电力监控系统作为国家关键信息基础设施,通常采用物理隔离方式,独立于外部网络运行。但随着智能电网建设和新能源大规模接入,电力系统数据交互需求激增——运维人员需频繁从站控层、间隔层导出设备日志、故障录波、保护定值等数据,同时从外部导入补丁、配置文件、升级包。当前普遍采用的方式是:运维人员携带笔记本电脑、移动硬盘、U盘等移动存储介质,通过USB接口与工程师站、操作员站进行数据交换。然而,这一“业务刚需”正成为电力监控系统最薄弱的环节之一。
与此同时,政策监管力度持续加码:
1.国家能源局《电力二次系统安全专项监管工作方案》明确要求:“强化移动存储介质接入管控,建立入网前病毒查杀、访问审计、授权使用的全流程管理机制”;
2.国家电网公司《电力监控系统作业“十禁止”》第7条规定:“严禁未经安全检测的USB设备接入生产控制大区”。
3.传统的制度管理——专人专管、粘贴封条、拷贝前格式化——已无法应对新型USB攻击。电力企业亟需一套技术+管理双轮驱动的USB安全管控方案。
国电某省电力公司(以下简称“省公司”)是国家电网有限公司的直属省级子公司,承担着该省各地市的电网投资、建设与运营任务,省公司贯彻落实科学发展观,以大力发展新能源引领企业转型,建设创新型企业,已形成水、火、风、煤、太阳能各产业协调发展的良好格局。
在近年的网络安全自查中,省公司发现以下突出问题:
1. USB设备“来路不明”:运维人员曾多次使用个人U盘接入生产控制大区,其中部分U盘检出病毒或恶意软件;
2. 拷贝行为“无据可查”:谁在什么时候拷了什么文件、拷到哪里,缺乏完整记录,一旦数据泄露无法追溯;
3. 病毒查杀“形同虚设”:部分站点虽配有杀毒终端,但病毒库更新滞后数周,且无法查杀针对工控系统的专用木马;
4. 管理成本高昂:专管员需逐一对U盘进行登记、格式化、授权,一个地市公司每月需要耗费大量人力。
六方云作为国内工控安全领域的创新企业,深度理解电力行业业务场景与安全需求,推出六方云移动数据检测中心系统(以下简称“系统”)。该系统采用“硬件隔离检测+软件统一管理”架构,部署于生产控制大区与运维接入区之间,实现对USB移动存储设备的集中管控、深度查杀、授权审计。
1.“三合一”准入控制:防止非法设备入网
系统基于USB设备的硬件指纹(VID/PID/序列号),结合病毒查杀结果与用户身份认证,实现三重准入校验:
白名单准入:管理员可提前注册授权U盘的硬件序列号,未注册设备插入后系统自动拒绝访问并告警;
实时病毒查杀:设备插入后,系统立即调用专业病毒引擎(内置工控病毒库,覆盖震网、Havex、BlackEnergy等电力行业已知恶意代码)进行全盘扫描,检出病毒则阻断接入;
用户身份绑定:支持将U盘与指定人员或部门绑定,实现“人-盘-操作”一一对应,防止设备借用、混用带来的风险。
2.“零改造”文件访问:不影响运维习惯
系统提供两种访问模式,适配不同场景需求:
网络访问模式(推荐):运维人员通过内部安全网络,以HTTPS或SFTP协议访问已授权的U盘文件,无需物理接触USB接口。文件传输全程加密,且支持断点续传,适合大量日志、波形文件导出。
OTG直连模式(应急):在紧急故障处理、网络中断等特殊情况下,运维人员可申请临时OTG权限,将U盘直接连接至系统前置机,像操作普通文件夹一样拖拽文件,使用体验与直连PC完全一致。
3.“精细化”文件策略:防止敏感数据外泄
系统支持文件级的黑白名单策略,对拷出数据进行严格管控:
文件白名单:仅允许拷出指定类型文件(如.log、.cfg、.dat、.csv),禁止可执行文件(.exe、.dll)、脚本文件(.ps1、.vbs)外流;
文件黑名单:可设置禁止包含“定值单”“调度票”“密码”等关键字的文件导出,防止敏感信息泄露;
内容深度检测:对疑似包含SQL注入、恶意宏代码、隐蔽隧道的文件进行隔离并告警。
4.“分权分域”权限管控:践行最小化授权
系统支持多维度权限控制,避免“一刀切”授权带来的风险:
读写权限分离:根据用户角色,可分别授予“只读”“只写”“读写”“禁止”权限。例如,运维班组可向U盘导出日志(写权限),但禁止从U盘复制文件到工程师站(读权限),防止外部文件带入病毒。
5.“可视化”审计溯源:满足合规监管
系统对所有USB操作进行全记录,形成不可篡改的操作日志:
日志内容:记录操作时间、站点名称、操作员账号、U盘硬件ID、文件名称及路径、操作类型(插入/拔出/读/写/删除)、病毒查杀结果、文件策略命中情况;
存储与查询:日志本地存储不少于6个月,支持按时间、站点、人员、U盘ID等多维度检索,一键生成合规报表;
异常告警:当出现非授权设备插入、病毒检出、敏感文件导出等事件时,系统实时向安全管理中心发送告警,并可选联动阻断。
实施效果
1. 提升网络安全防护能力:
通过六方云移动数据检测中心系统的部署,成功阻断了通过USB设备传播的恶意代码,有效降低了网络安全风险,保障了生产控制系统的稳定运行。对接入的USB设备进行严格的认证和管控,避免木马、病毒等恶意软件的传播。
2. 提高数据交换效率:
六方云移动数据检测中心系统能够在保证安全的前提下,实现数据的高效、便捷交换,减少了因数据交换不畅导致的业务延误。
3. 优化管理流程:
灵活的权限管理机制使得管理更加精细化,不同用户、不同部门之间的数据访问权限得到了有效控制,提升了整体管理效率。“三权分立”的强访问控制策略,细粒度管控USB移动存储介质的使用。
4. 安全审计与事件追溯:
六方云移动数据检测中心系统还具备安全审计功能,可以记录所有USB设备的接入情况、操作行为等信息。这有助于电厂进行安全事件的追溯和分析,及时发现并应对潜在的安全威胁。
USB移动存储设备是电力监控系统运维的“必需品”,但绝不能成为网络攻击的“特洛伊木马”。六方云移动数据检测中心系统,通过设备准入、病毒查杀、文件策略、权限管控、行为审计五位一体的技术手段,将USB接口从“最薄弱的环节”变为“最坚固的防线”。
