最佳实践 | 长扬科技助力某新能源电力集团认清风险,摸清网络安全基本盘
荒漠、戈壁、沙尘暴,这是很多人对西北的第一印象。然而,很多人不知道,西北大地拥有极其丰富的风能、太阳能资源。在这片广袤的土地上,一座座“风车”高耸入云、如森林般矗立,绵延数十公里的光伏电站熠熠生辉,这些天然的宝藏正为我国能源绿色转型注入强劲动力。
据了解,西北电网新能源装规模突破2亿千瓦,接近西北电网总装机的50%,在世界同等规模交流同步电网中位列第一。这些新能源电站为西北地区提供了充足的清洁能源,搭载上直流输电通道输送到全国各地,为我国优化能源结构、改善生态环境、促进国家经济发展打下了坚实基础。
某电力集团深谙未来趋势,早早开始在西北地区进行战略布局。为了调整集团产业结构,提升清洁能源比重,促进企业健康可持续发展,该集团在陕西、甘肃、青海和新疆等西北区域积极投建新能源电厂。然而,随着集团下属电厂数量和覆盖范围的扩大,资产规模变得庞大且复杂,管理难度进一步提升,网络安全问题也日益凸显。
01.安全测评,让“妖魔鬼怪”无处遁形
网络安全等级保护制度是我国网络安全的基本制度,因此,对于该集团新增的10座电厂,其电力信息系统上线前通过相关级别的等保测评至关重要。为了摸清10座电厂电力信息系统底数,全面掌握电力信息系统风险和防护状况,查找突出问题和薄弱环节,有针对性地采取防范对策和改进措施,落实电力信息系统安全防护各项要求,该集团选择与长扬科技紧密合作,开展电力信息系统安全防护专项检查工作,双方共同致力于提高整体安全管理水平和安全防范能力。
在了解该电厂实际情况之后,长扬科技与电厂人员共同商议,为本次电力信息系统专项检查行动制定了一份详细的专项检查行动计划,具体内容如下:
表1 专项检查行动计划
结合该电厂生产业务流程,本次检查行动分为项目计划安排、实施前期准备和项目专项检测三个部分:
(1)项目计划安排
图1 项目计划安排表
(2)实施前期准备
确认人员分工安排;
检查工具表单的制作;
编制资产信息调研表、编制检查清单、网络设备检查要点、安全设备检查要点、确认现场注意事项、筹备资产发现工具等。
(3)项目专项检测
本次专项检查,检查小组采用现场会议沟通、现场环境取证、等保合规检查清单现状差距分析和专家评估分析四种方式进行。
现场沟通:为确保专项检查的顺利进行,检查小组事先与被检查单位进行现场沟通。在沟通中,检查小组需要明确告知被检查单位本次检查的目的、内容和工作方式,而被检查单位需要对本单位的工控网络建设和使用情况进行详细介绍,包括工艺流程和工控组网情况等重要信息。
图2 现场沟通交流
现场环境取证:检查小组根据问卷调查结果确定现场检查内容,在相关单位陪同见证下,进入工控系统设备现场进行评估。现场检查的重点在于核实工控系统设备安全配置、运维安全措施以及管理安全措施等执行情况。评估人员在评估过程中不会直接对工控系统设备进行操作,如果需要对设备进行操作,以查看(或采集)相关配置信息为主,所有操作都将征得相关单位同意。为保障用户生产连续性,避免调研工作对其产生影响,检查小组人员选择不使用任何设备接入工控系统,而是通过手工记录和拍照方式采集相关证据。
图3 现场环境取证
现状差距分析:依据等保合规情况编写网络安全检查表单,并根据表单对现场物理环境安全、网络边界安全、网络通信安全、计算环境安全、安全管理中心、安全管理制度、安全管理机构等方面逐一进行差距分析。
图4 部分设备界面
专家评估分析:由电力信息安全专家对现场检查和工控安全架构分析的结果进行汇总整理,挖掘检查对象在物理环境安全、网络边界安全、网络通信安全、计算环境安全、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面的不足与问题,评估其风险和危害,并给出相应的整改措施和实施建议。
图5 专家评估流程图
本着“实事求是、客观公正”的原则,长扬科技项目评估组对该电厂电力信息系统安全防护进行全面检查评估,第一时间发现了电厂存在的安全风险,向电厂提出电力信息系统安全整改建议,旨在增强电力信息系统安全防范的有效性,确保电力信息系统在整个生命周期内的安全性。
02.以需求为导向,成效立竿见影
本次项目的开展,完全遵从《网络安全技术网络安全等级保护基本要求》GBT22239-2019中二级相关技术、管理要求,满足《电力监控系统安全防护总体方案等安全防护方案和评估规范-国能安全〔2015〕36号》的要求,结合电厂生产业务特点,指导其开展工控系统安全防护建设。通过专项检查,该电厂对生产网资产的整体情况有了更深入的了解,全面识别现存潜在安全隐患。
① 梳理现有资产清单和整体网络架构,提升电厂整体工控安全防护能力
长扬科技帮助该电厂梳理了现有资产清单和整体网络架构,电厂可通过资产清单表掌握生产网中资产的整体情况,减少攻击暴露面,直观感知到生产网各实体间的结构关系、边界位置、防护情况和安全能力,对整体网络与资产情况做到可知。
图6 资产清单
② 全面掌握各风险点,确保电厂电力信息系统安全稳定运行
长扬科技在深入分析现场实际情况后,根据国家法律和行业规范,梳理出该电厂的电力信息系统存在的安全风险如下:
物理环境高风险项:存在如设备老化、线路混乱等等各种风险隐患;
弱口令:使得未经授权的人员可以轻易登录系统,进而进行恶意操作或窃取数据。
策略未达到端口级或存在高危端口:可能被攻击者利用进行恶意攻击或数据窃取。
无防恶意代码软件:系统容易受到病毒、木马等恶意代码的攻击。
安全设备网络设备管理地址未限制以及缺少日志审计/入侵检测/统一管理/安全运维等设备:无法保障系统的安全性和稳定性。
针对以上安全风险,长扬科技依次提供专业的建议和措施对电厂电力信息系统进行改进和优化,确保系统的安全稳定运行。
③ 多维度结合,定制科学全面的风险评估报告
专项检查结束后,长扬科技提交给电厂一份覆盖多维度的网络安全检查评估报告,帮助电厂认识到当前工控网络环境安全现状和面临的各种风险,做到知己知彼、精准防护以及安全可控,为电厂各类信息安全规划建设奠定基石。
④ 提出合理安全整改建议,助力电厂满足合规要求
针对电厂电力信息系统中存在的安全问题与风险隐患,长扬科技结合国家等级保护防护要求,深入分析了系统的各个方面,并给出了全面、合理的安全加固整改建议。这些建议涵盖了物理环境、网络设备、主机系统、应用软件、数据管理等多个方面,旨在确保电厂电力信息系统的安全稳定运行,并满足国家相关法规和标准的严格要求。
本次电力系统专项安全检查评估服务,作为安全运营的起点,帮助电厂全面了解工控网络安全整体状况,为下一步的安全防护建设提供了建设依据,打下了坚实基础。未来,长扬科技将继续与集团客户紧密合作,不断输出自己的能力,助力集团客户应对迅猛变化的网络威胁。长扬科技将持续为新能源电厂走绿色低碳之路保驾护航,为国家落实“双碳”战略,推动绿色低碳高质量发展贡献力量!
