★ 國能神福（石獅）發(fā)電有限公司 沈鐵志 

★ 寧波和利時信息安全研究院有限公司 穆雷霆

★ 國能神福（石獅）發(fā)電有限公司 吳炳輝，郭玉姬

1引言

2019年5月13日正式發(fā)布的網(wǎng)絡(luò)安全等級保護系列標準將工業(yè)控制系統(tǒng)正式納入安全擴展要求，并提出了嚴格的測評規(guī)范。工業(yè)控制系統(tǒng)廣泛應用于能源、交通、先進制造、公用設(shè)施等國計民生相關(guān)的重要領(lǐng)域，自2010年伊朗“震網(wǎng)病毒”開始，國際上已發(fā)生多起針對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻擊，而電力能源更是安全事件頻發(fā)的重災區(qū)。

在我國電力生產(chǎn)供應中，超超臨界1000MW級大型火電機組承擔了大部分職責，既是作為等保2.0三級系統(tǒng)，也是關(guān)系到國家戰(zhàn)略安全的關(guān)鍵基礎(chǔ)設(shè)施，無疑是工業(yè)控制系統(tǒng)安全建設(shè)的重點對象。在大型火電等工業(yè)設(shè)施中，大型分布式控制系統(tǒng)（DCS）作為保障其運行的核心管控系統(tǒng)，具有高可靠性、強實時性、控制邏輯復雜和大規(guī)模系統(tǒng)部署等典型特點，其安全防護建設(shè)尤具代表性。

工控系統(tǒng)與傳統(tǒng)信息系統(tǒng)相比，保護對象不同，防護側(cè)重點也不同，主要體現(xiàn)在：工業(yè)控制系統(tǒng)由于連續(xù)生產(chǎn)的要求，系統(tǒng)和軟件實時更新困難，傳統(tǒng)防病毒和檢測手段難以保障安全；工業(yè)協(xié)議私有化程度高，通用技術(shù)兼容性差，設(shè)計時大都未考慮安全特性；工業(yè)控制系統(tǒng)嵌入式計算環(huán)境實時性要求高，但資源極其有限，難以增加復雜的安全防護功能。由于以上在功能和需求上的顯著差異，傳統(tǒng)的信息安全產(chǎn)品并不完全適用于工控系統(tǒng)，同時，我國工控安全建設(shè)目前仍呈現(xiàn)風險意識薄弱、安全認知不足的局面，針對如何滿足等保2.0技術(shù)要求缺乏完善的設(shè)計思路和具備典型參考意義的工程案例。

本文基于國能神福（石獅）發(fā)電有限公司2×1050MW機組安全防護項目，介紹基于可信計算3.0技術(shù)的安全防護方案在火電超超臨界百萬千瓦機組DCS的應用。該廠是國內(nèi)技術(shù)水平領(lǐng)先的百萬千瓦級超超臨界發(fā)電機組，是福建省“十一五”能源發(fā)展專項規(guī)劃和電力發(fā)展規(guī)劃確定的優(yōu)化發(fā)展煤電和熱電聯(lián)產(chǎn)大型電源點，是“神華電站數(shù)字化建設(shè)解決方案”的標桿項目。該廠采用國內(nèi)技術(shù)領(lǐng)先、應用廣泛的和利時公司HOLLiAS-MACS大型分布式控制系統(tǒng)，實現(xiàn)了DCS和DEH在百萬千瓦級機組的一體化應用、實現(xiàn)了全廠智能儀表的現(xiàn)場總線互聯(lián)互通，在國內(nèi)大型電廠具有典型代表意義。

2火電百萬千瓦機組DCS面臨的網(wǎng)絡(luò)風險分析

國內(nèi)大部分火電百萬千瓦機組DCS控制系統(tǒng)，在建設(shè)時未考慮完善的網(wǎng)絡(luò)安全建設(shè)，未部署其他網(wǎng)絡(luò)安全系統(tǒng)及設(shè)備，不能滿足國家網(wǎng)絡(luò)安全、電網(wǎng)公司二次防護要求。DCS網(wǎng)絡(luò)及設(shè)備安全防護能力不足，對網(wǎng)絡(luò)邊界缺少入侵檢測手段，對網(wǎng)絡(luò)流量缺乏分析手段，采用通用操作系統(tǒng)安全漏洞多，電腦主機防護能力不足，缺少統(tǒng)一安全管理機制。全廠DCS網(wǎng)絡(luò)安全性較差，存在安全隱患，極易因外部攻擊、內(nèi)部病毒入侵等造成分散控制系統(tǒng)故障、癱瘓等惡性事故。

隨著火電機組DCS系統(tǒng)開放性的增強，且電廠SIS系統(tǒng)、生產(chǎn)管理系統(tǒng)及第三方系統(tǒng)存在網(wǎng)絡(luò)通信邊界，一旦某個網(wǎng)絡(luò)被病毒感染，容易蔓延到DCS網(wǎng)絡(luò)，嚴重威脅系統(tǒng)運行的安全，由此帶來了病毒以及網(wǎng)絡(luò)攻擊擴散導致工控系統(tǒng)遭受影響的安全風險。

在火電機組DCS控制系統(tǒng)中，大量使用的通信協(xié)議多為OPC、ModbusTCP等通用工控協(xié)議，以及各DCS廠家的私有工控協(xié)議，絕大多數(shù)工控協(xié)議在設(shè)計之初忽視了其安全設(shè)計，通訊雙方?jīng)]有有效的認證與保密機制，容易受到中間人的竊聽和欺騙性攻擊，協(xié)議對畸形報文的識別能力弱，通信健壯性能力較弱。此外，現(xiàn)場未部署監(jiān)測審計設(shè)備和安全管理設(shè)備，缺少對生產(chǎn)網(wǎng)絡(luò)的實時安全監(jiān)控，無法及時發(fā)現(xiàn)系統(tǒng)中存在的異常流量和異常行為，也無法及時感知安全威脅并進行告警。

火電機組DCS控制系統(tǒng)系統(tǒng)中上位機多采用如Windows或Linux等通用操作系統(tǒng)，存在較多安全漏洞，其中很多漏洞會被黑客利用，成為黑客攻擊的目標或跳板，工業(yè)領(lǐng)域軟/硬件更新、補丁升級、換代困難、漏洞不能得到及時修補且工控系統(tǒng)多存在防病毒系統(tǒng)缺失或更新不及時的問題，容易造成木馬病毒泛濫。

另外作為火電機組DCS控制系統(tǒng)重要組成部分的控制站設(shè)備，多經(jīng)過裁剪的實時操作系統(tǒng)，近幾年披露的漏洞不斷增多，很多漏洞可以導致系統(tǒng)失去監(jiān)控，對控制安全影響極大。如果不能對DCS控制器本身的安全性提供有效的保障措施，僅靠外圍的安全措施無法從根本上保證DCS控制系統(tǒng)的整體安全。

3工控安全發(fā)展趨勢與可信計算防護模型

3.1工控網(wǎng)絡(luò)安全發(fā)展趨勢

近幾年工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全事件的發(fā)生頻率在全球范圍內(nèi)依然處于較高水平，能源、關(guān)鍵制造、公共健康、通信、政府設(shè)施、交通運輸?shù)戎匾P(guān)鍵基礎(chǔ)設(shè)施工業(yè)控制系統(tǒng)依然是信息安全事件高發(fā)的幾個領(lǐng)域。網(wǎng)絡(luò)攻擊嚴重威脅到了工業(yè)運行安全、國民經(jīng)濟安全乃至國家戰(zhàn)略安全，對工業(yè)信息安全保障工作提出了新的任務(wù)和新的挑戰(zhàn)。

從工業(yè)控制系統(tǒng)安全防護手段來看，傳統(tǒng)的“封堵查殺”方式已經(jīng)過時，工控安全能力從“被動防范”為主轉(zhuǎn)向“安全可信、主動防御、威脅預知、融合各種信息快速檢測和響應能力”的構(gòu)建，已經(jīng)成為當下工控網(wǎng)絡(luò)安全建設(shè)的共識。其中，可信計算技術(shù)已成為工業(yè)安全防護利器，通過可信計算為工業(yè)控制系統(tǒng)提供主動免疫安全防護能力，形成內(nèi)生安全機制，可有效抵抗來自系統(tǒng)內(nèi)外部的網(wǎng)絡(luò)攻擊。

3.2基于可信計算的網(wǎng)絡(luò)安全防護模型

可信計算是指計算的同時進行安全防護，計算全程可測可控、不被干擾，使計算結(jié)果總是與預期一致。可信計算是一種特有的基于整體安全思想的主動防御技術(shù)，隨著網(wǎng)絡(luò)空間安全技術(shù)變革而不斷地創(chuàng)新發(fā)展，其引領(lǐng)的整體安全架構(gòu)、主動免疫安全體系已經(jīng)成為網(wǎng)絡(luò)空間安全技術(shù)拼圖中不可或缺的一環(huán)。可信計算將以創(chuàng)新理論與技術(shù)同計算機體系結(jié)構(gòu)、操作系統(tǒng)安全、可信軟件深度融合，構(gòu)建更加有效、更加靈活的安全防護體系。

可信計算3.0提出了全新的可信計算體系框架，在網(wǎng)絡(luò)層面解決可信問題。在計算節(jié)點構(gòu)建一個“宿主——可信雙節(jié)點”的可信免疫架構(gòu)，通過這種雙體系架的模式實現(xiàn)可信機制，相當于為各種安全機制提供一個統(tǒng)一的、通用的可信平臺。這一平臺為系統(tǒng)中的安全機制提供了一個共同的基礎(chǔ)，給安全機制提供統(tǒng)一的可信保障，同時也為各種安全機制動態(tài)連接、構(gòu)成縱深防御安全體系提供了支持。

在工控領(lǐng)域的可信應用方面，國內(nèi)主流控制系統(tǒng)廠商如和利時已推出安全可信DCS控制系統(tǒng)，實現(xiàn)可信計算技術(shù)在工業(yè)嵌入式領(lǐng)域的創(chuàng)新突破。安全可信DCS控制系統(tǒng)融合嵌入式可信計算、數(shù)字證書體系、深度協(xié)議控制等先進技術(shù)，采用雙體系嵌入式架構(gòu)，以可信加密芯片為基礎(chǔ)，實現(xiàn)了從可信根到上層應用的完整性度量，包括靜態(tài)度量和動態(tài)度量，具備對內(nèi)核、應用、數(shù)據(jù)、工業(yè)業(yè)務(wù)行為的度量控制和檢測審計能力。

隨著技術(shù)和生態(tài)的進一步成熟，可信計算技術(shù)在工業(yè)安全防護領(lǐng)域的應用將會由點到面鋪開，更加廣泛和普遍。

4基于可信計算的火電機組DCS系統(tǒng)安全防護方案

國能神福（石獅）發(fā)電有限公司2×1050MW機組DCS以控制系統(tǒng)內(nèi)生安全為核心、配合邊界安全措施，形成滿足等保2.0三級要求的信息安全防護完整體系。

核心控制系統(tǒng)采用安全可信DCS，內(nèi)部集成信息安全功能，支持與組態(tài)上位機的加密通信，協(xié)議棧經(jīng)過優(yōu)化后具備對DDoS攻擊、畸形報文攻擊和非法報文攻擊的網(wǎng)絡(luò)自抵御能力；控制系統(tǒng)及上位機終端支持基于可信計算的可信度量，能夠?qū)崿F(xiàn)對內(nèi)核中可能存在的惡意代碼的加載和啟動度量，有效抑制內(nèi)嵌惡意代碼和代碼篡改的風險。同時，采用集成網(wǎng)絡(luò)通信行為審計和控制邏輯業(yè)務(wù)行為審計的工業(yè)審計系統(tǒng)對控制系統(tǒng)內(nèi)部威脅進行監(jiān)測。

邊界安全措施采用工業(yè)隔離設(shè)備、工業(yè)入侵檢測系統(tǒng)、工業(yè)交換機等防護設(shè)備抵御由外部發(fā)起的網(wǎng)絡(luò)攻擊。

通過區(qū)域邊界訪問控制、包過濾、安全數(shù)據(jù)擺渡、接入控制等技術(shù)措施，僅允許必要的可信網(wǎng)絡(luò)訪問，拒絕非可信訪問，構(gòu)建DCS系統(tǒng)與SIS系統(tǒng)之間以及DCS內(nèi)部區(qū)域之間的安全可信區(qū)域邊界。

對網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)攻擊和異常行為進行監(jiān)視和審計，發(fā)現(xiàn)并記錄入侵滲透、違規(guī)操作過程，及時告警與應急處理，形成安全可信的通信網(wǎng)絡(luò)環(huán)境；對通信數(shù)據(jù)通過加密等方式，實現(xiàn)通信雙方的身份鑒別，并保證傳輸數(shù)據(jù)的完整性和機密性，從而實現(xiàn)安全可信的通信鏈路。

通過可信度量、身份認證、訪問控制、數(shù)據(jù)保護等技術(shù)措施，建立安全可信計算環(huán)境，保證DCS系統(tǒng)計算環(huán)境的安全。通過在控制系統(tǒng)上位機加裝基于可信計算和主機白名單的可信終端防護系統(tǒng)對主機終端進行安全加固，實現(xiàn)終端的病毒和安全防護。控制器采用可信DCS，內(nèi)部集成信息安全功能和可信計算能力。

建立安全可信管理中心，通過部署工業(yè)安全可信管理平臺，實現(xiàn)工業(yè)安全信息的集中采集、存儲、展示、分析、預警，全局安全可信策略的統(tǒng)一配置、下發(fā)和管理以及安全設(shè)備的統(tǒng)一管控。

5安全方案創(chuàng)新性

本項目方案結(jié)合基于可信計算的主動防護與邊界防護構(gòu)成內(nèi)外貫穿的綜合防護體系，在滿足網(wǎng)絡(luò)安全等級保護2.0標準的同時，最大化提升工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全防護能力，具備良好的技術(shù)創(chuàng)新和應用示范效應。

（1）基于可信計算的自主免疫內(nèi)生安全體系方案

針對火電百萬機組DCS系統(tǒng)安全防護全面應用了可信計算技術(shù)體系，打破傳統(tǒng)以邊界防護為主體的網(wǎng)絡(luò)安全防護理念，構(gòu)建了基于控制系統(tǒng)本身的內(nèi)生主動防護體系。

在傳統(tǒng)信息防護手段基礎(chǔ)上，設(shè)計并應用了適用于工業(yè)控制場景的可信計算技術(shù)，通過控制系統(tǒng)可信計算體系，增強控制系統(tǒng)的內(nèi)生安全防護能力。構(gòu)建基于在可信計算安全策略的指導下，針對工業(yè)控制網(wǎng)絡(luò)的實時控制行為和業(yè)務(wù)流程作業(yè)，實現(xiàn)貫穿設(shè)計、運行、服務(wù)全生命周期的防御、檢測、響應、預測的主動安全防御循環(huán)技術(shù)體系（TDDRP）。

（2）基于可信計算的控制安全一體化業(yè)務(wù)行為監(jiān)測

在實際的工控環(huán)境中，通常缺乏針對工業(yè)控制系統(tǒng)的安全監(jiān)測及配置變更管理，導致安全事故的分析難以進行。目前國內(nèi)工業(yè)控制系統(tǒng)，在應用系統(tǒng)層面的誤操作、違規(guī)操作或故意的破壞性操作成為主要安全風險。本方案基于安全可信策略的應用，對生產(chǎn)網(wǎng)絡(luò)的訪問行為、特定控制協(xié)議內(nèi)容的真實性、完整性進行監(jiān)控、管理與審計。依托DCS廠家在工業(yè)控制系統(tǒng)專用網(wǎng)絡(luò)和通信的技術(shù)積累，將傳統(tǒng)邊界防護解決方案與控制系統(tǒng)網(wǎng)絡(luò)和數(shù)據(jù)特點有機融合，形成對控制邏輯和控制網(wǎng)絡(luò)數(shù)據(jù)有效監(jiān)管和防護的一體化監(jiān)測方案，實現(xiàn)安全中有控制、控制中有安全。

（3）基于可信計算的工控強制訪問控制防護模型

針對工控系統(tǒng)的特殊性，傳統(tǒng)的信息防護手段不能完全滿足工業(yè)信息安全的需求。因此，在傳統(tǒng)邊界防護的信息防護手段基礎(chǔ)上，設(shè)計并應用了適用于工業(yè)控制場景的可信計算技術(shù)，通過控制系統(tǒng)內(nèi)嵌可信計算體系，增強控制系統(tǒng)自身的防護能力，通過嵌入式防護技術(shù)的集成，控制系統(tǒng)能夠?qū)討B(tài)和運行態(tài)的惡意代碼和內(nèi)核變化進行主動檢測和可信度量，進一步發(fā)現(xiàn)存在的威脅和隱患。同時在可信計算技術(shù)的基礎(chǔ)上結(jié)合強制訪問控制技術(shù)，對工控系統(tǒng)中操作系統(tǒng)和邏輯行為所涉及的關(guān)鍵主、客體增加安全標記，通過建立適用于工業(yè)控制邏輯業(yè)務(wù)需求的強制訪問控制模型，保證控制過程中關(guān)鍵的訪問行為均在可控范圍之內(nèi)進行。通過建立應用于工業(yè)場景的強制訪問控制機制，有效避免越權(quán)操作，進而保障控制系統(tǒng)的安全可控。可信計算和強制訪問控制的結(jié)合，使工業(yè)系統(tǒng)的信息安全防護不只是依賴外圍的邊界防護設(shè)備，當發(fā)生由內(nèi)爆發(fā)的、或外部突破進入的威脅時，控制系統(tǒng)有足夠的自保或應對能力。

6方案推廣價值

項目方案在控制系統(tǒng)規(guī)模和復雜度上具備良好的示范效果，通過該項目的信息安全建設(shè)能實現(xiàn)以下目標：

（1）滿足等保2.0要求的大規(guī)模工業(yè)現(xiàn)場應用與方案推廣

通過選擇以大型分布式控制系統(tǒng)為核心中樞的百萬千瓦級超超臨界火電機組開展信息安全設(shè)計和實施，填補了新標準在實際工業(yè)領(lǐng)域工程項目應用的空白，通過該項目可對新標準技術(shù)要求進行合理有效的驗證。該示范項目通過工業(yè)控制領(lǐng)域?qū)＜遗c安全測評領(lǐng)域?qū)＜业慕Y(jié)合能夠進一步完善等保2.0工業(yè)控制系統(tǒng)安全技術(shù)體系、管理體系和測評體系建設(shè)，對后續(xù)開展全國范圍的工業(yè)控制領(lǐng)域網(wǎng)絡(luò)安全等級保護評估和建設(shè)具有良好的推廣和示范意義，能夠有力地推動網(wǎng)絡(luò)安全等級保護2.0標準在工業(yè)領(lǐng)域的全面推廣和實行。

（2）基于可信計算的主動防護技術(shù)在工控領(lǐng)域的應用推廣

示范項目采用基于可信計算的主動防護與邊界防護有機結(jié)合的綜合防護技術(shù)體系，將可信計算技術(shù)集成到工業(yè)控制器中，使網(wǎng)絡(luò)安全能力相對脆弱的控制系統(tǒng)內(nèi)部具備內(nèi)生安全能力，同時對傳統(tǒng)的安全審計設(shè)備增加控制邏輯和業(yè)務(wù)行為審計的功能，進而打破控制行為和網(wǎng)絡(luò)行為的防護壁壘，能夠?qū)崿F(xiàn)對內(nèi)部和外部不同層面爆發(fā)的網(wǎng)絡(luò)威脅的核心抵御能力。創(chuàng)新性的技術(shù)應用和防護體系建設(shè)帶來的良好防護能力將有助于為當前模糊的工業(yè)安全產(chǎn)品和技術(shù)發(fā)展方向提供正確指引，同時對完善和建設(shè)真正適用于工業(yè)控制系統(tǒng)的安全防護技術(shù)和產(chǎn)品體系形態(tài)能夠提供有力的工程應用支撐。

（3）結(jié)合流程行業(yè)共性特點的普適性應用模板

示范項目選取具備典型工業(yè)特點的百萬千瓦級火電機組，同時全廠采用現(xiàn)場總線技術(shù)實現(xiàn)智能儀表互聯(lián)互通，具備流程行業(yè)工控系統(tǒng)的共性特點。

基于以上基礎(chǔ)設(shè)計和建設(shè)的工業(yè)信息安全解決方案，適用于工控現(xiàn)場同時覆蓋流程行業(yè)全工藝環(huán)節(jié)的綜合安全防護工程應用模板，解決了主動安全技術(shù)與流程行業(yè)工控系統(tǒng)實施應用的適應性難題。

作者簡介：

沈鐵志（1975-），男，黑龍江哈爾濱人，高級工程師，碩士，現(xiàn)就職于國能神福（石獅）發(fā)電有限公司，研究方向為自動化。

穆雷霆（1981-），男，安徽宿州人，工程師，碩士，現(xiàn)就職于寧波和利時信息安全研究院有限公司，研究方向為工業(yè)自動化與網(wǎng)絡(luò)安全。

吳炳輝（1987-），男，福建莆田人，工程師，學士，現(xiàn)就職于國能神福（石獅）發(fā)電有限公司，研究方向為通信工程。

郭玉姬（1990-），女，湖南益陽人，工程師，學士，現(xiàn)就職于國能神福（石獅）發(fā)電有限公司，研究方向為自動化。

摘自《自動化博覽》2022年8月刊