淺談火電廠如何構建安全網絡防御體系

王永強

隨著網絡技術不斷發展，計算機革命深入演進，安全高效的網絡環境成為新時代火電廠高質量發展的重要組成部分。因此，構建計算機安全防御體系可以有力保障企業網絡安全和信息安全，為火電廠安全運行保駕護航。

一、火電廠構建安全網絡防御體系的實施背景

火電廠是國家重要的基礎設施之一。隨著國家電網建設與使用，電廠計算機系統所面臨的安全風險越來越突出，信息保護安全形勢越發嚴峻。火電廠運行安全事關國家安全，影響國計民生，關鍵信息得到有效保護，通訊系統正常運行對于國家電力安全具有重要支撐作用。

近些年國內外電力系統遭到網絡攻擊事件比比皆是，例如烏克蘭電網攻擊事件、以色列電力供應系統遭重大網絡攻擊事件、委內瑞拉大停電事件等，造成惡劣影響與重大經濟損失。同時，從NAS方程式組織網絡攻擊武器的大規模泄露，到“永恒之藍”漏洞，再到被廣泛應用的各類Web應用漏洞、IOT漏洞；從趨于定向化和敏捷化的勒索攻擊，到各類挖礦攻擊的全面鋪開；從屢次的數據泄露事件曝光，到幾乎每天曝光的APT攻擊，火電廠計算機系統隨時面臨安全威脅，且威脅手段正逐步升級，方法層出不窮。強化計算機安全防護體系，防范和遏制重大信息安全事件，成為火電廠電力生產安全穩定運行和電力可靠供應的重要保障。

二 、火電廠典型計算機安全問題

1.信通主機房管理不善。少數火電廠存在關鍵計算機柜背面走線凌亂，部分級聯線的工藝不合格，停用設備未下架，未斷電等現象。

2.生產人員安全意識不足。計算機安全培訓次數較少，部分生產人員對于網絡設備操作不熟，安全意識不足。

3.關鍵系統、設備未及時備份。例如少數火電廠三大項目采用手工備份，且存在未及時備份情況，原服務器未設置災備服務器，實時災備系統易出現故障。

三、火電廠構建安全網絡防御體系的方法路徑

1.認真落實網絡安全相關政策法規。針對典型問題，火電廠要加大計算機安全培訓學習宣傳力度，制度年度培訓計劃，開展網絡政策宣傳。組織公司各部門網絡安全專責及信息管理人員培訓學習，采用開展網絡安全宣傳周活動、現場宣傳培訓等形式宣傳相關網絡政策、法律法規、制度等文獻內容，提高網絡安全意識。發布網絡安全信息公告，傳閱學習網絡政策、網絡安全知識、網絡安全技巧、網絡安全知識題庫等內容，形成全員學習網絡安全政策發揮的濃厚氛圍。

2.等級保護測評形成整改閉環。每年對火電廠信息系統開展等級保護測評。要召開專題會議，商討研判等級保護2.0體系之后的重點工作。全面梳理測評NCS、DCS三級系統時發現的相關問題，逐項積極落實整改，并高質量形成整改閉環，確保信息系統長期穩定運行，不發生計算機安全事件事故。

3.嚴格落實計算機網絡安全責任。要制定《火電廠計算機安全責任制》，成立《火電廠計算機安全與信息化領導小組》，制定相關網絡安全制度，明確管理大區及生產控制大區具體管理部門、責任班組、責任人。網絡安全風險管控要納入常態化管理，每年組織風險評估，針對檢查發現問題錄入運營一體化管控系統，確保及時跟蹤相關問題，并對相關責任人工作情況進行獎懲。

4.保護網絡安全關鍵基礎設施。火電廠要每日對信息管理大區和生產機房巡檢，并做好巡檢記錄，如發現網絡設施異常及時進行處置。要嚴格落實進出入機房措施，關鍵時期嚴禁網絡運維人員、設備供應商進入機房進行設備操作。核心交換機、路由器要有備品備件，對重要業務系統服務器數據采取實時備份或每日備份措施。在互聯網系統內部署安裝企業級防火墻、上網行為管理器等安全設備，及時更新安全設備版本，升級系統，確保互聯網系統長期穩定運行，不發生網絡安全事件事故。在內網系統部署入侵檢測、入侵防御、漏洞檢測、態勢感知、企業級瑞星、360天擎殺毒軟件、數據備份裝置，實行安全設備整合實施。要定期組織相關專業檢測DCS、NCS、PLC等生產系統，按照“縱向加密、橫向隔離”要求，部署安裝IDS、日志審計裝置，增強抵御非法入侵和病毒攻擊能力，做到有痕跡可查、有日志可審，夯實整體網絡基礎。進一步完善安全防護配置策略，形成科學完善安全防護體系。

四、 火電廠構建安全網絡防御體系的技術支撐

1.外網入侵檢測系統。由于近些年國內外網絡安全形勢較為嚴峻，對于不具備安全防護能力的基礎網絡和業務承載平臺來說，一直面臨著較大的網絡安全威脅，黑客通過互聯網入侵到從而獲取信息實現非法利益的例子數不勝數，需要持續加強公司外網的防護能力。部分火電廠雖然已配備成套的網絡設備，構建了穩定的網絡平臺，但是只在邊界處部署了防火墻，無安全檢測設備。防火墻系統通過協議端口映射表（或類似技術）來判斷流經的網絡報文屬于何種協議，但是協議與端口是完全無關的兩個概念，僅僅可以認為某個協議運行在一個相對固定的缺省端口。包括木馬、后門在內的惡意程序，以及基于Smart Tunnel（智能隧道）的P2P應用（如各種P2P下載工具、IP電話等），IMS（實時消息系統，如微信、QQ等），網絡在線游戲等應用都可以運行在任意一個指定的端口，這些需專用的入侵檢測設備進行檢測。

2.CDP（災備一體機）。隨著時代發展，火電廠日常業務的開展對于信息化的依賴程度越來越高，對這些業務信息系統的連續性要求和數據保護的要求也越來越高。因此，系統故障造成的數據丟失和業務中斷，將給火電廠帶來不可挽回的損失，甚至造成嚴重的社會不良影響。持續數據保護（CDP）的功能能夠有效防御當前信息系統的業務中斷風險，對于信息化系統如OA系統、生產運行等業務系統的業務連續性提供強力的支撐作用，可有效提高業務系統的穩定性和連續性。災備一體機采用基于主機并建立在連續時間點基礎上的CDP技術，屬于塊級數據保護的一種。被保護的系統在運行時，所有新的寫入操作都會被agent所捕獲并同步復制到災備一體機中，以實現數據鏡像保護；同時在一體機中將按預設的任務計劃持續產生有一致性保障的快照點，以供后續快速恢復或應急接管使用，也可在通過生成時間更為精確的小顆粒進行還原和應急接管。

3.終端安全管理。互聯網高速發展的今天，攻擊技術及黑客工具傳播很快，因此導致攻擊事件也層出不窮，而邊界型設備檢測防護已無法保障現有的內網不被滲透入侵，外網失守就是過于關注邊界防護，內網失控則是對內網安全基礎建設力度薄弱，而最終的決勝點就在終端防護上，與終端360防護其他安全產品共同對抗入侵威脅。將終端側各安全能力進行整合，形成在網絡拓撲中，能夠與安全設備、安全產品相互協作，共同參與溯源分析，威脅取證。一體化終端安全，以對一個Agent的管理，從識別、檢測、防護、響應、恢復五維一體的終端安全視角觸發，同各產品族形成安全網絡體系。UES是由Agent軟件客戶端和Center管理服務器端，Agent以軟件的形式部署在企業的內網主機上，檢測黑客對內網的滲透攻擊行為。Center管理服務器端以軟件形式部署在企業的內網服務器上，進行Agent行為日志的統一收集和分析。

五、火電廠構建安全網絡防御體系的預期效果

通過打造計算機安全防御堡壘，加快構建一套覆蓋事前系統加固、事中攻擊態勢實時感知攔截、事后全面追溯取證反制的安全管理模式，通過安全基線管理、入網管理、漏洞管理、軟件管理、病毒防護、聯動處置、威脅排查取證等管理手段和技術手段，圍繞計算機安全深化管理、制度、工具創新，全面保障了火電廠的信息安全、數據安全、邊界安全。

此外，火電廠實現計算機技術關鍵升級，計算機安全防御體系得到創新優化。通過將終端病毒防治、補丁修復、系統維護等終端安全防護措施與接入控制、身份認證、權限控制等網絡準入控制手段結合，火電廠形成網絡管理和終端管理一體化安全管控保障體系。通過建設計算機安全防御體系，基本實現事前利用情報研判威脅、預置防御策略、主動規避威脅；事中實時感知發展態勢、及時調整防御策略、快速響應；事后對攻擊行為和攻擊者進行全面溯源取證，形成集風險發現、威脅防御、事件處置、檢驗進化的一體化計算機安全防御體系，有效構建了火電廠關鍵信息數據保護的“銅墻鐵壁”。