火電廠輔控系統工控安全保障框架

一、 背景

電力行業是國家經濟的基礎能源產業，是我國經濟、社會發展的關鍵基礎設施，更是國家的重要戰略資源。近年來電力企業藉助數字化、網絡化、智能化等技術手段，實現了電力企業不斷向創新型、智能型、綠色型企業發展。

電力控制系統的網絡化、智能化在提高生產效率和管理效率的同時，也使電力控制系統攻擊面持續擴大，爲攻擊者增加了許多新的攻擊途徑，使得電力企業生產控制系統面臨越來越多的安全威脅和挑戰。

同時，隨着《網絡安全法》以及配套法律法規的不斷髮布實施，國家將持續推進工業行業工控安全建設，作爲工控安全領域的排頭兵，電力行業將成爲工控安全建設的先行者和開拓者。

二、 體系思想

Ø 關注業務安全

電力系統、電力生產網絡的根本任務是安全生產，進行火電廠輔控系統工控安全保障框架設計的目的是進一步加強安全生產，保障業務系統正常連續穩定運行。

Ø 縱深防護

結合縱深防禦的思想，形成一套縱深防護架構，包括：網絡邊界防護、區域防護、節點防護、物理隔離、區域監測、整體監測等方面。

Ø 事前、事中、事後綜合預警

以時間、過程爲維度，在事前、事中、事後以及檢測、防護、響應、策略等過程對安全事件進行採集、處理、預警，形成火電廠輔控系統信息安全的完整檢測、預警、決策體系。

Ø 閉環、可視化

通過火電廠輔控系統工控安全保障框架實現防護、檢測、響應的閉環過程，並通過安全威脅、事件歸一化處理和關聯分析，實現對全局工控安全的事件追溯、態勢感知和可視化。

三、 框架內容

火電廠輔控系統工控安全保障框架由支撐體系、安全技術集成、安全機制以及安全管理體系、安全運維體系五部分組成，各部分彼此協調聯動構成工控安全閉環。

Ø 支撐體系

支撐體系由國家頒佈的法律規範如《網絡安全法》、行業規範如《電力監控系統安全防護規定》、等級保護如《電力行業等級保護基本要求》、產品技術如工業防火牆、工業網閘等構成。支撐體系是火電廠輔控系統工控安全建設的技術基礎和建設依據，通過參考相關法規政策以及工控安全產品技術發展趨勢，制定出具有合規性且符合火電廠輔控系統切身實際的工控安全解決方案。

Ø 安全技術集成

安全技術集成是一個體系化、流程化的工作，不是安全產品的簡單堆疊，需充分考慮安全產品的安全特性以及產品依賴關係、流程關係、聯動關係，通過有效的安全技術集成可使安全產品的信息流、數據流、事件流安全互通，從而實現安全設備的便捷管理和安全聯動，最終實現安全產品的可靠、有效利用，避免投資浪費。

火電廠輔控系統安全技術集成主要包含以下幾個方面：

安全防護集成：安全防護手段主要包括工業防火牆、工業網閘等工控安全專用設備，通過以上設備的技術集成實現網絡邊界、區域邊界、控制節點的縱深型安全防護體系。

安全審計與檢測集成：安全審計與檢測手段主要包括安全審計與監測設備、安全探針、工業防火牆或工業網閘上傳的信息事件。安全審計與檢測集成涉及產品技術平面較廣，是安全信息流、數據流的匯聚點，在進行安全審計與檢測集成時需充分考慮各產品的邏輯關係、數據流關係以及聯動關係。

安全服務集成：安全服務包括安全巡檢、應急響應、安全測試等，主要爲安全產品的補充，通過安全服務可對現場網絡安全事件進行快速響應處理，減少宕機時間和業務損失。

安全策略集成：安全策略是火電廠輔控系統工控安全保障框架的指導方針。在策略中，必須明確被保護的主體及原因，明確安全工作的具體職責，提供解釋和解決可能出現的問題的基準。策略應該具有普遍性，並且在一定的時期內固定不變。同時，安全策略指導安全產品、安全服務的功能配置和策略執行。安全策略由工控安全管理中心統一管理。

Ø 安全機制

安全機制是在統一安全策略下實現的工控安全操作執行形式。在支撐體系以及安全技術集成的基礎上實現空間域、過程域、時間域的安全保障機制。

空間域：空間域以火電廠輔控系統橫向和縱向空間爲對象進行工控安全建設，充分利用縱深防禦思想分別在網絡邊界、計算區域、控制節點、通信網絡、指令安全等層面進行安全防護與安全審計。

過程域：過程域是空間域安全策略的具體實現，是指工控安全防護、檢測、響應的持續過程，在安全策略指導下實現產品聯動和安全數據交互。如在區域安全空間域內需綜合考慮工控安全防護、安全檢測和安全響應，而不應該只考慮安全防護措施或安全檢測措施。

時間域：時間域在時間維度對安全事件進行管理，時間域綜合空間域和過程域內的全部安全數據和安全信息，通過安全管理平臺實現事前、事中、事後的全程安全事件追溯，並建立知識庫有效提升火電廠工控安全應急響應水平和響應效率，同時使管理人員的決策更加及時、準確。

四、框架意義

Ø 通過火電廠輔控系統工控安全保障框架，實現對電力系統網絡風險、安全威脅的快速識別、快速處置，增強發電廠網絡安全事件處置能力，提高發電廠網絡安全管理水平。

Ø 通過火電廠輔控系統工控安全保障框架，形成符合發電廠輔控系統技術特點的網絡安全整體防護方案，形成發電廠網絡安全事前預防、事中監控、事後審計的安全管理體系，以及預測、防禦、檢測、響應的安全技術體系，形成安全技術與安全管理的閉環，爲發電系統穩定可靠運行、發電企業業務發展提供有力保障。

Ø 通過火電廠輔控系統工控安全保障框架，增強發電廠合規性識別能力，滿足國家法律法規以及政策性需求，切實提升信息化管理水平和管理效率，使管理人員的決策更加及時、準確，使信息流通結構更加合理。