一、项目背景
在数字化转型和“双碳”目标下,能源行业中的传统电厂纷纷走向智慧电厂建设之路。然而针对电力能源等关键信息基础设施的 攻击技术手段日益先进,针对性、持续性、隐蔽性显著增强, 安全形势日益严峻。随着云计算、大数据业务的快速发展,新技术业务应用也带来新的风险,再加上部分信息化业务系统天然存在安全漏洞和缺陷,更是进一步增加了 安全防护的难度。
二、企业状况
某大型能源集团下属公司是一个集燃机、光伏、供热为一体的多元化综合能源服务公司,储备有多个整县开发光伏项目和抽水蓄能项目。具备4套总容量为600MW的发电机组,5套DCS系统和8套PLC系统,是当地园区内唯一稳定、环保供热热源。
该集团高度关注 安全工作,依据相关法规和行业政策发文要求各下属公司加强 安全工作。该下属公司积极响应号召,依据 安全等级保护、关键基础设施保护条例等要求开展相关工作。
经调研,该公司主要安全风险如下:
终端安全风险高:各类设备和终端存在漏洞、系统无法及时更新、工控主机防病毒能力薄弱
区域边界模糊:部署 设备多、存在设备非法接入、 结构不清晰、未按照电力行业规范进行分区
重要数据缺少保护:未建立工控安全资产清单、未定义关键业务数据、数据安全保护措施缺乏
运行环境差: 攻击行为监测设备缺失不能有效发现攻击及异常行为、间隔层设备数据传输多采用同一汇聚交换机
主动防御体系薄弱:设备安全防护措施停留在单机阶段、无法构建完全的防御体系
安全管理体系缺失:缺乏安全管理机制、未建立相关安全岗位、未建立安全身份认证制度、缺少相应审计流程及制度规范
三、建设依据
面对日益严峻的 安全威胁,我国发布了如《中华人民共和国 安全法》、《信息安全技术 安全等级保护基本要求》、《关键信息基础设施保护条例》和《电力监控系统安全防护总体方案等安全防护方案和评估规范》等相关法律法规。
四、建设思路
依据相关法律法规文件和该大型集团下属公司情况,木链科技从安全技术和安全管理两个角度进行建设。
安全技术建设:
根据《电力监控系统安全防护总体方案等安全防护方案和评估规范》的“安全分区、专网专用、横向隔离、纵向加密”十六字方针原则对该公司 进行安全区域划分和安全设备部署,建设安全管理中心,构建纵深防御系统。
根据《关键基础设施保护条例》中的安全防护要求,重点关注持续监测、快速响应能力建设,将被动防御建设转为主动防御建设,构建防御、检测、响应于一体的主动防御体系。
安全管理建设:
根据《电力监控系统 安全防护导则》中对于安全管理体系的要求,完善安全管理体系,结合安全技术能力形成多维度的栅格防护架构,为企业提供全生命周期安全保障。
五、建设方案
安全技术建设
1.基于电力行业政策的基础安全改造建设
(1)生产控制大区综合防护
以电力监控系统 安全的十六字方针“安全分区、 专用、横向隔离、纵向认证”为指导,完成生产大区工控安全防护。
具体措施如下:
工业边界安全防护:在控制区和非控制区间部署工业防火墙,用于实现工业控制 区域隔离和保护、工控 结构安全。
工控威胁检测及审计:在控制大区和非控制大区的过程监控层 部署工控安全监测审计平台,实时监测生产过程中产生的所有流量,并对流量中的动作进行协议解析,实现审计和威胁监测。
工控主机安全加固:在各主机和服务器上部署工控安全主机卫士,只允许系统操作或运行受信任的对象,为工控环境打造的终端安全防护。
日志审计分析:在安全Ⅱ区部署日志审计系统,实现对分散的日志统一管理、关联分析,发现隐藏的风险行为,同时满足等保6个月数据的留存要求。
数据库审计:在数据库服务器交换机部署工业数据库审计平台,对 中对数据库的访问行为、内容进行审计、报警、过滤和分析。
安全管理中心:在安全Ⅱ区建立安全管理中心,对控制 中边界隔离安全产品进行集中管理,实现对全网中各安全设备、系统及主机的统一配置。全面监控、实时告警、流量分析、操作人员行为审计等,降低运维成本、提高事件响应效率,全面提升电力监控系统信息安全保障能力。
(2)管理信息大区综合防护
加固管理大区信息安全防护:在信息大区部署安全防护产品,对Web攻击及APT攻击进行过滤和预警,具体措施如下:
APT攻击预警防护:在管理信息大区核心交换机上采用旁路部署APT攻击预警平台,针对黑客入侵、病毒入侵、恶意攻击等行为进行检测与查杀,提供了全面的检测和预警的能力。
WEB应用安全防护:在管理信息大区交换机与防火墙之间部署web应用防火墙,针对来自互联网的攻击进行检测和阻断。
2.基于关键基础设施保护条例的主动防御建设
(1)安全运营中心
建成安全运营中心,整合该公司当前资产,充分收集各类安全相关数据,通过大范围和深度的广泛检查,尽可能发现相关安全问题。并以多种安全问题管理为目标、以数据为核心、威胁情报为特色、打通安全防护中的检测、响应、预警、防御多个领域环节的完整安全体系。
(2)全局安全态势
安全运营中心汇集各类安全数据、态势要素,以可视化方式多维度呈现资产、漏洞、攻击、管理等全⽹运行态势,辅助企业决策和运维指挥,通过安全数据和知识库累积,形成全局性的资源协调体系,帮助用户掌握全局安全态势。
(3)靶场模拟演练
构建靶场平台高仿真场景,通过虚实互联技术虚拟 场景中各类资源与现场工控环境设备相连,实现场景现实化延伸,开展攻防技术演练。结合电力行业法规政策和行业技术动态,模拟现实环境深层次完成 安全技术训练,让相关人员通过实战的方式学习最前沿的 安全技术,提升专业技术水平。
安全管理建设
基于电力行业政策的安全管理体系建设
1.融入电力安全生产管理体系
将 安全管理工作融入到某大型能源集团下属公司原有的安全生产管理体系中,并建立事前、事中以及事后的完善、科学的管理体制,不断提高企业安全管理的科学性。加强对企业安全责任制度的建设,根据安全管理制度的基本要求制定各类管理规定、管理办法和暂行规定,实现企业安全管理工作的常态化和科学化。
2.设立安全管理职能部门
设立安全管理工作的职能部门,由企业负责人作为主要责任人,并设置系统管理员、 管理员、安全管理员等安全管理岗位,根据要求进行人员配备,配备专职安全员,制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
3.完善设备管理和安全检查工作
建立全部业务系统软件模块、硬件设备和安全防护设备台账,建立日常运行过程中的安全设备检查以及维修制度,定期进行专业的维护以及排查和安全风险评估,针对发现的问题及时进行加固,保证设备安全性能。
4.完善人员安全管理
对涉及生产、管理、运行、维护等环节的全体人员开展安全管理和培训教育,提升员工的安全意识和对国家相关法规政策、企业规章制度的理解。明确安全防护人员的岗位职责,指定专人负责数字证书系统等关键系统及设备的管理,加强对厂家维护及评估检测等第三方人员的安全管理。
六、总结
本项目建设中充分考虑各种政策、法规、标准、文件要求,融会贯通《 安全法》、《GB/T 22239-2019 安全等级保护基本要求》和《关键信息基础设施保护条例》中的各项要求,帮助用户建立纵深安全防御体系,掌握企业生产运行态势和建立科学全面的安全管理体系,保障国家关键信息基础设施安全,为推动能源转型和电力安全发展做出新的贡献。
