火电厂辅控系统工控安全保障框架
一、 背景
电力行业是国家经济的基础能源产业,是我国经济、社会发展的关键基础设施,更是国家的重要战略资源。近年来电力企业借助数字化、网络化、智能化等技术手段,实现了电力企业不断向创新型、智能型、绿色型企业发展。
电力控制系统的网络化、智能化在提高生产效率和管理效率的同时,也使电力控制系统攻击面持续扩大,为攻击者增加了许多新的攻击途径,使得电力企业生产控制系统面临越来越多的安全威胁和挑战。
同时,随着《网络安全法》以及配套法律法规的不断发布实施,国家将持续推进工业行业工控安全建设,作为工控安全领域的排头兵,电力行业将成为工控安全建设的先行者和开拓者。
二、 体系思想
- 关注业务安全
电力系统、电力生产网络的根本任务是安全生产,进行火电厂辅控系统工控安全保障框架设计的目的是进一步加强安全生产,保障业务系统正常连续稳定运行。
- 纵深防护
结合纵深防御的思想,形成一套纵深防护架构,包括:网络边界防护、区域防护、节点防护、物理隔离、区域监测、整体监测等方面。
- 事前、事中、事后综合预警
以时间、过程为维度,在事前、事中、事后以及检测、防护、响应、策略等过程对安全事件进行采集、处理、预警,形成火电厂辅控系统信息安全的完整检测、预警、决策体系。
- 闭环、可视化
通过火电厂辅控系统工控安全保障框架实现防护、检测、响应的闭环过程,并通过安全威胁、事件归一化处理和关联分析,实现对全局工控安全的事件追溯、态势感知和可视化。
三、 框架内容
火电厂辅控系统工控安全保障框架由支撑体系、安全技术集成、安全机制以及安全管理体系、安全运维体系五部分组成,各部分彼此协调联动构成工控安全闭环。
- 支撑体系
支撑体系由国家颁布的法律规范如《网络安全法》、行业规范如《电力监控系统安全防护规定》、等级保护如《电力行业等级保护基本要求》、产品技术如工业防火墙、工业网闸等构成。支撑体系是火电厂辅控系统工控安全建设的技术基础和建设依据,通过参考相关法规政策以及工控安全产品技术发展趋势,制定出具有合规性且符合火电厂辅控系统切身实际的工控安全解决方案。
- 安全技术集成
安全技术集成是一个体系化、流程化的工作,不是安全产品的简单堆叠,需充分考虑安全产品的安全特性以及产品依赖关系、流程关系、联动关系,通过有效的安全技术集成可使安全产品的信息流、数据流、事件流安全互通,从而实现安全设备的便捷管理和安全联动,最终实现安全产品的可靠、有效利用,避免投资浪费。
火电厂辅控系统安全技术集成主要包含以下几个方面:
安全防护集成:安全防护手段主要包括工业防火墙、工业网闸等工控安全专用设备,通过以上设备的技术集成实现网络边界、区域边界、控制节点的纵深型安全防护体系。
安全审计与检测集成:安全审计与检测手段主要包括安全审计与监测设备、安全探针、工业防火墙或工业网闸上传的信息事件。安全审计与检测集成涉及产品技术平面较广,是安全信息流、数据流的汇聚点,在进行安全审计与检测集成时需充分考虑各产品的逻辑关系、数据流关系以及联动关系。
安全服务集成:安全服务包括安全巡检、应急响应、安全测试等,主要为安全产品的补充,通过安全服务可对现场网络安全事件进行快速响应处理,减少宕机时间和业务损失。
安全策略集成:安全策略是火电厂辅控系统工控安全保障框架的指导方针。在策略中,必须明确被保护的主体及原因,明确安全工作的具体职责,提供解释和解决可能出现的问题的基准。策略应该具有普遍性,并且在一定的时期内固定不变。同时,安全策略指导安全产品、安全服务的功能配置和策略执行。安全策略由工控安全管理中心统一管理。
- 安全机制
安全机制是在统一安全策略下实现的工控安全操作执行形式。在支撑体系以及安全技术集成的基础上实现空间域、过程域、时间域的安全保障机制。
空间域:空间域以火电厂辅控系统横向和纵向空间为对象进行工控安全建设,充分利用纵深防御思想分别在网络边界、计算区域、控制节点、通信网络、指令安全等层面进行安全防护与安全审计。
过程域:过程域是空间域安全策略的具体实现,是指工控安全防护、检测、响应的持续过程,在安全策略指导下实现产品联动和安全数据交互。如在区域安全空间域内需综合考虑工控安全防护、安全检测和安全响应,而不应该只考虑安全防护措施或安全检测措施。
时间域:时间域在时间维度对安全事件进行管理,时间域综合空间域和过程域内的全部安全数据和安全信息,通过安全管理平台实现事前、事中、事后的全程安全事件追溯,并建立知识库有效提升火电厂工控安全应急响应水平和响应效率,同时使管理人员的决策更加及时、准确。
四、 框架意义
火电厂辅控系统工控安全保障框架可广泛应用于火电厂辅控系统的网络安全建设,并为其它电力控制系统的安全建设提供指导性方案和理论依据,同时满足合规性需求,保障安全建设的有效性、适用性,避免投资浪费。
- 通过火电厂辅控系统工控安全保障框架,实现对电力系统网络风险、安全威胁的快速识别、快速处置,增强发电厂网络安全事件处置能力,提高发电厂网络安全管理水平。
- 通过火电厂辅控系统工控安全保障框架,形成符合发电厂辅控系统技术特点的网络安全整体防护方案,形成发电厂网络安全事前预防、事中监控、事后审计的安全管理体系,以及预测、防御、检测、响应的安全技术体系,形成安全技术与安全管理的闭环,为发电系统稳定可靠运行、发电企业业务发展提供有力保障。
- 通过火电厂辅控系统工控安全保障框架,增强发电厂合规性识别能力,满足国家法律法规以及政策性需求,切实提升信息化管理水平和管理效率,使管理人员的决策更加及时、准确,使信息流通结构更加合理。