火電廠輔控系統工控安全保障架構

電力行業是國家經濟的基礎能源産業，是我國經濟、社會發展的關鍵基礎設施，更是國家的重要戰略資源。近年來電力企業借助數字化、網絡化、智能化等技術手段，實作了電力企業不斷向創新型、智能型、綠色型企業發展。

電力控制系統的網絡化、智能化在提高生産效率和管理效率的同時，也使電力控制系統攻擊面持續擴大，為攻擊者增加了許多新的攻擊途徑，使得電力企業生産控制系統面臨越來越多的安全威脅和挑戰。

同時，随着《網絡安全法》以及配套法律法規的不斷釋出實施，國家将持續推進工業行業工控安全建設，作為工控安全領域的排頭兵，電力行業将成為工控安全建設的先行者和開拓者。

一、 背景

二、 體系思想

• 關注業務安全

電力系統、電力生産網絡的根本任務是安全生産，進行火電廠輔控系統工控安全保障架構設計的目的是進一步加強安全生産，保障業務系統正常連續穩定運作。

• 縱深防護

結合縱深防禦的思想，形成一套縱深防護架構，包括：網絡邊界防護、區域防護、節點防護、實體隔離、區域監測、整體監測等方面。

• 事前、事中、事後綜合預警

以時間、過程為次元，在事前、事中、事後以及檢測、防護、響應、政策等過程對安全事件進行采集、處理、預警，形成火電廠輔控系統資訊安全的完整檢測、預警、決策體系。

• 閉環、可視化

通過火電廠輔控系統工控安全保障架構實作防護、檢測、響應的閉環過程，并通過安全威脅、事件歸一化處理和關聯分析，實作對全局工控安全的事件追溯、态勢感覺和可視化。

三、 架構内容

火電廠輔控系統工控安全保障架構由支撐體系、安全技術內建、安全機制以及安全管理體系、安全運維體系五部分組成，各部分彼此協調關聯構成工控安全閉環。

• 支撐體系

支撐體系由國家頒布的法律規範如《網絡安全法》、行業規範如《電力監控系統安全防護規定》、等級保護如《電力行業等級保護基本要求》、産品技術如工業防火牆、工業網閘等構成。支撐體系是火電廠輔控系統工控安全建設的技術基礎和建設依據，通過參考相關法規政策以及工控安全産品技術發展趨勢，制定出具有合規性且符合火電廠輔控系統切身實際的工控安全解決方案。

• 安全技術內建

安全技術內建是一個體系化、流程化的工作，不是安全産品的簡單堆疊，需充分考慮安全産品的安全特性以及産品依賴關系、流程關系、關聯關系，通過有效的安全技術內建可使安全産品的資訊流、資料流、事件流安全互通，進而實作安全裝置的便捷管理和安全關聯，最終實作安全産品的可靠、有效利用，避免投資浪費。

火電廠輔控系統安全技術內建主要包含以下幾個方面：

安全防護內建：安全防護手段主要包括工業防火牆、工業網閘等工控安全專用裝置，通過以上裝置的技術內建實作網絡邊界、區域邊界、控制節點的縱深型安全防護體系。

安全審計與檢測內建：安全審計與檢測手段主要包括安全審計與監測裝置、安全探針、工業防火牆或工業網閘上傳的資訊事件。安全審計與檢測內建涉及産品技術平面較廣，是安全資訊流、資料流的彙聚點，在進行安全審計與檢測內建時需充分考慮各産品的邏輯關系、資料流關系以及關聯關系。

安全服務內建：安全服務包括安全巡檢、應急響應、安全測試等，主要為安全産品的補充，通過安全服務可對現場網絡安全事件進行快速響應處理，減少當機時間和業務損失。

安全政策內建：安全政策是火電廠輔控系統工控安全保障架構的指導方針。在政策中，必須明确被保護的主體及原因，明确安全工作的具體職責，提供解釋和解決可能出現的問題的基準。政策應該具有普遍性，并且在一定的時期内固定不變。同時，安全政策指導安全産品、安全服務的功能配置和政策執行。安全政策由工控安全管理中心統一管理。

• 安全機制

安全機制是在統一安全政策下實作的工控安全操作執行形式。在支撐體系以及安全技術內建的基礎上實作空間域、過程域、時間域的安全保障機制。

空間域：空間域以火電廠輔控系統橫向和縱向空間為對象進行工控安全建設，充分利用縱深防禦思想分别在網絡邊界、計算區域、控制節點、通信網絡、指令安全等層面進行安全防護與安全審計。

過程域：過程域是空間域安全政策的具體實作，是指工控安全防護、檢測、響應的持續過程，在安全政策指導下實作産品關聯和安全資料互動。如在區域安全空間域内需綜合考慮工控安全防護、安全檢測和安全響應，而不應該隻考慮安全防護措施或安全檢測措施。

時間域：時間域在時間次元對安全事件進行管理，時間域綜合空間域和過程域内的全部安全資料和安全資訊，通過安全管理平台實作事前、事中、事後的全程安全事件追溯，并建立知識庫有效提升火電廠工控安全應急響應水準和響應效率，同時使管理人員的決策更加及時、準确。

四、 架構意義

火電廠輔控系統工控安全保障架構可廣泛應用于火電廠輔控系統的網絡安全建設，并為其它電力控制系統的安全建設提供指導性方案和理論依據，同時滿足合規性需求，保障安全建設的有效性、适用性，避免投資浪費。

• 通過火電廠輔控系統工控安全保障架構，實作對電力系統網絡風險、安全威脅的快速識别、快速處置，增強發電廠網絡安全事件處置能力，提高發電廠網絡安全管理水準。
• 通過火電廠輔控系統工控安全保障架構，形成符合發電廠輔控系統技術特點的網絡安全整體防護方案，形成發電廠網絡安全事前預防、事中監控、事後審計的安全管理體系，以及預測、防禦、檢測、響應的安全技術體系，形成安全技術與安全管理的閉環，為發電系統穩定可靠運作、發電企業業務發展提供有力保障。
• 通過火電廠輔控系統工控安全保障架構，增強發電廠合規性識别能力，滿足國家法律法規以及政策性需求，切實提升資訊化管理水準和管理效率，使管理人員的決策更加及時、準确，使資訊流通結構更加合理。