1.建設背景與目標 

1.1工業(yè)網(wǎng)絡(luò )安全建設背景

隨著(zhù)工業(yè)化和信息化的深度融合，各類(lèi)IT新技術(shù)加速應用到工業(yè)生產(chǎn)活動(dòng)之中，智能制造與工業(yè)互聯(lián)網(wǎng)迅猛發(fā)展，工業(yè)數字化轉型從理念普及階段進(jìn)入到實(shí)踐深耕階段，海量的工廠(chǎng)設備和生產(chǎn)數據正在不斷連接匯聚，原先封閉隔離的控制系統逐漸開(kāi)放互聯(lián)，信息化已深刻融入經(jīng)濟、社會(huì )和科技的多個(gè)領(lǐng)域，成為國家發(fā)展的重要推動(dòng)力之一。

然而，信息革命在帶來(lái)生產(chǎn)力質(zhì)的飛躍的同時(shí)，也帶來(lái)了嚴峻的網(wǎng)絡(luò )安全問(wèn)題。相較于早已暴露在互聯(lián)網(wǎng)中并不斷強化自身安全的傳統信息系統，工控系統在信息安全方面明顯脆弱許多，且工業(yè)應用場(chǎng)景有很多特殊要求，傳統的信息安全防護手段難以滿(mǎn)足。

工業(yè)控制系統廣泛應用于能源、交通、先進(jìn)制造、公用設施等國計民生相關(guān)的重要領(lǐng)域，從2019年的工控網(wǎng)絡(luò )安全狀況分析，僅這一年就至少被披露出了483個(gè)安全漏洞，從漏洞的影響目標來(lái)看，77%的漏洞是與工控業(yè)務(wù)強相關(guān)的，也就是說(shuō)這些漏洞影響生產(chǎn)系統的上位機，控制器，以及現場(chǎng)控制設備等。而解決這些安全風(fēng)險的關(guān)鍵點(diǎn)在于能夠完整透明的掌握整個(gè)系統的業(yè)務(wù)流程，以及數據交互過(guò)程。在此基礎上，通過(guò)對現有工業(yè)控制業(yè)務(wù)與數據安全的深度理解，結合信息安全防護技術(shù)與工業(yè)控制技術(shù)二者的深度融合，才能從信息安全加業(yè)務(wù)安全這兩個(gè)方面，來(lái)保障工業(yè)控制系統的整體安全。從漏洞的危害程度來(lái)看，超過(guò)50%的漏洞可以導致系統失去監控，而其中工控現場(chǎng)絕大多數時(shí)間，都無(wú)法安裝安全補??；因此，從這個(gè)角度來(lái)講，工控系統的內生安全，與其安全產(chǎn)品之間如何配合解決安全問(wèn)題，提升從系統本身健壯性上來(lái)抵抗外部攻擊的能力，則更是需要工控系統與安全產(chǎn)品之間的深度業(yè)務(wù)融合。

結合國家的政策法規來(lái)看，2014年2月27日，中央網(wǎng)絡(luò )安全和信息化領(lǐng)導小組成立，標志著(zhù)網(wǎng)絡(luò )安全已經(jīng)上升到國家戰略層面。2016年4月19日，中共中央總書(shū)記、國家主席、中央軍委主席、中央網(wǎng)絡(luò )安全和信息化領(lǐng)導小組組長(cháng)習近平在北京主持召開(kāi)網(wǎng)絡(luò )安全和信息化工作座談會(huì )并發(fā)表重要講話(huà)?？倳?shū)記系列講話(huà)指出“沒(méi)有網(wǎng)絡(luò )安全就沒(méi)有國家安全，沒(méi)有信息化就沒(méi)有現代化”。

2017年6月1日正式實(shí)施的《中華人民共和國網(wǎng)絡(luò )安全法》（以下簡(jiǎn)稱(chēng)《網(wǎng)絡(luò )安全法》），作為我國網(wǎng)絡(luò )安全領(lǐng)域的基本立法，明確規定了關(guān)鍵信息基礎設施的定義、行業(yè)主管部門(mén)的職責、運營(yíng)者的安全保護義務(wù)、國家網(wǎng)信部門(mén)的職責范圍，

2017年7月11日，國家互聯(lián)網(wǎng)信息辦公室公布備受矚目的《關(guān)鍵信息基礎設施安全保護條例（征求意見(jiàn)稿）》（以下簡(jiǎn)稱(chēng)《條例》），詳細闡明了關(guān)鍵信息基礎設施的范圍、運營(yíng)者應履行的職責以及對產(chǎn)品和服務(wù)的要求，明確關(guān)鍵信息基礎設施范圍，規定運營(yíng)者安全保護的權利和義務(wù)及其負責人的職責，要求建立關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全監測預警體系和信息通報制度，

2019年5月，等保2.0正式發(fā)布，并于12月正式實(shí)施。和等保1.0相比，等保2.0從條例上升至強制性法律的高度，測試也更加嚴格，并且等保2.0將工業(yè)控制系統納入保護對象，提出了針對工業(yè)控制系統的安全擴展要求，正式將工業(yè)控制系統的網(wǎng)絡(luò )安全納入國家法律要求范疇。等保2.0體系架構如下圖所示。

圖 等保2.0體系架構圖

在我國電力生產(chǎn)供應中，超超臨界1000MW級大型火電機組承擔了大部分職責，既是作為等保2.0三級系統、也是關(guān)系到國家戰略安全的關(guān)鍵基礎設施，無(wú)疑是工業(yè)控制系統安全建設的重點(diǎn)對象。在大型火電等工業(yè)設施中，大型分布式控制系統（DCS）作為保障其運行的核心管控系統，具有高可靠性、強實(shí)時(shí)性、控制邏輯復雜和大規模系統部署等典型特點(diǎn)，其安全防護建設尤具代表性。

1.2電力行業(yè)工控系統面臨的網(wǎng)絡(luò )風(fēng)險分析

1.2.1區域邊界的安全風(fēng)險

國內大部分火電百萬(wàn)千瓦機組DCS控制系統，在建設時(shí)未考慮完善的網(wǎng)絡(luò )安全建設，未部署其他網(wǎng)絡(luò )安全系統及設備，不能滿(mǎn)足國家網(wǎng)絡(luò )安全、電網(wǎng)公司二次防護要求。DCS網(wǎng)絡(luò )及設備安全防護能力不足，對網(wǎng)絡(luò )邊界缺少入侵檢測手段，對網(wǎng)絡(luò )流量缺乏分析手段，采用通用操作系統安全漏洞多，電腦主機防護能力不足，缺少統一安全管理機制。全廠(chǎng)DCS網(wǎng)絡(luò )安全性較差，存在安全隱患，極易因外網(wǎng)攻擊、內網(wǎng)病毒入侵等造成DCS控制系統故障、癱瘓等惡性事故。

1.2.2網(wǎng)絡(luò )通信的安全風(fēng)險

隨著(zhù)火電機組DCS系統開(kāi)放性的增強，且電廠(chǎng)SIS系統、生產(chǎn)管理系統及第三方系統存在網(wǎng)絡(luò )通信邊界，一旦某個(gè)網(wǎng)絡(luò )被病毒感染，容易蔓延到DCS網(wǎng)絡(luò )中，嚴重威脅系統運行的安全，由此帶來(lái)了病毒以及網(wǎng)絡(luò )攻擊擴散導致工控系統遭受影響的安全風(fēng)險。

在火電機組DCS控制系統中，大量使用的通信協(xié)議多為OPC、Modbus TCP等通用工控協(xié)議，以及各DCS廠(chǎng)家的私有工控協(xié)議，絕大多數工控協(xié)議在設計之初忽視了其安全設計，通訊雙方?jīng)]有有效的認證與保密機制，容易受到中間人的竊聽(tīng)和欺騙性攻擊，協(xié)議對畸形報文的識別能力弱，通信健壯性能力較弱。此外，現場(chǎng)未部署監測審計設備和安全管理設備，缺少對生產(chǎn)網(wǎng)絡(luò )的實(shí)時(shí)安全監控，無(wú)法及時(shí)發(fā)現系統中存在的異常流量和異常行為，也無(wú)法及時(shí)感知安全威脅并進(jìn)行告警。

1.2.3終端主機的安全風(fēng)險

火電機組DCS控制系統系統中上位機多采用如Windows或Linux等通用操作系統，存在較多安全漏洞，其中很多漏洞會(huì )被黑客利用，成為黑客攻擊的目標或跳板，工業(yè)領(lǐng)域軟/硬件更新、補丁升級、換代困難、漏洞不能得到及時(shí)修補且工控系統多存在防病毒系統缺失或更新不及時(shí)的問(wèn)題，容易造成木馬病毒泛濫。

另外作為火電機組DCS控制系統重要組成部分的控制站設備，多經(jīng)過(guò)裁剪的實(shí)時(shí)操作系統，近幾年披露的漏洞不斷增多，很多漏洞可以導致系統失去監控，對控制安全影響極大。如果不能對DCS控制器本身的安全性提供有效的保障措施，僅靠外圍的安全措施無(wú)法從根本上保證DCS控制系統的整體安全。

1.2.4操作人員的安全風(fēng)險

工控系統的運維人員大多更為關(guān)注現場(chǎng)生產(chǎn)業(yè)務(wù)的連續性， 因此對網(wǎng)絡(luò )設備的要求也集中在可用性上，而對網(wǎng)絡(luò )設備的各類(lèi)安全策略配置大多不太關(guān)注，存在如網(wǎng)絡(luò )設備采用永久性口令或默認口令、 訪(fǎng)問(wèn)控制策略配置不當、 網(wǎng)絡(luò )設備安全配置不當等問(wèn)題，也缺乏對網(wǎng)絡(luò )狀態(tài)的安全監控,存在因網(wǎng)絡(luò )設備原因導致網(wǎng)絡(luò )可用性受到破壞從而影響生產(chǎn)控制的風(fēng)險。

1.3方案建設目標

本方案是針對電力行業(yè)的網(wǎng)絡(luò )安全防護建設方案，依據《工業(yè)控制系統信息安全防護指南》、國能安全【2015】36號文、《GB/T 22239-2019信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》、《GB/T 25070-2019信息安全技術(shù)網(wǎng)絡(luò )安全等級保護安全設計技術(shù)要求》等，結合電力行業(yè)目前網(wǎng)絡(luò )安全現狀與防護需求、工藝與生產(chǎn)管理特點(diǎn)，進(jìn)行網(wǎng)絡(luò )安全技術(shù)和管理體系建設，滿(mǎn)足物理和環(huán)境、網(wǎng)絡(luò )和通信、設備和計算安全、應用和數據安全、安全策略和管理制度、安全管理機構和人員、安全建設管理、安全運維管理各個(gè)層面的安全需求，提供綜合安全保障，構建電廠(chǎng)安全防御體系，保障電廠(chǎng)的工控安全需求，促進(jìn)電廠(chǎng)工控系統的安全穩定運行。

為解決電力行業(yè)內工業(yè)安全防護的難題，同時(shí)解決電廠(chǎng)現有安全防護能力不足的問(wèn)題，建設基于可信計算環(huán)境的網(wǎng)絡(luò )安全系統及機制，本方案進(jìn)行基于可信計算的DCS控制系統信息安全技術(shù)體系，并對電廠(chǎng)現有工控網(wǎng)絡(luò )結構進(jìn)行相關(guān)調整優(yōu)化，部署網(wǎng)絡(luò )安全監控管理設備，使其全面滿(mǎn)足GB/T 22239-2019 《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護基本要求》等規范的要求。

本方案預期達成以下目標：

1）對工控統進(jìn)行安全區域劃分，結合實(shí)際的網(wǎng)絡(luò )部署和業(yè)務(wù)功能，在不影響工藝監控系統安全運行的前提下合理劃分，確定網(wǎng)絡(luò )邊界。

2）建設安全計算環(huán)境，如工程師站、操作員站及控制器等終端。通過(guò)身份鑒別、訪(fǎng)問(wèn)控制、惡意代碼防范、可信驗證等機制保證計算環(huán)境不受侵害。

3）建成安全通信網(wǎng)絡(luò )，通過(guò)區域劃分后，對網(wǎng)絡(luò )通信通過(guò)加密、認證等技術(shù)手段保證數據的保密性和完整性，通過(guò)旁路流量進(jìn)行安全審計，對私有協(xié)議進(jìn)行深度解析，發(fā)現異常流量進(jìn)行告警。

4）建設安全網(wǎng)絡(luò )邊界，通過(guò)邊界防護、訪(fǎng)問(wèn)控制、入侵檢測、安全審計等手段確保數據在出入口的安全。

5）建立以主動(dòng)防御為核心的技術(shù)體系，實(shí)現了“分區分域、縱深防御、統一監控”的防御機制。

6）提升了工控系統安全防御能力，實(shí)現了訪(fǎng)問(wèn)控制、協(xié)議過(guò)濾、病毒防御、主機加固、安全監控等功能，保障了生產(chǎn)業(yè)務(wù)的連續性。

7）建設安全管理中心，對網(wǎng)絡(luò )中的安全設備或安全組件進(jìn)行管控；對安全可信策略進(jìn)行統一設置；對設備等運行狀態(tài)進(jìn)行集中監測；對分散在各個(gè)設備上的審計數據進(jìn)行收集匯總和集中分析，對網(wǎng)絡(luò )中發(fā)生各類(lèi)安全事件進(jìn)行識別、告警和分析。

結合運行、管理、技術(shù)三個(gè)方面，建立起可管、可控、可信的工控安全運行管理體系，符合國能安全【2015】36號文、等級保護等合規要求，系統部署后不改變原有的網(wǎng)絡(luò )結構，不影響生產(chǎn)監控系統的正常運行及性能指標。

1.4方案建設依據

l 《中華人民共和國網(wǎng)絡(luò )安全法》

l (國能安全〔2015〕36號) 《電力監控系統安全防護總體方案》

l 工信部信軟〔2016〕338號《工業(yè)控制系統信息安全防護指南》

l GB/T 25070-2019 《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護安全設計技術(shù)要求》

l GB/T 22239-2019 《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護基本要求》

1.5方案建設原則

1.5.1縱深防御原則

全方位實(shí)現安全性，安全性設計從全方位、多層次加以考慮，來(lái)確實(shí)保證安全。在每個(gè)層級的系統安全防護設計、實(shí)施過(guò)程中，都建立對應的深度防御體系，整體上形成一個(gè)完備的立體防護體系，對計算環(huán)境、網(wǎng)絡(luò )邊界、通信網(wǎng)絡(luò )進(jìn)行全面防護并集中管理。

1.5.2主動(dòng)和被動(dòng)防御相結合的原則

主動(dòng)式安全主要是主動(dòng)對系統中的安全漏洞進(jìn)行檢測，以便及時(shí)的消除安全隱患；被動(dòng)式安全則主要是從被動(dòng)的實(shí)施安全策略，如防火墻措施、ACL 措施等等。只有主動(dòng)與被動(dòng)安全措施的完美結合，方能切實(shí)有效地實(shí)現安全性。方案采用可信計算等各種內生安全機制，進(jìn)行主動(dòng)防御，使得系統具備主動(dòng)免疫能力，從源頭上杜絕可能的威脅侵入。

1.5.3業(yè)務(wù)優(yōu)先原則

作為專(zhuān)用網(wǎng)絡(luò )內部的生產(chǎn)系統，其防護重點(diǎn)與傳統的信息系統有著(zhù)較大的不同，在工控系統防御體系建設過(guò)程中，充分考慮安全措施對業(yè)務(wù)本身的影響，方案設計和工程實(shí)施都要在保障業(yè)務(wù)持續性的前提下完成。必須緊密切合要進(jìn)行安全防護的實(shí)際對象來(lái)實(shí)施安全性，以免過(guò)于龐大冗雜的安全措施導致性能下降。所以要真正做到有的放矢、行之有效。許多應用數據具有時(shí)延的敏感性，所以不采用任何影響性能的安全措施。

1.5.4適度防御原則

在保障安全性的前提下必須充分考慮投資，將用戶(hù)的利益始終放在第一位。通過(guò)認真規劃安全性設計，認真選擇安全性產(chǎn)品，達到節約系統投資的目的。

1.5.5易于實(shí)施、管理與維護的原則

整套安全工程設計具有良好的可實(shí)施性與可管理性，同時(shí)還要具有良好的維護性。安全工程設計，必須具有良好的可伸縮性。整個(gè)安全系統必須留有接口，以適應將來(lái)工程規模拓展的需要。

2.方案詳細介紹

2.1方案總體設計

方案設計遵循GB/T 25070-2019《網(wǎng)絡(luò )安全等級保護安全設計技術(shù)要求》，以設計要求中提出的通用技術(shù)要求和工業(yè)控制系統保護安全技術(shù)設計框架為基礎，滿(mǎn)足工業(yè)控制系統等級保護安全技術(shù)設計構建在安全管理中心支持下的計算環(huán)境、區域邊界、通信網(wǎng)絡(luò )三重防御體系。

“一個(gè)中心三重防護”，就是針對安全管理中心和安全計算環(huán)境、安全區域邊界、安全通信網(wǎng)絡(luò )的安全合規進(jìn)行方案設計，建立以計算環(huán)境安全為基礎，以區域邊界安全、通信網(wǎng)絡(luò )安全為保障，以安全管理中心為核心的信息安全整體保障體系。和利時(shí)根據等保2.0要求，將可信計算3.0技術(shù)融入到安全防護方案中，形成基于安全可信的“一個(gè)中心、三重防護”體系，可以更有效地對工業(yè)控制系統網(wǎng)絡(luò )進(jìn)行安全防護。

a) 安全可信管理中心

根據等保2.0標準要求，需要通過(guò)安全管理中心對網(wǎng)絡(luò )運行狀態(tài)進(jìn)行集中運維監管，系統運行期間的安全相關(guān)事件也應該進(jìn)行集中審計分析，提升系統安全的管理水平。

安全可信管理平臺可以對全局網(wǎng)絡(luò )的安全可信策略進(jìn)行管理，可針對控制網(wǎng)內所有的業(yè)務(wù)節點(diǎn)（上下位機）、安全設備的系統日志、安全告警日志、以及業(yè)務(wù)日志進(jìn)行采集。通過(guò)分析控制設備和安全設備的告警日志，結合現場(chǎng)的實(shí)際業(yè)務(wù)數據推斷告警產(chǎn)生的原因，找到問(wèn)題產(chǎn)生的根源，有效指導現場(chǎng)解決實(shí)際的安全問(wèn)題，并指導現場(chǎng)運維人員對可能產(chǎn)生的風(fēng)險進(jìn)行預防。

b) 安全可信區域邊界

通過(guò)區域邊界訪(fǎng)問(wèn)控制、包過(guò)濾、安全隔離完整性保護的技術(shù)措施，，僅允許必要的網(wǎng)絡(luò )訪(fǎng)問(wèn)，拒絕非可信訪(fǎng)問(wèn)，構建系統安全安全區域邊界。

安全區域邊界的意義在于防止病毒、木馬、蠕蟲(chóng)等在網(wǎng)絡(luò )中不同安全區之間進(jìn)行傳播、擴散。因此，采用與實(shí)際業(yè)務(wù)結合的安全隔離手段——既滿(mǎn)足安全區域之間必要的業(yè)務(wù)數據交換，同時(shí)，防止惡意攻擊行為通過(guò)邊界攻擊其他安全區域，就需要安全隔離技術(shù)手段與實(shí)際業(yè)務(wù)相結合。

邊界安全產(chǎn)品支持Modbus_TCP、OPC、Siemens S7等業(yè)內主流通信協(xié)議，方案適合不同系統之間的邊界隔離，包括物理隔離和邏輯隔離，在安全隔離的基礎上保障各個(gè)區域之間的信息安全交換。

c) 安全可信計算環(huán)境

通過(guò)可信度量、身份認證、訪(fǎng)問(wèn)控制、數據保護等技術(shù)措施，建立安全可信計算環(huán)境，保證計算環(huán)境的安全。

當發(fā)生網(wǎng)絡(luò )安全攻擊事件時(shí)，例如勒索軟件（如2017年永恒之藍），挖礦病毒等安全問(wèn)題時(shí)，安全產(chǎn)品構建的安全可信計算環(huán)境可以有效防止該類(lèi)事件對現場(chǎng)的影響，防止電腦文件被加密，或者電腦中被植入挖礦程序，導致電腦資源耗盡卡頓。該功能已經(jīng)在多個(gè)用戶(hù)處得到實(shí)際驗證，解決現場(chǎng)的網(wǎng)絡(luò )安全問(wèn)題。

d) 安全可信通信網(wǎng)絡(luò )

對網(wǎng)絡(luò )環(huán)境中的網(wǎng)絡(luò )攻擊和異常行為進(jìn)行監視和審計，及時(shí)發(fā)現、并對入侵滲透、違規操作過(guò)程進(jìn)行記錄，及時(shí)告警與應急處理?？赏ㄟ^(guò)旁路部署網(wǎng)絡(luò )行為監測產(chǎn)品，實(shí)現對異常行為的監測審計，形成安全可信的通信網(wǎng)絡(luò )環(huán)境。

對通信數據，通過(guò)加密等方式，實(shí)現通信雙方的身份鑒別，并保證傳輸數據的完整性和機密性，比如對控制系統的關(guān)鍵數據如身份驗證數據等進(jìn)行通信加密，從而實(shí)現安全可信的通信鏈路。

和利時(shí)工業(yè)網(wǎng)絡(luò )安全防護建設體系如下圖所示。

圖 和利時(shí)工業(yè)網(wǎng)絡(luò )安全防護建設體系

2.2電廠(chǎng)網(wǎng)絡(luò )安全防護典型架構圖

本方案遵循 GB/T 25070-2019《網(wǎng)絡(luò )安全等級保護安全設計技術(shù)要求》，以設計要求中提出的工業(yè)控制系統保護安全技術(shù)設計框架為基礎，設計滿(mǎn)足工業(yè)控制系統等級保護安全，構建在安全管理中心支持下的計算環(huán)境、區域邊界、通信網(wǎng)絡(luò )三重防御體系，從邊界防護、終端防護、檢測審計、安全管理等角度實(shí)現全面的IoT安全防護。電廠(chǎng)網(wǎng)絡(luò )安全防護典型架構如下圖

圖 電廠(chǎng)網(wǎng)絡(luò )安全防護典型架構圖

防護方案：

1）邊界防護

對控制系統之間進(jìn)行信息傳輸實(shí)施安全策略，包括合理的網(wǎng)絡(luò )架構和分區、通信傳輸時(shí)的訪(fǎng)問(wèn)控制和數據安全等，通過(guò)安全可信工業(yè)防火墻和安全可信工業(yè)安全隔離與信息交換系統進(jìn)行網(wǎng)絡(luò )邊界的防護。其中，工業(yè)防火墻主要在控制網(wǎng)絡(luò )內部進(jìn)行分區分域安全管理與訪(fǎng)問(wèn)控制，基于邏輯隔離技術(shù)，通過(guò)包過(guò)濾、訪(fǎng)問(wèn)控制等一系列措施，在實(shí)現隔離防護的同時(shí)，可滿(mǎn)足不同安全區域之間的網(wǎng)絡(luò )訪(fǎng)問(wèn)需求，有效防止不同安全區內的威脅蔓延；工業(yè)安全隔離與信息交換系統主要實(shí)現內部網(wǎng)絡(luò )與外部網(wǎng)絡(luò )，即DCS控制網(wǎng)絡(luò )和SIS網(wǎng)絡(luò )之間的隔離和安全數據交換，有效防止管理網(wǎng)內的網(wǎng)絡(luò )威脅蔓延到生產(chǎn)監控網(wǎng)內，滿(mǎn)足合規要求。

2）終端防護

核心控制系統采用安全可信DCS，內部集成信息安全功能，支持與組態(tài)上位機的加密通信，同時(shí)協(xié)議棧經(jīng)過(guò)優(yōu)化后具備對DDoS攻擊、畸形報文攻擊和非法報文攻擊的網(wǎng)絡(luò )自抵御能力；控制系統采用可信計算3.0雙體系架構，支持全生命周期動(dòng)靜態(tài)可信度量，能夠實(shí)現對內核中可能存在的惡意代碼的加載和啟動(dòng)度量，系統實(shí)時(shí)運行過(guò)程中的系統和業(yè)務(wù)行為的度量，有效抑制內嵌惡意代碼和代碼篡改的風(fēng)險。

控制系統上位機加裝基于可信計算和主機白名單的可信終端防護系統實(shí)現終端的病毒和安全防護，進(jìn)行主機加固。系統通過(guò)可信度量、白名單防護、訪(fǎng)問(wèn)控制、外設管控、漏洞防御、網(wǎng)絡(luò )防護、資產(chǎn)管理、集中管理、資源監控、告警與安全審計等功能，提供對主機終端的有效保護，全面滿(mǎn)足標準規范要求。

3）檢測審計

在控制系統關(guān)鍵交換機旁路部署安全可信工業(yè)網(wǎng)絡(luò )檢測審計系統，對網(wǎng)絡(luò )流量進(jìn)行采集和分析，對通信報文進(jìn)行深度解析，能夠實(shí)時(shí)檢測針對工業(yè)協(xié)議的網(wǎng)絡(luò )攻擊、用戶(hù)誤操作、用戶(hù)違規操作、非法設備接入并實(shí)時(shí)報警，同時(shí)詳實(shí)記錄一切網(wǎng)絡(luò )通信行為，滿(mǎn)足網(wǎng)絡(luò )流量安全檢測預警和審計要求。同時(shí)可有效檢測網(wǎng)絡(luò )威脅和入侵行為，針對檢測到的威脅和入侵行為進(jìn)行記錄和告警，滿(mǎn)足合規和網(wǎng)絡(luò )邊界防范要求。

通過(guò)部署安全可信工業(yè)日志審計系統，實(shí)時(shí)收集電廠(chǎng)中的安全設備、網(wǎng)絡(luò )設備、主機設備的日志、警報等信息，支持收集、存儲、查詢(xún)、統計分析和關(guān)聯(lián)分析等功能，實(shí)現全網(wǎng)綜合安全審計。實(shí)時(shí)地對采集到的不同類(lèi)型的日志和事件信息進(jìn)行標準化（歸一化）和實(shí)時(shí)關(guān)聯(lián)分析。通過(guò)儀表板進(jìn)行實(shí)時(shí)動(dòng)態(tài)、可視化呈現。

4）安全管理

建設統一的工業(yè)安全可信管理平臺，對各類(lèi)IT和OT設備數據（工業(yè)網(wǎng)絡(luò )中各類(lèi)上位機服務(wù)器、工控終端、網(wǎng)絡(luò )交換設備、工控安全設備）進(jìn)行采集，含網(wǎng)絡(luò )流量數據采集、設備日志采集、安全設備事件收集、安全設備配置采集，進(jìn)行設備狀態(tài)監控、統一管理和配置、安全可信策略統一部署、安全事件的集中展示，依賴(lài)于工控知識庫的安全響應與處置，發(fā)現工控網(wǎng)絡(luò )內部的異常行為，平臺對各類(lèi)數據和時(shí)間進(jìn)行統一分析與展示。

應用效果：

本方案針對國內大型火電機組DCS控制系統面臨的網(wǎng)絡(luò )安全問(wèn)題，采用基于可信計算3.0技術(shù)的主動(dòng)安全防護方案，形成以控制系統內生安全為核心、配合邊界安全措施，滿(mǎn)足等級保護三級要求的信息安全防護體系。安全防護技術(shù)與電廠(chǎng)控制業(yè)務(wù)深度融合，和控制系統深度兼容，形成對控制邏輯和控制網(wǎng)絡(luò )數據有效監管和防護的一體化監測方案，助力電廠(chǎng)業(yè)務(wù)安全穩定運行。方案實(shí)現安全可信主動(dòng)防護體系在超超臨界1000MW火電機組的應用突破，具有技術(shù)創(chuàng )新性和很好的推廣價(jià)值。

本方案運用在國能神福（石獅）發(fā)電有限公司2×1050MW機組是國內技術(shù)水平領(lǐng)先的百萬(wàn)千瓦級超超臨界發(fā)電機組，是福建省“十一五”能源發(fā)展專(zhuān)項規劃和電力發(fā)展規劃確定的優(yōu)化發(fā)展煤電和熱電聯(lián)產(chǎn)大型電源點(diǎn)，是“神華電站數字化建設解決方案”的標桿項目。該廠(chǎng)采用國內技術(shù)領(lǐng)先、應用廣泛的和利時(shí)公司HOLLiAS-MACS 大型分布式控制系統，實(shí)現了DCS和DEH在百萬(wàn)千瓦級機組的一體化應用、實(shí)現了全廠(chǎng)智能儀表的現場(chǎng)總線(xiàn)互聯(lián)互通，在國內大型電廠(chǎng)具有典型代表意義。

3.創(chuàng )新性及推廣價(jià)值

3.1創(chuàng )新性

本方案結合基于可信計算的主動(dòng)防護與邊界防護構成內外貫穿的綜合防護體系，在滿(mǎn)足網(wǎng)絡(luò )安全等級保護2.0標準的同時(shí)，最大化提升工業(yè)控制系統的網(wǎng)絡(luò )安全防護能力，具備良好的技術(shù)創(chuàng )新和應用示范效應：

（1）基于可信計算的自主免疫內生安全體系

方案針對火電百萬(wàn)機組DCS系統安全防護全面應用了可信計算技術(shù)體系，打破傳統以邊界防護為主體的網(wǎng)絡(luò )安全防護理念，構建了基于控制系統本身的內生主動(dòng)防護體系。

在傳統信息防護手段基礎上，設計并應用了適用于工業(yè)控制場(chǎng)景的可信計算技術(shù)，通過(guò)控制系統可信計算體系，增強控制系統的內生安全防護能力。構建基于在可信計算安全策略的指導下，針對工業(yè)控制網(wǎng)絡(luò )的實(shí)時(shí)控制行為和業(yè)務(wù)流程作業(yè)，實(shí)現貫穿設計、運行、服務(wù)全生命周期的防御、檢測、響應、預測的主動(dòng)安全防御循環(huán)技術(shù)體系（TDDRP）。

（2）基于可信計算的控制安全一體化業(yè)務(wù)行為監測

在實(shí)際的工控環(huán)境中，通常缺乏針對工業(yè)控制系統的安全監測及配置變更管理，導致安全事故的分析難以進(jìn)行。目前國內工業(yè)控制系統，在應用系統層面的誤操作、違規操作或故意的破壞性操作成為面臨的主要安全風(fēng)險。本方案基于安全可信策略的應用，對生產(chǎn)網(wǎng)絡(luò )的訪(fǎng)問(wèn)行為、特定控制協(xié)議內容的真實(shí)性、完整性進(jìn)行監控、管理與審計。依托DCS廠(chǎng)家在工業(yè)控制系統專(zhuān)用網(wǎng)絡(luò )和通信的技術(shù)積累，將傳統邊界防護解決方案與控制系統網(wǎng)絡(luò )和數據特點(diǎn)有機融合，形成對控制邏輯和控制網(wǎng)絡(luò )數據有效監管和防護的一體化監測方案，實(shí)現安全中有控制、控制中有安全的突破性解決方案。

（3）基于可信計算的工控強制訪(fǎng)問(wèn)控制防護模型

針對工控系統的特殊性，傳統的信息防護手段不能完全滿(mǎn)足工業(yè)信息安全的需求。因此，在傳統邊界防護的信息防護手段基礎上，設計并應用了適用于工業(yè)控制場(chǎng)景的可信計算技術(shù)，通過(guò)控制系統內嵌可信計算體系，增強控制系統自身的防護能力，通過(guò)嵌入式防護技術(shù)的集成，控制系統能夠對啟動(dòng)態(tài)和運行態(tài)的惡意代碼和內核變化進(jìn)行主動(dòng)檢測和可信度量，進(jìn)一步發(fā)現存在的威脅和隱患。同時(shí)在可信計算技術(shù)的基礎上結合強制訪(fǎng)問(wèn)控制技術(shù)，對工控系統中操作系統和邏輯行為所涉及的關(guān)鍵主、客體增加安全標記，通過(guò)建立適用于工業(yè)控制邏輯業(yè)務(wù)需求的強制訪(fǎng)問(wèn)控制模型，保證控制過(guò)程中關(guān)鍵的訪(fǎng)問(wèn)行為均在可控范圍之內進(jìn)行。通過(guò)建立應用于工業(yè)場(chǎng)景的強制訪(fǎng)問(wèn)控制機制，有效避免越權操作，進(jìn)而保障控制系統的安全可控?？尚庞嬎愫蛷娭圃L(fǎng)問(wèn)控制的結合，使工業(yè)系統的信息安全防護不只是依賴(lài)外圍的邊界防護設備，當發(fā)生由內爆發(fā)的、或外部突破進(jìn)入的威脅時(shí)，控制系統有足夠的自?；驊獙δ芰?。

3.2推廣價(jià)值

方案在控制系統規模和復雜度上具備良好的示范效果，通過(guò)該項目的信息安全建設能實(shí)現以下目標：

（1）滿(mǎn)足等保2.0要求的大規模工業(yè)現場(chǎng)應用與方案推廣

通過(guò)選擇以大型分布式控制系統為核心中樞的百萬(wàn)千瓦級超超臨界火電機組開(kāi)展信息安全設計和實(shí)施，填補了新標準在實(shí)際工業(yè)領(lǐng)域工程項目應用的空白，通過(guò)該項目可對新標準技術(shù)要求進(jìn)行合理有效的驗證。該示范項目通過(guò)工業(yè)控制領(lǐng)域專(zhuān)家與安全測評領(lǐng)域專(zhuān)家的結合能夠進(jìn)一步完善等保2.0工業(yè)控制系統安全技術(shù)體系、管理體系和測評體系建設，對后續開(kāi)展全國范圍的工業(yè)控制領(lǐng)域網(wǎng)絡(luò )安全等級保護評估和建設具有良好的推廣和示范意義，能夠有力的推動(dòng)網(wǎng)絡(luò )安全等級保護2.0標準在工業(yè)領(lǐng)域的全面推廣和實(shí)行。

（2）基于可信計算的主動(dòng)防護技術(shù)在工控領(lǐng)域的應用推廣

方案采用基于可信計算的主動(dòng)防護與邊界防護有機結合的綜合防護技術(shù)體系，將可信計算技術(shù)集成到工業(yè)控制器中，使網(wǎng)絡(luò )安全能力相對脆弱的控制系統內部具備內生安全能力，同時(shí)通過(guò)對傳統的安全審計設備增加控制邏輯和業(yè)務(wù)行為審計的功能，進(jìn)而打破控制行為和網(wǎng)絡(luò )行為的防護壁壘，能夠實(shí)現對內部和外部不同層面爆發(fā)的網(wǎng)絡(luò )威脅的核心抵御能力。創(chuàng )新性的技術(shù)應用和防護體系建設帶來(lái)的良好防護能力將有助于為當前模糊的工業(yè)安全產(chǎn)品和技術(shù)發(fā)展方向提供正確指引，同時(shí)對完善和建設真正適用于工業(yè)控制系統的安全防護技術(shù)和產(chǎn)品體系形態(tài)能夠提供有力的工程應用支撐。

（3）結合流程行業(yè)共性特點(diǎn)的普適性應用模板

方案選取具備典型工業(yè)特點(diǎn)的百萬(wàn)千瓦級火電機組，同時(shí)全廠(chǎng)采用現場(chǎng)總線(xiàn)技術(shù)實(shí)現智能儀表互聯(lián)互通，具備流程行業(yè)工控系統的共性特點(diǎn)。

基于以上基礎設計和建設的工業(yè)信息安全解決方案，適用于工控現場(chǎng)同時(shí)覆蓋流程行業(yè)全工藝環(huán)節的綜合安全防護工程應用模板，解決了主動(dòng)安全技術(shù)與流程行業(yè)工控系統實(shí)施應用的適應性難題。

4.方案相關(guān)配圖

4.1網(wǎng)絡(luò )安全產(chǎn)品配圖

（1）HOLLiSec-GAP工業(yè)完全隔離與信息交換系統

（2）HOLLiSec-IFW工業(yè)防火墻系統

（3）HOLLiSec-SAS工業(yè)網(wǎng)絡(luò )安全審計系統

（4）HOLLiSec-IDS工業(yè)入侵檢測系統

（5）HOLLiSec-AGS終端安全防護系統

（6）HOLLiSec-LAS日志審計分析系統

（7）HOLLiSec-SMP工業(yè)網(wǎng)絡(luò )安全管理平臺

1.客戶(hù)價(jià)值

滿(mǎn)足國家標準《工業(yè)控制系統信息安全防護指南》和等級保護2.0等合規性要求，結合實(shí)際業(yè)務(wù)解決電力行業(yè)工控系統高風(fēng)險，為系統提供全方位的安全保障，通過(guò)主動(dòng)安全防御技術(shù)手段，降低安全運營(yíng)風(fēng)險。

2.經(jīng)濟效益

因工業(yè)信息安全事件造成嚴重損失的情況近年來(lái)已屢見(jiàn)不鮮，對于電廠(chǎng)DCS系統來(lái)說(shuō)，諸如網(wǎng)絡(luò )風(fēng)暴之類(lèi)的網(wǎng)絡(luò )攻擊可能致使現場(chǎng)通信中斷、控制設備死機等后果，從而進(jìn)一步導致整個(gè)機組停止運轉，生產(chǎn)運行過(guò)程中斷。而機組從停機到重新啟動(dòng)運行的過(guò)程，需花費大量的時(shí)間、人力和材料成本，對于百萬(wàn)機組來(lái)說(shuō)損失可達到數百萬(wàn)元，這還不包括如果設備損壞可能造成的損失。

通過(guò)基于可信計算技術(shù)的百萬(wàn)機組DCS系統信息安全技術(shù)研究并進(jìn)行應用，可對發(fā)電現場(chǎng)控制系統進(jìn)行全面有效的防護，防止系統受到病毒、木馬等各種形式的網(wǎng)絡(luò )攻擊，從而避免了因停產(chǎn)等原因造成的經(jīng)濟損失，每避免一次非計劃停機預計節約機組啟停費用約200萬(wàn)元。

3.社會(huì )效益

隨著(zhù)2019年等保2.0要求的發(fā)布，《信息安全技術(shù)關(guān)鍵信息基礎設施安全保護要求》標準近日的發(fā)布，這些標準對與電力行業(yè)的安全防護提出了更高的要求。本方案建設，可突破目前國產(chǎn)百萬(wàn)千瓦級火力發(fā)電廠(chǎng)基于可信計算技術(shù)按照等保2.0三級要求建設工業(yè)控制系統網(wǎng)絡(luò )信息安全的技術(shù)空白，從根源降低電網(wǎng)安全事件影響，為后續各電廠(chǎng)進(jìn)行信息安全建設提供技術(shù)指導，并可作為標桿為國內所有電廠(chǎng)在按照等級保護2.0要求建設監控系統安全制度、系統仿真和測試驗證、等級保護測評等方面提供成熟經(jīng)驗并在國內發(fā)電行業(yè)進(jìn)行推廣及應用。