★ 北京網(wǎng)藤科技有限公司

1 項目概況

1.1 項目背景

電力行業(yè)是國家重要的關(guān)鍵基礎設施，為商業(yè)、工業(yè)、制造和住宅客戶(hù)提供必要的能源。隨著(zhù)工業(yè)化和信息化的加速融合，電力系統也從相互獨立不與外網(wǎng)連接的管理模式逐漸與互聯(lián)網(wǎng)互通互聯(lián)。各系統間的互通增加了傳統內部網(wǎng)絡(luò )風(fēng)險發(fā)生的幾率，而我國工業(yè)網(wǎng)絡(luò )安全基礎設施建設落后，國內DCS所使用的CPU和操作系統等軟、硬件依賴(lài)進(jìn)口產(chǎn)品，存在巨大的安全隱患。電力行業(yè)是技術(shù)密集和資產(chǎn)密集型產(chǎn)業(yè)，歷來(lái)都是利益團體和黑客攻擊的重點(diǎn)對象。因此，加快關(guān)鍵信息基礎設施國產(chǎn)化替代，實(shí)現核心技術(shù)自主可控，加強行業(yè)網(wǎng)絡(luò )信息安全建設，提高安全防護意識和能力成為當務(wù)之急。

1.2 項目簡(jiǎn)介

長(cháng)期以來(lái)，國內電力企業(yè)的智能監控系統的大部分軟硬件依賴(lài)國外進(jìn)口。目前自主可控的國產(chǎn)化控制系統技術(shù)日趨成熟并逐步落地應用，解決了自動(dòng)化控制的“卡脖子”難題，隨之安全防護方案中配套的安全產(chǎn)品和技術(shù)也處在國產(chǎn)化適配的探索實(shí)踐階段。作為典型的關(guān)基行業(yè)，電力監控系統網(wǎng)絡(luò )安全規劃和建設時(shí)除應依據GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》外，還要滿(mǎn)足行業(yè)內國能安全〔2015〕36號《電力監控系統安全防護總體方案》《電力監控系統安全防護規定》《電力可靠性管理辦法（暫行）》等相關(guān)網(wǎng)絡(luò )安全要求。

江蘇華電句容發(fā)電有限公司建設有2×1000MW高效潔凈超超臨界燃煤發(fā)電機組，配套“華電睿藍”智能控制系統，采用國產(chǎn)元器件、國產(chǎn)芯片、國產(chǎn)處理器、國產(chǎn)操作系統、國產(chǎn)數據庫、國產(chǎn)服務(wù)器、國產(chǎn)交換機和開(kāi)源軟件，完成了DEH的設計、組態(tài)、調試和投運，并對MEH、ETS、FGD等系統進(jìn)行了改造，在國內首次實(shí)現1000MW超超臨界機組自主可控DCS&DEH一體化控制，并實(shí)現火電廠(chǎng)的一體化控制、保護等功能。本項目以江蘇華電句容發(fā)電有限公司#1機組DCS系統工業(yè)控制系統網(wǎng)絡(luò )安全保護建設為主線(xiàn)，借助網(wǎng)絡(luò )產(chǎn)品、安全產(chǎn)品、安全服務(wù)、管理制度等手段，建立全面的網(wǎng)絡(luò )安全防控體系，并以生產(chǎn)控制系統安全為重點(diǎn)，保證業(yè)務(wù)系統安全運行，從而全面提高生產(chǎn)的工作效率，提升信息化的運用水平。

1.3 項目目標

電力行業(yè)是我國重要的戰略性產(chǎn)業(yè)，對國民經(jīng)濟和國家安全有著(zhù)重要作用。近年來(lái)電力工控系統網(wǎng)絡(luò )攻擊處于高發(fā)態(tài)勢，安全風(fēng)險愈演愈烈。電力行業(yè)風(fēng)險主要包括：（1）外部網(wǎng)絡(luò )安全威脅首當其沖；（2）工控系統缺乏內生安全措施，長(cháng)期處于獨立運行狀態(tài)，漏洞等脆弱性風(fēng)險無(wú)法修復；（3）人員安全意識薄弱，移動(dòng)存儲設備濫用；（4）安全技術(shù)滯后于新技術(shù)的應用，以及高級持續性威脅虎視眈眈。

通過(guò)對江蘇華電句容發(fā)電有限公司網(wǎng)絡(luò )結構、網(wǎng)絡(luò )安全風(fēng)險分析，針對不同區域間數據通信安全和整體信息化建設要求，本項目建設目標是：

（1）全面識別工業(yè)控制網(wǎng)絡(luò )系統安全現狀；

（2）建立健全工控現場(chǎng)操作流程及操作規范的管理機制；

（3）實(shí)時(shí)監控網(wǎng)絡(luò )內的異常數據和操作行為及預報預警；

（4）實(shí)時(shí)保護網(wǎng)絡(luò )安全，及時(shí)阻止惡意代碼、網(wǎng)絡(luò )漏洞等對控制網(wǎng)絡(luò )的破壞；

（5）降低通過(guò)移動(dòng)存儲介質(zhì)的方式拷貝數據遭受攻擊的幾率；

（6）追溯入侵者對工業(yè)控制網(wǎng)絡(luò )的惡意攻擊與破壞的源頭和路徑；

（7）對生產(chǎn)網(wǎng)絡(luò )內安全資產(chǎn)的一體化管理和運行態(tài)勢分析。

2 項目實(shí)施

2.1 安全防護方案

根據對現有工控系統調研，依據能源局36號文、工信部《工業(yè)控制系統信息安全防護指南》《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》等技術(shù)標準及指導性文件，根據“一個(gè)中心”管理下的“三重保護”體系框架進(jìn)行設計，結合電廠(chǎng)現有國產(chǎn)化應用能力水平，建立“網(wǎng)絡(luò )建設合規、安全防護到位”的防護思想，構建由安全計算環(huán)境、安全區域邊界、安全通信網(wǎng)絡(luò )和安全管理中心組成的工控系統的整體安全防護建設。建設體系架構如圖1所示。

圖1 建設體系架構圖

2.1.1 安全計算環(huán)境

（1）主機安全防護

本項目在生產(chǎn)控制大區各終端主機部署終端安全防護類(lèi)軟件，實(shí)現終端進(jìn)程的可信管理，如圖2所示。該軟件利用“防疫衛士”功能，優(yōu)先保障客戶(hù)自身軟件正常運行，不被篡改；阻止其他病毒、惡意程序以及與業(yè)務(wù)無(wú)關(guān)的軟件運行；提供極高的安全性，且與國產(chǎn)軟硬件兼容性強，目前已成功與飛騰、麒麟、凝思等國產(chǎn)化系統完美兼容并使用。

圖2 工控主機安全衛士

（2）USB存儲介質(zhì)管控

在生產(chǎn)控制大區工程師站交換機處旁路部署USB安全隔離裝置，解決外部病毒、木馬等威脅源通過(guò)USB存儲介質(zhì)帶入到工控網(wǎng)絡(luò )的風(fēng)險隱患。該防護理念是從病毒入侵的源頭出發(fā)，切斷病毒入侵途徑，通過(guò)獨立的硬件隔離產(chǎn)品，實(shí)現外部數據到工控網(wǎng)絡(luò )的數據擺渡，并提供接入工控網(wǎng)絡(luò )前的病毒查殺措施。同時(shí)，這種安全隔離產(chǎn)品，還提供USB移動(dòng)存儲介質(zhì)的全生命周期的安全管控，如圖3所示。

圖3 移動(dòng)存儲介質(zhì)管控方案

2.1.2 安全區域邊界

（1）網(wǎng)絡(luò )邊界防護

在生產(chǎn)控制大區控制區與非控制區邊界部署邊界隔離設備，提高各區域間訪(fǎng)問(wèn)控制能力，合理梳理優(yōu)化邊界設備的安全策略，遵循最小化和白名單原則，只允許業(yè)務(wù)數據通過(guò)邊界，阻斷其他非授權連接，例如來(lái)自區域之間的越權訪(fǎng)問(wèn)、病毒、蠕蟲(chóng)惡意軟件擴散和入侵攻擊，保護各個(gè)區域控制系統安全運行。

（2）邊界入侵檢測

在生產(chǎn)控制大區核心組網(wǎng)交換機處旁路部署入侵檢測系統，實(shí)現網(wǎng)絡(luò )威脅入侵檢測，及時(shí)發(fā)現網(wǎng)絡(luò )異常情況、蠕蟲(chóng)、木馬病毒以及APT等惡意程序的傳播狀況，并對僵尸主機監控定位，實(shí)現網(wǎng)絡(luò )運行狀態(tài)的實(shí)時(shí)監控。在對經(jīng)過(guò)流量的報文進(jìn)行深入七層實(shí)時(shí)解析的基礎上，該系統不僅可以做到對惡意代碼、注入攻擊及蠕蟲(chóng)木馬等威脅的檢測及防護，還可以對應用程序及URL等內容進(jìn)行深度識別控制，并具備帶寬管控的功能，從而在提供標準攻擊檢測防御的同時(shí)實(shí)現上網(wǎng)行為管理的功能。

2.1.3 安全通信網(wǎng)絡(luò )

（1）日志安全分析

在生產(chǎn)控制大區核心交換機旁路部署日志審計系統。該系統能夠實(shí)時(shí)將工業(yè)控制網(wǎng)絡(luò )中網(wǎng)絡(luò )設備、安全設備、服務(wù)器、數據庫系統的日志信息進(jìn)行統一收集、處理和關(guān)聯(lián)分析，幫助一線(xiàn)管理人員從海量日志中迅速、精準地識別安全事件，并及時(shí)對安全事件進(jìn)行追溯或干預。該系統滿(mǎn)足國家標準規范中關(guān)于日志審計的相關(guān)要求。

（2）工控流量監測

在生產(chǎn)控制大區各子系統交換機旁路部署工控安全審計系統，實(shí)現對工控網(wǎng)絡(luò )中的網(wǎng)絡(luò )流量進(jìn)行采集、監測和分析，有效識別工控網(wǎng)絡(luò )中的安全隱患、惡意攻擊以及違規操作、誤操作、指令異常、參數篡改等安全事件，并通過(guò)閾值級的內容檢測，及時(shí)發(fā)現業(yè)務(wù)管理的痛點(diǎn)問(wèn)題。工控安全審計系統采用旁路接入方式，只抓取現場(chǎng)控制系統網(wǎng)絡(luò )數據包進(jìn)行分析處理，不向現場(chǎng)控制系統發(fā)送任何命令和數據包，如圖4所示。

圖4 工控流量監測

2.1.4 安全管理中心

（1）安全運維審計

在新建安全管理區核心交換機旁路部署賬號集中管理與審計系統，用以解決工程師在運維過(guò)程中的認證授權、用戶(hù)準入控制、運維審計等方面的信息安全問(wèn)題，如圖5所示。

圖5 安全運維審計

（2）安全管理平臺

為滿(mǎn)足集中統一管理的要求，在生產(chǎn)控制大區安全生產(chǎn)Ⅱ區建立安全管理中心，構建電廠(chǎng)安全體系的統一管理平臺，實(shí)現對安全設備的集中管控，并將實(shí)時(shí)分析結果推送到安管中心，為安全運維人員提供技術(shù)支撐。同時(shí)在安全管理中心部署工控漏洞掃描系統，對工業(yè)控制系統快速、精確、高效地進(jìn)行網(wǎng)絡(luò )安全風(fēng)險合規巡檢，如圖6所示。

圖6 工控安全管理平臺

2.1.5 安全防護

圖7為安全防護示意圖。

圖7 安全防護示意圖

2.2 應用效果

本項目采用主動(dòng)防御體系及縱深防御思想，創(chuàng )新性地將靜態(tài)防御和主動(dòng)的動(dòng)態(tài)防御相結合，實(shí)現句容發(fā)電有限公司網(wǎng)絡(luò )結構安全和深層防御能力，并滿(mǎn)足合規性要求。

（1）實(shí)施后，對網(wǎng)絡(luò )攻擊、違規使用等情況，采用深度分析技術(shù)對網(wǎng)絡(luò )進(jìn)行不間斷監控，分析來(lái)自網(wǎng)絡(luò )內部和外部的入侵企圖，并進(jìn)行報警、響應和防范，有效延伸了網(wǎng)絡(luò )安全防御層次，提高了各系統網(wǎng)絡(luò )安全事件識別和響應能力；

（2）實(shí)施后，提高系統識別各類(lèi)網(wǎng)絡(luò )攻擊行為的能力，并有效應對內部或外部發(fā)起的網(wǎng)絡(luò )入侵行為；

（3）實(shí)施后，利于管理員定期分析各系統日志信息，也利于對安全事件、用戶(hù)訪(fǎng)問(wèn)記錄、系統運行日志、系統運行狀態(tài)、網(wǎng)絡(luò )存取日志等各類(lèi)信息進(jìn)行集中管理分析；

（4）實(shí)施后，減輕新能源電站日常IOT資產(chǎn)設備的運維強度和成本，通過(guò)集控中心統一安管平臺，快速識別業(yè)務(wù)系統中的安全風(fēng)險；提高系統管理人員安全意識，提高現場(chǎng)設備應對外來(lái)威脅的防御能力，減少自身脆弱性。

3 案例亮點(diǎn)及創(chuàng )新性

（1）安全產(chǎn)品實(shí)現基于國產(chǎn)化硬件平臺的自主可控技術(shù)，積極支撐關(guān)基領(lǐng)域的國產(chǎn)化替代，為應用國產(chǎn)系統的用戶(hù)提供全面、可靠的安全保障。

（2）基于網(wǎng)藤科技多年技術(shù)積累以及對火力發(fā)電行業(yè)的深入理解，結合火力發(fā)電行業(yè)工藝流程特點(diǎn)，利用自有的行業(yè)知識庫研發(fā)具有行業(yè)特色的“安全保護模型”，并建立“檢測規則”，準確識別電廠(chǎng)生產(chǎn)網(wǎng)絡(luò )中的異常流量、異常行為、漏洞利用攻擊、惡意代碼攻擊等入侵行為并實(shí)時(shí)告警。

（3）創(chuàng )新的工控主機外置病毒查殺機制，從根本上解決了工控主機與防病毒軟件可能存在的兼容性和無(wú)法在線(xiàn)升級的問(wèn)題；依托1200萬(wàn)+病毒庫及雙引擎查殺能力，有效提高病毒檢測能力，且可實(shí)現移動(dòng)存儲介質(zhì)的授權管理、安全接入和綜合審計等全流程管理，杜絕移動(dòng)存儲介質(zhì)“濫用”的安全隱患。

（4）方案中采用的工控主機安全衛士在“白名單”防護產(chǎn)品基礎功能上，新增加了軟件防疫衛士和病毒專(zhuān)殺工具，且可實(shí)現與USB安全隔離裝置的策略聯(lián)動(dòng)，如U盤(pán)授權互認；利用主機本體+外設接口一體化防護技術(shù)，形成行業(yè)內創(chuàng )新的軟件+硬件的終端防護方案，廣泛適配國產(chǎn)化環(huán)境，為工控主機的安全保駕護航。

《自動(dòng)化博覽》2023年1月刊暨《工業(yè)控制系統信息安全專(zhuān)刊（第九輯）》