1　項目簡(jiǎn)介

華能玉環(huán)電廠(chǎng)工控安全防護項目旨在以健全電力行業(yè)網(wǎng)絡(luò )安全管理體系，提高預警監測和防護能力為重點(diǎn)，通過(guò)統一的頂層設計，在電力行業(yè)生產(chǎn)和管理兩個(gè)大區開(kāi)展試點(diǎn)示范，實(shí)現網(wǎng)絡(luò )安全核心技術(shù)裝備安全可控，提升工控安全管理水平，杜絕重大災難性工控安全事件。北京天地和興科技有限公司全程參與該項目，包括政策解讀、風(fēng)險評估、方案制定、產(chǎn)品試驗、基層調研與可研、項目實(shí)施在內的各項工作并受到高度認可。

2　項目實(shí)施

通過(guò)對華能玉環(huán)電廠(chǎng)現場(chǎng)勘查，初步掌握了電廠(chǎng)工控系統網(wǎng)絡(luò )安全的實(shí)際情況，結合發(fā)改委、國家能源局和華能集團針對電力工控系統安全防護的具體要求，制定項目架構圖，如圖1所示。

圖1 項目架構圖

本項目采用三層螺旋上升式架構，以各項政策文件為依托，搭建中層功能模塊，各功能模塊互相作用，實(shí)現以生產(chǎn)系統網(wǎng)絡(luò )安全防護為中心的安全機制，在空間域方面，借鑒了縱深防御的思想，形成一套縱深監測架構，包括：邊界監測、區域監測、節點(diǎn)監測、核心監測、整體監測五個(gè)方面。在時(shí)間域方面，設計了評估、防護、偵測、響應、恢復、決策六大過(guò)程，通過(guò)持續實(shí)施六大過(guò)程監測來(lái)積極響應工控網(wǎng)絡(luò )風(fēng)險變化，促進(jìn)工控網(wǎng)絡(luò )整體安全的螺旋式上升。本項目不僅僅是華能集團工控信息安全防護改造試點(diǎn)（暨國家發(fā)改委工控信息安全改造示范項目），更是為發(fā)電企業(yè)的網(wǎng)絡(luò )安全防護做出了技術(shù)示范作用，切實(shí)保證了發(fā)電企業(yè)工業(yè)控制系統免受病毒、惡意代碼等威脅，保持工控系統安全穩定運行。具體防護內容如下：

2.1　工控安全審計

通過(guò)工控安全審計平臺，可以將采集到的網(wǎng)絡(luò )流量信息、人員操作信息、異常告警信息進(jìn)行統一收集和整理分析,實(shí)現網(wǎng)絡(luò )環(huán)境管理、異常行為監測、網(wǎng)絡(luò )事件處置和輔助分析等防護內容。

2.2　主機安全防護

通過(guò)黑白名單技術(shù)，對于操作系統中安裝的工控組態(tài)監控軟件的應用程序進(jìn)行白名單注冊、登記和標識，對于修改文件內容和應用進(jìn)程的行為進(jìn)行實(shí)時(shí)攔截和審計。

2.3　工控安全監管與分析

通過(guò)工控信息安全監管與分析平臺將電廠(chǎng)內所有工控安全設備采集到的網(wǎng)絡(luò )流量信息、異常告警信息進(jìn)行統一收集和整理分析，進(jìn)而掌握整個(gè)電廠(chǎng)工控系統中存在的安全隱患和風(fēng)險，結合對安全告警事件的分析，自動(dòng)生成符合當前安全需要的安全防護策略建議。

2.4　區域安全隔離防護

電廠(chǎng)生產(chǎn)控制內部部署工控防火墻，能夠深度解析工業(yè)通信協(xié)議，并且對于滲透攻擊進(jìn)行實(shí)時(shí)攔截和告警，避免工控異常操作和數據被惡意篡改等攻擊行為。

2.5　操作及運維安全審計

依靠工控安全審計系統的網(wǎng)絡(luò )審計功能對整個(gè)電力生產(chǎn)監控系統進(jìn)行操作行為的監控與審計，記錄操作行為，便于事件追溯。

3　項目?jì)r(jià)值

3.1　項目推廣性?xún)r(jià)值

（1）提高電廠(chǎng)控制系統的信息安全防護能力，依據項目實(shí)施情況建立一整套技術(shù)標準和規范，促進(jìn)項目成果在全國發(fā)電廠(chǎng)廣泛應用。

本項目應用了基于工業(yè)控制系統的防護手段，構建了以安全可控為目標、監控審計為特征的電廠(chǎng)控制系統新一代主動(dòng)防御體系，提高工控系統整體安全性。

（2） 促進(jìn)項目成果在電力系統中的推廣應用。

本項目采用基于白名單機制的安全防護技術(shù)及產(chǎn)品來(lái)設計構建安全防護體系，借助工業(yè)控制協(xié)議的深度解析與人工智能學(xué)習技術(shù)的應用，使安全防護產(chǎn)品具有基于行為的主動(dòng)防御能力。項目成果具有很強的推廣價(jià)值，適合推廣應用。

3.2　項目示范性?xún)r(jià)值

（1）形成電力行業(yè)高安全等級的生產(chǎn)控制安全防護典型示范。

本項目實(shí)施的具有免疫特征的安全防護體系、機制和關(guān)鍵技術(shù)，不僅可應用于電廠(chǎng)生產(chǎn)控制系統，同時(shí)可應用并廣泛部署在發(fā)電集團工業(yè)控制系統，有助于提高電力行業(yè)整體的信息安全水平。

（2）提升電力行業(yè)等級保護。

項目設計參照國家等級保護相關(guān)規范要求,建設后將達到電力行業(yè)等級保護的相關(guān)要求,配合發(fā)電廠(chǎng)安全管理體系的規范化建設,技防配合人防促進(jìn)國家等級保護對工業(yè)控制系統網(wǎng)絡(luò )安全合規性,為發(fā)電廠(chǎng)工業(yè)控制系統安全保駕護航。

精彩觀(guān)點(diǎn)

北京天地和興科技有限公司產(chǎn)品部總經(jīng)理趙文波

自動(dòng)化博覽：天地和興的工業(yè)安全產(chǎn)品有哪幾類(lèi)？主要應用在哪些行業(yè)？

趙文波：主要分為檢測類(lèi)（工控威脅檢測系統、入侵檢測系統、工控安全審計平臺、工控安全檢查工具等）、防護類(lèi)（主機安全防護系統、工控防火墻、安全隔離與信息交換系統等）、管理類(lèi)（帳號管理及運維審計系統、工控信息安全監管與分析平臺等），主要應用在電力、軌道交通、石油石化、鋼鐵冶金、智能制造、煙草、水利、城市供水供氣供熱以及其他與國計民生緊密相關(guān)的國家關(guān)鍵基礎設施。

當前，天地和興工業(yè)安全產(chǎn)品已規模使用在電力、石油石化、軌道交通、鋼鐵冶金等行業(yè)，如華能玉環(huán)電廠(chǎng)工控安全防護項目-發(fā)改委示范項目、國電廊坊電廠(chǎng)工控安全防護項目國家能源集團智慧電廠(chǎng)示范項目等。

自動(dòng)化博覽：天地和興在工業(yè)安全市場(chǎng)中的核心競爭優(yōu)勢是什么？

趙文波：（1）可為用戶(hù)提供一站式解決方案，從技術(shù)方面和管理方面來(lái)滿(mǎn)足相關(guān)政策和檢查的要求。

（2）是國內一家擁有4年以上的工業(yè)控制系統生產(chǎn)控制大區信息安全防護運行業(yè)績(jì)的企業(yè)，業(yè)績(jì)覆蓋全國29個(gè)省級行政區。在整個(gè)工控安全市場(chǎng)中，用戶(hù)數量最多，產(chǎn)品運行時(shí)間最長(cháng)。

（3）突破傳統信息安全產(chǎn)品應用的局限，將信息安全產(chǎn)品與工業(yè)生產(chǎn)系統緊密結合，使之成為生產(chǎn)系統閉環(huán)的一部分，并與國內外自動(dòng)化廠(chǎng)商建立戰略合作伙伴關(guān)系。

（4）國家能源局工控安全示范工程方案編寫(xiě)及實(shí)施企業(yè)；起草多項工業(yè)控制系統信息安全產(chǎn)品國家標準，主導編寫(xiě)電力工控信息安全行業(yè)標準。

（5）與華北電力大學(xué)、浙江大學(xué)等國家高等科研院校共同建立工控安全實(shí)驗室，研發(fā)自主可控的工控安全產(chǎn)品及大數據應用，推動(dòng)工控安全“產(chǎn)學(xué)研用”機制，培養工控安全領(lǐng)域專(zhuān)業(yè)人才及隊伍。

自動(dòng)化博覽：近年來(lái)，天地和興在工業(yè)安全方面的技術(shù)創(chuàng )新有哪些？

趙文波：（1）工業(yè)級操作系統內核PanguOS研發(fā)；

（2）高性能報文轉發(fā)引擎技術(shù)；

（3）工業(yè)私有協(xié)議逆向技術(shù)；

（4）基于流量基線(xiàn)的自學(xué)習技術(shù)；

（5）基于MiniFilter技術(shù)的主機安全白名單技術(shù)；

（6）基于機器學(xué)習的白名單自學(xué)習技術(shù)；

（7）工業(yè)協(xié)議細粒度審計與防護技術(shù)。

自動(dòng)化博覽：在實(shí)現工業(yè)安全的過(guò)程中，最大的問(wèn)題莫過(guò)于人為因素，天地和興在此方面有何對策？用哪種方式幫助客戶(hù)減少這方面的隱患？

趙文波：根據工業(yè)場(chǎng)景實(shí)際特點(diǎn)，目前工控安全中防內的確大于防外，內部的人員因素主要包括人員誤操作和人員惡意破壞，天地和興的工控安全審計平臺、工控防火墻等產(chǎn)品均可以發(fā)現異于尋常的網(wǎng)絡(luò )流量，其中就包括誤操作和惡意破壞；另外，天地和興的工控安全檢查工具可從合規角度，幫助客戶(hù)定期檢查各方面的安全合規情況，可以更好地約束人員操作的安全性。

摘自《自動(dòng)化博覽》2019年2月刊