★ 國能神福（石獅）發(fā)電有限公司 沈鐵志 

★ 寧波和利時(shí)信息安全研究院有限公司 穆雷霆

★ 國能神福（石獅）發(fā)電有限公司 吳炳輝，郭玉姬

1引言

2019年5月13日正式發(fā)布的網(wǎng)絡(luò )安全等級保護系列標準將工業(yè)控制系統正式納入安全擴展要求，并提出了嚴格的測評規范。工業(yè)控制系統廣泛應用于能源、交通、先進(jìn)制造、公用設施等國計民生相關(guān)的重要領(lǐng)域，自2010年伊朗“震網(wǎng)病毒”開(kāi)始，國際上已發(fā)生多起針對工業(yè)控制系統的網(wǎng)絡(luò )攻擊，而電力能源更是安全事件頻發(fā)的重災區。

在我國電力生產(chǎn)供應中，超超臨界1000MW級大型火電機組承擔了大部分職責，既是作為等保2.0三級系統，也是關(guān)系到國家戰略安全的關(guān)鍵基礎設施，無(wú)疑是工業(yè)控制系統安全建設的重點(diǎn)對象。在大型火電等工業(yè)設施中，大型分布式控制系統（DCS）作為保障其運行的核心管控系統，具有高可靠性、強實(shí)時(shí)性、控制邏輯復雜和大規模系統部署等典型特點(diǎn)，其安全防護建設尤具代表性。

工控系統與傳統信息系統相比，保護對象不同，防護側重點(diǎn)也不同，主要體現在：工業(yè)控制系統由于連續生產(chǎn)的要求，系統和軟件實(shí)時(shí)更新困難，傳統防病毒和檢測手段難以保障安全；工業(yè)協(xié)議私有化程度高，通用技術(shù)兼容性差，設計時(shí)大都未考慮安全特性；工業(yè)控制系統嵌入式計算環(huán)境實(shí)時(shí)性要求高，但資源極其有限，難以增加復雜的安全防護功能。由于以上在功能和需求上的顯著(zhù)差異，傳統的信息安全產(chǎn)品并不完全適用于工控系統，同時(shí)，我國工控安全建設目前仍呈現風(fēng)險意識薄弱、安全認知不足的局面，針對如何滿(mǎn)足等保2.0技術(shù)要求缺乏完善的設計思路和具備典型參考意義的工程案例。

本文基于國能神福（石獅）發(fā)電有限公司2×1050MW機組安全防護項目，介紹基于可信計算3.0技術(shù)的安全防護方案在火電超超臨界百萬(wàn)千瓦機組DCS的應用。該廠(chǎng)是國內技術(shù)水平領(lǐng)先的百萬(wàn)千瓦級超超臨界發(fā)電機組，是福建省“十一五”能源發(fā)展專(zhuān)項規劃和電力發(fā)展規劃確定的優(yōu)化發(fā)展煤電和熱電聯(lián)產(chǎn)大型電源點(diǎn)，是“神華電站數字化建設解決方案”的標桿項目。該廠(chǎng)采用國內技術(shù)領(lǐng)先、應用廣泛的和利時(shí)公司HOLLiAS-MACS大型分布式控制系統，實(shí)現了DCS和DEH在百萬(wàn)千瓦級機組的一體化應用、實(shí)現了全廠(chǎng)智能儀表的現場(chǎng)總線(xiàn)互聯(lián)互通，在國內大型電廠(chǎng)具有典型代表意義。

2火電百萬(wàn)千瓦機組DCS面臨的網(wǎng)絡(luò )風(fēng)險分析

國內大部分火電百萬(wàn)千瓦機組DCS控制系統，在建設時(shí)未考慮完善的網(wǎng)絡(luò )安全建設，未部署其他網(wǎng)絡(luò )安全系統及設備，不能滿(mǎn)足國家網(wǎng)絡(luò )安全、電網(wǎng)公司二次防護要求。DCS網(wǎng)絡(luò )及設備安全防護能力不足，對網(wǎng)絡(luò )邊界缺少入侵檢測手段，對網(wǎng)絡(luò )流量缺乏分析手段，采用通用操作系統安全漏洞多，電腦主機防護能力不足，缺少統一安全管理機制。全廠(chǎng)DCS網(wǎng)絡(luò )安全性較差，存在安全隱患，極易因外部攻擊、內部病毒入侵等造成分散控制系統故障、癱瘓等惡性事故。

隨著(zhù)火電機組DCS系統開(kāi)放性的增強，且電廠(chǎng)SIS系統、生產(chǎn)管理系統及第三方系統存在網(wǎng)絡(luò )通信邊界，一旦某個(gè)網(wǎng)絡(luò )被病毒感染，容易蔓延到DCS網(wǎng)絡(luò )，嚴重威脅系統運行的安全，由此帶來(lái)了病毒以及網(wǎng)絡(luò )攻擊擴散導致工控系統遭受影響的安全風(fēng)險。

在火電機組DCS控制系統中，大量使用的通信協(xié)議多為OPC、ModbusTCP等通用工控協(xié)議，以及各DCS廠(chǎng)家的私有工控協(xié)議，絕大多數工控協(xié)議在設計之初忽視了其安全設計，通訊雙方?jīng)]有有效的認證與保密機制，容易受到中間人的竊聽(tīng)和欺騙性攻擊，協(xié)議對畸形報文的識別能力弱，通信健壯性能力較弱。此外，現場(chǎng)未部署監測審計設備和安全管理設備，缺少對生產(chǎn)網(wǎng)絡(luò )的實(shí)時(shí)安全監控，無(wú)法及時(shí)發(fā)現系統中存在的異常流量和異常行為，也無(wú)法及時(shí)感知安全威脅并進(jìn)行告警。

火電機組DCS控制系統系統中上位機多采用如Windows或Linux等通用操作系統，存在較多安全漏洞，其中很多漏洞會(huì )被黑客利用，成為黑客攻擊的目標或跳板，工業(yè)領(lǐng)域軟/硬件更新、補丁升級、換代困難、漏洞不能得到及時(shí)修補且工控系統多存在防病毒系統缺失或更新不及時(shí)的問(wèn)題，容易造成木馬病毒泛濫。

另外作為火電機組DCS控制系統重要組成部分的控制站設備，多經(jīng)過(guò)裁剪的實(shí)時(shí)操作系統，近幾年披露的漏洞不斷增多，很多漏洞可以導致系統失去監控，對控制安全影響極大。如果不能對DCS控制器本身的安全性提供有效的保障措施，僅靠外圍的安全措施無(wú)法從根本上保證DCS控制系統的整體安全。

3工控安全發(fā)展趨勢與可信計算防護模型

3.1工控網(wǎng)絡(luò )安全發(fā)展趨勢

近幾年工業(yè)控制系統網(wǎng)絡(luò )安全事件的發(fā)生頻率在全球范圍內依然處于較高水平，能源、關(guān)鍵制造、公共健康、通信、政府設施、交通運輸等重要關(guān)鍵基礎設施工業(yè)控制系統依然是信息安全事件高發(fā)的幾個(gè)領(lǐng)域。網(wǎng)絡(luò )攻擊嚴重威脅到了工業(yè)運行安全、國民經(jīng)濟安全乃至國家戰略安全，對工業(yè)信息安全保障工作提出了新的任務(wù)和新的挑戰。

從工業(yè)控制系統安全防護手段來(lái)看，傳統的“封堵查殺”方式已經(jīng)過(guò)時(shí)，工控安全能力從“被動(dòng)防范”為主轉向“安全可信、主動(dòng)防御、威脅預知、融合各種信息快速檢測和響應能力”的構建，已經(jīng)成為當下工控網(wǎng)絡(luò )安全建設的共識。其中，可信計算技術(shù)已成為工業(yè)安全防護利器，通過(guò)可信計算為工業(yè)控制系統提供主動(dòng)免疫安全防護能力，形成內生安全機制，可有效抵抗來(lái)自系統內外部的網(wǎng)絡(luò )攻擊。

3.2基于可信計算的網(wǎng)絡(luò )安全防護模型

可信計算是指計算的同時(shí)進(jìn)行安全防護，計算全程可測可控、不被干擾，使計算結果總是與預期一致?？尚庞嬎闶且环N特有的基于整體安全思想的主動(dòng)防御技術(shù)，隨著(zhù)網(wǎng)絡(luò )空間安全技術(shù)變革而不斷地創(chuàng )新發(fā)展，其引領(lǐng)的整體安全架構、主動(dòng)免疫安全體系已經(jīng)成為網(wǎng)絡(luò )空間安全技術(shù)拼圖中不可或缺的一環(huán)?？尚庞嬎銓⒁詣?chuàng )新理論與技術(shù)同計算機體系結構、操作系統安全、可信軟件深度融合，構建更加有效、更加靈活的安全防護體系。

可信計算3.0提出了全新的可信計算體系框架，在網(wǎng)絡(luò )層面解決可信問(wèn)題。在計算節點(diǎn)構建一個(gè)“宿主——可信雙節點(diǎn)”的可信免疫架構，通過(guò)這種雙體系架的模式實(shí)現可信機制，相當于為各種安全機制提供一個(gè)統一的、通用的可信平臺。這一平臺為系統中的安全機制提供了一個(gè)共同的基礎，給安全機制提供統一的可信保障，同時(shí)也為各種安全機制動(dòng)態(tài)連接、構成縱深防御安全體系提供了支持。

在工控領(lǐng)域的可信應用方面，國內主流控制系統廠(chǎng)商如和利時(shí)已推出安全可信DCS控制系統，實(shí)現可信計算技術(shù)在工業(yè)嵌入式領(lǐng)域的創(chuàng )新突破。安全可信DCS控制系統融合嵌入式可信計算、數字證書(shū)體系、深度協(xié)議控制等先進(jìn)技術(shù)，采用雙體系嵌入式架構，以可信加密芯片為基礎，實(shí)現了從可信根到上層應用的完整性度量，包括靜態(tài)度量和動(dòng)態(tài)度量，具備對內核、應用、數據、工業(yè)業(yè)務(wù)行為的度量控制和檢測審計能力。

隨著(zhù)技術(shù)和生態(tài)的進(jìn)一步成熟，可信計算技術(shù)在工業(yè)安全防護領(lǐng)域的應用將會(huì )由點(diǎn)到面鋪開(kāi)，更加廣泛和普遍。

4基于可信計算的火電機組DCS系統安全防護方案

國能神福（石獅）發(fā)電有限公司2×1050MW機組DCS以控制系統內生安全為核心、配合邊界安全措施，形成滿(mǎn)足等保2.0三級要求的信息安全防護完整體系。

核心控制系統采用安全可信DCS，內部集成信息安全功能，支持與組態(tài)上位機的加密通信，協(xié)議棧經(jīng)過(guò)優(yōu)化后具備對DDoS攻擊、畸形報文攻擊和非法報文攻擊的網(wǎng)絡(luò )自抵御能力；控制系統及上位機終端支持基于可信計算的可信度量，能夠實(shí)現對內核中可能存在的惡意代碼的加載和啟動(dòng)度量，有效抑制內嵌惡意代碼和代碼篡改的風(fēng)險。同時(shí)，采用集成網(wǎng)絡(luò )通信行為審計和控制邏輯業(yè)務(wù)行為審計的工業(yè)審計系統對控制系統內部威脅進(jìn)行監測。

邊界安全措施采用工業(yè)隔離設備、工業(yè)入侵檢測系統、工業(yè)交換機等防護設備抵御由外部發(fā)起的網(wǎng)絡(luò )攻擊。

通過(guò)區域邊界訪(fǎng)問(wèn)控制、包過(guò)濾、安全數據擺渡、接入控制等技術(shù)措施，僅允許必要的可信網(wǎng)絡(luò )訪(fǎng)問(wèn)，拒絕非可信訪(fǎng)問(wèn)，構建DCS系統與SIS系統之間以及DCS內部區域之間的安全可信區域邊界。

對網(wǎng)絡(luò )環(huán)境中的網(wǎng)絡(luò )攻擊和異常行為進(jìn)行監視和審計，發(fā)現并記錄入侵滲透、違規操作過(guò)程，及時(shí)告警與應急處理，形成安全可信的通信網(wǎng)絡(luò )環(huán)境；對通信數據通過(guò)加密等方式，實(shí)現通信雙方的身份鑒別，并保證傳輸數據的完整性和機密性，從而實(shí)現安全可信的通信鏈路。

通過(guò)可信度量、身份認證、訪(fǎng)問(wèn)控制、數據保護等技術(shù)措施，建立安全可信計算環(huán)境，保證DCS系統計算環(huán)境的安全。通過(guò)在控制系統上位機加裝基于可信計算和主機白名單的可信終端防護系統對主機終端進(jìn)行安全加固，實(shí)現終端的病毒和安全防護?？刂破鞑捎每尚臘CS，內部集成信息安全功能和可信計算能力。

建立安全可信管理中心，通過(guò)部署工業(yè)安全可信管理平臺，實(shí)現工業(yè)安全信息的集中采集、存儲、展示、分析、預警，全局安全可信策略的統一配置、下發(fā)和管理以及安全設備的統一管控。

5安全方案創(chuàng )新性

本項目方案結合基于可信計算的主動(dòng)防護與邊界防護構成內外貫穿的綜合防護體系，在滿(mǎn)足網(wǎng)絡(luò )安全等級保護2.0標準的同時(shí)，最大化提升工業(yè)控制系統的網(wǎng)絡(luò )安全防護能力，具備良好的技術(shù)創(chuàng )新和應用示范效應。

（1）基于可信計算的自主免疫內生安全體系方案

針對火電百萬(wàn)機組DCS系統安全防護全面應用了可信計算技術(shù)體系，打破傳統以邊界防護為主體的網(wǎng)絡(luò )安全防護理念，構建了基于控制系統本身的內生主動(dòng)防護體系。

在傳統信息防護手段基礎上，設計并應用了適用于工業(yè)控制場(chǎng)景的可信計算技術(shù)，通過(guò)控制系統可信計算體系，增強控制系統的內生安全防護能力。構建基于在可信計算安全策略的指導下，針對工業(yè)控制網(wǎng)絡(luò )的實(shí)時(shí)控制行為和業(yè)務(wù)流程作業(yè)，實(shí)現貫穿設計、運行、服務(wù)全生命周期的防御、檢測、響應、預測的主動(dòng)安全防御循環(huán)技術(shù)體系（TDDRP）。

（2）基于可信計算的控制安全一體化業(yè)務(wù)行為監測

在實(shí)際的工控環(huán)境中，通常缺乏針對工業(yè)控制系統的安全監測及配置變更管理，導致安全事故的分析難以進(jìn)行。目前國內工業(yè)控制系統，在應用系統層面的誤操作、違規操作或故意的破壞性操作成為主要安全風(fēng)險。本方案基于安全可信策略的應用，對生產(chǎn)網(wǎng)絡(luò )的訪(fǎng)問(wèn)行為、特定控制協(xié)議內容的真實(shí)性、完整性進(jìn)行監控、管理與審計。依托DCS廠(chǎng)家在工業(yè)控制系統專(zhuān)用網(wǎng)絡(luò )和通信的技術(shù)積累，將傳統邊界防護解決方案與控制系統網(wǎng)絡(luò )和數據特點(diǎn)有機融合，形成對控制邏輯和控制網(wǎng)絡(luò )數據有效監管和防護的一體化監測方案，實(shí)現安全中有控制、控制中有安全。

（3）基于可信計算的工控強制訪(fǎng)問(wèn)控制防護模型

針對工控系統的特殊性，傳統的信息防護手段不能完全滿(mǎn)足工業(yè)信息安全的需求。因此，在傳統邊界防護的信息防護手段基礎上，設計并應用了適用于工業(yè)控制場(chǎng)景的可信計算技術(shù)，通過(guò)控制系統內嵌可信計算體系，增強控制系統自身的防護能力，通過(guò)嵌入式防護技術(shù)的集成，控制系統能夠對啟動(dòng)態(tài)和運行態(tài)的惡意代碼和內核變化進(jìn)行主動(dòng)檢測和可信度量，進(jìn)一步發(fā)現存在的威脅和隱患。同時(shí)在可信計算技術(shù)的基礎上結合強制訪(fǎng)問(wèn)控制技術(shù)，對工控系統中操作系統和邏輯行為所涉及的關(guān)鍵主、客體增加安全標記，通過(guò)建立適用于工業(yè)控制邏輯業(yè)務(wù)需求的強制訪(fǎng)問(wèn)控制模型，保證控制過(guò)程中關(guān)鍵的訪(fǎng)問(wèn)行為均在可控范圍之內進(jìn)行。通過(guò)建立應用于工業(yè)場(chǎng)景的強制訪(fǎng)問(wèn)控制機制，有效避免越權操作，進(jìn)而保障控制系統的安全可控?？尚庞嬎愫蛷娭圃L(fǎng)問(wèn)控制的結合，使工業(yè)系統的信息安全防護不只是依賴(lài)外圍的邊界防護設備，當發(fā)生由內爆發(fā)的、或外部突破進(jìn)入的威脅時(shí)，控制系統有足夠的自?；驊獙δ芰?。

6方案推廣價(jià)值

項目方案在控制系統規模和復雜度上具備良好的示范效果，通過(guò)該項目的信息安全建設能實(shí)現以下目標：

（1）滿(mǎn)足等保2.0要求的大規模工業(yè)現場(chǎng)應用與方案推廣

通過(guò)選擇以大型分布式控制系統為核心中樞的百萬(wàn)千瓦級超超臨界火電機組開(kāi)展信息安全設計和實(shí)施，填補了新標準在實(shí)際工業(yè)領(lǐng)域工程項目應用的空白，通過(guò)該項目可對新標準技術(shù)要求進(jìn)行合理有效的驗證。該示范項目通過(guò)工業(yè)控制領(lǐng)域專(zhuān)家與安全測評領(lǐng)域專(zhuān)家的結合能夠進(jìn)一步完善等保2.0工業(yè)控制系統安全技術(shù)體系、管理體系和測評體系建設，對后續開(kāi)展全國范圍的工業(yè)控制領(lǐng)域網(wǎng)絡(luò )安全等級保護評估和建設具有良好的推廣和示范意義，能夠有力地推動(dòng)網(wǎng)絡(luò )安全等級保護2.0標準在工業(yè)領(lǐng)域的全面推廣和實(shí)行。

（2）基于可信計算的主動(dòng)防護技術(shù)在工控領(lǐng)域的應用推廣

示范項目采用基于可信計算的主動(dòng)防護與邊界防護有機結合的綜合防護技術(shù)體系，將可信計算技術(shù)集成到工業(yè)控制器中，使網(wǎng)絡(luò )安全能力相對脆弱的控制系統內部具備內生安全能力，同時(shí)對傳統的安全審計設備增加控制邏輯和業(yè)務(wù)行為審計的功能，進(jìn)而打破控制行為和網(wǎng)絡(luò )行為的防護壁壘，能夠實(shí)現對內部和外部不同層面爆發(fā)的網(wǎng)絡(luò )威脅的核心抵御能力。創(chuàng )新性的技術(shù)應用和防護體系建設帶來(lái)的良好防護能力將有助于為當前模糊的工業(yè)安全產(chǎn)品和技術(shù)發(fā)展方向提供正確指引，同時(shí)對完善和建設真正適用于工業(yè)控制系統的安全防護技術(shù)和產(chǎn)品體系形態(tài)能夠提供有力的工程應用支撐。

（3）結合流程行業(yè)共性特點(diǎn)的普適性應用模板

示范項目選取具備典型工業(yè)特點(diǎn)的百萬(wàn)千瓦級火電機組，同時(shí)全廠(chǎng)采用現場(chǎng)總線(xiàn)技術(shù)實(shí)現智能儀表互聯(lián)互通，具備流程行業(yè)工控系統的共性特點(diǎn)。

基于以上基礎設計和建設的工業(yè)信息安全解決方案，適用于工控現場(chǎng)同時(shí)覆蓋流程行業(yè)全工藝環(huán)節的綜合安全防護工程應用模板，解決了主動(dòng)安全技術(shù)與流程行業(yè)工控系統實(shí)施應用的適應性難題。

作者簡(jiǎn)介：

沈鐵志（1975-），男，黑龍江哈爾濱人，高級工程師，碩士，現就職于國能神福（石獅）發(fā)電有限公司，研究方向為自動(dòng)化。

穆雷霆（1981-），男，安徽宿州人，工程師，碩士，現就職于寧波和利時(shí)信息安全研究院有限公司，研究方向為工業(yè)自動(dòng)化與網(wǎng)絡(luò )安全。

吳炳輝（1987-），男，福建莆田人，工程師，學(xué)士，現就職于國能神福（石獅）發(fā)電有限公司，研究方向為通信工程。

郭玉姬（1990-），女，湖南益陽(yáng)人，工程師，學(xué)士，現就職于國能神福（石獅）發(fā)電有限公司，研究方向為自動(dòng)化。

摘自《自動(dòng)化博覽》2022年8月刊