構建發電控制系統全周期防護體系，助力電力行業生產運營揚帆遠航 - 網安

2021年9月1日起正式施行的《關鍵信息基礎設施安全保護條例》明確了國家關鍵信息基礎設施的定義，電力控制系統作為關系到國計民生、公共利益的關鍵信息系統，需以《關鍵信息基礎設施安全保護條例》為重要指導依據，構建電力控制系統全周期安全防護體系。

如果把發電企業比作一艘海船，其生產運營過程就像船只行駛于大海。而航行事故，往往會使船只遭遇滅頂之災，因此確保航行安全是船只運營的核心目標。縱觀已經披露的 “震網”、“烏克蘭電網”、“古里水電站被攻擊”、“委內瑞拉大停電”等一系列電力行業工控安全事件，發電控制系統作為國家關鍵信息基礎設施，更易成為不法組織和黑客的攻擊目標。

導致發電領域網絡安全事件頻發除外部因素以外，自身存在的網絡安全隱患更須重點關注，例如電力設施安全漏洞數量持續增長、設施老舊且維護不足、運行人員操作失誤、普通員工網絡安全意識淡薄、缺乏有效的脆弱性評估機制和安全恢復計劃等，這些安全隱患是企業安全運營的絆腳石，嚴重阻礙企業發展。

為應對發電控制系統網絡安全威脅，天融信基于“IPDRR”網絡安全防護模型，從“風險識別、安全防御、安全檢測、安全響應、安全恢復”5個環節構建發電控制系統全生命周期防護體系，護航電力行業生產運營安全。

風險識別（Identify）

風險識別環節可視作船只開航前的檢查工作，在開始航程前，需要明確組成船只的基礎設施信息和設施本身的安全狀況。

在風險識別能力建設過程中，需要基于天融信完善的工業控制系統風險評估服務體系，圍繞發電控制系統承載的電力數據采集和監控系統、能量管理系統、電站自動化系統等關鍵業務，開展資產識別、業務依賴性識別、脆弱性識別和威脅識別等風險識別活動，為后續環節的開展奠定基礎。

安全防御（Protection）

安全防御能力建設基于天融信網絡安全、主機安全、應用安全、運維安全等安全防護能力，根據已識別的發電控制系統安全風險，在通信網絡、區域邊界、計算環境、管理制度、管理機構、人員等方面制定和實施適當的安全技術和安全管理防護措施，確保發電控制系統的運行安全。

1.安全技術措施

安全技術措施像船艙中的壓艙石，是幫助“船只”平穩行駛的關鍵。

天融信基于十余年工業控制領域安全研究和技術積累，已成為擁有國內領先工控安全技術的佼佼者，通過在發電機組控制系統部署網絡邊界隔離、訪問控制、網絡白名單等安全防護技術措施，將構建同時滿足安全合規需求和業務保障需求的縱深安全技術防御體系。

2.安全管理措施

安全管理措施像海邊守望的燈塔，為迷航的“船只”指引正確的前進方向。

現代船舶從機器設備到助航儀器甚至生活設施，都有了很大的改善，但船舶的安全事故仍然層出不窮，不管設備有多么先進，歸根到底都要靠人去管理和操作。所以對于電力控制系統而言，通過安全管理防護措施建立安全管理機構、完善安全管理制度、合理定位人員崗位職責和分配賬戶權限，有助于提升電力行業的整體安全管理水平，避免迷失方向。

安全檢測（Detection）

以往許多事故或海難的發生，往往是對險情發現太晚，失去了應對的有利時機，以致造成不可挽回的損失。因此，在船只航行中時刻保持檢查和良好操縱是避免事故發生的重要手段。

安全檢測能力應覆蓋整個生產運營過程，首先通過在發電控制網絡關鍵節點部署安全檢測類探針，實現對網絡流量和異常行為的實時監測；然后將監測數據統一上傳至安全運營管理中心，基于安全運營管理中心強大的數據分析能力，感知電力生產控制網絡中的異常事件與整體安全趨勢，幫助企業實時監控和掌握生產網絡安全狀態，真正做到“事前預警早發現，事中監控早預防、事后溯源早定責”。

安全響應（Response）

安全響應能力建設基于天融信工業互聯網安全團隊的安全服務能力，協助發電企業制定網絡安全應急預案，配合企業定期開展應急演練，當企業遇到突發網絡安全事故時提供應急響應服務，7×24h守護發電企業網絡安全。

作為中國領先的網絡安全、大數據、云服務提供商，天融信連續八屆蟬聯國家級應急支撐單位稱號，2019年榮獲首屆工控領域應急服務支撐資質（涵蓋電力、軌道交通、生物醫療三個行業）。天融信安全應急響應團隊就像海上救援隊一樣，配備了先進的救援設備，為遇到緊急情況的船只提供應急救援，能夠快速定位安全故障，最大程度降低經濟損失。

安全恢復（Recovery）

電力控制系統的安全恢復過程就像船只的檢修工作，包括日常維修、事故修理、改造維修等方面內容。

天融信擁有專業的安全檢修隊伍，通過完善安全管理制度、打補丁、強化帳號安全、修改安全配置、優化訪問控制策略、堵塞漏洞及“后門”等安全措施，對電力控制系統網絡環境下的各組成設備、網絡環境配置進行脆弱性修復加固，同時配合系統自身的安全屬性進行安全加固，確保電力控制系統受到網絡攻擊后能夠盡快恢復安全狀態，降低安全事件影響程度和范圍。

天融信基于電力控制系統安全防護體系架構，面向電力調度系統、發電廠、變電站等不同應用場景，輸出貼合電力業務場景的生產控制網絡安全解決方案，在不影響原有生產網絡的穩定性和實時性前提下，有效保障網絡安全，提高企業應對突發安全事件的應對能力，避免造成更大的經濟和社會利益損失，為企業數字化轉型奠定基礎。

天融信面向火電生產控制系統的

網絡安全解決方案

方案結合“白名單”技術手段，采用主動防御機制，提供基于業務模型和關鍵應用執行程序的可信體系，阻止非授權及不符合預期的網絡訪問或執行程序運行，從安全技術、安全管理等多維度構建工業互聯網網絡安全縱深防御體系，全面提升火電生產控制系統的自身安全保障能力，確保國家關鍵基礎設施安全運營。

在工業互聯網安全領域，作為最早一批開展工業信息安全領域研究和研發的企業之一，天融信將先進的信息安全技術與工控業務場景深度融合，安全建設能力覆蓋工業生產企業、工業互聯網平臺企業、標識解析企業等。天融信工業互聯網安全以控制網絡邊界管控、控制區域邊界隔離、控制網絡行為監測審計、工業終端管控、云邊界安全、邊界數據安全、大數據安全等安全能力為核心，構建以設備安全、控制安全、網絡安全、應用安全、數據安全及安全運營為一體的縱深安全技術體系。