全球網絡沖突加劇，國家級網絡大戰或拉開序幕 - 網安 - 專業的網絡安全產業、社區、知識平臺

當今，在日益不穩定的全球網絡安全格局中，大規模針對性的網絡攻擊行動暴增，攻擊復雜性也持續上升，網絡安全已是國家安全最重要因素之一。2022年6月28日，美國國家安全局（NSA）所屬的又一款網絡攻擊武器“酸狐貍”漏洞攻擊武器平臺攻擊范圍覆蓋全球，重點攻擊目標指向中國和俄羅斯，中國上百個重要信息系統被美國植入木馬程序。以色列與伊朗兩國則持續發生多次網絡互襲，網絡新戰線持續升溫。再以當前俄羅斯國家形勢為例，截至2022年5月來自美國、土耳其、格魯吉亞和歐盟國家6.5萬多名黑客定期參與針對俄關鍵信息基礎設施的攻擊，俄羅斯警告西方針對其基礎設施實施的網絡攻擊有引發直接軍事對抗的風險。這說明全球網絡沖突加劇，國家級網絡大戰或拉開序幕。

電力行業作為國家最重要的關鍵基礎設施與現代社會生產生活緊密相連，一旦遭受攻擊就可能會造成社會生產癱瘓、人員傷亡等重大危害，因此加強電力行業內部網絡安全防護顯得尤為重要。我國是世界上最早重視電力網絡安全并且大規模開展防護部署的國家之一，但隨著2000年-2003年我國電力監控系統相繼發生了“二灘電廠停機事件”、“全國147套故障錄播器出現時間邏輯炸彈事件”、“三峽送出工程三個換流站感染病毒事件”等多起信息安全事件造成事故或形成安全隱患；2010-2022年國際相繼發生了“伊朗震網事件”、“烏克蘭斷電事件”、“委內瑞拉國家電網攻擊事件”等多起重大信息安全事件，進一步推動了國內各界對電力安全需求逐年增強，要求整個電力系統安全且穩定可靠。

圖1 電力行業網絡安全防護文件起源

結合國內國外電力行業安全現狀，電力行業高度重視，組織國內大批專家對電力監控系統安全防護進行了深入系統地研究論證，安全防護的理念逐步形成，并由原電監會于2004年發布第5號令《電力二次系統安全防護規定》（簡稱“5號令”），并隨后陸續下發了相關配套文件。5號令的核心是“安全分區、網絡專用、橫向隔離、縱向認證”的電力監控系統安全防護總體策略，其主要內容為：合理劃分安全分區，擴充完善電力調度專用數據網，采取必要的安全防護技術和防護設備，剝離非生產性業務，實現電力調度數據網絡與其他網絡的物理隔離，有效提高電力監控系統抵御黑客、病毒、惡意代碼等各種形式的惡意破壞和攻擊的能力。

在國家頂層設計方面，為加強電力行業網絡安全監督管理、規范電力行業網絡安全工作，國家能源局根據《中華人民共和國網絡安全法》、《中華人民共和國密碼法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》、《中華人民共和國計算機信息系統安全保護條例》、《關鍵信息基礎設施安全保護條例》、GB∕T 36572-2018《電力監控系統網絡安全防護導則》及國家有關規定，于1月印發 《2022年電力安全監管重點任務》，要求加快網絡安全態勢感知平臺建設，組織開展網絡安全實戰演習及關鍵信息基礎設施安全保護監督檢查，建立電力行業網絡安全等級保護體系。并在6月對《電力行業網絡與信息安全管理辦法》（國能安全〔2014〕317號）、《電力行業信息安全等級保護管理辦法》（國能安全〔2014〕318號）進行修訂，形成了 《電力行業網絡安全管理辦法（修訂征求意見稿）》、 《電力行業網絡安全等級保護管理辦法（修訂征求意見稿）》，旨在健全網絡安全保障體系和工作責任體系，提高網絡安全防護能力，保障電力系統的安全穩定運行，促進信息化健康發展。

基于以上背景，威努特結合在電力行業2000余個成功項目案例，對電力行業網絡安全的安全合規建設工作進行了以下要點梳理。

一、現狀分析

我國電力企業數字化轉型過程中，面臨更多的是融合性的網絡安全風險，其中不乏一些新型的APT網絡攻擊，因此電力企業面臨的網絡安全形勢更為嚴峻。電力監控系統面臨的主要網絡威脅如下：

基于上述風險問題，目前電力行業依托“國能安全〔2015〕36號”、GB∕T

36572-2018《電力監控系統網絡安全防護導則》、GB/T 22239-2019《信息安全技術

網絡安全等級保護基本要求》，大部分電力組成形態已覆蓋對應防護策略，滿足對應合規要求。

隨著行業發展及規劃需求，威努特結合自身多年行業經驗總結了以下新型風險及需求：

01移動介質管控技術不完善

近年來電力行業發生多起因移動存儲介質非法接入電力監控系統的事件，因此，發電企業高度重視移動存儲介質的管控。但目前主要依賴于人為管理，存在較多問題：如基于當前移動介質管理制度不能對移動存儲介質進行全天候、自動化的接入管控，無法確保接入網絡的移動存儲介質均經過病毒查殺，且對移動存儲介質的插拔、讀寫、刪改無日志記錄，無法進行使用審計及事后追溯；移動存儲介質無加密措施，遺失后可能導致重要生產數據泄露；依靠辦公電腦通用殺毒軟件對U盤進行查殺，其自身安全性難以保證的同時病毒庫更新不及時可能導致病毒查殺滯后、失效。

電力企業內網存在大量的生產數據（接線圖，交易數據，經緯度等），會定期對操作系統進行完整備份，從內網到外網的數據泄露一直是企業非常關心的問題。目前電力行業標準沒有明確文件支撐此類防護，一旦生產數據泄露甚至會影響到國家核心數據泄密問題。大部分電力企業現狀是在使用移動介質過程中缺乏數據防泄漏方面管理規范，也無法做到數據的流轉過程審計。

02勒索病毒防范需求

勒索軟件攻擊是指網絡攻擊者通過鎖定設備或加密文件等方式阻止用戶對系統或數據的正常訪問，并要挾受害者支付贖金的行為。2021年上半年，國際方面，統計全球公開披露的勒索病毒攻擊事件達1200余起，與2020年全年披露的勒索病毒攻擊事件數量基本持平；國內方面，國家工業互聯網安全態勢感知與風險預警平臺監測發現勒索病毒惡意域名的訪問量5.05萬次，同比增長超過10倍。

勒索組織頻繁發起勒索攻擊的同時，也在快速對勒索病毒迭代更新，基于病毒特征庫的傳統殺毒軟件遭遇新型勒索病毒時將毫無用武之地，勒索攻擊形式多樣、后果嚴重，終端EDR產品無“底線思維”兜底，完全依賴行為檢測能力防范勒索病毒風險巨大；基于防火墻、IDS、終端管理的常規解決方案，顯然無法抵御已顯著具備APT特征的勒索攻擊，供應鏈攻擊更使得常規方案在勒索攻擊面前“漏洞百出”。

03變電站檢修全環運維風險

目前我國電力行業變電站基數大、范圍廣，以班組為單位的運維檢修極易引入入侵風險，且無法覆蓋現場調試、運維、檢修全環運維風險管控和審計行為，結合運維特點急需引入便攜式運維審計設備。

04網絡安全國產化需求

長期以來，國內電力企業的電力監控系統大部分軟硬件依賴國外進口，目前自主可控的國產化控制系統技術日趨成熟并逐步落地應用，解決了自動化控制的“卡脖子”難題，隨之安全防護方案中配套的安全產品和技術也急需完成國產化適配需求。

二、防護策略

基于對當前電力企業安全防護現狀分析，在滿足“國能安全〔2015〕36號”及其他相關要求基礎上，應結合電力企業應用場景及行業發展趨勢新出現的網絡安全威脅、需求，以發展的角度通過技術創新應用全面提升電力監控系統網絡安全。

三、總體原則

現階段發電企業用戶根據《電力監控系統安全防護規定》（國家發展和改革委員會令2014年第14號），國家能源局印發關于電力監控系統安全防護總體方案等安全防護方案和評估規范的通知（國能安全[2015]36號）等相關要求，大部分發電企業已落實了“安全分區、網絡專用、橫向隔離、縱向認證”相關工作，發電廠則需同步落實“綜合防護”要求。

圖2 電力監控系統安全防護總體原則

圖3 發電廠監控系統綜合防護

四、典型防護

電力行業現階段主要依據GB/T 22239-2019《信息安全技網絡安全等級保護基本要求》（簡稱“等保2.0”）和《電力監控系統安全防護總體方案》國能安全[2015]36號文（簡稱“國能安全[2015]36號文”）進行整體網絡安全建設，目前電力行業系統定級主要依據《電力行業信息系統等級保護定級工作指導意見》，以水電廠為例，文件要求水電廠監控系統總裝機1000兆瓦及以上定為三級，以下為二級，安全防護設計以解決用戶現場實際問題和等保2.0三級的高風險項為基礎而制定，典型防護如下圖所示：

圖4 水電站電力監控系統整體防護效果圖

在集控、水電站安全區I和安全區II網絡邊界部署工業防火墻。通過訪問控制和工控協議深度解析技術，建立業務通信白名單，強化系統安全域邊界的訪問控制能力；同時在各機組LCU、壩區LCU、開關站LCU 等現地控制單元與主控層邊界部署工業防火墻，實現對上位機下發控制指令的識別和管控；

在集控、水電站安全區I計算機監控系統和安全區II網絡邊界分別旁路部署高級威脅檢測系統。高級威脅檢測系統基于威脅情報數據和沙箱行為模式匹配技術，深度檢測所有可疑網絡活動的高級持續性威脅（APT），進一步提高電力監控系統各關鍵網絡邊界的防護能力；

在集控、水電站安全區I計算機監控系統核心網絡旁路部署工控安全監測與審計系統。工控安全監測與審計系統基于工控協議深度解析技術，智能學習建立業務系統安全通信模型，實時監測生產網絡異常流量和行為，提高計算機監控系統的網絡安全審計能力；

在集控、水電站安全區I計算機監控系統核心網絡旁路部署數據庫審計系統，數據庫審計系統通過監控數據庫的多重狀態和通信內容，不僅能夠對數據庫所面臨的風險進行多方位的評估，還可以通過審計功能對數據庫所有操作進行審計，提供事后追查機制；

在集控、水電站安全區II核心網絡旁路部署入侵檢測系統，通過深入分析網絡上捕獲的數據包，結合特征庫進行相應的行為匹配，能夠實現入侵行為檢測和防御、病毒惡意代碼查殺、web攻擊防護、安全風險評估、安全威脅可視化等功能的網絡安全設備；

在集控安全區I計算機監控系統核心網絡部署工控蜜罐系統，蜜罐系統引誘網絡攻擊者對其實施攻擊，實現工控威脅滲透的延緩，通過誘捕和分析隱蔽攻擊流量來有效捕獲包括APT攻擊在內的工控網絡攻擊行為，提升工控系統安全威脅發現能力；

在生產控制大區的工程師站、操作員站和服務器安裝工控主機衛士。通過文件白名單技術，實現對病毒和惡意代碼的防范；通過安全基線加固技術，提升主機操作系統安全等級；通過移動介質管控技術，降低通過USB 移動介質引入病毒的風險，通過配套專用安全U盤，移動介質安檢站閉環移動介質使用流程，高效規避移動介質引入風險，實現業務數據備份安全，綜合以上技術能力構建主機業務安全運行環境；

在安全區I部署安全運維管理系統、日志審計與分析系統、工控漏洞掃描平臺和統一安全管理平臺構建安全管理中心。通過安全運維管理系統實現運維賬戶的身份鑒別、權限管理和運維行為審計，保證計算機監控系統的運維管理安全；通過日志審計與分析系統實現日志數據和告警數據統一收集和關聯分析，保證審計日志保存12個月以上；通過工控漏洞掃描平臺定期對電力監控系統進行漏洞掃描，及時發現和處置電力監控系統中存在的漏洞；通過統一安全管理平臺實現對所有網絡安全設備的狀態檢測和策略配置，減輕網絡安全系統的運維工作量。

五、安全提升

01基于標記的移動介質使用全閉環管理

“國能安全[2015]36號”中規定： “關閉或拆除主機上不必要的軟盤驅動、光盤驅動、USB接口、串行口、無線、藍牙等，嚴格控制在生產控制大區和管理信息大區之間交叉使用移動存儲介質以及便攜式計算機。 ”在滿足此要求的基礎上應通過以下幾方面完善移動介質管控使用：

實用性：移動存儲介質管控系統應有效解決通過移動存儲介質數據交換帶來的惡意代碼、病毒等問題，保障電力監控系統網絡安全穩定運行。

高效性：移動存儲介質管控系統應具備高效的病毒查殺和病毒庫更新速度，至少采用雙病毒引擎交叉進行病毒檢測，有效提高病毒檢出率，普通U盤、移動硬盤、存儲卡等介質均可查毒。

靈活性：移動介質管控系統形態應不受應用場景限制，可靈活部署于生產現場各區域，從而確保移動介質查殺的靈活性。

閉環管控：移動介質經殺毒后自動生成特殊格式的殺毒標記，接入主機時進行查毒驗證，形成完整的技術管控閉環。以技術手段補全移動存儲介質的管理流程，輔助構建安全的工作業務流程。

數據防泄漏：移動介質管控系統應具備從內網到外網的U盤管控配套手段，基本功能應包含內外數據拷貝控制、全流程日志記錄并留存至指定服務器、拷貝數據備份完善備份溯源機制。

02基于行為監測的勒索病毒防范

勒索病毒的防范將是電力監控系統安全防護需要重點關注的內容之一，目前行業內針對勒索病毒防范核心技術及對應防護能力如下：

圖5 勒索病毒防護核心技術及對應防護能力圖

由圖可見基于行為監測的主動防御理念是主機防勒索的高效防護技術方向，通過檢測勒索病毒惡意行為、保護核心業務免遭中斷、再輔以備份手段恢復惡意加密的系統數據，實現事前防御、事中檢測/阻斷、事后恢復的勒索病毒防范能力。

03基于便攜式堡壘機的檢修全環管控

電力監控系統便攜式運維網關應滿足《GB/T 22239-2019 信息安全技術網絡安全等級保護基本要求》、《電力監控系統安全防護總體方案》（國家能源局國能安全〔2015〕36號）及國家電網公司相關要求。

變電站以班組為單位配置便攜式運維堡壘機設備，覆蓋現場調試、運維、檢修全環運維風險管控和審計行為，其使用過程應滿足以下使用要求：

運維工作開始前，根據被運維對象接口類型，采用不同的線纜（網線、RS232串口線、USB線、HDMI視頻線）將便攜式運維網關串接在運維終端與被運維對象之間。通過賬號口令、生物特征等方式在便攜式運維網關上完成工作負責人的身份認證，通過USB Key方式完成運維終端的設備認證。

運維工作過程中，便攜式運維網關對通信報文進行實時解析，對可能存在的風險行為進行管控，包括違規外聯、高風險指令、攻擊行為、惡意代碼等。同時，便攜式運維網關對運維工作進行全過程記錄，包括操作畫面圖像、傳輸文件、通信報文、風險管控及接口使用等。

運維結束后，可將運維及審計記錄上傳至第三方審計日志管理平臺。

04基于全國產軟硬件的安全自主可控

電力是關系到國計民生的基礎產業，是國家發展的生命線，安全防護設備已經廣泛分布在各個電力企業核心控制系統中。目前安全防護產品已經實現了產品品牌國產化，但是這些國產品牌產品的關鍵芯片和基礎軟件仍然建立在國外的核心技術之上，例如CPU芯片和物理層芯片，CPU器件以NXP、Freescale和Intel的產品為主，物理層芯片以美國的Broadcom和Marvell的產品為主，安全防護設備底層內生安全和元器件供應安全無法得到保障，供應鏈安全也應重點加強。關鍵基礎設施網絡安全產品選擇應優先選擇國產自主可控的硬件芯片、電源模塊、可信模塊、操作系統，以及自主研發的智能工控網絡安全系統軟件，100%國產化的網絡安全產品。

一方面進一步拓展了國產芯片、國產操作系統的市場應用空間，進一步完善了行業產業鏈，推動了芯片設計、芯片制造、芯片應用等環節的產業聯動，為國內經濟產業升級提供了良好的基礎；另一方面也完善了電力企業國產化控制系統網絡安全并提升其核心競爭力，保持我國電力企業技術在行業內的領先地位，為國家安全保駕護航。

六、結語

2022年是全面建設社會主義現代化國家、向第二個百年奮斗目標進軍新征程的重要一年，是落實“十四五”規劃和碳達峰目標的關鍵一年，加快推進公司數字化轉型和數字電網建設，釋放數據要素價值，多措并舉構建以新能源為主體的新型電力系統，以“電力+算力”帶動能源行業轉型升級，促進經濟社會高質量發展，服務碳達峰、碳中和戰略目標實現已成為電力行業主要社會任務。數字化轉型下的企業網絡安全已成為重點保護對象，網絡安全建設應在滿足法律法規、行業文件要求的基礎上，落實新形勢下的新風險應對及需求技術創新，確保有效提高電力行業網絡安全防護能力，保障電力系統的安全穩定運行。

威努特一直秉承著“專注工控、捍衛安全”的理念，深耕電力行業工控安全多年，已有電力成功項目案例用戶2000余家，業界唯一覆蓋核電、火電、水電、新能源等各類發電類型，熟悉各類型發電用戶業務場景，多個核心安全產品穩定應用于生產核心控制系統，樹立行業多個標桿解決方案。威努特始終以守護我國關鍵信息基礎設施網絡空間安全為己任，致力成為建設網絡強國的中堅力量!