全球网络冲突加剧，国家级网络大战或拉开序幕

当今，在日益不稳定的全球网络安全格局中，大规模针对性的网络攻击行动暴增，攻击复杂性也持续上升，网络安全已是国家安全最重要因素之一。2022年6月28日，美国国家安全局（NSA）所属的又一款网络攻击武器“酸狐狸”漏洞攻击武器平台攻击范围覆盖全球，重点攻击目标指向中国和俄罗斯，中国上百个重要信息系统被美国植入木马程序。以色列与伊朗两国则持续发生多次网络互袭，网络新战线持续升温。再以当前俄罗斯国家形势为例，截至2022年5月来自美国、土耳其、格鲁吉亚和欧盟国家6.5万多名黑客定期参与针对俄关键信息基础设施的攻击，俄罗斯警告西方针对其基础设施实施的网络攻击有引发直接军事对抗的风险。这说明全球网络冲突加剧，国家级网络大战或拉开序幕。

电力行业作为国家最重要的关键基础设施与现代社会生产生活紧密相连，一旦遭受攻击就可能会造成社会生产瘫痪、人员伤亡等重大危害，因此加强电力行业内部网络安全防护显得尤为重要。我国是世界上最早重视电力网络安全并且大规模开展防护部署的国家之一，但随着2000年-2003年我国电力监控系统相继发生了“二滩电厂停机事件”、“全国147套故障录播器出现时间逻辑炸弹事件”、“三峡送出工程三个换流站感染病毒事件”等多起信息安全事件造成事故或形成安全隐患；2010-2022年国际相继发生了“伊朗震网事件”、“乌克兰断电事件”、“委内瑞拉国家电网攻击事件”等多起重大信息安全事件，进一步推动了国内各界对电力安全需求逐年增强，要求整个电力系统安全且稳定可靠。

图1 电力行业网络安全防护文件起源

结合国内国外电力行业安全现状，电力行业高度重视，组织国内大批专家对电力监控系统安全防护进行了深入系统地研究论证，安全防护的理念逐步形成，并由原电监会于2004年发布第5号令《电力二次系统安全防护规定》（简称“5号令”），并随后陆续下发了相关配套文件。5号令的核心是“安全分区、网络专用、横向隔离、纵向认证”的电力监控系统安全防护总体策略，其主要内容为：合理划分安全分区，扩充完善电力调度专用数据网，采取必要的安全防护技术和防护设备，剥离非生产性业务，实现电力调度数据网络与其他网络的物理隔离，有效提高电力监控系统抵御黑客、病毒、恶意代码等各种形式的恶意破坏和攻击的能力。

在国家顶层设计方面，为加强电力行业网络安全监督管理、规范电力行业网络安全工作，国家能源局根据《中华人民共和国网络安全法》、《中华人民共和国密码法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国计算机信息系统安全保护条例》、《关键信息基础设施安全保护条例》、GB∕T 36572-2018《电力监控系统网络安全防护导则》及国家有关规定，于1月印发 《2022年电力安全监管重点任务》，要求加快网络安全态势感知平台建设，组织开展网络安全实战演习及关键信息基础设施安全保护监督检查，建立电力行业网络安全等级保护体系。并在6月对《电力行业网络与信息安全管理办法》（国能安全〔2014〕317号）、《电力行业信息安全等级保护管理办法》（国能安全〔2014〕318号）进行修订，形成了 《电力行业网络安全管理办法（修订征求意见稿）》、 《电力行业网络安全等级保护管理办法（修订征求意见稿）》，旨在健全网络安全保障体系和工作责任体系，提高网络安全防护能力，保障电力系统的安全稳定运行，促进信息化健康发展。

基于以上背景，威努特结合在电力行业2000余个成功项目案例，对电力行业网络安全的安全合规建设工作进行了以下要点梳理。

一、现状分析

我国电力企业数字化转型过程中，面临更多的是融合性的网络安全风险，其中不乏一些新型的APT网络攻击，因此电力企业面临的网络安全形势更为严峻。电力监控系统面临的主要网络威胁如下：

基于上述风险问题，目前电力行业依托“国能安全〔2015〕36号”、GB∕T

36572-2018《电力监控系统网络安全防护导则》、GB/T 22239-2019《信息安全技术

网络安全等级保护基本要求》，大部分电力组成形态已覆盖对应防护策略，满足对应合规要求。

随着行业发展及规划需求，威努特结合自身多年行业经验总结了以下新型风险及需求：

01移动介质管控技术不完善

近年来电力行业发生多起因移动存储介质非法接入电力监控系统的事件，因此，发电企业高度重视移动存储介质的管控。但目前主要依赖于人为管理，存在较多问题：如基于当前移动介质管理制度不能对移动存储介质进行全天候、自动化的接入管控，无法确保接入网络的移动存储介质均经过病毒查杀，且对移动存储介质的插拔、读写、删改无日志记录，无法进行使用审计及事后追溯；移动存储介质无加密措施，遗失后可能导致重要生产数据泄露；依靠办公电脑通用杀毒软件对U盘进行查杀，其自身安全性难以保证的同时病毒库更新不及时可能导致病毒查杀滞后、失效。

电力企业内网存在大量的生产数据（接线图，交易数据，经纬度等），会定期对操作系统进行完整备份，从内网到外网的数据泄露一直是企业非常关心的问题。目前电力行业标准没有明确文件支撑此类防护，一旦生产数据泄露甚至会影响到国家核心数据泄密问题。大部分电力企业现状是在使用移动介质过程中缺乏数据防泄漏方面管理规范，也无法做到数据的流转过程审计。

02勒索病毒防范需求

勒索软件攻击是指网络攻击者通过锁定设备或加密文件等方式阻止用户对系统或数据的正常访问，并要挟受害者支付赎金的行为。2021年上半年，国际方面，统计全球公开披露的勒索病毒攻击事件达1200余起，与2020年全年披露的勒索病毒攻击事件数量基本持平；国内方面，国家工业互联网安全态势感知与风险预警平台监测发现勒索病毒恶意域名的访问量5.05万次，同比增长超过10倍。

勒索组织频繁发起勒索攻击的同时，也在快速对勒索病毒迭代更新，基于病毒特征库的传统杀毒软件遭遇新型勒索病毒时将毫无用武之地，勒索攻击形式多样、后果严重，终端EDR产品无“底线思维”兜底，完全依赖行为检测能力防范勒索病毒风险巨大；基于防火墙、IDS、终端管理的常规解决方案，显然无法抵御已显著具备APT特征的勒索攻击，供应链攻击更使得常规方案在勒索攻击面前“漏洞百出”。

03变电站检修全环运维风险

目前我国电力行业变电站基数大、范围广，以班组为单位的运维检修极易引入入侵风险，且无法覆盖现场调试、运维、检修全环运维风险管控和审计行为，结合运维特点急需引入便携式运维审计设备。

04网络安全国产化需求

长期以来，国内电力企业的电力监控系统大部分软硬件依赖国外进口，目前自主可控的国产化控制系统技术日趋成熟并逐步落地应用，解决了自动化控制的“卡脖子”难题，随之安全防护方案中配套的安全产品和技术也急需完成国产化适配需求。

二、防护策略

基于对当前电力企业安全防护现状分析，在满足“国能安全〔2015〕36号”及其他相关要求基础上，应结合电力企业应用场景及行业发展趋势新出现的网络安全威胁、需求，以发展的角度通过技术创新应用全面提升电力监控系统网络安全。

三、总体原则

现阶段发电企业用户根据《电力监控系统安全防护规定》（国家发展和改革委员会令2014年第14号），国家能源局印发关于电力监控系统安全防护总体方案等安全防护方案和评估规范的通知（国能安全[2015]36号）等相关要求，大部分发电企业已落实了“安全分区、网络专用、横向隔离、纵向认证”相关工作，发电厂则需同步落实“综合防护”要求。

图2 电力监控系统安全防护总体原则

图3 发电厂监控系统综合防护

四、典型防护

电力行业现阶段主要依据GB/T 22239-2019《信息安全技网络安全等级保护基本要求》（简称“等保2.0”）和《电力监控系统安全防护总体方案》国能安全[2015]36号文（简称“国能安全[2015]36号文”）进行整体网络安全建设，目前电力行业系统定级主要依据《电力行业信息系统等级保护定级工作指导意见》，以水电厂为例，文件要求水电厂监控系统总装机1000兆瓦及以上定为三级，以下为二级，安全防护设计以解决用户现场实际问题和等保2.0三级的高风险项为基础而制定，典型防护如下图所示：

图4 水电站电力监控系统整体防护效果图

在集控、水电站安全区I和安全区II网络边界部署工业防火墙。通过访问控制和工控协议深度解析技术，建立业务通信白名单，强化系统安全域边界的访问控制能力；同时在各机组LCU、坝区LCU、开关站LCU 等现地控制单元与主控层边界部署工业防火墙，实现对上位机下发控制指令的识别和管控；

在集控、水电站安全区I计算机监控系统和安全区II网络边界分别旁路部署高级威胁检测系统。高级威胁检测系统基于威胁情报数据和沙箱行为模式匹配技术，深度检测所有可疑网络活动的高级持续性威胁（APT），进一步提高电力监控系统各关键网络边界的防护能力；

在集控、水电站安全区I计算机监控系统核心网络旁路部署工控安全监测与审计系统。工控安全监测与审计系统基于工控协议深度解析技术，智能学习建立业务系统安全通信模型，实时监测生产网络异常流量和行为，提高计算机监控系统的网络安全审计能力；

在集控、水电站安全区I计算机监控系统核心网络旁路部署数据库审计系统，数据库审计系统通过监控数据库的多重状态和通信内容，不仅能够对数据库所面临的风险进行多方位的评估，还可以通过审计功能对数据库所有操作进行审计，提供事后追查机制；

在集控、水电站安全区II核心网络旁路部署入侵检测系统，通过深入分析网络上捕获的数据包，结合特征库进行相应的行为匹配，能够实现入侵行为检测和防御、病毒恶意代码查杀、web攻击防护、安全风险评估、安全威胁可视化等功能的网络安全设备；

在集控安全区I计算机监控系统核心网络部署工控蜜罐系统，蜜罐系统引诱网络攻击者对其实施攻击，实现工控威胁渗透的延缓，通过诱捕和分析隐蔽攻击流量来有效捕获包括APT攻击在内的工控网络攻击行为，提升工控系统安全威胁发现能力；

在生产控制大区的工程师站、操作员站和服务器安装工控主机卫士。通过文件白名单技术，实现对病毒和恶意代码的防范；通过安全基线加固技术，提升主机操作系统安全等级；通过移动介质管控技术，降低通过USB 移动介质引入病毒的风险，通过配套专用安全U盘，移动介质安检站闭环移动介质使用流程，高效规避移动介质引入风险，实现业务数据备份安全，综合以上技术能力构建主机业务安全运行环境；

在安全区I部署安全运维管理系统、日志审计与分析系统、工控漏洞扫描平台和统一安全管理平台构建安全管理中心。通过安全运维管理系统实现运维账户的身份鉴别、权限管理和运维行为审计，保证计算机监控系统的运维管理安全；通过日志审计与分析系统实现日志数据和告警数据统一收集和关联分析，保证审计日志保存12个月以上；通过工控漏洞扫描平台定期对电力监控系统进行漏洞扫描，及时发现和处置电力监控系统中存在的漏洞；通过统一安全管理平台实现对所有网络安全设备的状态检测和策略配置，减轻网络安全系统的运维工作量。

五、安全提升

01基于标记的移动介质使用全闭环管理

“国能安全[2015]36号”中规定： “关闭或拆除主机上不必要的软盘驱动、光盘驱动、USB接口、串行口、无线、蓝牙等，严格控制在生产控制大区和管理信息大区之间交叉使用移动存储介质以及便携式计算机。 ”在满足此要求的基础上应通过以下几方面完善移动介质管控使用：

实用性：移动存储介质管控系统应有效解决通过移动存储介质数据交换带来的恶意代码、病毒等问题，保障电力监控系统网络安全稳定运行。

高效性：移动存储介质管控系统应具备高效的病毒查杀和病毒库更新速度，至少采用双病毒引擎交叉进行病毒检测，有效提高病毒检出率，普通U盘、移动硬盘、存储卡等介质均可查毒。

灵活性：移动介质管控系统形态应不受应用场景限制，可灵活部署于生产现场各区域，从而确保移动介质查杀的灵活性。

闭环管控：移动介质经杀毒后自动生成特殊格式的杀毒标记，接入主机时进行查毒验证，形成完整的技术管控闭环。以技术手段补全移动存储介质的管理流程，辅助构建安全的工作业务流程。

数据防泄漏：移动介质管控系统应具备从内网到外网的U盘管控配套手段，基本功能应包含内外数据拷贝控制、全流程日志记录并留存至指定服务器、拷贝数据备份完善备份溯源机制。

02基于行为监测的勒索病毒防范

勒索病毒的防范将是电力监控系统安全防护需要重点关注的内容之一，目前行业内针对勒索病毒防范核心技术及对应防护能力如下：

图5 勒索病毒防护核心技术及对应防护能力图

由图可见基于行为监测的主动防御理念是主机防勒索的高效防护技术方向，通过检测勒索病毒恶意行为、保护核心业务免遭中断、再辅以备份手段恢复恶意加密的系统数据，实现事前防御、事中检测/阻断、事后恢复的勒索病毒防范能力。

03基于便携式堡垒机的检修全环管控

电力监控系统便携式运维网关应满足《GB/T 22239-2019 信息安全技术网络安全等级保护基本要求》、《电力监控系统安全防护总体方案》（国家能源局国能安全〔2015〕36号）及国家电网公司相关要求。

变电站以班组为单位配置便携式运维堡垒机设备，覆盖现场调试、运维、检修全环运维风险管控和审计行为，其使用过程应满足以下使用要求：

运维工作开始前，根据被运维对象接口类型，采用不同的线缆（网线、RS232串口线、USB线、HDMI视频线）将便携式运维网关串接在运维终端与被运维对象之间。通过账号口令、生物特征等方式在便携式运维网关上完成工作负责人的身份认证，通过USB Key方式完成运维终端的设备认证。

运维工作过程中，便携式运维网关对通信报文进行实时解析，对可能存在的风险行为进行管控，包括违规外联、高风险指令、攻击行为、恶意代码等。同时，便携式运维网关对运维工作进行全过程记录，包括操作画面图像、传输文件、通信报文、风险管控及接口使用等。

运维结束后，可将运维及审计记录上传至第三方审计日志管理平台。

04基于全国产软硬件的安全自主可控

电力是关系到国计民生的基础产业，是国家发展的生命线，安全防护设备已经广泛分布在各个电力企业核心控制系统中。目前安全防护产品已经实现了产品品牌国产化，但是这些国产品牌产品的关键芯片和基础软件仍然建立在国外的核心技术之上，例如CPU芯片和物理层芯片，CPU器件以NXP、Freescale和Intel的产品为主，物理层芯片以美国的Broadcom和Marvell的产品为主，安全防护设备底层内生安全和元器件供应安全无法得到保障，供应链安全也应重点加强。关键基础设施网络安全产品选择应优先选择国产自主可控的硬件芯片、电源模块、可信模块、操作系统，以及自主研发的智能工控网络安全系统软件，100%国产化的网络安全产品。

一方面进一步拓展了国产芯片、国产操作系统的市场应用空间，进一步完善了行业产业链，推动了芯片设计、芯片制造、芯片应用等环节的产业联动，为国内经济产业升级提供了良好的基础；另一方面也完善了电力企业国产化控制系统网络安全并提升其核心竞争力，保持我国电力企业技术在行业内的领先地位，为国家安全保驾护航。

六、结语

2022年是全面建设社会主义现代化国家、向第二个百年奋斗目标进军新征程的重要一年，是落实“十四五”规划和碳达峰目标的关键一年，加快推进公司数字化转型和数字电网建设，释放数据要素价值，多措并举构建以新能源为主体的新型电力系统，以“电力+算力”带动能源行业转型升级，促进经济社会高质量发展，服务碳达峰、碳中和战略目标实现已成为电力行业主要社会任务。数字化转型下的企业网络安全已成为重点保护对象，网络安全建设应在满足法律法规、行业文件要求的基础上，落实新形势下的新风险应对及需求技术创新，确保有效提高电力行业网络安全防护能力，保障电力系统的安全稳定运行。

威努特一直秉承着“专注工控、捍卫安全”的理念，深耕电力行业工控安全多年，已有电力成功项目案例用户2000余家，业界唯一覆盖核电、火电、水电、新能源等各类发电类型，熟悉各类型发电用户业务场景，多个核心安全产品稳定应用于生产核心控制系统，树立行业多个标杆解决方案。威努特始终以守护我国关键信息基础设施网络空间安全为己任，致力成为建设网络强国的中坚力量!