随着信息技术的快速发展，现代工业和生产环境对自动化和智能化的需求不断增加，新一代集控站设备监控系统（以下简称“集控系统”）满足了管辖范围内无人值班变电站一、二次设备和辅助设备远程集中监视、操作及控制等任务，同时满足现场运维检修、设备管理和应急处置等业务需求。2021年年初以来，国网江苏、浙江、山东电力等20家省级电力公司已按计划完成集控系统建设及投运工作，累计接入35千伏及以上变电站3216座、主辅设备信息775万条。

【图】新一代集控站设备监控系统拓扑图

上图所示为新一代集控站设备监控系统拓扑图，分为安全区Ⅰ、安全区Ⅱ以及安全区Ⅳ。区I主要实现主设备监视与控制、辅设备重要信息监视、系统维护等应用功能；区Ⅱ主要实现辅助设备监视与控制等应用功能；区IV主要实现运维管理、在线智能巡视等应用功能。

若新一代集控站设备监控系统遭受网络攻击，可能会造成设备故障或停机，将严重影响生产或运营，并且攻击可能导致敏感数据泄露或丢失，包括生产数据、设备状态信息和攻击机密信息，这可能对业务造成重大损害。本次分享主要针对集控系统大规模投运所带来的网络安全建设需求进行分析，给各类电力企业用户和合作伙伴提供集控系统网络安全建设解决方案。

政策背景

2020年2月28日，国网设备部发布《国网设备部关于印发2020年设备管理重点工作任务的通知》（设备综合〔2020〕14号），确定了共10个方面35项重点工作，其中第26条明确提出：“结合各地实际情况，坚持试点先行、全面推进，加快变电集控站建设，完善主辅设备监控等技术支撑手段，山东、辽宁、四川等10家省公司年内完成 26 个集控站试点建设。”

【图】《国网设备部关于印发2020年设备管理重点工作任务的通知》相关内容

2022年，国家电网公司发布《新一代集控站设备监控系统系列规范-第10部分：设计规范(2022版试行)》，其中第10章第1点提出集控系统宜参考地（县）级调度中心监控系统安全防护方案配置边界安全防护设备及综合安全防护设备，结合国能安全36号文《附件1：电力监控系统安全防护总体方案》对电力监控系统安全保护等级标准的要求，集控站监控系统需按照等保三级及以上标准进行建设和测评。

【图】《新一代集控站设备监控系统系列规范-第10部分：设计规范》相关内容

【图】国能安全36号文《附件1：电力监控系统安全防护总体方案》相关内容

现状及风险

新一代集控站设备监控系统按照国能安全36号文相关要求完成安全分区、网络专用、横向隔离、纵向认证后，由于集控系统本身存在的脆弱性问题以及日益增加的网络安全攻击威胁，集控系统仍在区域边界、通信网络、计算环境、管理中心四个方面存在诸多网络安全问题。

区域边界问题

按照国能安全36号文件及等级保护2.0要求，在新一代集控站设备监控系统建设时已完成安全区Ⅱ与安全区Ⅳ的正反向隔离，安全区Ⅰ与安全区Ⅱ逻辑隔离。但仍缺乏部分边界访问控制隔离，以及入侵防范，恶意代码防范、应用层攻击防护能力。具体来说，当前系统的边界访问控制隔离尚未完全落实，存在安全漏洞，使得未经授权的访问风险增加。此外，针对网络入侵的检测与防御机制尚不完善，难以有效识别和阻止潜在的网络攻击。恶意代码防范措施不足，使得系统容易受到病毒、木马等恶意软件的威胁。而应用层攻击防护能力的欠缺，意味着系统在应对SQL注入、跨站脚本攻击等高级威胁时，防御效果不理想。

网络通信问题

新一代集控站设备监控系统在内部非业务需求访问行为的审计和记录方面存在明显不足，导致难以追溯和监控内部异常活动。对于非授权接入行为，系统缺乏发现和记录的有效手段，使得未授权的访问隐形接入并可能长期未被察觉，增加了集控系统的安全风险。在应对新型网络攻击行为方面，现有监控系统缺乏对新型网络攻击行为的有效检测和分析能力，难以识别复杂的网络攻击模式，如高级持续性威胁（APT）、零日攻击和高级恶意软件。这使得系统在面对这些高风险攻击时，防护能力显得尤为薄弱，难以提供及时和有效的应对措施。

计算环境问题

集控系统终端（如工程师站、操作员站、服务器等）安全配置可能存在诸多不完善之处，包括用户管理、密码强度、服务配置、漏洞修补以及外设接口控制等方面的不足，终端脆弱性问题为潜在的安全威胁提供了可乘之机。此外，移动介质的滥用问题的普遍存在导致集控系统安全性降低，员工随意使用未经授权和安全检测的U盘、移动硬盘等设备，增加了恶意代码传播的风险。由于缺乏有效的防病毒软件和实时监控系统，病毒和恶意软件更易通过上述途径传播和感染系统。一旦出现病毒感染事件，病毒会迅速在网络中传播，可能导致关键生产系统的中断，严重影响生产效率和业务连续性。

管理中心问题

追求可用性而牺牲安全，是电力监控系统普遍存在的问题，缺乏完整有效的安全策略和实时监控管理平台也给电力监控系统带来了一系列的安全问题，如无法对集控系统网络运维人员的行为进行管理，包括行为的审计及身份认证等；无法对重要的用户行为和重要安全事件进行审计；无法识别集控系统存在的安全漏洞和隐患；无法对数据库的访问行为进行监控；无法对非授权的设备私自接入集控站的行为进行检查和限制；无法对分布在网络中的安全设备进行集中管控等问题。

解决方案

根据国能安全〔2015〕36号文《附件1电力监控系统安全防护总体方案》相关要求，集控系统网络安全总体方案设计如下图所示：

【图】新一代集控站设备监控系统网络安全建设总体规划

上图所示为新一代集控站设备监控系统根据国能安全36号文附件1文件，分别在安全区Ⅰ、安全区Ⅱ、安全区Ⅳ通过“一个中心，三重防护”进行设计总体规划图。详细设计如下：

1、安全区域边界

在新一代集控站设备监控系统生产控制大区安全区Ⅱ和安全区Ⅳ的生产网与安全运维中心网络边界部署工业互联防火墙。此外，在安全区Ⅰ与安全区Ⅱ的边界处和安全区Ⅳ与综合数据网边界处，由于ECS6000系统在设计之初已然包括了防火墙的设计，但所使用的防火墙并不具备工控安全相关能力，所以建议替换。

通过开启访问控制、入侵防御和病毒阻断策略，防止来自系统外部的恶意网络攻击行为；通过工控协议深度解析技术，建立业务通信白名单，强化系统安全域边界的访问控制能力，构建电力监控系统横向多道防线，建立安全区域边界“白环境”；通过开启IPS、AV防病毒等模块，防范未知风险，保证工控网络安全可靠运行。

2、安全通信网络

在新一代集控站设备监控系统安全区Ⅰ核心网络部署工控安全监测与审计系统，在安全II区和安全Ⅳ区部署入侵检测系统与高级威胁检测系统。工控安全监测与审计系统基于工控协议深度解析技术，智能学习建立业务系统安全通信模型，实时监测网络中异常流量和行为；入侵检测系统采用一体化检测分析技术，实现对网络内部和网络外部存在的蠕虫、后门、木马、间谍软件、Web 攻击、拒绝服务等攻击进行检测和审计报警；高级威胁检测系统采用基因图谱检测、沙箱行为检测、威胁情报检测、人工智能检测、高级可持续性检测等先进检测技术，通过攻击链的管理分析、资产威胁的精准画像、元数据的采集分析，综合提升网络内、外的威胁检测能力，建立安全通信网络“白环境”。

【图】高级威胁检测系统防护功能示意图

3、安全计算环境

在新一代集控站设备监控系统的主机和服务器部署工控主机卫士，通过文件白名单技术，实现对病毒和恶意代码的防范；通过安全基线加固技术，提升主机操作系统安全等级；在生产控制大区部署移动介质安检站，配套专用安全U盘，通过移动介质管控、病毒查杀标签技术，强制USB移动介质进行病毒查杀，避免通过USB移动介质引入病毒，实现终端数据安全，建立主机安全“白环境”。

【图】移动介质强制管控流程图

4、安全管理中心

在安全Ⅱ区与安全Ⅳ区分别部署安全运维管理系统、日志审计与分析系统、工控漏洞扫描平台、数据库审计系统、网络准入系统和统一安全管理平台构建安全管理中心。通过安全运维管理系统实现运维账户的身份鉴别、权限管理和运维行为审计，保证电力监控系统的运维管理安全；通过日志审计与分析系统实现日志数据和告警数据统一收集和关联分析，保证审计日志保存6个月以上；通过工控漏洞扫描平台定期对电力监控系统进行漏洞扫描，及时发现和处置电力监控系统中存在的漏洞；通过数据库审计系统实时监控记录用户对数据库的所有访问行为，并对数据库所遭受的风险行为进行告警；通过网络准入系统达到“违规不入网、入网必合规”的管理规范；通过统一安全管理平台实现对所有网络安全设备的状态检测和策略配置，减轻网络安全系统的运维工作量。

此外，在安全Ⅳ区部署态势分析与安全运营管理平台，提供资产态势、运行态势、攻击态势等可视化展示，实现集中运维、安全策略集中配置、事件日志集中分析、设备操作集中审计。实现日常安全监测、安全巡检、安全事件分析、安全响应处置、安全风险评估等一站式安全服务，满足等保对安全管理的要求。

【图】态势分析与安全运营平台界面

方案优势

1、物理流量纯单向性审计

工控安全监测与审计系统通过“阉割”网口侧的发包功能，实现了物理层流量纯单向审计设计。镜像流量只能单向地从对端设备流入审计系统，而无法反向发送数据包。单向流量控制可以有效避免多个机组使用同一台流量审计设备时，机组之间发生流量冲突的风险，从而防止生产事故的发生。此外，工控安全监测与审计系统能够杜绝由于操作失误或设备故障引起的流量审计设备向镜像流量来源设备发送数据包的情况，也就是说即使在系统维护或调试过程中，也能确保流量审计设备不会对生产系统产生任何干扰，保障生产环境的安全和稳定性。另外，通过防止数据包反向发送，减少了网络攻击者利用流量审计设备作为中介进行恶意操作的可能性，进一步巩固了生产系统的防御能力。

【图】工控安全监测与审计系统单向审计示意图

2、硬件锁设计保障安全设备高安全性

为了避免黑客通过修改安全设备策略来绕过安全设备检测并对生产系统发起攻击的情况，"硬件锁"设计提供了完美的解决方案。威努特自研的工业防火墙和工控安全监测与审计系统均采用了硬件锁设计。硬件锁在物理层面上杜绝了安全设备配置策略被恶意篡改的可能性。通过将关键配置固化在硬件层级，确保了即使攻击者获得了系统的管理员权限，也无法改变安全设备的策略设置,极大地提升了安全设备的抗攻击能力和自我保护能力。
此外，硬件锁设计还具备以下优势：

防止内部威胁：即使是内部人员（如有恶意的管理员或因疏忽导致的误操作），也无法对锁定的策略进行更改，从而防范内部威胁。

高等级安全防护：在电力行业，面对复杂和多变的安全威胁，硬件锁设计确保了安全设备在各种情况下都能提供高等级的安全防护，维护电力系统的稳定和安全运行。

【图】硬件锁设计

3、移动介质技术强制管控

移动介质安检站是专门用于对各类移动存储介质进行病毒查杀的设备。它与工控主机卫士、统一安全管理平台和安全U盘相配合，实现了对移动介质杀毒的强制管控。具体技术实施如下：

首先通过统一安全管理中心对移动存储介质进行注册、授权、分组管理；

将移动存储介质接入移动介质安检站，移动存储介质在经过安检站查杀后，会自动生成病毒查杀标记；

工控主机卫士则会对这些标记进行验证，确保只有带有有效杀毒标记的介质才能被读取和使用。无杀毒标记的介质将被阻止读取。

通过以上步骤，规范了移动存储介质在集控站网络中的接入行为，有效防止了未经病毒查杀的移动存储介质接入生产系统，保障了主站系统的安全，避免了病毒感染的风险。移动介质安检站在移动介质接入网络之前就完成了病毒查杀操作，因此，杀毒设备和未经杀毒的移动介质都不会接入内网，确保了病毒查杀过程的彻底性和无逃逸性。

【图】威努特移动介质闭环管控

4、深度理解工业协议

深度理解电力系统广泛使用的Modbus、IEC60870-5-104、IEC 60870-5-101、 IEC60870-5-102、 IEC 60870-5-103、 IEC 60870-5-104、 GB/T19582-modbus等多种应用通信协议，智能学习各类操作行为和参数，更好地识别攻击行为。

典型案例

某省超高压公司变电设备监控系统

威努特具备某省“集控中心+变电站”新一代变电集控中心落地经验，该集控站系统拟实现接入31座变电站。其中1000kv变电站1座，500Kv变电站30座。目前此项目已完成1期建设，建立基础网络安全建构，后续将以提升网络安全防护能力为目的，建设其他网络安全防护能力。

【图】案例实际拓扑图

如上图所示，目前已实现对安全Ⅰ区和安全Ⅱ区的边界隔离，部署入侵检测系统检测从内、外部发起的网络攻击行为（病毒传播、漏洞利用等），在发生严重入侵事件时进行报警；在安全Ⅱ区部署日志审计与分析系统通过对网络中的事件日志进行集中收集和分析，对重要的用户行为和重要安全事件进行审计，满足网络安全法、等保2.0等文件对安全审计的要求。

原创 曾浪 威努特安全网络