作为国家重要的关键基础设施之一,电力系统为各行各业的正常运转提供着基础支持,同时也是保障大众日常生活的必备能源,其安全性对于经济有序发展和社会秩序稳定具有至关重要的影响。近年来,全球范围内,包括欧洲能源巨头EDP、委内瑞拉电力系统、日本大型光伏电场、印度核电站等多地的重要电力设施均遭受过不同类型、不同程度的网络攻击。
在我国,电力行业始终高度重视电力设施的安全建设及电力企业内部的安全防护,工业防火墙、工业IDS/IPS、工业堡垒机等产品为电网筑起坚实的安全防御边界,同时也绘制了工控安全领域的市场版图。除了面向监测、防护、评估、管理等常规安全场景,针对运维接入这一业务场景,安全手段的介入和融合同样不可或缺。近日,安全419邀请到齐安科技副总裁张宙,推陈出新从用户业务视角出发,为我们深入解读电网面临的安全形势及应对之策。
电力行业安全威胁丛生 运维场景成为风险积聚的重灾区
随着5G、人工智能、大数据、区块链等新兴数字技术在电网建设中的深度融合,张宙指出,电力系统与其他众多经历着数字化转型升级的行业一样,面临着新老并存的网络安全挑战。这些挑战包括数据质量、算法偏差、模型不健全、虚拟化基础设施及物联平台的脆弱性、协议安全性等内生技术风险,以及攻击者通过漏洞利用、勒索软件、拒绝服务攻击等手段破坏电力系统正常运行,导致停电、数据泄露甚至引发事故的风险。
张宙介绍,电力行业的特殊性在于,它是国家实现“碳达峰、碳中和”目标的主战场。新能源发电等新业务场景的蓬勃发展,使得生产端电源结构发生变化,能源聚合商、电网企业、发电企业、节能服务商等参与主体数量剧增,网络暴露面扩大,基于物理隔离的边界安全防护措施难以深入末梢;同时,新型电力系统与热气管网、天然气管网、交通网络等能源链形成多领域综合能源网络,用电负荷、负荷集成商及其他能源链主体的安全防护措施参差不齐,攻击跳板增多。在消费端,各类用户、运营商、服务商等参与电力市场营销、交易的主体越来越多,交易数据、用户隐私等敏感数据的多方位聚合导致权限滥用、数据泄露、数据篡改等风险加剧。
在工控安全领域在长期的发展过程中,结合威胁风险点和行业合规要求,已建立起一套面向各种安全场景的防御体系,支撑产品相对成熟。随着电网形态及业务模式的扩张,齐安科技作为行业中的后起之秀,选择从运维接入场景出发,考虑和解决存在的安全风险。
张宙介绍,齐安科技的核心创始团队在工业领域拥有多年的从业经历,深谙电力系统及其链路网络中的业务流程。传统的边界防御或隔离措施主要着眼于检测、阻断外来攻击,同时电网企业针对内网中的各项操作也建立了严格的管控机制。但在工业控制系统运行现场,很多容易被忽视的风险来源于运维环节。电力体系中的多方参与主体,日常需要执行巡视检修、维护更换、参数配置、事故处理等运维相关的操作,不同的人员通过不同的设备、在不同的网络环境中、经由不同的账户或接口等介质,从外部接入到内部,这些环节很容易引发各种未知的安全问题:
突破边界:原有的网络边界遭遇临时破坏,运维设备甚至是私人笔记本电脑被引入甚至交叉使用,极易受到攻击;
威胁入侵:原有的安全防护体系被绕过,容易带入病毒、木马等恶意代码文件,威胁系统正常运行,或涉密数据、关键配置等被泄露;
管控缺失:接入人员身份、运维授权、运维人员的误操作甚至恶意操作缺乏监督、管控和审计,极易造成安全事故,事后难以溯源和追责。
从创新到标准 齐安科技打造平台化运维接入安全体系
在深入洞察现场运维的业务需求与网络安全挑战后,齐安科技敏锐地捕捉到了运维这一高频业务场景中的薄弱环节与安全盲区,为此,公司提出了运维接入安全的创新理念,旨在通过事前认证、事中管控、事后溯源的全方位技术手段,在不干扰正常运维习惯与业务流程的前提下,实现运维活动的全流程精细化管控。
基于这一前瞻性理念,齐安科技为电力行业量身打造了运维接入整体安全解决方案。该方案通过在工业控制系统现场的运维工具与被运维对象之间部署先进的安全运维系统,对作业全过程实施实时监测、行为管控与权限控制,从而统一规范现场操作人员行为,及时发现并规避运维过程中的潜在安全隐患。
具体而言,该系统集成了恶意代码查杀功能,对运维过程中的文件传输进行严密检查,严防恶意代码进入电力监控系统。同时,系统实时监测运维电脑的网络连接与运行状态,一旦检测到违规外联行为(如WiFi、蓝牙、双网卡等),立即进行阻断并触发告警与记录。此外,系统还能有效防范运维电脑发起的恶意端口扫描、高危端口攻击、ARP攻击、DOS攻击等行为,并支持通信及控制协议的解析,对传输的高风险指令实施阻断与告警,以防止运维人员的误操作与恶意操作。
除了具备全面防范与阻断功能的“闸门”角色外,该系统在部署使用和业务赋能方面还展现出诸多独特优势。
融入业务场景:针对运维环境的特殊性(如现场供电能力不稳定、运维设备需要频繁移动等),系统设备被设计为便携式、轻便型并配备长续航电池,具备防摔、可任意移动及兼容电磁特性等特点,确保终端用户使用无门槛、无不便。
多种运维模式:考虑到现场设备种类繁多,每种设备所需要的运维接口也各不相同,该系统无需固定部署,适用于离散型网络环境,针对不同运维场景需求可满足网络接口、串行接口、USB接口和KVM等运维模式,有效降低客户重复建设的成本。
权责分立管理模式:为平衡业务与安全需求,针对恶意代码、高危风险指令、控制指令、高危端口等,系统支持隔离、阻断、关闭和放行或开启的二次授权;并且采用系统管理员、工作负责人和审计员的三权分立用户管理方式,通过二次授权、授权管理等确保有效身份认证与规范操作行为,大幅提升现场作业的安全性。
助力业务提质增效:系统流程紧密围绕运维任务设计和管理,用户可依据实际需求,灵活配置每次任务的执行时间、人员和访问规则等,基于任务生成的审计信息详细记录了执行过程中的所有操作行为,一方面极大提升了任务管理效率,另一方面通过视频记录和日志记录保存运维操作,为事后问题追溯取证提供了有力支持。
张宙进一步阐述道,随着在特定行业持续深耕细作,用户的实际需求将不断推动产品进行更深入的考量与设计优化。在运维现场,接入内部控制系统等被运维对象的工具种类繁多,其中U盘等移动存储介质的使用尤为频繁。然而,这些设备一旦携带病毒接入系统,其传染性之强、隐蔽性之高以及破坏力之大,往往令人防不胜防。针对这一严峻挑战,齐安科技凭借深厚的技术积累,专门研发了USB安全隔离保护系统,该系统以近年来针对USB硬件电路及协议驱动层实施的各种攻击及病毒样本为研究基础,在移动存储介质与系统之间构筑起一道坚实的安全屏障。具体而言,它提供移动存储介质接入认证、灵活定义人员操作权限、移动存储介质接入杀毒扫描以及登录与操作详细审计等功能,从而实现对移动存储介质接入全流程的安全管控。
不仅如此,齐安科技还针对运维人员在运维现场计算机上直接执行操作、文件接入等多样化场景进行了持续拓展与创新。通过将所有数据统一归集到平台系统,公司不仅实现了对运维业务的高效管理,更通过数据驱动反哺产品能力,推动产品向更完善、更易用的方向发展。
在齐安科技看来,构建健全的产品体系意味着要尽可能覆盖运维业务过程中的所有接入场景,提供体系化的支撑,同时,承载的解决方案也在朝着平台化的方向不断演进,确保安全能力与业务流程实现深度融合,安全目标与业务目标达到有机统一。得益于对用户刚性需求的精准把握与产品创新,齐安科技省去了大量的市场培育过程,用户接受度普遍良好,这不仅帮助齐安科技快速建立起行业运维操作的规范,更在2022年,成功跻身国家电网合格供应商之列,自此,齐安科技将运维接入安全从一款创新型产品孵化为行业标准类装备。
从行业纵深到横向拓展 让运维接入安全赋能更多工业自动化领域
在成功跨越企业发展的第一层阶梯——实现拳头产品的行业标准化之后,我们观察到,齐安科技近年来展现出积极的市场拓展态势,不断向更多关键信息基础设施领域迈进。面对产品在行业纵深与横向迁移两个彼此垂直的方向上可能存在的专精性与通用性的矛盾,张宙解释,公司始终坚持以用户需求为导向来规划产线发展。以电力行业为代表,在每一个工业自动化的领域,都少不了运维,对应的场景和业务流程中都潜藏着类似的安全风险,因此,运维接入安全的理念和产品就具备跨行业拓展的坚实基础。
在产品实践层面,齐安科技深知深入每个行业精耕细作的重要性。虽然有相同的适用场景,但每个行业自身的业务特性仍然存在显著差异,而安全产品的好用性、易用性以及与业务的融合程度,都决定着产品能不能在行业终端用户手上真正立足。对于齐安科技来说,凭借在电力行业的成功经验,他们选择沿着与电力系统更贴近的行业进行开拓,比如轨道交通行业(已全面电气化,与电力行业有着千丝万缕的交集),石油、石化、煤炭等行业(与电力行业同属于能源生产与供给领域,业务模式有较多可复用经验)。通过依托自身研发和支持能力去做行业拓展,齐安科技将更稳健地保障业务的可持续发展。
谈及未来,张宙充满信心地表示,工业领域作为国家基础设施的重要组成部分,涵盖的行业种类与企业体量极为庞大,市场潜力也是无限的,与众多的工控安全友商一道,齐安科技将继续在接入安全赛道上砥砺前行,公司将持续践行从用户需求出发,将运维接入安全打造为工控安全领域中一个不可或缺的细分领域,全力守护工业安全的“最后一公里”。