浅谈火电厂如何构建安全网络防御体系

王永强

随着网络技术不断发展，计算机革命深入演进，安全高效的网络环境成为新时代火电厂高质量发展的重要组成部分。因此，构建计算机安全防御体系可以有力保障企业网络安全和信息安全，为火电厂安全运行保驾护航。

一、火电厂构建安全网络防御体系的实施背景

火电厂是国家重要的基础设施之一。随着国家电网建设与使用，电厂计算机系统所面临的安全风险越来越突出，信息保护安全形势越发严峻。火电厂运行安全事关国家安全，影响国计民生，关键信息得到有效保护，通讯系统正常运行对于国家电力安全具有重要支撑作用。

近些年国内外电力系统遭到网络攻击事件比比皆是，例如乌克兰电网攻击事件、以色列电力供应系统遭重大网络攻击事件、委内瑞拉大停电事件等，造成恶劣影响与重大经济损失。同时，从NAS方程式组织网络攻击武器的大规模泄露，到“永恒之蓝”漏洞，再到被广泛应用的各类Web应用漏洞、IOT漏洞；从趋于定向化和敏捷化的勒索攻击，到各类挖矿攻击的全面铺开；从屡次的数据泄露事件曝光，到几乎每天曝光的APT攻击，火电厂计算机系统随时面临安全威胁，且威胁手段正逐步升级，方法层出不穷。强化计算机安全防护体系，防范和遏制重大信息安全事件，成为火电厂电力生产安全稳定运行和电力可靠供应的重要保障。

二 、火电厂典型计算机安全问题

1.信通主机房管理不善。少数火电厂存在关键计算机柜背面走线凌乱，部分级联线的工艺不合格，停用设备未下架，未断电等现象。

2.生产人员安全意识不足。计算机安全培训次数较少，部分生产人员对于网络设备操作不熟，安全意识不足。

3.关键系统、设备未及时备份。例如少数火电厂三大项目采用手工备份，且存在未及时备份情况，原服务器未设置灾备服务器，实时灾备系统易出现故障。

三、火电厂构建安全网络防御体系的方法路径

1.认真落实网络安全相关政策法规。针对典型问题，火电厂要加大计算机安全培训学习宣传力度，制度年度培训计划，开展网络政策宣传。组织公司各部门网络安全专责及信息管理人员培训学习，采用开展网络安全宣传周活动、现场宣传培训等形式宣传相关网络政策、法律法规、制度等文献内容，提高网络安全意识。发布网络安全信息公告，传阅学习网络政策、网络安全知识、网络安全技巧、网络安全知识题库等内容，形成全员学习网络安全政策发挥的浓厚氛围。

2.等级保护测评形成整改闭环。每年对火电厂信息系统开展等级保护测评。要召开专题会议，商讨研判等级保护2.0体系之后的重点工作。全面梳理测评NCS、DCS三级系统时发现的相关问题，逐项积极落实整改，并高质量形成整改闭环，确保信息系统长期稳定运行，不发生计算机安全事件事故。

3.严格落实计算机网络安全责任。要制定《火电厂计算机安全责任制》，成立《火电厂计算机安全与信息化领导小组》，制定相关网络安全制度，明确管理大区及生产控制大区具体管理部门、责任班组、责任人。网络安全风险管控要纳入常态化管理，每年组织风险评估，针对检查发现问题录入运营一体化管控系统，确保及时跟踪相关问题，并对相关责任人工作情况进行奖惩。

4.保护网络安全关键基础设施。火电厂要每日对信息管理大区和生产机房巡检，并做好巡检记录，如发现网络设施异常及时进行处置。要严格落实进出入机房措施，关键时期严禁网络运维人员、设备供应商进入机房进行设备操作。核心交换机、路由器要有备品备件，对重要业务系统服务器数据采取实时备份或每日备份措施。在互联网系统内部署安装企业级防火墙、上网行为管理器等安全设备，及时更新安全设备版本，升级系统，确保互联网系统长期稳定运行，不发生网络安全事件事故。在内网系统部署入侵检测、入侵防御、漏洞检测、态势感知、企业级瑞星、360天擎杀毒软件、数据备份装置，实行安全设备整合实施。要定期组织相关专业检测DCS、NCS、PLC等生产系统，按照“纵向加密、横向隔离”要求，部署安装IDS、日志审计装置，增强抵御非法入侵和病毒攻击能力，做到有痕迹可查、有日志可审，夯实整体网络基础。进一步完善安全防护配置策略，形成科学完善安全防护体系。

四、 火电厂构建安全网络防御体系的技术支撑

1.外网入侵检测系统。由于近些年国内外网络安全形势较为严峻，对于不具备安全防护能力的基础网络和业务承载平台来说，一直面临着较大的网络安全威胁，黑客通过互联网入侵到从而获取信息实现非法利益的例子数不胜数，需要持续加强公司外网的防护能力。部分火电厂虽然已配备成套的网络设备，构建了稳定的网络平台，但是只在边界处部署了防火墙，无安全检测设备。防火墙系统通过协议端口映射表（或类似技术）来判断流经的网络报文属于何种协议，但是协议与端口是完全无关的两个概念，仅仅可以认为某个协议运行在一个相对固定的缺省端口。包括木马、后门在内的恶意程序，以及基于Smart Tunnel（智能隧道）的P2P应用（如各种P2P下载工具、IP电话等），IMS（实时消息系统，如微信、QQ等），网络在线游戏等应用都可以运行在任意一个指定的端口，这些需专用的入侵检测设备进行检测。

2.CDP（灾备一体机）。随着时代发展，火电厂日常业务的开展对于信息化的依赖程度越来越高，对这些业务信息系统的连续性要求和数据保护的要求也越来越高。因此，系统故障造成的数据丢失和业务中断，将给火电厂带来不可挽回的损失，甚至造成严重的社会不良影响。持续数据保护（CDP）的功能能够有效防御当前信息系统的业务中断风险，对于信息化系统如OA系统、生产运行等业务系统的业务连续性提供强力的支撑作用，可有效提高业务系统的稳定性和连续性。灾备一体机采用基于主机并建立在连续时间点基础上的CDP技术，属于块级数据保护的一种。被保护的系统在运行时，所有新的写入操作都会被agent所捕获并同步复制到灾备一体机中，以实现数据镜像保护；同时在一体机中将按预设的任务计划持续产生有一致性保障的快照点，以供后续快速恢复或应急接管使用，也可在通过生成时间更为精确的小颗粒进行还原和应急接管。

3.终端安全管理。互联网高速发展的今天，攻击技术及黑客工具传播很快，因此导致攻击事件也层出不穷，而边界型设备检测防护已无法保障现有的内网不被渗透入侵，外网失守就是过于关注边界防护，内网失控则是对内网安全基础建设力度薄弱，而最终的决胜点就在终端防护上，与终端360防护其他安全产品共同对抗入侵威胁。将终端侧各安全能力进行整合，形成在网络拓扑中，能够与安全设备、安全产品相互协作，共同参与溯源分析，威胁取证。一体化终端安全，以对一个Agent的管理，从识别、检测、防护、响应、恢复五维一体的终端安全视角触发，同各产品族形成安全网络体系。UES是由Agent软件客户端和Center管理服务器端，Agent以软件的形式部署在企业的内网主机上，检测黑客对内网的渗透攻击行为。Center管理服务器端以软件形式部署在企業的内网服务器上，进行Agent行为日志的统一收集和分析。

五、火电厂构建安全网络防御体系的预期效果

通过打造计算机安全防御堡垒，加快构建一套覆盖事前系统加固、事中攻击态势实时感知拦截、事后全面追溯取证反制的安全管理模式，通过安全基线管理、入网管理、漏洞管理、软件管理、病毒防护、联动处置、威胁排查取证等管理手段和技术手段，围绕计算机安全深化管理、制度、工具创新，全面保障了火电厂的信息安全、数据安全、边界安全。

此外，火电厂实现计算机技术关键升级，计算机安全防御体系得到创新优化。通过将终端病毒防治、补丁修复、系统维护等终端安全防护措施与接入控制、身份认证、权限控制等网络准入控制手段结合，火电厂形成网络管理和终端管理一体化安全管控保障体系。通过建设计算机安全防御体系，基本实现事前利用情报研判威胁、预置防御策略、主动规避威胁；事中实时感知发展态势、及时调整防御策略、快速响应；事后对攻击行为和攻击者进行全面溯源取证，形成集风险发现、威胁防御、事件处置、检验进化的一体化计算机安全防御体系，有效构建了火电厂关键信息数据保护的“铜墙铁壁”。