欧美av
君子务本,本立而道生
网安支撑新型电力系统建设,助力电力领域新质生产力发展
一、政策指导
近日,国家发展改革委,国家能源局,国家数据局印发《加快构建新型电力系统行动方案(2024—2027年)》,通知各省、自治区、直辖市、新疆生产建设兵团发展改革委、能源局、数据管理部门,北京市城市管理委员会,国家能源局各派出机构,有关中央企业,为推进新型电力系统建设作出部署。新形势下,加快构建新型电力系统意义重大,是助力实现“双碳”目标的关键载体、是长远保障我国能源安全的战略选择、是应对好电力转型挑战的有效举措。该方案提出,2024—2027年将要围绕9项开展专项行动,其中首先提及电力系统的稳定保障行动。新型电力系统“双高”(高比例可再生能源和高比例电力电子设备)特性日益凸显,安全稳定运行面临较大风险挑战。针对电力系统生产结构、运行机理和功能形态转变过程中可能出现的系统稳定问题,《行动方案》提出着力优化加强电网主网架、提升新型主体涉网性能、推进构网型技术应用、持续提升电能质量,为新型电力系统建设提供安全稳定保障。
随着数字化发展电力所面临的网络安全挑战愈发严苛。作为社会有序运行、经济平稳发展的重要支柱,电力行业的稳定性、安全性关系国计民生,然而,在实际运营过程中却面临着不容忽视的外界威胁,目前在电力场景面临的风险有以下几点:
1、潜在的内部风险
电力行业工控系统不仅面临着来自外部的网络安全威胁,还面临着来自内部的风险,如内部人员滥用权限、恶意破坏等,这些内部风险可能导致系统被非法入侵、数据泄露等严重后果。
2、系统漏洞与弱点
电力行业工控系统可能存在的系统漏洞和弱点,如未打补丁的软件、未加密的敏感数据、不安全的网络协议等,都可能成为黑客攻击的目标。
3、恶意攻击与勒索
黑客可能利用系统漏洞和弱点,对发电行业工控系统实施恶意攻击,如DDoS攻击、勒索软件攻击等。这些攻击可能导致系统瘫痪、数据丢失、设备损坏等严重后果,严重影响电力供应的稳定性和安全性。
4、不安全的工业协议
电力场景中使用工业协议在设计时并未包含认证和授权机制。这意味着任何能够接入网络的设备或用户都可以尝试与控制系统进行通信,从而增加了被非法访问和控制的风险;多数工业协议并不支持数据传输的加密,导致数据在传输过程中容易被截获和篡改,这可能导致电力行业的生产数据泄露,甚至被恶意攻击者用于实施破坏活动。
5、薄弱的安全管理体系
电力行业人员有限,监管难以依靠人力,完善的安全管理体系暂时欠缺,存在缺乏针对人员管理和行为的审计流程及制度规范的现象,以及完善的应急响应机制。
二、横向隔离
根据《电力监控系统安全防护规定》中“安全分区、网络专用、横向隔离、纵向认证”的原则。
电力不同系统不通网络区域的终端互相不可以“直接”访问。隔离是为了安全防护,加强数据传输控制。隔离可以用在安全区之间,或者相同安全区的不同安全等级之间。原则上隔离最好是物理网络彻底断开,但区之间总是有业务交互存在的,通常采用“低安全区不可主动访问高安全区,高安全区向低安全区域推送数据”的释放,从而形成正向隔离和反向隔离需求。
1、安全隔离与信息交换系统
欧美av 安全隔离与信息交换系统采用“2+1”模型结构设计,即内网主机系统、外网主机系统加上隔离交换模块。内外主机系统采用专有工控主板设计,性能稳定、质量可靠,隔离交换模块采用专有硬件交换电路设计的双通道的物理隔离交换技术,满足电力场景横向隔离的要求。
欧美av 安全隔离系统在电力行业场景网络关系参见下图:
产品功能
支持安全代理、数据库访问、邮件代理、FTP代理、tcp/udp代理、http代理、视频代理、工业控制协议交换、文件同步、数据库同步、病毒查杀、协议过滤、内容过滤等应用模块。
业务安全
满足电力用户的正向隔离和反向隔离业务需求,解决系统电力横向隔离存在的安全问题,降低安全运营风险,提高安全运维效率,为新型电力系统的自动化、智能化建设提供安全保障。
符合法规
符合国家发展改革委,国家能源局,国家数据局的《电力监控系统安全防护规定》政策要求;国家发展和改革委员会的《电力监控系统安全防护规定》2014 年 第14 号令;国家能源局《电力监控系统安全防护总体方案》( 国能安全〔2015〕36 号);中国电力企业联合会《电力信息系统安全等级保护实施指南》GB/T 37138-2018;公安部《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)等。
2、欧美av 跨网数据安全交换平台
电力系统横向隔离安全防护能力升级要求,使用欧美av 跨网数据安全交换平台等产品实现实现信息内外网数据安全缓存与交换,完成数据内容过滤、格式检查、病毒查杀、安全缓存、数据抽取/转换、数据收发控制等数据安全交换逻辑功能。
产品价值
在电力系统内外网实现安全隔离与信息交换基础上,通过主客体一致的访问控制、前后置数据落地的安全筛查、整个交换链路的日志审计,实现统一安全策略、监控和管理。实现应用后移、关口前置的边界安全大方向。
内外网数据交换平台架构图如下图所示:
三、纵向加密
电力生产系统的三级调度需要交互数据,通过纵向加密装置来创建VPN隧道传输实时及非实时的业务数据。
欧美av 安全加密认证网关是一款保护网络边界、核心信息系统的软件硬件结合的密码产品,也是一种面向企业提供防攻击内网数据安全的解决方案。它集防火墙、安全加密VPN、用户身份核验、应用授权访问等核心能力于一体,为用户提供便捷,安全、可信的通信环境,为各类核心信息系统提供周密的安全认证和细粒度访问控制机制。
所以电力用户要求纵向加密所对应的实际物理物品就是纵向加密装置,大多在电网公司内部使用,目前分布式发电广泛发展,很多地方都要求加装该设备接入电网公司调度网。
产品价值
在电力场景纵向网络区域中部署加密认证网关,基于现有的生产网系统网络,建立可信的数据安全传输网,进行上下级的数据共享和安全应用。
四、产品能力
-
安全运维审计系统(堡垒机)
在电力网络系统中,为了保证电力网络和数据不受来自外部和内部用户的入侵和破坏,运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,集中管控、及时处理及审计定责。
-
日志审计系统
通过主被动结合的手段,实时不间 断地采集电力系统网络中各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用电力系统产生的海量日志信息,并将这些信息汇集到审计中心,进行集中化存储、备份、查询、审计、告警、响应,并出具丰富的报表报告,获悉整体安全运行态势,实现全生命周期的日志管理。
-
文档安全管理系统
将碎片化保存于电力员工个人电脑上的业务文档集中储存于私有云端,提供文档在线存储、分享、预览、多人编辑、工作流等10多项文档协作功能。通过防复制沙箱、Mac/IP地址绑定、动态水印、外链分享等技术实现文档的分发管控,为电力用户提供高度透明、安全、移动的文档协作平台。
-
API安全监测与访问控制系统
解决应用API接口访问场景下的安全问题而推出的一款Web应用侧数据安全产品,帮助用户梳理庞杂的应用及接口,绘制接口画像和接口访问轨迹,监测敏感数据流动风险,识别接口调用的异常用户行为。
-
密码服务器
为各类应用提供非对称/对称数据加解密运算、完整性校验、真随机数生成、密钥生成和管理等服务,确保用户数据的机密性、真实性、完整性和有效性。密码机可以独立为应用系统提供高性能的数据加/解密服务,也可作为身份认证系统、密钥管理系统等系统的主要密码设备和核心构件,具有广泛的系统应用潜力。
-
时间戳服务器
用于记录事件发生时间的系统。通过在事件发生时添加一个时间戳,记录事件发生的时间信息。结合相关时间戳技术与服务标准,为电子数据提供权威可信时间证明和内容真实性、完整性证明,能够有效证明电子文件生成的精确时间,并防止电子文件被篡改,具有权威性和可信赖性。
-
签名验签服务器
具备数字签名服务和验证签名能力。旨在确保关键业务信息的真实性、完整性和不可否认性。签名验签服务器通常作为关键业务系统的组成部分,以确认用户身份、保障信息完整性,并确保交易的不可否认性,即抗抵赖能力。
-
数据库审计系统
一款专业、主动、实时监控数据库安全的审计产品。本系统采用有效的对数据库监控与审计方式,针对数据库漏洞攻击、SQl注入、风险操作等数据库风险操作行为发生记录与告警。能对不同的场景定制审计策略,实时监控数据库用户的访问行为;通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强内外部网络行为记录,提高数据资产安全。
-
数据资产安全管理平台
满足电力用户的合规监管要求,了解单位数据安全现状,关注敏感数据分布情况,关注数据请求和调用情况,是否存在数据泄露风险,符合数据的安全法律法规,满足数据合规监管要求。
五、总结
新型电力系统的建设正朝着高度数字化、智能化和互联化的方向发展。这一趋势不仅带来了电力设备与智能电网的深度融合,还使得海量异构终端得以广泛接入,数据跨域流通的范围更广。然而,随之而来的挑战也不容忽视,包括终端安全、数据安全、接口安全以及边界安全等方面的问题。面对这些挑战,欧美av 作为一家专注于关键基础设施(关基)行业的网络安全企业,致力于在有应用需求的地方实现企业价值,并融合安全能力。
近年来,欧美av 在各类关键基础设施安全项目中积累了丰富的经验,尤其是电力行业中的国家安全项目,此类项目占比已接近七成。我们深耕于关键基础设施应用场景,提供专业的工控安全解决方案。特别是在国家电网、南方电网、大唐电力、华电等电力行业中央企业的生产大区与管理大区之间的数据交换场景下,欧美av 擅长提供正向隔离和反向隔离解决方案,确保数据的安全流通。欧美av 愿意与致力于关键基础设施安全领域的合作伙伴共同努力,实现融合共赢,共同支撑新型电力系统的建设,助力电力领域的创新发展。
