浅谈网络安全态势感知系统在电厂中的应用

浅谈网络安全态势感知系统在电厂中的
应用
摘要：随着互联网技术的发展，5G网络信号的覆盖以及工业自动化的提高，网络应用在工业领域的应用尤为普遍，通过网络攻击也成了国外黑客和反对势力
的攻击手段，这就促使工控系统网络安全的防护也变得极其重要，电厂做为各个
地区的重要工业部门，更是关系民生的企业，其网络安全的防护更为重要，为此，在电厂增设网络安全态势感知系统极其重要，以下就在我公司增设网络安全态势
感知系统的方法及应用做一简单介绍。

关键词：态势感知系统；
前言: 该系统的增设保证了我公司工控系统网络安全的运行环境，实现了我
公司网络安全状态数据采集、攻击事件溯源、状态监测及潜在威胁安全预警功能，提升我公司网络安全防护能力、安全态势自动感知能力及应急处置能力。

一、总体方案
工控统一安全管理平台设备按照设备自身感知、监测装置分布采集、管理平
台统一管控的原则，构建感知、采集、管控的三层架构的网络安全监管系统技术
体系。

在电厂的I、II、III 区部署安全感知系统，对电厂的网络设备syslog、
流量、及主机agent 发送的信息通过探针系统进行采集，采集I、II、III 的数
据进入厂级平台，厂级平台部署在安全接入区，I 区到II 区通过防火墙或正向
隔离网闸隔离（根据电厂业务选择），II 区到安全接入区、III 区到安全接入
区通过正向隔离网闸进行透传。

安全接入区厂级平台的信息通过VPDN(联通、电
信或移动专网)将各电厂的基础数据上传，发送至集团数据中心和云数据中心平
台进行展示及分析，同时云数据中心下发安全情报到电厂，实现数据收集、分析
和反馈的闭环安全防护策略，保障电厂网络的安全。

本次增设，我们采用设备独立组网，与电厂其它网络隔离开，每区均部署采集器，各区边界采用
隔离设备进行隔离，数据经过厂级平台传送到集团数据中心和云数据中心。

二、采集范围
主要采集信息为业务系统全流量数据，辅助采集信息为主机的安全事件和安全设备日志信息。

是否采集主机和网络设备的日志信息依据现场实际情况决定；具体包括：
控制区（安全I区）：#1、#2、#9、#10 DCS主控和辅控系统；
非控制区（安全II区）：SIS系统；
管理信息大区：MIS或办公系统，根据现场采集条件确定采集对象；
不同电厂原有网络部署情况各不相同，因此，在平台具体实施过程中，各区域采集范围及采集系统设备将依据电厂实际情况进行调整。

备注：
1、NCS不纳入采集范围。

2、下文中，“安全I区”为“控制区（安全I区）”、“安全II区”为“非控制区（安全II区）”的简称。

3、DCS主控和辅控系统：指厂站安全I区中所涉及到的DCS和PLC系统。

三、采集接入点
安全I区采集接入点为DCS根交换机，安全II区和管理信息大区采集接入点为SIS和MIS或办公系统核心交换机。

四、流量采集
安全I区采集的网络流量应是主机（工程师站、操作员站、服务器等）与控
制系统或设备（DCS,PLC等）之间交互的原始流量，即采集点为直接与主机和控
制系统或设备所连接的交换机；
安全II区和管理信息大区应采集各系统的原始流量，即采集点为直接和系
统主机所连接的交换机。

流量采集通过在交换机上配置镜像的方式实现，在不影响设备运行的前提下
完成流量采集。

五、日志采集
主机日志是否采集依据现场实际条件确定，如果已经安装采集软件并具备采
集条件，则通过主机日志采集软件获取主机事件日志,从而有效进行主机行为安
全审计。

安全设备和网络设备的日志（syslog）是否采集根据现场实际情况，如果具
备采集条件，需要电厂提供配置所需要的管理员用户名和密码，从而有效监测安
全设备和网络设备的行为和告警。

六、部署原则
如果安全I区多套机组控制系统网络相互独立，通过多个接口机与安全II
区进行通信，则部署多台工控安全流量日志分析系统分别对各控制系统进行信息
采集。

如果安全I区多套机组控制系统汇集到同一网络，通过同一接口机与安全
II区进行通信，则部署一台工控安全流量日志分析系统统一进行信息采集。

详见
附件“安全态势感知系统部署图”。

七、系统应用
工控统一安全管理平台通过WEB 浏览器登录访问，用户可选择Chrome，IE，火狐等主流浏览器，推荐使用Chrome 登录访问管理系统；工控统一安全管理平
台对软、硬件平台的基本要求如下：
● 硬件要求：I7 处理器；硬盘4*1T 具有Raid 功能；内存16GB DDR4；
● 操作系统要求：代码可控的经过裁减定制的Linux 操作系统；
● 软件要求(笔记本)：windows10；64 位；4GB 内存；500GB 硬盘；
系统登录成功后显示领导试图页面，该页面以态势感知的形式展示，可以直
观查看安全评分（环比、同比数）、 TOP5安全事件、告警事件、事件分布的比
例及实时安全事件及实时告警事件的数据上报等，以对安全情况进行实时监控：
安全概况是本系统的核心功能之一此模块以图表的形式展示安全事件、安
全趋势、告警事件等数据统计，直观显示数据变化的趋势图且用户可以根据自身
需求更改模块顺序。

八、结束语:
为满足工业控制系统网络安全监督的需要，以性能好、功能全、使用简便、
运行稳定为设计原则。

系统在总体设计上使用国际先进的P2DR、PDCA 模型，这
种解决方案蕴含一种全新的观念，将技术与管理策略的需求融合在一起，让工业
企业随时掌控网络的动态、维持网络运作的安全性。

从而具备能抵御各式威胁的
防护功能、同时监控各种网络活动、执行数字信息安全的鉴识工作，做到实时、
持续性的服务，让维护人员能快速发现问题、找出问题的根源，达到全面的安全。

参考文献：
[1] 系统登录指导手册
投稿日期：2021.10.15
作者简介：
李彦锋：男、工程师。

联系方式：（Email:155****************电话：155****1111）
安全态势感知系统部署图。