最佳实践 | 长扬科技构筑电力监控系统工业主机安全“黑白”防线

“不管黑猫白猫，能捉老鼠的就是好猫”，经典的黑猫白猫论带来了中国改革开放的经济大发展，而在主机安全领域“黑猫”（黑名单机制）、“白猫”（白名单机制）的优劣讨论却从未终止，让各行业企业用户在主机安全防护产品的技术路线选择上陷入了“困难症”。黑白对立的趋势必然是走向融合，且看长扬科技如何帮助某电网企业在电力监控系统工业主机防护上融合“黑白之道”。

电力工业主机安全防护的“两难”

电力监控系统是承载电力调度数据的能源关键信息基础设施，而电力监控系统内的工业主机则是基础设施中最小的防护单元。国家能源局2015年36号《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》文件在国家发改委“十四号令”十六字方针的基础上增加了具体的综合防护要求，对电力监控系统生产控制大区工业主机恶意代码防范提出了具体的要求——“生产控制大区内主站端和重要的厂站端应该统一部署恶意代码防范系统，采取防范恶意代码措施，病毒库、木马库以及IDS规则库应经过安全检测并应离线进行更新”。

某市供电局下辖众多不同等级变电站，且各变电站地理位置分散，变电站电力监控系统工业主机的管理是日常网络安全运维的重要部分。由于变电站电力监控系统工业主机运行的相关工业应用系统的特殊性，变电站电力监控系统工业主机恶意代码防范基本处于空白状态，仅采用常规操作系统策略加固措施。面临实际安全运维需求和安全合规要求，恶意代码防护措施的部署成为该供电局运维部门的第一个“难题”。

再回到主机安全防护机制的“黑猫”、“白猫”优劣讨论，按照国家能源局36号文的要求，更多倾向于黑名单机制的防护措施，而在行业技术应用大趋势上更多倾向于白名单机制的防护措施，变电站电力监控系统工业主机上部署何种机制的恶意代码防范产品成为困扰该用户的第二个“难题”。

解决“两难”是变电站工业主机安全运维的关键，通过充分的现场调研和市场评估，以“试点先行，逐步推广”的总体原则，最终选择了长扬科技作为解决方案合作方，共同开展相关技术研究和试点。

深度融合，打造电力工业主机安全的“黑白”防线

长扬科技通过前期试点变电站的现场调研，对变电站电力监控系统工业主机的网络环境、系统环境、应用环境和数据环境进行了深入分析，结合供电局主站与变电站厂站的网络架构和业务结构特点，为客户定制了完整的融合解决方案。

①黑名单双擎驱动，生成可信白名单

单一白名单机制的重要弊端就是“白利用”问题，对于工业主机中已经潜伏的恶意代码无法进行辨识进而将其误加入白名单，导致白名单机制被利用而失效。长扬科技通过杀毒优盘和管理平台双杀毒引擎在主机白名单建立的两个阶段介入，确保只有安全可信的可执行文件才列入白名单规则，降低白名单被利用后进行防御逃逸的安全风险。

白名单构建流程

调用杀毒U盘引擎检测

上传管理平台引擎检测

②软硬兼顾，实现主机资产集中监管

由于变电站物理位置分散，在供电局主站调度中心对各厂站电力监控系统工业主机进行远程运维时面临诸多困难，特别需要对主机的硬件状态、系统补丁、外设等软硬件进行日常监控。长扬科技通过在供电局主站侧部署安全管理平台实现主机资产的集中监管，对主机在线状态、硬件性能状态、系统应用情况、外设使用等进行状态监测和行为监管，同时可依据主机不同维度状态信息进行分组实现补丁分发，软硬兼顾满足供电局主站端对厂站主机的远程运维需求。

主机软件信息和补丁分发

主机硬件状态监控

③灵活部署，打通最后一公里管理链路

由于供电局主站与厂站电力监控系统工业主机之间有远动装置进行隔离，导致变电站电力监控系统工业主机无法与主站调度中心管理平台直接通信。通过深入现场调研后跟客户沟通，制定了通过电网态势感知厂站装置反向代理的方式搭建厂站工控主机卫士与统一安全管理平台的数据交互链路，从而打通了主机安全管理的最后一道关卡。同时将统一安全管理平台告警日志上送至主站态势态势感知平台，补齐态势感知平台的主机状态信息短板。

系统部署和数据交互方式

“黑猫”、“白猫”共同守护电力监控系统安全

能够多选，何必单选，既可以要“黑名单”，也可以要“白名单”。长扬科技工控主机卫士构筑“黑白”双重防线为该供电局客户电力监控系统工业主机安全提供了完整解决方案，解决了客户厂站工业主机安全管理的重点难点问题，为电力行业工业主机安全常态化运营提供了新的思路，为电力行业关键基础设施安全保驾护航。