★ 周盛杭州和利時(shí)自動(dòng)化有限公司

★ 呂世民寧波和利時(shí)信息安全研究院有限公司

★ 田志宏廣州大學(xué)網(wǎng)絡(luò )空間安全學(xué)院

1 項目概況

1.1 項目背景

國能神福（石獅）發(fā)電有限公司2×1050MW機組是國內技術(shù)水平領(lǐng)先的百萬(wàn)千瓦級超超臨界發(fā)電機組，是福建省“十一五”能源發(fā)展專(zhuān)項規劃和電力發(fā)展規劃確定的優(yōu)化發(fā)展煤電和熱電聯(lián)產(chǎn)大型電源點(diǎn)，是“神華電站數字化建設解決方案”的標桿項目。該廠(chǎng)采用和利時(shí)公司HOLLiAS-MACS大型分布式控制系統，實(shí)現了DCS和DEH在百萬(wàn)千瓦級機組的一體化應用，實(shí)現了全廠(chǎng)智能儀表的現場(chǎng)總線(xiàn)互聯(lián)互通，在國內大型電廠(chǎng)具有典型代表意義。但由于機組在初始建設時(shí)未考慮完善網(wǎng)絡(luò )安全設計，未部署其他網(wǎng)絡(luò )安全系統及設備，不能滿(mǎn)足國家網(wǎng)絡(luò )安全和電網(wǎng)公司二次防護要求。因此，需要加強機組的網(wǎng)絡(luò )安全防護建設，滿(mǎn)足等保合規等需求。

1.2 項目簡(jiǎn)介

國能神福（石獅）發(fā)電有限公司2×1050MW機組安全防護項目基于國能神福（石獅）發(fā)電有限公司2×1050MW機組，實(shí)現基于可信計算3.0技術(shù)的安全防護方案在火電超超臨界百萬(wàn)千瓦機組DCS的應用。該項目致力于突破工控系統的安全保護關(guān)鍵技術(shù)，構建系統可信環(huán)境，設計一體化主動(dòng)防御體系，研發(fā)關(guān)鍵內生安全工控系統和工控安全防護產(chǎn)品，并應用在鴻山電廠(chǎng)百萬(wàn)千瓦機組國產(chǎn)DCS系統安全防護中。

本項目按照“需求分析-研究開(kāi)發(fā)-設計實(shí)施-系統運行-安全服務(wù)”的階段開(kāi)展研究工作，通過(guò)分析工控系統面臨的安全風(fēng)險及安全需求，圍繞“識別—保護—檢測—響應”防護閉環(huán)，研究工控系統可信環(huán)境構建機制、業(yè)務(wù)和安全相融合的檢測審計和訪(fǎng)問(wèn)控制等技術(shù)，在此基礎上實(shí)現基于可信計算技術(shù)、實(shí)時(shí)保障控制行為安全和業(yè)務(wù)流程作業(yè)安全的主動(dòng)防御安全產(chǎn)品和控制系統?；诘缺?.0三級要求構建縱深防御體系并在百萬(wàn)千瓦機組國產(chǎn)DCS系統中實(shí)施，并進(jìn)行持續的安全運行、管理和維護。

1.3 項目目標

為解決電力行業(yè)內工業(yè)安全防護的難題，同時(shí)解決神華福能發(fā)電有限責任公司現有安全防護能力不足的問(wèn)題，建設基于可信計算環(huán)境的網(wǎng)絡(luò )安全系統及機制，本項目進(jìn)行基于可信計算的百萬(wàn)機組國產(chǎn)DCS系統信息安全技術(shù)研究，并對神華福能發(fā)電有限責任公司現有DCS網(wǎng)絡(luò )結構進(jìn)行相關(guān)調整優(yōu)化，部署網(wǎng)絡(luò )安全監控管理設備，使其全面滿(mǎn)足GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》等規范的要求。

2 項目實(shí)施

2.1 技術(shù)路線(xiàn)

本項目技術(shù)路線(xiàn)以常規防護如邊界防護、入侵檢測、安全審計等外圍防護為基礎，結合基于可信計算的主動(dòng)防護技術(shù)，構建內生安全的縱深綜合防護體系。將可信計算、數字證書(shū)體系、強制訪(fǎng)問(wèn)控制、深度協(xié)議解析、業(yè)務(wù)行為審計等安全技術(shù)融入工業(yè)控制系統，并結合終端防護和核心控制器防護為工業(yè)控制系統運行提供安全保障。項目安全防護建設整體技術(shù)路線(xiàn)如圖1所示。

圖1 項目安全防護建設整體技術(shù)路線(xiàn)

2.2 防護方案

安全防護方案遵循GB/T25070-2019《網(wǎng)絡(luò )安全等級保護安全設計技術(shù)要求》，以設計要求中提出的工業(yè)控制系統保護安全技術(shù)設計框架為基礎，設計滿(mǎn)足工業(yè)控制系統等級保護安全，構建在安全管理中心支持下的計算環(huán)境、區域邊界、通信網(wǎng)絡(luò )三重防御體系，從邊界防護、終端防護、檢測審計、安全管理等角度實(shí)現全面的IoT安全防護。

（1）邊界防護

對控制系統之間進(jìn)行信息傳輸實(shí)施安全策略，包括合理的網(wǎng)絡(luò )架構和分區、通信傳輸時(shí)的訪(fǎng)問(wèn)控制和數據安全等，通過(guò)安全可信工業(yè)防火墻和安全可信工業(yè)安全隔離與信息交換系統進(jìn)行網(wǎng)絡(luò )邊界的防護。

其中，工業(yè)防火墻主要在控制網(wǎng)絡(luò )內部進(jìn)行分區分域安全管理與訪(fǎng)問(wèn)控制，基于邏輯隔離技術(shù)，通過(guò)包過(guò)濾、訪(fǎng)問(wèn)控制等一系列措施，在實(shí)現隔離防護的同時(shí)，可滿(mǎn)足不同安全區域之間的網(wǎng)絡(luò )訪(fǎng)問(wèn)需求，有效防止不同安全區內的威脅蔓延；工業(yè)安全隔離與信息交換系統主要實(shí)現內部網(wǎng)絡(luò )與外部網(wǎng)絡(luò )，即DCS控制網(wǎng)絡(luò )和SIS網(wǎng)絡(luò )之間的隔離和安全數據交換，有效防止管理網(wǎng)內的網(wǎng)絡(luò )威脅蔓延到生產(chǎn)監控網(wǎng)內，滿(mǎn)足合規要求。

（2）終端防護

核心控制系統采用安全可信DCS，內部集成信息安全功能，支持與組態(tài)上位機的加密通信，同時(shí)協(xié)議棧經(jīng)過(guò)優(yōu)化后具備對DDoS攻擊、畸形報文攻擊和非法報文攻擊的網(wǎng)絡(luò )自抵御能力；控制系統采用可信計算3.0雙體系架構，支持全生命周期動(dòng)靜態(tài)可信度量，能夠實(shí)現對內核中可能存在的惡意代碼的加載和啟動(dòng)度量，以及對系統實(shí)時(shí)運行過(guò)程中的系統和業(yè)務(wù)行為的度量，有效抑制內嵌惡意代碼和代碼篡改的風(fēng)險。

控制系統上位機加裝基于可信計算和主機白名單的可信終端防護系統實(shí)現終端的病毒和安全防護，進(jìn)行主機加固。系統通過(guò)可信度量、白名單防護、訪(fǎng)問(wèn)控制、外設管控、漏洞防御、網(wǎng)絡(luò )防護、資產(chǎn)管理、集中管理、資源監控、告警與安全審計等功能，提供對主機終端的有效保護，全面滿(mǎn)足標準規范要求。

（3）檢測審計

在控制系統關(guān)鍵交換機旁路部署安全可信工業(yè)網(wǎng)絡(luò )檢測審計系統，對網(wǎng)絡(luò )流量進(jìn)行采集和分析，對通信報文進(jìn)行深度解析，能夠實(shí)時(shí)檢測針對工業(yè)協(xié)議的網(wǎng)絡(luò )攻擊、用戶(hù)誤操作、用戶(hù)違規操作及非法設備接入并實(shí)時(shí)報警；同時(shí)詳實(shí)記錄一切網(wǎng)絡(luò )通信行為，滿(mǎn)足網(wǎng)絡(luò )流量安全檢測預警和審計要求；此外，可有效檢測網(wǎng)絡(luò )威脅和入侵行為，針對檢測到的威脅和入侵行為進(jìn)行記錄和告警，滿(mǎn)足合規和網(wǎng)絡(luò )邊界防范要求。

通過(guò)部署安全可信工業(yè)日志審計系統，實(shí)時(shí)收集電廠(chǎng)中的安全設備、網(wǎng)絡(luò )設備、主機設備的日志、警報等信息，支持收集、存儲、查詢(xún)、統計分析和關(guān)聯(lián)分析等功能，實(shí)現全網(wǎng)綜合安全審計；實(shí)時(shí)地對采集到的不同類(lèi)型的日志和事件信息進(jìn)行標準化（歸一化）和實(shí)時(shí)關(guān)聯(lián)分析，并通過(guò)儀表板進(jìn)行實(shí)時(shí)動(dòng)態(tài)、可視化呈現。

（4）安全管理

建設統一的工業(yè)安全可信管理平臺，對各類(lèi)IT和OT設備數據（工業(yè)網(wǎng)絡(luò )中各類(lèi)上位機服務(wù)器、工控終端、網(wǎng)絡(luò )交換設備、工控安全設備）進(jìn)行采集，含網(wǎng)絡(luò )流量數據采集、設備日志采集、安全設備事件收集和安全設備配置采集，并進(jìn)行設備狀態(tài)監控、統一管理和配置、安全可信策略統一部署及安全事件的集中展示，依賴(lài)于工控知識庫的安全響應與處置，發(fā)現工控網(wǎng)絡(luò )內部的異常行為，平臺對各類(lèi)數據和時(shí)間進(jìn)行統一分析與展示，如圖2所示。

圖2 機組安全防護部署典型圖

2.3 應用效果

本項目針對國內大型火電機組DCS控制系統面臨的網(wǎng)絡(luò )安全問(wèn)題，采用基于可信計算3.0技術(shù)的主動(dòng)安全防護方案，形成以控制系統內生安全為核心，配合邊界安全措施，滿(mǎn)足等級保護三級要求的信息安全防護體系。安全防護技術(shù)與電廠(chǎng)控制業(yè)務(wù)深度融合，和控制系統深度兼容，形成對控制邏輯和控制網(wǎng)絡(luò )數據有效監管和防護的一體化監測方案，助力電廠(chǎng)業(yè)務(wù)安全穩定運行。該方案實(shí)現安全可信主動(dòng)防護體系在超超臨界1000MW火電機組的應用突破，具有技術(shù)創(chuàng )新性和很好的推廣價(jià)值。

3 案例亮點(diǎn)及創(chuàng )新性

3.1 方案創(chuàng )新性

本項目方案結合基于可信計算的主動(dòng)防護與邊界防護構成內外貫穿的綜合防護體系，在滿(mǎn)足網(wǎng)絡(luò )安全等級保護2.0標準的同時(shí)，最大化提升工業(yè)控制系統的網(wǎng)絡(luò )安全防護能力，具備良好的技術(shù)創(chuàng )新和應用示范效應。

（1）基于可信計算的自主免疫內生安全體系

針對火電百萬(wàn)機組DCS系統安全防護，本方案全面應用了可信計算技術(shù)體系，打破了傳統以邊界防護為主體的網(wǎng)絡(luò )安全防護理念，構建了基于控制系統本身的內生主動(dòng)防護體系。

在傳統信息防護手段基礎上，本方案設計并應用了適用于工業(yè)控制場(chǎng)景的可信計算技術(shù)，通過(guò)控制系統可信計算體系，增強控制系統的內生安全防護能力。在可信計算安全策略的指導下，針對工業(yè)控制網(wǎng)絡(luò )的實(shí)時(shí)控制行為和業(yè)務(wù)流程作業(yè)，本方案構建了實(shí)現貫穿設計、運行、服務(wù)全生命周期的防御、檢測、響應、預測的主動(dòng)安全防御循環(huán)技術(shù)體系（TDDRP）。

（2）基于可信計算的控制安全一體化業(yè)務(wù)行為監測

在實(shí)際的工控環(huán)境中，通常缺乏針對工業(yè)控制系統的安全監測及配置變更管理，導致安全事故的分析難以進(jìn)行。目前，在應用系統層面的誤操作、違規操作或故意的破壞性操作是國內工業(yè)控制系統面臨的主要安全風(fēng)險。本方案基于安全可信策略的應用，對生產(chǎn)網(wǎng)絡(luò )的訪(fǎng)問(wèn)行為與特定控制協(xié)議內容的真實(shí)性和完整性進(jìn)行監控、管理與審計。本方案依托DCS廠(chǎng)家在工業(yè)控制系統專(zhuān)用網(wǎng)絡(luò )和通信的技術(shù)積累，將傳統邊界防護解決方案與控制系統網(wǎng)絡(luò )和數據特點(diǎn)有機融合，形成對控制邏輯和控制網(wǎng)絡(luò )數據有效監管和防護的一體化監測方案，實(shí)現安全中有控制、控制中有安全的突破性解決方案。

（3）基于可信計算的工控強制訪(fǎng)問(wèn)控制防護模型

針對工控系統的特殊性，傳統的信息防護手段不能完全滿(mǎn)足工業(yè)信息安全的需求。因此，在傳統邊界防護的信息防護手段基礎上，本方案設計并應用了適用于工業(yè)控制場(chǎng)景的可信計算技術(shù)，通過(guò)控制系統內嵌可信計算體系，增強控制系統自身的防護能力。通過(guò)嵌入式防護技術(shù)的集成，控制系統能夠對啟動(dòng)態(tài)和運行態(tài)的惡意代碼和內核變化進(jìn)行主動(dòng)檢測和可信度量，進(jìn)一步發(fā)現存在的威脅和隱患。同時(shí)在可信計算技術(shù)的基礎上結合強制訪(fǎng)問(wèn)控制技術(shù)，對工控系統中操作系統和邏輯行為所涉及的關(guān)鍵主、客體增加安全標記，通過(guò)建立適用于工業(yè)控制邏輯業(yè)務(wù)需求的強制訪(fǎng)問(wèn)控制模型，保證控制過(guò)程中關(guān)鍵的訪(fǎng)問(wèn)行為均在可控范圍之內進(jìn)行。通過(guò)建立應用于工業(yè)場(chǎng)景的強制訪(fǎng)問(wèn)控制機制，有效避免越權操作，進(jìn)而保障控制系統的安全可控?？尚庞嬎愫蛷娭圃L(fǎng)問(wèn)控制的結合，使工業(yè)系統的信息安全防護不只是依賴(lài)外圍的邊界防護設備，當發(fā)生由內爆發(fā)的或外部突破進(jìn)入的威脅時(shí)，控制系統有足夠的自?；驊獙δ芰?。

3.2 方案推廣價(jià)值

本項目方案在控制系統規模和復雜度上具備良好的示范效果，通過(guò)該項目的信息安全建設能實(shí)現以下目標：

（1）滿(mǎn)足等保2.0要求的大規模工業(yè)現場(chǎng)應用與方案推廣

本項目選擇以大型分布式控制系統為核心中樞的百萬(wàn)千瓦級超超臨界火電機組開(kāi)展信息安全設計和實(shí)施，填補了新標準在實(shí)際工業(yè)領(lǐng)域工程項目應用的空白，通過(guò)該項目可對新標準技術(shù)要求進(jìn)行合理有效的驗證。該示范項目能夠進(jìn)一步完善等保2.0工業(yè)控制系統安全技術(shù)體系、管理體系和測評體系建設，對后續開(kāi)展全國范圍的工業(yè)控制領(lǐng)域網(wǎng)絡(luò )安全等級保護評估和建設具有良好的推廣和示范意義，能夠有力地推動(dòng)網(wǎng)絡(luò )安全等級保護2.0標準在工業(yè)領(lǐng)域的全面推廣和實(shí)行。

（2）基于可信計算的主動(dòng)防護技術(shù)在工控領(lǐng)域的應用推廣

本示范項目采用基于可信計算的主動(dòng)防護與邊界防護有機結合的綜合防護技術(shù)體系，將可信計算技術(shù)集成到工業(yè)控制器中，使網(wǎng)絡(luò )安全能力相對脆弱的控制系統內部具備內生安全能力，同時(shí)通過(guò)對傳統的安全審計設備增加控制邏輯和業(yè)務(wù)行為審計的功能，進(jìn)而打破控制行為和網(wǎng)絡(luò )行為的防護壁壘，能夠實(shí)現對內部和外部不同層面爆發(fā)的網(wǎng)絡(luò )威脅的核心抵御能力。本項目中創(chuàng )新性的技術(shù)應用和防護體系建設帶來(lái)的良好防護能力將有助于為當前模糊的工業(yè)安全產(chǎn)品和技術(shù)發(fā)展方向提供正確指引，同時(shí)對完善和建設真正適用于工業(yè)控制系統的安全防護技術(shù)和產(chǎn)品體系形態(tài)能夠提供有力的工程應用支撐。

（3）結合流程行業(yè)共性特點(diǎn)的普適性應用模板

本示范項目選取具備典型工業(yè)特點(diǎn)的百萬(wàn)千瓦級火電機組，同時(shí)全廠(chǎng)采用現場(chǎng)總線(xiàn)技術(shù)實(shí)現智能儀表互聯(lián)互通，具備流程行業(yè)工控系統的共性特點(diǎn)。

基于以上基礎設計和建設的工業(yè)信息安全解決方案，該項目適用于工控現場(chǎng)同時(shí)覆蓋流程行業(yè)全工藝環(huán)節的綜合安全防護工程應用模板，解決了主動(dòng)安全技術(shù)與流程行業(yè)工控系統實(shí)施應用的適應性難題。

3.3 效益分析

（1）經(jīng)濟效益

通過(guò)對基于可信計算技術(shù)的百萬(wàn)機組DCS系統信息安全技術(shù)的研究并進(jìn)行應用，可對發(fā)電現場(chǎng)控制系統進(jìn)行全面有效的防護，防止系統受到病毒、木馬等各種形式的網(wǎng)絡(luò )攻擊，從而避免因停產(chǎn)等原因造成的經(jīng)濟損失，每避免一次非計劃停機預計節約機組啟停費用約200萬(wàn)元。

（2）社會(huì )效益

本課題內容實(shí)施后，可突破目前國產(chǎn)百萬(wàn)千瓦級火力發(fā)電廠(chǎng)基于可信計算技術(shù)按照等保2.0三級要求建設工業(yè)控制系統網(wǎng)絡(luò )信息安全的技術(shù)空白，從根源降低電網(wǎng)安全事件影響，為后續集團內各電廠(chǎng)進(jìn)行信息安全建設提供技術(shù)指導，并可作為標桿為國內其他電廠(chǎng)在按照等級保護2.0要求建設監控系統安全制度、系統仿真和測試驗證、等級保護測評等方面提供成熟經(jīng)驗并在國內發(fā)電行業(yè)進(jìn)行推廣及應用。

《自動(dòng)化博覽》2023年1月刊暨《工業(yè)控制系統信息安全專(zhuān)刊（第九輯）》