(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111419790.3 (22)申请日 2021.11.26 (71)申请人 中国大唐集团科 学技术研究院有限 公司火力发电技 术研究院 地址 100043 北京市石景山区玉泉西里二 区18号楼西区 (72)发明人 王泽璞　李健　车业蒙　肖寒　 刘远彬　郭卫霞　黄冠杰　 (74)专利代理 机构 北京中南长风知识产权代理 事务所(普通 合伙) 11674 代理人 李青 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种火电机组的生产控制大区安全态势感 知系统 (57)摘要 本发明公开了一种用于火电机组的生产控 制大区安全态势感知系统， 包括： 生产控制大区 工业防火墙、 生产控制大区监测与审计 设备和网 络威胁感知系统、 生产控制大区日志审计与分析 系统、 生产控制大区工控主机卫士、 生产控制大 区运维管 理系统、 生产控制大区统一管理系统以 及生产控制大区工控漏洞 扫描平台。 权利要求书1页 说明书5页 附图1页 CN 114422162 A 2022.04.29 CN 114422162 A 1.一种用于火电机组的生产控制大区安全态势感知系统， 其特征在于包括： 生产控制 大区工业防火墙、 生产控制大区监测与审计设备和网络威胁感知系统、 生产控制大区日志 审计与分析系统、 生产控制大区工控主机卫士、 生产控制大区运 维管理系统、 生产控制大区 统一管理系统以及生产控制大区工控漏洞 扫描平台。 2.根据权利要求1所述的一种用于火电机组的生产控制大区安全态势感知系统， 其特 征在于： 所述生产控制大区工业防火墙部署在电力监控系统区域内部 关键业务通信网络边 界， 对重要业 务系统的通信访问实现逻辑控制和防护。 3.根据权利要求1所述的一种用于火电机组的生产控制大区安全态势感知系统， 其特 征在于： 所述生产控制大区监测与审 计设备和网络威胁 感知系统部署在电力监控系统关键 网络节点及 网络边界处， 实现网络流量的审计、 异常行为告警和网络攻击特别是新型网络 攻击进行分析。 4.根据权利要求1所述的一种用于火电机组的生产控制大区安全态势感知系统， 其特 征在于： 所述生产控制大区日志审 计与分析系统部署在电力监控系统， 实现 网络设备、 安全 设备、 服务器、 操作员站、 数据库系统的日志收集与分析， 对安全事件进 行监控统计、 高速查 询以及关联分析。 5.根据权利要求1所述的一种用于火电机组的生产控制大区安全态势感知系统， 其特 征在于： 所述生产控制大区工控主机卫士部署在电力监控系统的工控主机、 服务器、 接口机 设备， 实现恶意代码的防护， 操作系统安全加固以及外设端口 的管控。 6.根据权利要求1所述的一种用于火电机组的生产控制大区安全态势感知系统， 其特 征在于： 所述生产控制大区运维管理系统部署在电力监控系统， 实现用户操作行为的身份 鉴别、 访问控制和安全审计。 7.根据权利要求1所述的一种用于火电机组的生产控制大区安全态势感知系统， 其特 征在于： 所述生产控制大区统一管理系统部署在电力监控系统， 实现安全防护设备、 系统以 及主机安全策略的统一管理， 安全设备及系统运行日志的统一收集和存储， 提高管理效率， 降低运行维护成本 。 8.根据权利要求1所述的一种用于火电机组的生产控制大区安全态势感知系统， 其特 征在于： 所述生产控制大区工控漏洞扫描平台部署在电力监控系统， 选择合适的时间节点 对现有设备进行漏洞扫描掌控， 对新入网设备进行提前扫描排除漏洞后入网， 减少入网风 险。权　利　要　求　书 1/1 页 2 CN 114422162 A 2一种火电机组的生产控制大区安全态势感知系统 技术领域 [0001]本发明涉及火电厂工控系统的安全防护技术领域， 尤其涉及一种基于火电机 组的 生产控制大区安全态 势感知系统。 背景技术 [0002]在火电厂电力监控装置传统安全防护体系中， 缺乏对工业控制网络用户操作、 工 控网络行为、 指令下发的审计措施， 导致安全事故分析取证困难。 另外， 部分工业控制网络 不具备审计功能， 部分有日志审计功能但系统的性能要求决定 了它不能开启审计功能。 [0003]此外， 现有对于工控系统防御的方案众多， 但是都针对常规工控系统， 实施常规的 防护手段。 对于火电厂辅控系统来说具有其独特的特点， 在安全防护方面有其独特的需求， 但是一直以来对于防护方案 没有一个统一的标准， 本发明提供一种健全的安全防护技术及 方案， 为辅控系统提供全面的安全防护。 [0004]因此需要根据系统独特的通信需求以及可能产生的安全漏洞， 进行针对性安全加 固， 对于当下攻击手段形成有效的防御， 形成一种新的基于枢纽电厂工控系统的组态式安 全防护体系， 实现防范高强度攻击和APT攻击的火电厂工业网络安全防护系统， 完善电厂工 控安全防护能力体系建 设。 发明内容 [0005]为了解决现有技术中存在的问题， 本发明提供了如下技术方案， 根据国内外网络 攻防技术和标准的新动向， 结合工控系统特点、 工程 实践和用户体验， 平衡工控系统安全合 规性与实用性的关系， 针对工业控制网络流量的工控安全监测与审计平台， 以加强和提升 工业控制网络的安全审 计防护能力， 实现对工业控制网络的异常行为、 协议攻击、 关键事件 等进行实时检测告警， 及时发现内部违规事 件， 为安全事件事后调查取证提供详实的记录 。 [0006]一种用于火电机组的生产控制 大区安全态势感知系统， 包括： 生产控制 大区工业 防火墙、 生产控制大区监测与审计设备和网络威胁感知系统、 生产控制大区日志审计与分 析系统、 生产控制大区工控主机卫士、 生产控制大区运 维管理系统、 生产控制大区统一管 理 系统以及生产控制大区工控漏洞 扫描平台。 [0007]优选的， 所述生产控制大区工业防火墙部署在电力监控系统区域内部关键业务通 信网络边界， 对重要业 务系统的通信访问实现逻辑控制和防护。 [0008]优选的， 所述生产控制大区监测与审计设备和网络威胁感知系统部署在电力监控 系统关键网络节点及 网络边界处， 实现网络流量的审计、 异常行为告警和网络攻击特别是 新型网络攻击进行分析； [0009]优选的， 所述生产控制 大区日志审计与分析系统部署在电力监控系统， 实现网络 设备、 安全设备、 服务器、 操作员站、 数据库系统的日志收集与分析， 对安全事件进 行监控统 计、 高速查询以及关联分析。 [0010]优选的， 所述生产控制 大区工控主机卫士部署在电力监控系统的工控主机、 服务说　明　书 1/5 页 3 CN 114422162 A 3