基于人工智能与安全预警平台的热电厂建设网络安全防护体系案例

案例概述

近年来，信息技术在工业领域的应用使得工控系统网络安全风险威胁不断提升，工控系统信息安全问题已成为企业转型升级和社会公共基础设施治理的重要障碍。

“能源局第36号文件”明确要求企业须遵循“安全分区，网络专用，横向隔离，纵向认证”的方针。但实践中，热电厂控制系统往往存在着时间久、观念旧、风险大的情况，工控系统脆弱性凸显。六方云结合多年的电力行业经验与技术积淀，以国家相关政策和行业法规等为依据，提出“事前控制、事中审计、事后分析、纵深防御、主动防御”的防护思想，基于人工智能与安全预警平台为OT/IT热电厂建设网络安全防护体系。

安全风险与现状分析

01、工控网络缺乏控制隔离机制

电厂的工业控制系统和办公网络在同一个物理网络中，隔离机制仅仅依赖不具备工业系统防护技术的传统防火墙，无法覆盖当前多个生产区域的实际环境，也导致实际多数控制网络在不同的生产区域、不同的子系统之间无有效隔离，一旦遭受攻击，将难以遏制攻击扩散造成严重的影响。

02、病毒与入侵行为防护能力不足

多数工控系统操作站为保证工控应用软件的可用性，不安装/不更新杀毒软件，这一点尤其不适用于工业控制环境；杀毒软件面对新病毒常常具有滞后性，稍有不慎就会引发大规模的病毒攻击，对于病毒入侵的防护能力远远不足。

03、缺乏对未知威胁的防控方法

在应对各类针对已知问题和现有网络设计缺陷带来的风险的同时，还必须充分应对各类基于0-day漏洞的APT攻击。工业安全领域的严重信息不对称影响了安全防护力度。工业控制系统如果打通与互联网的边界，将会导致工业环境中有更多可被轻易利用的0-day漏洞，未知威胁攻击将成为企业工控系统安全防护的重点课题之一。

04、管理流程上不够重视安全

目前工控系统中存在的可用性至上而安全性忽略的普遍现象，导致缺乏完整有效的安全策略与管理流程。例如在多个网络事件中，事由都源于对多个网络端口进入点疏于防护，包括USB钥匙、维修连接、笔记本电脑等。

解决方案

01、建设工业互联网安全预警分析系统

工业互联网安全预警分析系统是一种基于工业互联网、大数据、云计算等技术，用于工业生产过程中预测和监测网络安全风险的智能化系统。

一方面，通过对工业互联网网络流量、系统日志等进行实时采集、传输、存储和处理，实现对网络安全风险的实时监测和控制，帮助电厂及时发现并处理安全事件和攻击行为。另一方面，通过对历史数据和实时数据进行分析和挖掘，识别和预测工业互联网网络安全风险，并及时发出预警信号，帮助电厂做好应对和控制措施，降低安全事故的风险。还为电厂提供网络安全决策和管理支持，提高了电厂的网络安全防御能力。

02、建设基于人工智能技术的威胁检测与免疫系统

本方案六方云采用基于人工智能技术的威胁检测与免疫系统，利用人工智能技术和机器学习算法构建全面的预测、基础防护、响应和恢复能力。系统能够检测出异常、风险和未知威胁的信号，发现并阻止黑客入侵工控设备、预防恶意软件和文件被执行、提高安全运营中心的运营效率、量化风险、网络流量异常检测、检测恶意应用。最终实现从传统的事件响应式向持续智能响应式转变，从已知威胁检测向未知威胁检测发展。

03、建设“IT+OT”融合的工业网络安全防护系统

针对工业控制系统（ICS）中的信息技术（IT）和运营技术（OT）进行整合，实现综合性的工业网络安全防护系统。通过对工业控制系统中的IT和OT设备进行统一管理和控制，可以降低网络安全漏洞和攻击的风险，并提高网络安全性能。本系统可以将IT和OT设备统一管理，还可统一监测控制工控系统中的其他各种设备，降低管理成本，提高管理效率，保障工业生产的安全稳定。总的来说，IT+OT 工业网络安全防护系统可以提高工业控制系统的安全性、可靠性和稳定性，实现统一管理和监测，确保生产的安全和稳定，降低管理成本和风险。

应用效果

01、安全大数据智能分析

智能分析引擎实时地对工业企业控制系统脆弱性、工业企业网络数据流量、安全风险分析模型三者之间进行关联分析，运用机器学习技术，不断调优、完善风险模型各个维度的细节，使之更符合工业企业的业务生产逻辑，以实现对安全威胁和风险的准确识别。

02、人工智能检测未知威胁

采用自主知识产权的AI算法引擎，不依赖先验的攻击特征或威胁情报，AI算法模型可通过持续学习现网流量进行自我迭代和强化，有效提高威胁检测模型适应能力，实现基于非结构化数据的智能分析与挖掘，解决了传统安全技术解决不了的“未知威胁发现”难题。

03、自适应解析工控协议

安全计算环境、安全通信网络、安全区域边界进行统一管理，构建“一个中心，三重防护”体系，满足行业政策法规及技术要求；通过加强内网的威胁管理，可以避免绝大部分的安全事件。集中管理工控网络中的OT和IT设备或系统，减少管理人员工作量，降低企业人力资源投入。