隨著電力行業信息化網絡建設步伐逐年加快，網絡為電力生產及運營帶來強大助力，與此同時，層出不窮的網絡攻擊也對電力行業的安全運營造成嚴重威脅，如勒索病毒、惡意軟件等攻擊導致了諸多安全問題：

● 2021年11月，澳大利亞電力供應商CS Energy遭到勒索軟件攻擊，勒索軟件破壞了公司網絡上的設備。

● 2022年4月，黑客組織“沙蟲”多次試圖針對烏克蘭的高壓變電站部署 Industroyer2 惡意軟件，旨在破壞電力系統的運行。

● 2022年10月，印度塔塔電力公司遭勒索軟件組織Hive攻擊，造成該公司工程圖紙、客戶信息等數據泄露。

以上的攻擊事件僅是冰山一角，近年來，針對電力行業的病毒攻擊頻繁發生。電力行業作為關鍵信息基礎設施的重要組成部分，一旦遭遇入侵破壞，不僅會造成巨大的經濟損失，還可能間接導致人員傷亡事件發生。電力行業的網絡安全對于國家安全影響深遠。

電力的生產與使用主要分為發電、輸電、配電、用電四大環節，各個環節之間需要生產、調度、經營、管理作用的多個業務應用系統協同運行。其中，電力調度是保證電力安全、穩定、經濟供應的重要環節之一，對維護用戶日常用電起到至關重要的作用。

為協助客戶規避電力故障風險，天融信依托在電力行業的多年實踐經驗，推出電力調度控制系統病毒防御方案。通過天融信工業防火墻、工控漏洞掃描系統、工控主機衛士系統等產品多維度協同，助力電力行業客戶構建事前加固預防、事中檢測消殺、事后復盤優化的病毒防御體系，護航客戶抵御病毒威脅，降低整體安全風險。

1、事前階段

● 區域隔離防護設計

國家能源局36號文附件1《電力監控系統安全防護總體方案》（以下簡稱“36號文”）規定，“生產控制大區內部的安全區之間應當采用具有訪問控制功能的網絡設備、防火墻或者相當功能的設施，實現邏輯隔離。”在調度中心的控制區與非控制區之間部署天融信工控防火墻，可實現兩區域邊界的隔離防護，防范來自外來區域的安全風險，借助網絡白名單功能對通信報文進行過濾，降低病毒攻陷風險。

● 風險項提前修復

脆弱性加固以及提前修復，可幫助電力行業客戶防患于未然。建議在電力調度中心的IDMZ區部署天融信工控漏洞掃描系統，綜合評估系統資產、安全狀態、高危漏洞等信息，并針對系統中存在的漏洞和弱點，提供整改方法和建議，幫助客戶修補漏洞，防御黑客通過漏洞入侵植入病毒，全面提升系統整體安全性。

2、事中階段

● 邊界入侵防御

根據36號文規定，“生產控制大區可以統一部署一套網絡入侵檢測系統，應當合理設置檢測規則，及時捕獲網絡異常行為、分析潛在威脅、進行安全審計。”在電力調度中心生產控制大區部署天融信工控入侵檢測與審計系統，可實現對關鍵網絡節點的實時檢測，有效發現基于病毒、蠕蟲、木馬、異常流量、惡意程序等的攻擊威脅，并展開實時告警阻斷，保障電力調度網絡安全運行。

● 工業主機安全

使用移動存儲設備或者個人PC與控制系統連接時，極易造成網絡病毒感染的風險。因此，建議在電力調度中心的調度工作站、維護工作站、AGC 服務器等工業主機上，安裝基于“白名單”的天融信工控主機衛士系統，將工業主機中的應用程序、進程等可執行文件加入白名單庫中，僅允許白名單庫中的應用運行，阻止其它一切惡意程序、病毒和木馬，以及與業務無關的應用運行，為調度中心系統網絡工作站和服務器等設備提供安全可靠的運行環境。同時，對工業主機及服務器設備外設接口進行管控，包括USB移動存儲設備、光驅、無線網卡、打印機等，限制非法外設接入，阻斷病毒傳播途徑。

3、事后階段

● 復盤分析，優化策略

36號文規定，“當電力生產控制大區出現安全事件，應當立即向上級電力調度機構以及當地國家能源局派出機構報告。同時注意保護現場，以便進行調查取證和分析。”在電力調度中心的IDMZ區部署天融信工控日志收集與分析系統，對網絡設備、安全設備、工控服務器等設備的日志進行統一收集存儲和分析，以便后續的追蹤取證，同時便于復盤，優化安全策略。

電力系統作為國家關鍵基礎設施，與國家經濟安全與人民生活息息相關，其網絡安全防護工作意義重大。作為中國網絡安全、大數據與云服務提供商，天融信在網絡安全領域持續深耕與實踐，不斷提升產品核心競爭力，助力客戶構建全方位、多層次、立體化的網絡安全保障能力，為保障國家關鍵信息基礎設施提供堅實的技術支撐。

TIPS：了解更多電力行業病毒防御之道，敬請持續關注本系列文章~