★ 周盛杭州和利時自動化有限公司

★ 呂世民寧波和利時信息安全研究院有限公司

★ 田志宏廣州大學(xué)網(wǎng)絡(luò)空間安全學(xué)院

1 項目概況

1.1 項目背景

國能神福（石獅）發(fā)電有限公司2×1050MW機組是國內(nèi)技術(shù)水平領(lǐng)先的百萬千瓦級超超臨界發(fā)電機組，是福建省“十一五”能源發(fā)展專項規(guī)劃和電力發(fā)展規(guī)劃確定的優(yōu)化發(fā)展煤電和熱電聯(lián)產(chǎn)大型電源點，是“神華電站數(shù)字化建設(shè)解決方案”的標(biāo)桿項目。該廠采用和利時公司HOLLiAS-MACS大型分布式控制系統(tǒng)，實現(xiàn)了DCS和DEH在百萬千瓦級機組的一體化應(yīng)用，實現(xiàn)了全廠智能儀表的現(xiàn)場總線互聯(lián)互通，在國內(nèi)大型電廠具有典型代表意義。但由于機組在初始建設(shè)時未考慮完善網(wǎng)絡(luò)安全設(shè)計，未部署其他網(wǎng)絡(luò)安全系統(tǒng)及設(shè)備，不能滿足國家網(wǎng)絡(luò)安全和電網(wǎng)公司二次防護要求。因此，需要加強機組的網(wǎng)絡(luò)安全防護建設(shè)，滿足等保合規(guī)等需求。

1.2 項目簡介

國能神福（石獅）發(fā)電有限公司2×1050MW機組安全防護項目基于國能神福（石獅）發(fā)電有限公司2×1050MW機組，實現(xiàn)基于可信計算3.0技術(shù)的安全防護方案在火電超超臨界百萬千瓦機組DCS的應(yīng)用。該項目致力于突破工控系統(tǒng)的安全保護關(guān)鍵技術(shù)，構(gòu)建系統(tǒng)可信環(huán)境，設(shè)計一體化主動防御體系，研發(fā)關(guān)鍵內(nèi)生安全工控系統(tǒng)和工控安全防護產(chǎn)品，并應(yīng)用在鴻山電廠百萬千瓦機組國產(chǎn)DCS系統(tǒng)安全防護中。

本項目按照“需求分析-研究開發(fā)-設(shè)計實施-系統(tǒng)運行-安全服務(wù)”的階段開展研究工作，通過分析工控系統(tǒng)面臨的安全風(fēng)險及安全需求，圍繞“識別—保護—檢測—響應(yīng)”防護閉環(huán)，研究工控系統(tǒng)可信環(huán)境構(gòu)建機制、業(yè)務(wù)和安全相融合的檢測審計和訪問控制等技術(shù)，在此基礎(chǔ)上實現(xiàn)基于可信計算技術(shù)、實時保障控制行為安全和業(yè)務(wù)流程作業(yè)安全的主動防御安全產(chǎn)品和控制系統(tǒng)。基于等保2.0三級要求構(gòu)建縱深防御體系并在百萬千瓦機組國產(chǎn)DCS系統(tǒng)中實施，并進行持續(xù)的安全運行、管理和維護。

1.3 項目目標(biāo)

為解決電力行業(yè)內(nèi)工業(yè)安全防護的難題，同時解決神華福能發(fā)電有限責(zé)任公司現(xiàn)有安全防護能力不足的問題，建設(shè)基于可信計算環(huán)境的網(wǎng)絡(luò)安全系統(tǒng)及機制，本項目進行基于可信計算的百萬機組國產(chǎn)DCS系統(tǒng)信息安全技術(shù)研究，并對神華福能發(fā)電有限責(zé)任公司現(xiàn)有DCS網(wǎng)絡(luò)結(jié)構(gòu)進行相關(guān)調(diào)整優(yōu)化，部署網(wǎng)絡(luò)安全監(jiān)控管理設(shè)備，使其全面滿足GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》等規(guī)范的要求。

2 項目實施

2.1 技術(shù)路線

本項目技術(shù)路線以常規(guī)防護如邊界防護、入侵檢測、安全審計等外圍防護為基礎(chǔ)，結(jié)合基于可信計算的主動防護技術(shù)，構(gòu)建內(nèi)生安全的縱深綜合防護體系。將可信計算、數(shù)字證書體系、強制訪問控制、深度協(xié)議解析、業(yè)務(wù)行為審計等安全技術(shù)融入工業(yè)控制系統(tǒng)，并結(jié)合終端防護和核心控制器防護為工業(yè)控制系統(tǒng)運行提供安全保障。項目安全防護建設(shè)整體技術(shù)路線如圖1所示。

圖1 項目安全防護建設(shè)整體技術(shù)路線

2.2 防護方案

安全防護方案遵循GB/T25070-2019《網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求》，以設(shè)計要求中提出的工業(yè)控制系統(tǒng)保護安全技術(shù)設(shè)計框架為基礎(chǔ)，設(shè)計滿足工業(yè)控制系統(tǒng)等級保護安全，構(gòu)建在安全管理中心支持下的計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防御體系，從邊界防護、終端防護、檢測審計、安全管理等角度實現(xiàn)全面的IoT安全防護。

（1）邊界防護

對控制系統(tǒng)之間進行信息傳輸實施安全策略，包括合理的網(wǎng)絡(luò)架構(gòu)和分區(qū)、通信傳輸時的訪問控制和數(shù)據(jù)安全等，通過安全可信工業(yè)防火墻和安全可信工業(yè)安全隔離與信息交換系統(tǒng)進行網(wǎng)絡(luò)邊界的防護。

其中，工業(yè)防火墻主要在控制網(wǎng)絡(luò)內(nèi)部進行分區(qū)分域安全管理與訪問控制，基于邏輯隔離技術(shù)，通過包過濾、訪問控制等一系列措施，在實現(xiàn)隔離防護的同時，可滿足不同安全區(qū)域之間的網(wǎng)絡(luò)訪問需求，有效防止不同安全區(qū)內(nèi)的威脅蔓延；工業(yè)安全隔離與信息交換系統(tǒng)主要實現(xiàn)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)，即DCS控制網(wǎng)絡(luò)和SIS網(wǎng)絡(luò)之間的隔離和安全數(shù)據(jù)交換，有效防止管理網(wǎng)內(nèi)的網(wǎng)絡(luò)威脅蔓延到生產(chǎn)監(jiān)控網(wǎng)內(nèi)，滿足合規(guī)要求。

（2）終端防護

核心控制系統(tǒng)采用安全可信DCS，內(nèi)部集成信息安全功能，支持與組態(tài)上位機的加密通信，同時協(xié)議棧經(jīng)過優(yōu)化后具備對DDoS攻擊、畸形報文攻擊和非法報文攻擊的網(wǎng)絡(luò)自抵御能力；控制系統(tǒng)采用可信計算3.0雙體系架構(gòu)，支持全生命周期動靜態(tài)可信度量，能夠?qū)崿F(xiàn)對內(nèi)核中可能存在的惡意代碼的加載和啟動度量，以及對系統(tǒng)實時運行過程中的系統(tǒng)和業(yè)務(wù)行為的度量，有效抑制內(nèi)嵌惡意代碼和代碼篡改的風(fēng)險。

控制系統(tǒng)上位機加裝基于可信計算和主機白名單的可信終端防護系統(tǒng)實現(xiàn)終端的病毒和安全防護，進行主機加固。系統(tǒng)通過可信度量、白名單防護、訪問控制、外設(shè)管控、漏洞防御、網(wǎng)絡(luò)防護、資產(chǎn)管理、集中管理、資源監(jiān)控、告警與安全審計等功能，提供對主機終端的有效保護，全面滿足標(biāo)準(zhǔn)規(guī)范要求。

（3）檢測審計

在控制系統(tǒng)關(guān)鍵交換機旁路部署安全可信工業(yè)網(wǎng)絡(luò)檢測審計系統(tǒng)，對網(wǎng)絡(luò)流量進行采集和分析，對通信報文進行深度解析，能夠?qū)崟r檢測針對工業(yè)協(xié)議的網(wǎng)絡(luò)攻擊、用戶誤操作、用戶違規(guī)操作及非法設(shè)備接入并實時報警；同時詳實記錄一切網(wǎng)絡(luò)通信行為，滿足網(wǎng)絡(luò)流量安全檢測預(yù)警和審計要求；此外，可有效檢測網(wǎng)絡(luò)威脅和入侵行為，針對檢測到的威脅和入侵行為進行記錄和告警，滿足合規(guī)和網(wǎng)絡(luò)邊界防范要求。

通過部署安全可信工業(yè)日志審計系統(tǒng)，實時收集電廠中的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機設(shè)備的日志、警報等信息，支持收集、存儲、查詢、統(tǒng)計分析和關(guān)聯(lián)分析等功能，實現(xiàn)全網(wǎng)綜合安全審計；實時地對采集到的不同類型的日志和事件信息進行標(biāo)準(zhǔn)化（歸一化）和實時關(guān)聯(lián)分析，并通過儀表板進行實時動態(tài)、可視化呈現(xiàn)。

（4）安全管理

建設(shè)統(tǒng)一的工業(yè)安全可信管理平臺，對各類IT和OT設(shè)備數(shù)據(jù)（工業(yè)網(wǎng)絡(luò)中各類上位機服務(wù)器、工控終端、網(wǎng)絡(luò)交換設(shè)備、工控安全設(shè)備）進行采集，含網(wǎng)絡(luò)流量數(shù)據(jù)采集、設(shè)備日志采集、安全設(shè)備事件收集和安全設(shè)備配置采集，并進行設(shè)備狀態(tài)監(jiān)控、統(tǒng)一管理和配置、安全可信策略統(tǒng)一部署及安全事件的集中展示，依賴于工控知識庫的安全響應(yīng)與處置，發(fā)現(xiàn)工控網(wǎng)絡(luò)內(nèi)部的異常行為，平臺對各類數(shù)據(jù)和時間進行統(tǒng)一分析與展示，如圖2所示。

圖2 機組安全防護部署典型圖

2.3 應(yīng)用效果

本項目針對國內(nèi)大型火電機組DCS控制系統(tǒng)面臨的網(wǎng)絡(luò)安全問題，采用基于可信計算3.0技術(shù)的主動安全防護方案，形成以控制系統(tǒng)內(nèi)生安全為核心，配合邊界安全措施，滿足等級保護三級要求的信息安全防護體系。安全防護技術(shù)與電廠控制業(yè)務(wù)深度融合，和控制系統(tǒng)深度兼容，形成對控制邏輯和控制網(wǎng)絡(luò)數(shù)據(jù)有效監(jiān)管和防護的一體化監(jiān)測方案，助力電廠業(yè)務(wù)安全穩(wěn)定運行。該方案實現(xiàn)安全可信主動防護體系在超超臨界1000MW火電機組的應(yīng)用突破，具有技術(shù)創(chuàng)新性和很好的推廣價值。

3 案例亮點及創(chuàng)新性

3.1 方案創(chuàng)新性

本項目方案結(jié)合基于可信計算的主動防護與邊界防護構(gòu)成內(nèi)外貫穿的綜合防護體系，在滿足網(wǎng)絡(luò)安全等級保護2.0標(biāo)準(zhǔn)的同時，最大化提升工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全防護能力，具備良好的技術(shù)創(chuàng)新和應(yīng)用示范效應(yīng)。

（1）基于可信計算的自主免疫內(nèi)生安全體系

針對火電百萬機組DCS系統(tǒng)安全防護，本方案全面應(yīng)用了可信計算技術(shù)體系，打破了傳統(tǒng)以邊界防護為主體的網(wǎng)絡(luò)安全防護理念，構(gòu)建了基于控制系統(tǒng)本身的內(nèi)生主動防護體系。

在傳統(tǒng)信息防護手段基礎(chǔ)上，本方案設(shè)計并應(yīng)用了適用于工業(yè)控制場景的可信計算技術(shù)，通過控制系統(tǒng)可信計算體系，增強控制系統(tǒng)的內(nèi)生安全防護能力。在可信計算安全策略的指導(dǎo)下，針對工業(yè)控制網(wǎng)絡(luò)的實時控制行為和業(yè)務(wù)流程作業(yè)，本方案構(gòu)建了實現(xiàn)貫穿設(shè)計、運行、服務(wù)全生命周期的防御、檢測、響應(yīng)、預(yù)測的主動安全防御循環(huán)技術(shù)體系（TDDRP）。

（2）基于可信計算的控制安全一體化業(yè)務(wù)行為監(jiān)測

在實際的工控環(huán)境中，通常缺乏針對工業(yè)控制系統(tǒng)的安全監(jiān)測及配置變更管理，導(dǎo)致安全事故的分析難以進行。目前，在應(yīng)用系統(tǒng)層面的誤操作、違規(guī)操作或故意的破壞性操作是國內(nèi)工業(yè)控制系統(tǒng)面臨的主要安全風(fēng)險。本方案基于安全可信策略的應(yīng)用，對生產(chǎn)網(wǎng)絡(luò)的訪問行為與特定控制協(xié)議內(nèi)容的真實性和完整性進行監(jiān)控、管理與審計。本方案依托DCS廠家在工業(yè)控制系統(tǒng)專用網(wǎng)絡(luò)和通信的技術(shù)積累，將傳統(tǒng)邊界防護解決方案與控制系統(tǒng)網(wǎng)絡(luò)和數(shù)據(jù)特點有機融合，形成對控制邏輯和控制網(wǎng)絡(luò)數(shù)據(jù)有效監(jiān)管和防護的一體化監(jiān)測方案，實現(xiàn)安全中有控制、控制中有安全的突破性解決方案。

（3）基于可信計算的工控強制訪問控制防護模型

針對工控系統(tǒng)的特殊性，傳統(tǒng)的信息防護手段不能完全滿足工業(yè)信息安全的需求。因此，在傳統(tǒng)邊界防護的信息防護手段基礎(chǔ)上，本方案設(shè)計并應(yīng)用了適用于工業(yè)控制場景的可信計算技術(shù)，通過控制系統(tǒng)內(nèi)嵌可信計算體系，增強控制系統(tǒng)自身的防護能力。通過嵌入式防護技術(shù)的集成，控制系統(tǒng)能夠?qū)討B(tài)和運行態(tài)的惡意代碼和內(nèi)核變化進行主動檢測和可信度量，進一步發(fā)現(xiàn)存在的威脅和隱患。同時在可信計算技術(shù)的基礎(chǔ)上結(jié)合強制訪問控制技術(shù)，對工控系統(tǒng)中操作系統(tǒng)和邏輯行為所涉及的關(guān)鍵主、客體增加安全標(biāo)記，通過建立適用于工業(yè)控制邏輯業(yè)務(wù)需求的強制訪問控制模型，保證控制過程中關(guān)鍵的訪問行為均在可控范圍之內(nèi)進行。通過建立應(yīng)用于工業(yè)場景的強制訪問控制機制，有效避免越權(quán)操作，進而保障控制系統(tǒng)的安全可控。可信計算和強制訪問控制的結(jié)合，使工業(yè)系統(tǒng)的信息安全防護不只是依賴外圍的邊界防護設(shè)備，當(dāng)發(fā)生由內(nèi)爆發(fā)的或外部突破進入的威脅時，控制系統(tǒng)有足夠的自保或應(yīng)對能力。

3.2 方案推廣價值

本項目方案在控制系統(tǒng)規(guī)模和復(fù)雜度上具備良好的示范效果，通過該項目的信息安全建設(shè)能實現(xiàn)以下目標(biāo)：

（1）滿足等保2.0要求的大規(guī)模工業(yè)現(xiàn)場應(yīng)用與方案推廣

本項目選擇以大型分布式控制系統(tǒng)為核心中樞的百萬千瓦級超超臨界火電機組開展信息安全設(shè)計和實施，填補了新標(biāo)準(zhǔn)在實際工業(yè)領(lǐng)域工程項目應(yīng)用的空白，通過該項目可對新標(biāo)準(zhǔn)技術(shù)要求進行合理有效的驗證。該示范項目能夠進一步完善等保2.0工業(yè)控制系統(tǒng)安全技術(shù)體系、管理體系和測評體系建設(shè)，對后續(xù)開展全國范圍的工業(yè)控制領(lǐng)域網(wǎng)絡(luò)安全等級保護評估和建設(shè)具有良好的推廣和示范意義，能夠有力地推動網(wǎng)絡(luò)安全等級保護2.0標(biāo)準(zhǔn)在工業(yè)領(lǐng)域的全面推廣和實行。

（2）基于可信計算的主動防護技術(shù)在工控領(lǐng)域的應(yīng)用推廣

本示范項目采用基于可信計算的主動防護與邊界防護有機結(jié)合的綜合防護技術(shù)體系，將可信計算技術(shù)集成到工業(yè)控制器中，使網(wǎng)絡(luò)安全能力相對脆弱的控制系統(tǒng)內(nèi)部具備內(nèi)生安全能力，同時通過對傳統(tǒng)的安全審計設(shè)備增加控制邏輯和業(yè)務(wù)行為審計的功能，進而打破控制行為和網(wǎng)絡(luò)行為的防護壁壘，能夠?qū)崿F(xiàn)對內(nèi)部和外部不同層面爆發(fā)的網(wǎng)絡(luò)威脅的核心抵御能力。本項目中創(chuàng)新性的技術(shù)應(yīng)用和防護體系建設(shè)帶來的良好防護能力將有助于為當(dāng)前模糊的工業(yè)安全產(chǎn)品和技術(shù)發(fā)展方向提供正確指引，同時對完善和建設(shè)真正適用于工業(yè)控制系統(tǒng)的安全防護技術(shù)和產(chǎn)品體系形態(tài)能夠提供有力的工程應(yīng)用支撐。

（3）結(jié)合流程行業(yè)共性特點的普適性應(yīng)用模板

本示范項目選取具備典型工業(yè)特點的百萬千瓦級火電機組，同時全廠采用現(xiàn)場總線技術(shù)實現(xiàn)智能儀表互聯(lián)互通，具備流程行業(yè)工控系統(tǒng)的共性特點。

基于以上基礎(chǔ)設(shè)計和建設(shè)的工業(yè)信息安全解決方案，該項目適用于工控現(xiàn)場同時覆蓋流程行業(yè)全工藝環(huán)節(jié)的綜合安全防護工程應(yīng)用模板，解決了主動安全技術(shù)與流程行業(yè)工控系統(tǒng)實施應(yīng)用的適應(yīng)性難題。

3.3 效益分析

（1）經(jīng)濟效益

通過對基于可信計算技術(shù)的百萬機組DCS系統(tǒng)信息安全技術(shù)的研究并進行應(yīng)用，可對發(fā)電現(xiàn)場控制系統(tǒng)進行全面有效的防護，防止系統(tǒng)受到病毒、木馬等各種形式的網(wǎng)絡(luò)攻擊，從而避免因停產(chǎn)等原因造成的經(jīng)濟損失，每避免一次非計劃停機預(yù)計節(jié)約機組啟停費用約200萬元。

（2）社會效益

本課題內(nèi)容實施后，可突破目前國產(chǎn)百萬千瓦級火力發(fā)電廠基于可信計算技術(shù)按照等保2.0三級要求建設(shè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全的技術(shù)空白，從根源降低電網(wǎng)安全事件影響，為后續(xù)集團內(nèi)各電廠進行信息安全建設(shè)提供技術(shù)指導(dǎo)，并可作為標(biāo)桿為國內(nèi)其他電廠在按照等級保護2.0要求建設(shè)監(jiān)控系統(tǒng)安全制度、系統(tǒng)仿真和測試驗證、等級保護測評等方面提供成熟經(jīng)驗并在國內(nèi)發(fā)電行業(yè)進行推廣及應(yīng)用。

《自動化博覽》2023年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊（第九輯）》