰院士：工业互联网安全发展趋势与关键技术[J]. 信息化建设，2016（11）：38-40.

[5]陶源，黄涛，张墨涵，等. 网络安全态势感知关键技术研究及发展趋势分析[J]. 信息网络安全，2018（8）：79-85.