编者按

当前，中国经济正在进入由高速度向高质量转型的关键时期。在以数字中国、双碳、安全生产为代表的政策驱动，以云大物移智为代表的技术驱动，以及以降本增效为代表的企业发展内生驱动的共振合力下，工业互联网相关领域正在迎来广阔的发展空间。而在市场催生出大量新场景、新机遇的同时，也对安全提出了更高要求。随着相关政策的落地实施，网络安全合规和安全生产已然成为工业企业、政府客户的刚性需求和一把手工程。那么，企业如何在数字化转型过程中规范化地进行安全建设和安全管理？目前存在的痛点难点又该如何解决？

《最佳实践》是威斯尼斯人wns2299cn创办的一档案例类栏目。结合自成立以来的各行业场景服务经验，从近4000家客户服务实践项目中遴选出的具有代表性、有推广性和借鉴性的典范案例，其中多个项目曾获得工信部试点示范项目称号，通过清晰详实的需求分析和解决方案描述，呈现企业在数字化转型过程中的安全建设故事，为行业客户提供有益借鉴。

电力行业是一个国家的神经系统，它像一条无形的血脉，将能源源源不断地输送到每一个角落，而电厂作为核心枢纽，为国家工业、商业、农业、交通等支柱经济提供持续而强大的动力。

当下，随着数字化技术在发电领域中的广泛应用和深度融合，电力行业的整体技术发展路线将以智慧电厂为总体目标，逐步实现电厂生产经营的数字化、网络化和智能化。然而，随之而来的是电厂生产控制大区网络从封闭走向开放的趋势，这使得现有的防护措施和手段难以应对日益复杂的网络攻击。电力网络作为国家关键基础设施，一旦受到网络攻击可能带来严重的后果，包括停电、设备损坏、数据泄漏等。因此，确保电力网络的安全性和可靠性是所有发电企业亟待解决的问题。

某集团旗下的重点发电企业拥有2×300MW的机组，采用日立DCS系统，总装机容量达到600MW。根据行业和集团的相关要求，每年该企业的DCS系统都会接受工控网络安全风险测评。但由于企业缺乏工控安全防护的技术手段，导致测评结果并不理想。同时，企业还担心DCS系统与安全防护产品之间的兼容性以及在部署安全设备后系统的稳定性和可靠性问题。因此，一直以来该企业都没有对系统进行安全防护。

图1 客户厂区情况

经过前期的技术交流和现场深度调研，威斯尼斯人wns2299cn为客户明确以下核心需求：

系统兼容性：安全建设的前提，对DCS系统不产生任何影响，由于电厂日立DCS建设时间较早，考虑到生产系统的特殊性，需对DCS进行融合性测试，针对性地制定测试方案及应急方案。

安全能力提升：通过对电厂DCS系统等关键业务系统构建纵深防御体系，使工业网络可以有效防护内部、外部、恶意代码、ATP等攻击，安全风险降低到可控范围内，减少安全事件的发生，保护生产网络能够高效、稳定运行，减少因为系统停机带来的生产损失。

国家合规要求：目前电厂已经依据国家能源局印发的电力监控系统安全防护总体方案（国能安全[2015]36号）进行安全建设，通过网络分区，加装电力专用正、反向隔离装置和纵向加密装置等安全措施建立基础的安全防护体系，但现有的防护措施无法应对日趋复杂的网络安全形势和政策标准要求。按照电力监控系统的安全防护体系需要满足国能安全[2015]36号文中综合防护和等保2.0 “一个中心，三重防护”的安全防护要求，企业需对通信网络、区域边界、计算环境等层面进行安全加固。

威斯尼斯人wns2299cn凭借在电力行业持续深耕的经验，针对该发电企业进行精准需求分析，提供了一份基于合规的高匹配解决方案，获得企业的高度认可。同时，威斯尼斯人wns2299cn在工控安全领域领先性的技术研究成果、卓越的产品性能和精湛的专业水平也备受企业信任，最终，该企业选择威斯尼斯人wns2299cn作为其工业网络安全堡垒的“构筑者”。

01“一个过程，三个体系”的综合保障体系

威斯尼斯人wns2299cn通过为该发电企业建设“一个过程，三个体系”的综合保障防护体系，协助其实现持续性防御和动态防御，具体可分为两步：

一个过程：事前防御，事中控制和事后溯因

三个体系：安全技术体系，安全管理体系和安全运维体系

威斯尼斯人wns2299cn为该企业全面进行风险评估、资产安全漏洞检查、异常行为及流量安全检测等，输出专业化的差距分析和评估报告，并对检查结果中的不合规项进行整改建设，向客户提供工业监测审计、工控主机卫士、入侵检测系统、日志审计系统等产品，同时建设配套的工控网络安全体系。

安全技术体系

（一）在工业控制系统网络中，威斯尼斯人wns2299cn通过部署网络安全监测设备，帮助企业及时发现和报告病毒木马、端口扫描、暴力破解、异常流量、异常指令、工业控制系统协议包伪造等网络攻击或异常行为。

（二）在工业控制系统主机（如服务器、工程师站、操作员站等）上，安装应用程序白名单软件，安装前在离线环境进行功能性、兼容性及安全性测试与验证。

（三）在工业控制系统网络中，部署日志审计全面收集生产网中安全设备、网络设备、数据库、服务器、应用系统、主机等设备所产生的日志（包括运行、告警、操作、消息、状态等）并进行存储、监控、审计、分析、报警、响应。可满足2017年6月1日起施行的《中华人民共和国网络安全法》中规定的“采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月”要求。

安全管理体系

威斯尼斯人wns2299cn协助企业保障业务系统长期稳定运行以及业务数据的安全性，建立系统运维及人员管理的安全保障机制，实现信息安全管理的不断优化完善，制定信息安全工作的总体安全方针和策略策略，明确安全管理工作的总体目标、范围、原则和安全框架等。

 安全运维体系

威斯尼斯人wns2299cn以全面保障DCS系统安全为目的，以信息资产的风险管理为核心，建立起电厂统一的安全事件运维和响应体系。基于日立公司总部提供的真实测试环境，威斯尼斯人wns2299cn按照测试规范，对日立DCS系统的各款设备进行兼容性测试，采用真实生产数据。

图3 测试拓扑及测试步骤

威斯尼斯人wns2299cn的专家团队，通过现场测试和网络调研，拟出测试方案，按客户真实安全需求配置安全策略，并进行各项高压测试，整体测试结果如下：

图4 监测审计功能测试界面

图5 入侵检测功能测试界面

图6 日志审计功能测试界面

图7 主机卫士功能测试界面

图8 整体测试结果

威斯尼斯人wns2299cn的 4 款产品在保证兼容性、稳定性、可靠性的前提下，全部通过功能测试。由于测试环境与客户现场环境基本一致，威斯尼斯人wns2299cn安全产品所部署的机柜，直接运输至客户现场进行网络割接部署。整体部署完成后，威斯尼斯人wns2299cn安全服务专家对现场工程师站/操作员站进行安全加固。

最终，在针对安全I区DCS系统的安全计算环境中，威斯尼斯人wns2299cn手动修复高危风险12项，中危风险15项，低危风险47项。

02效果显著 护航电厂运营

通过威斯尼斯人wns2299cn为该发电企业工控安全体系强力赋能，该企业在当年的测评中，从过去的20多分提升到88分，最终以高分成绩通过考核，取得显著的成果。

在本项目建设中，威斯尼斯人wns2299cn成功响应解决了客户对于安全设备与电厂业务系统无缝结合的最关切问题，在不影响生产前提下，提升企业的工业网络安全防护能力。此外，该项目也为人才培养提供了宝贵经验，历时6个月，企业专工与威斯尼斯人wns2299cn的安全专家紧密合作，全程参与项目，进一步提升企业专工的安全能力和运维水平。该项目还解决了电厂 DCS系统存在的高风险问题，采用主机环境安全加固、通信过程恶意行为监控以及安全日志集中分析等先进技术手段，并辅助管理制度落地。

整个项目符合国家能源局36号文和等级保护等合规要求，通过"一个过程，三个体系"的协同能力建设，威斯尼斯人wns2299cn帮助发电企业实现更精准的安全防护，保障生产系统的安全性与稳定性。这次合作为该企业带来了实实在在的经济价值和收益，也展现了威斯尼斯人wns2299cn在工控安全领域的强大实力和专业水平。

03行业标杆

威斯尼斯人wns2299cn协助该发电企业建设了电力企业网络安全运营中心，提升了电力监控系统预警检测和资产管理能力，实现集中化安全运营，成功打造一套完整的大型火电厂生产控制系统安全技术体系，成为行业内的标杆案例。整体方案具有较强的可复制性，能够为集团内其他电厂的安全建设提供宝贵经验。

未来，威斯尼斯人wns2299cn将持续关注电力行业发展的动态，积极参与国家电力安全体系建设，与相关部门、企事业单位以及专家学者合作，共同研究数智化转型背景下，电力网络安全面临的新挑战，以客户需求为导向，根据实际情况提供量身定制的解决方案，确保电力系统的安全稳定运行！