★ 北京網(wǎng)藤科技有限公司

1 項目概況

1.1 項目背景

電力行業(yè)是國家重要的關(guān)鍵基礎(chǔ)設(shè)施，為商業(yè)、工業(yè)、制造和住宅客戶提供必要的能源。隨著工業(yè)化和信息化的加速融合，電力系統(tǒng)也從相互獨立不與外網(wǎng)連接的管理模式逐漸與互聯(lián)網(wǎng)互通互聯(lián)。各系統(tǒng)間的互通增加了傳統(tǒng)內(nèi)部網(wǎng)絡(luò)風(fēng)險發(fā)生的幾率，而我國工業(yè)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)落后，國內(nèi)DCS所使用的CPU和操作系統(tǒng)等軟、硬件依賴進(jìn)口產(chǎn)品，存在巨大的安全隱患。電力行業(yè)是技術(shù)密集和資產(chǎn)密集型產(chǎn)業(yè)，歷來都是利益團體和黑客攻擊的重點對象。因此，加快關(guān)鍵信息基礎(chǔ)設(shè)施國產(chǎn)化替代，實現(xiàn)核心技術(shù)自主可控，加強行業(yè)網(wǎng)絡(luò)信息安全建設(shè)，提高安全防護意識和能力成為當(dāng)務(wù)之急。

1.2 項目簡介

長期以來，國內(nèi)電力企業(yè)的智能監(jiān)控系統(tǒng)的大部分軟硬件依賴國外進(jìn)口。目前自主可控的國產(chǎn)化控制系統(tǒng)技術(shù)日趨成熟并逐步落地應(yīng)用，解決了自動化控制的“卡脖子”難題，隨之安全防護方案中配套的安全產(chǎn)品和技術(shù)也處在國產(chǎn)化適配的探索實踐階段。作為典型的關(guān)基行業(yè)，電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全規(guī)劃和建設(shè)時除應(yīng)依據(jù)GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》外，還要滿足行業(yè)內(nèi)國能安全〔2015〕36號《電力監(jiān)控系統(tǒng)安全防護總體方案》《電力監(jiān)控系統(tǒng)安全防護規(guī)定》《電力可靠性管理辦法（暫行）》等相關(guān)網(wǎng)絡(luò)安全要求。

江蘇華電句容發(fā)電有限公司建設(shè)有2×1000MW高效潔凈超超臨界燃煤發(fā)電機組，配套“華電睿藍(lán)”智能控制系統(tǒng)，采用國產(chǎn)元器件、國產(chǎn)芯片、國產(chǎn)處理器、國產(chǎn)操作系統(tǒng)、國產(chǎn)數(shù)據(jù)庫、國產(chǎn)服務(wù)器、國產(chǎn)交換機和開源軟件，完成了DEH的設(shè)計、組態(tài)、調(diào)試和投運，并對MEH、ETS、FGD等系統(tǒng)進(jìn)行了改造，在國內(nèi)首次實現(xiàn)1000MW超超臨界機組自主可控DCS&DEH一體化控制，并實現(xiàn)火電廠的一體化控制、保護等功能。本項目以江蘇華電句容發(fā)電有限公司#1機組DCS系統(tǒng)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全保護建設(shè)為主線，借助網(wǎng)絡(luò)產(chǎn)品、安全產(chǎn)品、安全服務(wù)、管理制度等手段，建立全面的網(wǎng)絡(luò)安全防控體系，并以生產(chǎn)控制系統(tǒng)安全為重點，保證業(yè)務(wù)系統(tǒng)安全運行，從而全面提高生產(chǎn)的工作效率，提升信息化的運用水平。

1.3 項目目標(biāo)

電力行業(yè)是我國重要的戰(zhàn)略性產(chǎn)業(yè)，對國民經(jīng)濟和國家安全有著重要作用。近年來電力工控系統(tǒng)網(wǎng)絡(luò)攻擊處于高發(fā)態(tài)勢，安全風(fēng)險愈演愈烈。電力行業(yè)風(fēng)險主要包括：（1）外部網(wǎng)絡(luò)安全威脅首當(dāng)其沖；（2）工控系統(tǒng)缺乏內(nèi)生安全措施，長期處于獨立運行狀態(tài)，漏洞等脆弱性風(fēng)險無法修復(fù)；（3）人員安全意識薄弱，移動存儲設(shè)備濫用；（4）安全技術(shù)滯后于新技術(shù)的應(yīng)用，以及高級持續(xù)性威脅虎視眈眈。

通過對江蘇華電句容發(fā)電有限公司網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)安全風(fēng)險分析，針對不同區(qū)域間數(shù)據(jù)通信安全和整體信息化建設(shè)要求，本項目建設(shè)目標(biāo)是：

（1）全面識別工業(yè)控制網(wǎng)絡(luò)系統(tǒng)安全現(xiàn)狀；

（2）建立健全工控現(xiàn)場操作流程及操作規(guī)范的管理機制；

（3）實時監(jiān)控網(wǎng)絡(luò)內(nèi)的異常數(shù)據(jù)和操作行為及預(yù)報預(yù)警；

（4）實時保護網(wǎng)絡(luò)安全，及時阻止惡意代碼、網(wǎng)絡(luò)漏洞等對控制網(wǎng)絡(luò)的破壞；

（5）降低通過移動存儲介質(zhì)的方式拷貝數(shù)據(jù)遭受攻擊的幾率；

（6）追溯入侵者對工業(yè)控制網(wǎng)絡(luò)的惡意攻擊與破壞的源頭和路徑；

（7）對生產(chǎn)網(wǎng)絡(luò)內(nèi)安全資產(chǎn)的一體化管理和運行態(tài)勢分析。

2 項目實施

2.1 安全防護方案

根據(jù)對現(xiàn)有工控系統(tǒng)調(diào)研，依據(jù)能源局36號文、工信部《工業(yè)控制系統(tǒng)信息安全防護指南》《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》等技術(shù)標(biāo)準(zhǔn)及指導(dǎo)性文件，根據(jù)“一個中心”管理下的“三重保護”體系框架進(jìn)行設(shè)計，結(jié)合電廠現(xiàn)有國產(chǎn)化應(yīng)用能力水平，建立“網(wǎng)絡(luò)建設(shè)合規(guī)、安全防護到位”的防護思想，構(gòu)建由安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心組成的工控系統(tǒng)的整體安全防護建設(shè)。建設(shè)體系架構(gòu)如圖1所示。

圖1 建設(shè)體系架構(gòu)圖

2.1.1 安全計算環(huán)境

（1）主機安全防護

本項目在生產(chǎn)控制大區(qū)各終端主機部署終端安全防護類軟件，實現(xiàn)終端進(jìn)程的可信管理，如圖2所示。該軟件利用“防疫衛(wèi)士”功能，優(yōu)先保障客戶自身軟件正常運行，不被篡改；阻止其他病毒、惡意程序以及與業(yè)務(wù)無關(guān)的軟件運行；提供極高的安全性，且與國產(chǎn)軟硬件兼容性強，目前已成功與飛騰、麒麟、凝思等國產(chǎn)化系統(tǒng)完美兼容并使用。

圖2 工控主機安全衛(wèi)士

（2）USB存儲介質(zhì)管控

在生產(chǎn)控制大區(qū)工程師站交換機處旁路部署USB安全隔離裝置，解決外部病毒、木馬等威脅源通過USB存儲介質(zhì)帶入到工控網(wǎng)絡(luò)的風(fēng)險隱患。該防護理念是從病毒入侵的源頭出發(fā)，切斷病毒入侵途徑，通過獨立的硬件隔離產(chǎn)品，實現(xiàn)外部數(shù)據(jù)到工控網(wǎng)絡(luò)的數(shù)據(jù)擺渡，并提供接入工控網(wǎng)絡(luò)前的病毒查殺措施。同時，這種安全隔離產(chǎn)品，還提供USB移動存儲介質(zhì)的全生命周期的安全管控，如圖3所示。

圖3 移動存儲介質(zhì)管控方案

2.1.2 安全區(qū)域邊界

（1）網(wǎng)絡(luò)邊界防護

在生產(chǎn)控制大區(qū)控制區(qū)與非控制區(qū)邊界部署邊界隔離設(shè)備，提高各區(qū)域間訪問控制能力，合理梳理優(yōu)化邊界設(shè)備的安全策略，遵循最小化和白名單原則，只允許業(yè)務(wù)數(shù)據(jù)通過邊界，阻斷其他非授權(quán)連接，例如來自區(qū)域之間的越權(quán)訪問、病毒、蠕蟲惡意軟件擴散和入侵攻擊，保護各個區(qū)域控制系統(tǒng)安全運行。

（2）邊界入侵檢測

在生產(chǎn)控制大區(qū)核心組網(wǎng)交換機處旁路部署入侵檢測系統(tǒng)，實現(xiàn)網(wǎng)絡(luò)威脅入侵檢測，及時發(fā)現(xiàn)網(wǎng)絡(luò)異常情況、蠕蟲、木馬病毒以及APT等惡意程序的傳播狀況，并對僵尸主機監(jiān)控定位，實現(xiàn)網(wǎng)絡(luò)運行狀態(tài)的實時監(jiān)控。在對經(jīng)過流量的報文進(jìn)行深入七層實時解析的基礎(chǔ)上，該系統(tǒng)不僅可以做到對惡意代碼、注入攻擊及蠕蟲木馬等威脅的檢測及防護，還可以對應(yīng)用程序及URL等內(nèi)容進(jìn)行深度識別控制，并具備帶寬管控的功能，從而在提供標(biāo)準(zhǔn)攻擊檢測防御的同時實現(xiàn)上網(wǎng)行為管理的功能。

2.1.3 安全通信網(wǎng)絡(luò)

（1）日志安全分析

在生產(chǎn)控制大區(qū)核心交換機旁路部署日志審計系統(tǒng)。該系統(tǒng)能夠?qū)崟r將工業(yè)控制網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、數(shù)據(jù)庫系統(tǒng)的日志信息進(jìn)行統(tǒng)一收集、處理和關(guān)聯(lián)分析，幫助一線管理人員從海量日志中迅速、精準(zhǔn)地識別安全事件，并及時對安全事件進(jìn)行追溯或干預(yù)。該系統(tǒng)滿足國家標(biāo)準(zhǔn)規(guī)范中關(guān)于日志審計的相關(guān)要求。

（2）工控流量監(jiān)測

在生產(chǎn)控制大區(qū)各子系統(tǒng)交換機旁路部署工控安全審計系統(tǒng)，實現(xiàn)對工控網(wǎng)絡(luò)中的網(wǎng)絡(luò)流量進(jìn)行采集、監(jiān)測和分析，有效識別工控網(wǎng)絡(luò)中的安全隱患、惡意攻擊以及違規(guī)操作、誤操作、指令異常、參數(shù)篡改等安全事件，并通過閾值級的內(nèi)容檢測，及時發(fā)現(xiàn)業(yè)務(wù)管理的痛點問題。工控安全審計系統(tǒng)采用旁路接入方式，只抓取現(xiàn)場控制系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析處理，不向現(xiàn)場控制系統(tǒng)發(fā)送任何命令和數(shù)據(jù)包，如圖4所示。

圖4 工控流量監(jiān)測

2.1.4 安全管理中心

（1）安全運維審計

在新建安全管理區(qū)核心交換機旁路部署賬號集中管理與審計系統(tǒng)，用以解決工程師在運維過程中的認(rèn)證授權(quán)、用戶準(zhǔn)入控制、運維審計等方面的信息安全問題，如圖5所示。

圖5 安全運維審計

（2）安全管理平臺

為滿足集中統(tǒng)一管理的要求，在生產(chǎn)控制大區(qū)安全生產(chǎn)Ⅱ區(qū)建立安全管理中心，構(gòu)建電廠安全體系的統(tǒng)一管理平臺，實現(xiàn)對安全設(shè)備的集中管控，并將實時分析結(jié)果推送到安管中心，為安全運維人員提供技術(shù)支撐。同時在安全管理中心部署工控漏洞掃描系統(tǒng)，對工業(yè)控制系統(tǒng)快速、精確、高效地進(jìn)行網(wǎng)絡(luò)安全風(fēng)險合規(guī)巡檢，如圖6所示。

圖6 工控安全管理平臺

2.1.5 安全防護

圖7為安全防護示意圖。

圖7 安全防護示意圖

2.2 應(yīng)用效果

本項目采用主動防御體系及縱深防御思想，創(chuàng)新性地將靜態(tài)防御和主動的動態(tài)防御相結(jié)合，實現(xiàn)句容發(fā)電有限公司網(wǎng)絡(luò)結(jié)構(gòu)安全和深層防御能力，并滿足合規(guī)性要求。

（1）實施后，對網(wǎng)絡(luò)攻擊、違規(guī)使用等情況，采用深度分析技術(shù)對網(wǎng)絡(luò)進(jìn)行不間斷監(jiān)控，分析來自網(wǎng)絡(luò)內(nèi)部和外部的入侵企圖，并進(jìn)行報警、響應(yīng)和防范，有效延伸了網(wǎng)絡(luò)安全防御層次，提高了各系統(tǒng)網(wǎng)絡(luò)安全事件識別和響應(yīng)能力；

（2）實施后，提高系統(tǒng)識別各類網(wǎng)絡(luò)攻擊行為的能力，并有效應(yīng)對內(nèi)部或外部發(fā)起的網(wǎng)絡(luò)入侵行為；

（3）實施后，利于管理員定期分析各系統(tǒng)日志信息，也利于對安全事件、用戶訪問記錄、系統(tǒng)運行日志、系統(tǒng)運行狀態(tài)、網(wǎng)絡(luò)存取日志等各類信息進(jìn)行集中管理分析；

（4）實施后，減輕新能源電站日常IOT資產(chǎn)設(shè)備的運維強度和成本，通過集控中心統(tǒng)一安管平臺，快速識別業(yè)務(wù)系統(tǒng)中的安全風(fēng)險；提高系統(tǒng)管理人員安全意識，提高現(xiàn)場設(shè)備應(yīng)對外來威脅的防御能力，減少自身脆弱性。

3 案例亮點及創(chuàng)新性

（1）安全產(chǎn)品實現(xiàn)基于國產(chǎn)化硬件平臺的自主可控技術(shù)，積極支撐關(guān)基領(lǐng)域的國產(chǎn)化替代，為應(yīng)用國產(chǎn)系統(tǒng)的用戶提供全面、可靠的安全保障。

（2）基于網(wǎng)藤科技多年技術(shù)積累以及對火力發(fā)電行業(yè)的深入理解，結(jié)合火力發(fā)電行業(yè)工藝流程特點，利用自有的行業(yè)知識庫研發(fā)具有行業(yè)特色的“安全保護模型”，并建立“檢測規(guī)則”，準(zhǔn)確識別電廠生產(chǎn)網(wǎng)絡(luò)中的異常流量、異常行為、漏洞利用攻擊、惡意代碼攻擊等入侵行為并實時告警。

（3）創(chuàng)新的工控主機外置病毒查殺機制，從根本上解決了工控主機與防病毒軟件可能存在的兼容性和無法在線升級的問題；依托1200萬+病毒庫及雙引擎查殺能力，有效提高病毒檢測能力，且可實現(xiàn)移動存儲介質(zhì)的授權(quán)管理、安全接入和綜合審計等全流程管理，杜絕移動存儲介質(zhì)“濫用”的安全隱患。

（4）方案中采用的工控主機安全衛(wèi)士在“白名單”防護產(chǎn)品基礎(chǔ)功能上，新增加了軟件防疫衛(wèi)士和病毒專殺工具，且可實現(xiàn)與USB安全隔離裝置的策略聯(lián)動，如U盤授權(quán)互認(rèn)；利用主機本體+外設(shè)接口一體化防護技術(shù)，形成行業(yè)內(nèi)創(chuàng)新的軟件+硬件的終端防護方案，廣泛適配國產(chǎn)化環(huán)境，為工控主機的安全保駕護航。

《自動化博覽》2023年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊（第九輯）》