近年来，随着网络安全问题的不断出现，国家越来越重视网络安全。水电厂电力监控系统的网络安全问题也越来越多。本文从多个角度研究了水电厂电力监控系统的网络安全问题，提出了相关的设计思路和解决方案，并进行了系统的描述。电力工业是我国关系国计民生的重要关键基础设施，其中发电厂电力监控系统是最核心、最重要的系统之一。在满足“安全分区、网络专用、横向隔离、纵向认证”在基本原则的基础上，结合国家信息安全等级保护的相关要求，电力监控系统的综合安全保护建设仍需继续加强。近年来，电力监控系统的外部环境发生了变化，系统网络不再独立封闭，更多的系统互联。外部攻击源从单点个体向大规模团体攻击转变，攻击从个人行为向团队合作转变，甚至国家力量开始干预。在软件、服务等新技术的支持下，攻击技术方便、多样化、快速，攻击行为全天候，恶意代码变种的速度空前加快。攻击手段趋于定制化、个性化、复杂化，APT技术的应用越来越多。随着工业自动化的进一步发展，智能电厂的互联互通如火如荼。广泛的互联互通使得生产网络变得复杂，风险点增加。

1设计思路

水电厂电力监控系统网络安全防护方案的主要设计思路：加强安全区域边界访问控制能力；提高网络内外入侵和恶意代码防御能力；提高非法内联和外联检测能力；提高系统内主机病毒防治能力；提高主机身份认证能力，采用双因素认证机制；一键安全加固，提高主机安全基线；关闭不必要的服务端口，提高入侵防范能力；采用访问控制策略，确保业务配置文件不被篡改；提高日志审计能力，至少保存12个月；加强运维人员行为管理；建立统一的安全管理中心，加强集中控制能力；技术手段协助业主完成定期自检。风险评估分析是电力监控系统网络中资产安全管理的先决条件，旨在识别和评价不同用户面临的生产安全风险和网络安全风险。梳理工业控制系统资产，分析价值，识别现有安全防护措施；资产脆弱性和威胁分析；安全风险综合分析。

2方案介绍

2.加强安全区域边界访控能力ACL+应用级白名单：配置ACL访问控制规则只允许业务相关规则IP通过。深入分析工业控制协议，形成协议白名单，确保指令只能通过可信的协议。保护具体指令的具体值域。验证工业控制协议的合规性、控制逻辑的合理性、协议功能代码和点值。

2.2.提高网络内外入侵和恶意代码防御能力，实时监控基于白名单的工业流量，基于流量威胁的关键网络节点网络威胁感知系统APT攻击。网络威胁感知系统。（APT）内置威胁情报检测，APT情报检测能力，内置IOC数据库覆盖主流APT家庭，覆盖家庭数量≥240个。采用基因图谱模糊比较技术对流量中的文件进行静态检测。通过结合图像文理分析技术和恶意代码变种检测技术，将可疑文件的二进制代码映射成无法压缩的灰色阶图片，与现有恶意代码基因库图片的相似度相匹配，根据相似度判断是否为威胁变种。

2.3.提高违规内联，外联检测能力交换机关关闭不必要的端口；IP/MAC绑定；工控主机卫士开启非法外联策略。

2.4.提高系统内主机病毒的防范能力补丁；缓冲区溢出，00，0day传统杀毒软件在漏洞利用等攻击方面存在不足；杀毒软件或将业务软件误解为病毒并删除。切断恶意代码/病毒通过U盘转移到系统内部的方式；启动文件级白名单策略，防止恶意代码/病毒/非法软件的执行。确保只能通过授权的可执行程序执行，只能使用授权的U盘。

2.5.提高主机身份认证能力，采用双因子认证机制采用静态密码+UKEY，关键服务器采用双因子认证。

2.6一键安全加固，提高主机安全基线内置42条安全基线规则，一键配置，减少手动加固。根据不同的加固等级，一键加固。

2.7关闭不必要的服务端口，提高内置防火墙功能，关闭不必要的端口；一键配置，降低手动加固成本。

2.8利用访问控制策略，确保业务配置文件不被篡改和独立访问控制，并基于标记进行强制访问控制。

2.9提高日志审计能力，审计日志保存至少12个月的范式化设备（主机、网络、安全）日志，快速准确地识别安全事件，发现违规行为。

2.10加强运维人员行为管理、运维人员身份授权、运维人员操作授权和运维人员行为审计。安全运维管理系统进行统一的账户管理。

2.11.建立统一的安全管理中心，加强安全产品集中控制能力的统一管理，加密安全管理传输，高度可视化，双机热备，高度可靠。

2.12技术手段协助业主定期自检，扫描漏洞，生成相关报告，给予指导。