淺談火電廠如何構(gòu)建安全網(wǎng)絡(luò)防御體系

王永強(qiáng)

隨著網(wǎng)絡(luò)技術(shù)不斷發(fā)展，計算機(jī)革命深入演進(jìn)，安全高效的網(wǎng)絡(luò)環(huán)境成為新時代火電廠高質(zhì)量發(fā)展的重要組成部分。因此，構(gòu)建計算機(jī)安全防御體系可以有力保障企業(yè)網(wǎng)絡(luò)安全和信息安全，為火電廠安全運行保駕護(hù)航。

一、火電廠構(gòu)建安全網(wǎng)絡(luò)防御體系的實施背景

火電廠是國家重要的基礎(chǔ)設(shè)施之一。隨著國家電網(wǎng)建設(shè)與使用，電廠計算機(jī)系統(tǒng)所面臨的安全風(fēng)險越來越突出，信息保護(hù)安全形勢越發(fā)嚴(yán)峻。火電廠運行安全事關(guān)國家安全，影響國計民生，關(guān)鍵信息得到有效保護(hù)，通訊系統(tǒng)正常運行對于國家電力安全具有重要支撐作用。

近些年國內(nèi)外電力系統(tǒng)遭到網(wǎng)絡(luò)攻擊事件比比皆是，例如烏克蘭電網(wǎng)攻擊事件、以色列電力供應(yīng)系統(tǒng)遭重大網(wǎng)絡(luò)攻擊事件、委內(nèi)瑞拉大停電事件等，造成惡劣影響與重大經(jīng)濟(jì)損失。同時，從NAS方程式組織網(wǎng)絡(luò)攻擊武器的大規(guī)模泄露，到“永恒之藍(lán)”漏洞，再到被廣泛應(yīng)用的各類Web應(yīng)用漏洞、IOT漏洞；從趨于定向化和敏捷化的勒索攻擊，到各類挖礦攻擊的全面鋪開；從屢次的數(shù)據(jù)泄露事件曝光，到幾乎每天曝光的APT攻擊，火電廠計算機(jī)系統(tǒng)隨時面臨安全威脅，且威脅手段正逐步升級，方法層出不窮。強(qiáng)化計算機(jī)安全防護(hù)體系，防范和遏制重大信息安全事件，成為火電廠電力生產(chǎn)安全穩(wěn)定運行和電力可靠供應(yīng)的重要保障。

二 、火電廠典型計算機(jī)安全問題

1.信通主機(jī)房管理不善。少數(shù)火電廠存在關(guān)鍵計算機(jī)柜背面走線凌亂，部分級聯(lián)線的工藝不合格，停用設(shè)備未下架，未斷電等現(xiàn)象。

2.生產(chǎn)人員安全意識不足。計算機(jī)安全培訓(xùn)次數(shù)較少，部分生產(chǎn)人員對于網(wǎng)絡(luò)設(shè)備操作不熟，安全意識不足。

3.關(guān)鍵系統(tǒng)、設(shè)備未及時備份。例如少數(shù)火電廠三大項目采用手工備份，且存在未及時備份情況，原服務(wù)器未設(shè)置災(zāi)備服務(wù)器，實時災(zāi)備系統(tǒng)易出現(xiàn)故障。

三、火電廠構(gòu)建安全網(wǎng)絡(luò)防御體系的方法路徑

1.認(rèn)真落實網(wǎng)絡(luò)安全相關(guān)政策法規(guī)。針對典型問題，火電廠要加大計算機(jī)安全培訓(xùn)學(xué)習(xí)宣傳力度，制度年度培訓(xùn)計劃，開展網(wǎng)絡(luò)政策宣傳。組織公司各部門網(wǎng)絡(luò)安全專責(zé)及信息管理人員培訓(xùn)學(xué)習(xí)，采用開展網(wǎng)絡(luò)安全宣傳周活動、現(xiàn)場宣傳培訓(xùn)等形式宣傳相關(guān)網(wǎng)絡(luò)政策、法律法規(guī)、制度等文獻(xiàn)內(nèi)容，提高網(wǎng)絡(luò)安全意識。發(fā)布網(wǎng)絡(luò)安全信息公告，傳閱學(xué)習(xí)網(wǎng)絡(luò)政策、網(wǎng)絡(luò)安全知識、網(wǎng)絡(luò)安全技巧、網(wǎng)絡(luò)安全知識題庫等內(nèi)容，形成全員學(xué)習(xí)網(wǎng)絡(luò)安全政策發(fā)揮的濃厚氛圍。

2.等級保護(hù)測評形成整改閉環(huán)。每年對火電廠信息系統(tǒng)開展等級保護(hù)測評。要召開專題會議，商討研判等級保護(hù)2.0體系之后的重點工作。全面梳理測評NCS、DCS三級系統(tǒng)時發(fā)現(xiàn)的相關(guān)問題，逐項積極落實整改，并高質(zhì)量形成整改閉環(huán)，確保信息系統(tǒng)長期穩(wěn)定運行，不發(fā)生計算機(jī)安全事件事故。

3.嚴(yán)格落實計算機(jī)網(wǎng)絡(luò)安全責(zé)任。要制定《火電廠計算機(jī)安全責(zé)任制》，成立《火電廠計算機(jī)安全與信息化領(lǐng)導(dǎo)小組》，制定相關(guān)網(wǎng)絡(luò)安全制度，明確管理大區(qū)及生產(chǎn)控制大區(qū)具體管理部門、責(zé)任班組、責(zé)任人。網(wǎng)絡(luò)安全風(fēng)險管控要納入常態(tài)化管理，每年組織風(fēng)險評估，針對檢查發(fā)現(xiàn)問題錄入運營一體化管控系統(tǒng)，確保及時跟蹤相關(guān)問題，并對相關(guān)責(zé)任人工作情況進(jìn)行獎懲。

4.保護(hù)網(wǎng)絡(luò)安全關(guān)鍵基礎(chǔ)設(shè)施。火電廠要每日對信息管理大區(qū)和生產(chǎn)機(jī)房巡檢，并做好巡檢記錄，如發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)施異常及時進(jìn)行處置。要嚴(yán)格落實進(jìn)出入機(jī)房措施，關(guān)鍵時期嚴(yán)禁網(wǎng)絡(luò)運維人員、設(shè)備供應(yīng)商進(jìn)入機(jī)房進(jìn)行設(shè)備操作。核心交換機(jī)、路由器要有備品備件，對重要業(yè)務(wù)系統(tǒng)服務(wù)器數(shù)據(jù)采取實時備份或每日備份措施。在互聯(lián)網(wǎng)系統(tǒng)內(nèi)部署安裝企業(yè)級防火墻、上網(wǎng)行為管理器等安全設(shè)備，及時更新安全設(shè)備版本，升級系統(tǒng)，確保互聯(lián)網(wǎng)系統(tǒng)長期穩(wěn)定運行，不發(fā)生網(wǎng)絡(luò)安全事件事故。在內(nèi)網(wǎng)系統(tǒng)部署入侵檢測、入侵防御、漏洞檢測、態(tài)勢感知、企業(yè)級瑞星、360天擎殺毒軟件、數(shù)據(jù)備份裝置，實行安全設(shè)備整合實施。要定期組織相關(guān)專業(yè)檢測DCS、NCS、PLC等生產(chǎn)系統(tǒng)，按照“縱向加密、橫向隔離”要求，部署安裝IDS、日志審計裝置，增強(qiáng)抵御非法入侵和病毒攻擊能力，做到有痕跡可查、有日志可審，夯實整體網(wǎng)絡(luò)基礎(chǔ)。進(jìn)一步完善安全防護(hù)配置策略，形成科學(xué)完善安全防護(hù)體系。

四、 火電廠構(gòu)建安全網(wǎng)絡(luò)防御體系的技術(shù)支撐

1.外網(wǎng)入侵檢測系統(tǒng)。由于近些年國內(nèi)外網(wǎng)絡(luò)安全形勢較為嚴(yán)峻，對于不具備安全防護(hù)能力的基礎(chǔ)網(wǎng)絡(luò)和業(yè)務(wù)承載平臺來說，一直面臨著較大的網(wǎng)絡(luò)安全威脅，黑客通過互聯(lián)網(wǎng)入侵到從而獲取信息實現(xiàn)非法利益的例子數(shù)不勝數(shù)，需要持續(xù)加強(qiáng)公司外網(wǎng)的防護(hù)能力。部分火電廠雖然已配備成套的網(wǎng)絡(luò)設(shè)備，構(gòu)建了穩(wěn)定的網(wǎng)絡(luò)平臺，但是只在邊界處部署了防火墻，無安全檢測設(shè)備。防火墻系統(tǒng)通過協(xié)議端口映射表（或類似技術(shù)）來判斷流經(jīng)的網(wǎng)絡(luò)報文屬于何種協(xié)議，但是協(xié)議與端口是完全無關(guān)的兩個概念，僅僅可以認(rèn)為某個協(xié)議運行在一個相對固定的缺省端口。包括木馬、后門在內(nèi)的惡意程序，以及基于Smart Tunnel（智能隧道）的P2P應(yīng)用（如各種P2P下載工具、IP電話等），IMS（實時消息系統(tǒng)，如微信、QQ等），網(wǎng)絡(luò)在線游戲等應(yīng)用都可以運行在任意一個指定的端口，這些需專用的入侵檢測設(shè)備進(jìn)行檢測。

2.CDP（災(zāi)備一體機(jī)）。隨著時代發(fā)展，火電廠日常業(yè)務(wù)的開展對于信息化的依賴程度越來越高，對這些業(yè)務(wù)信息系統(tǒng)的連續(xù)性要求和數(shù)據(jù)保護(hù)的要求也越來越高。因此，系統(tǒng)故障造成的數(shù)據(jù)丟失和業(yè)務(wù)中斷，將給火電廠帶來不可挽回的損失，甚至造成嚴(yán)重的社會不良影響。持續(xù)數(shù)據(jù)保護(hù)（CDP）的功能能夠有效防御當(dāng)前信息系統(tǒng)的業(yè)務(wù)中斷風(fēng)險，對于信息化系統(tǒng)如OA系統(tǒng)、生產(chǎn)運行等業(yè)務(wù)系統(tǒng)的業(yè)務(wù)連續(xù)性提供強(qiáng)力的支撐作用，可有效提高業(yè)務(wù)系統(tǒng)的穩(wěn)定性和連續(xù)性。災(zāi)備一體機(jī)采用基于主機(jī)并建立在連續(xù)時間點基礎(chǔ)上的CDP技術(shù)，屬于塊級數(shù)據(jù)保護(hù)的一種。被保護(hù)的系統(tǒng)在運行時，所有新的寫入操作都會被agent所捕獲并同步復(fù)制到災(zāi)備一體機(jī)中，以實現(xiàn)數(shù)據(jù)鏡像保護(hù)；同時在一體機(jī)中將按預(yù)設(shè)的任務(wù)計劃持續(xù)產(chǎn)生有一致性保障的快照點，以供后續(xù)快速恢復(fù)或應(yīng)急接管使用，也可在通過生成時間更為精確的小顆粒進(jìn)行還原和應(yīng)急接管。

3.終端安全管理。互聯(lián)網(wǎng)高速發(fā)展的今天，攻擊技術(shù)及黑客工具傳播很快，因此導(dǎo)致攻擊事件也層出不窮，而邊界型設(shè)備檢測防護(hù)已無法保障現(xiàn)有的內(nèi)網(wǎng)不被滲透入侵，外網(wǎng)失守就是過于關(guān)注邊界防護(hù)，內(nèi)網(wǎng)失控則是對內(nèi)網(wǎng)安全基礎(chǔ)建設(shè)力度薄弱，而最終的決勝點就在終端防護(hù)上，與終端360防護(hù)其他安全產(chǎn)品共同對抗入侵威脅。將終端側(cè)各安全能力進(jìn)行整合，形成在網(wǎng)絡(luò)拓?fù)渲校軌蚺c安全設(shè)備、安全產(chǎn)品相互協(xié)作，共同參與溯源分析，威脅取證。一體化終端安全，以對一個Agent的管理，從識別、檢測、防護(hù)、響應(yīng)、恢復(fù)五維一體的終端安全視角觸發(fā)，同各產(chǎn)品族形成安全網(wǎng)絡(luò)體系。UES是由Agent軟件客戶端和Center管理服務(wù)器端，Agent以軟件的形式部署在企業(yè)的內(nèi)網(wǎng)主機(jī)上，檢測黑客對內(nèi)網(wǎng)的滲透攻擊行為。Center管理服務(wù)器端以軟件形式部署在企業(yè)的內(nèi)網(wǎng)服務(wù)器上，進(jìn)行Agent行為日志的統(tǒng)一收集和分析。

五、火電廠構(gòu)建安全網(wǎng)絡(luò)防御體系的預(yù)期效果

通過打造計算機(jī)安全防御堡壘，加快構(gòu)建一套覆蓋事前系統(tǒng)加固、事中攻擊態(tài)勢實時感知攔截、事后全面追溯取證反制的安全管理模式，通過安全基線管理、入網(wǎng)管理、漏洞管理、軟件管理、病毒防護(hù)、聯(lián)動處置、威脅排查取證等管理手段和技術(shù)手段，圍繞計算機(jī)安全深化管理、制度、工具創(chuàng)新，全面保障了火電廠的信息安全、數(shù)據(jù)安全、邊界安全。

此外，火電廠實現(xiàn)計算機(jī)技術(shù)關(guān)鍵升級，計算機(jī)安全防御體系得到創(chuàng)新優(yōu)化。通過將終端病毒防治、補(bǔ)丁修復(fù)、系統(tǒng)維護(hù)等終端安全防護(hù)措施與接入控制、身份認(rèn)證、權(quán)限控制等網(wǎng)絡(luò)準(zhǔn)入控制手段結(jié)合，火電廠形成網(wǎng)絡(luò)管理和終端管理一體化安全管控保障體系。通過建設(shè)計算機(jī)安全防御體系，基本實現(xiàn)事前利用情報研判威脅、預(yù)置防御策略、主動規(guī)避威脅；事中實時感知發(fā)展態(tài)勢、及時調(diào)整防御策略、快速響應(yīng)；事后對攻擊行為和攻擊者進(jìn)行全面溯源取證，形成集風(fēng)險發(fā)現(xiàn)、威脅防御、事件處置、檢驗進(jìn)化的一體化計算機(jī)安全防御體系，有效構(gòu)建了火電廠關(guān)鍵信息數(shù)據(jù)保護(hù)的“銅墻鐵壁”。