浅谈网络安全态势感知系统在电厂中的应用.pdfVIP

浅谈网络安全态势感知系统在电厂中的

应用

摘要：随着互联网技术的发展，5G网络信号的覆盖以及工业自动化的提高，

网络应用在工业领域的应用尤为普遍，通过网络攻击也成了国外黑客和反对势力

的攻击手段，这就促使工控系统网络安全的防护也变得极其重要，电厂做为各个

地区的重要工业部门，更是关系民生的企业，其网络安全的防护更为重要，为此，

在电厂增设网络安全态势感知系统极其重要，以下就在我公司增设网络安全态势

感知系统的方法及应用做一简单介绍。

关键词：态势感知系统；

前言:该系统的增设保证了我公司工控系统网络安全的运行环境，实现了我

公司网络安全状态数据采集、攻击事件溯源、状态监测及潜在威胁安全预警功能，

提升我公司网络安全防护能力、安全态势自动感知能力及应急处置能力。

一、总体方案

工控统一安全管理平台设备按照设备自身感知、监测装置分布采集、管理平

台统一管控的原则，构建感知、采集、管控的三层架构的网络安全监管系统技术

体系。在电厂的I、II、III区部署安全感知系统，对电厂的网络设备syslog、

流量、及主机agent发送的信息通过探针系统进行采集，采集I、II、III的数

据进入厂级平台，厂级平台部署在安全接入区，I区到II区通过防火墙或正向

隔离网闸隔离（根据电厂业务选择），II区到安全接入区、III区到安全接入

区通过正向隔离网闸进行透传。安全接入区厂级平台的信息通过VPDN(联通、电

信或移动专网)将各电厂的基础数据上传，发送至集团数据中心和云数据中心平

台进行展示及分析，同时云数据中心下发安全情报到电厂，实现数据收集、分析

和反馈的闭环安全防护策略，保障电厂网络的安全。

本次增设，我们采用设备独立组网，与电厂其它网络隔离开，每区均部署采

集器，各区边界采用

隔离设备进行隔离，数据经过厂级平台传送到集团数据中心和云数据中心。

二、采集范围

主要采集信息为业务系统全流量数据，辅助采集信息为主机的安全事件和安

全设备日志信息。是否采集主机和网络设备的日志信息依据现场实际情况决定；

具体包括：

控制区（安全I区）：#1、#2、#9、#10DCS主控和辅控系统；

非控制区（安全II区）：SIS系统；

管理信息大区：MIS或办公系统，根据现场采集条件确定采集对象；

不同电厂原有网络部署情况各不相同，因此，在平台具体实施过程中，各区

域采集范围及采集系统设备将依据电厂实际情况进行调整。

备注：

1、NCS不纳入采集范围。

2、下文中，“安全I区”为“控制区（安全I区）”、“安全II区”为

“非控制区（安全II区）”的简称。

3、DCS主控和辅控系统：指厂站安全I区中所涉及到的DCS和PLC系统。

三、采集接入点

安全I区采集接入点为DCS根交换机，安全II区和管理信息大区采集接入

点为SIS和MIS或办公系统核心交换机。

四、流量采集

安全I区采集的网络流量应是主机（工程师站、操作员站、服务器等）与控

制系统或设备（DCS,PLC等）之间交互的原始流量，即采集点为直接与主机和控

制系统或设备所连接的交换机；

安全II区和管理信息大区应采集各系统的原始流量，即采集点为直接和系

统主机所连接的交换机。

流量采集通过在交换机上配置镜像的方式实现，在不影响设备运行的前提下

完成流量采集。

五、日志采集

主机日志是否采集依据现场实际条件确定，如果已经安装采集软件并具备采

集条件，则通过主机日志采集软件获取主机事件日志,从而有效进行主机行为安

全审计。

安全设备和网络设备的日志（syslog）是否采集根据现场实际情况，如果具

备采集条件，需要电厂提供配置所需要的管理员用户名和密码，从而有效监测安

全设备和网络设备的行为和告警。

六、