★ 北京网藤科技有限公司

1 项目概况

1.1 项目背景

电力行业是国家重要的关键基础设施，为商业、工业、制造和住宅客户提供必要的能源。随着工业化和信息化的加速融合，电力系统也从相互独立不与外网连接的管理模式逐渐与互联网互通互联。各系统间的互通增加了传统内部网络风险发生的几率，而我国工业网络安全基础设施建设落后，国内DCS所使用的CPU和操作系统等软、硬件依赖进口产品，存在巨大的安全隐患。电力行业是技术密集和资产密集型产业，历来都是利益团体和黑客攻击的重点对象。因此，加快关键信息基础设施国产化替代，实现核心技术自主可控，加强行业网络信息安全建设，提高安全防护意识和能力成为当务之急。

1.2 项目简介

长期以来，国内电力企业的智能监控系统的大部分软硬件依赖国外进口。目前自主可控的国产化控制系统技术日趋成熟并逐步落地应用，解决了自动化控制的“卡脖子”难题，随之安全防护方案中配套的安全产品和技术也处在国产化适配的探索实践阶段。作为典型的关基行业，电力监控系统网络安全规划和建设时除应依据GB/T22239-2019《信息安全技术网络安全等级保护基本要求》外，还要满足行业内国能安全〔2015〕36号《电力监控系统安全防护总体方案》《电力监控系统安全防护规定》《电力可靠性管理办法（暂行）》等相关网络安全要求。

江苏华电句容发电有限公司建设有2×1000MW高效洁净超超临界燃煤发电机组，配套“华电睿蓝”智能控制系统，采用国产元器件、国产芯片、国产处理器、国产操作系统、国产数据库、国产服务器、国产交换机和开源软件，完成了DEH的设计、组态、调试和投运，并对MEH、ETS、FGD等系统进行了改造，在国内首次实现1000MW超超临界机组自主可控DCS&DEH一体化控制，并实现火电厂的一体化控制、保护等功能。本项目以江苏华电句容发电有限公司#1机组DCS系统工业控制系统网络安全保护建设为主线，借助网络产品、安全产品、安全服务、管理制度等手段，建立全面的网络安全防控体系，并以生产控制系统安全为重点，保证业务系统安全运行，从而全面提高生产的工作效率，提升信息化的运用水平。

1.3 项目目标

电力行业是我国重要的战略性产业，对国民经济和国家安全有着重要作用。近年来电力工控系统网络攻击处于高发态势，安全风险愈演愈烈。电力行业风险主要包括：（1）外部网络安全威胁首当其冲；（2）工控系统缺乏内生安全措施，长期处于独立运行状态，漏洞等脆弱性风险无法修复；（3）人员安全意识薄弱，移动存储设备滥用；（4）安全技术滞后于新技术的应用，以及高级持续性威胁虎视眈眈。

通过对江苏华电句容发电有限公司网络结构、网络安全风险分析，针对不同区域间数据通信安全和整体信息化建设要求，本项目建设目标是：

（1）全面识别工业控制网络系统安全现状；

（2）建立健全工控现场操作流程及操作规范的管理机制；

（3）实时监控网络内的异常数据和操作行为及预报预警；

（4）实时保护网络安全，及时阻止恶意代码、网络漏洞等对控制网络的破坏；

（5）降低通过移动存储介质的方式拷贝数据遭受攻击的几率；

（6）追溯入侵者对工业控制网络的恶意攻击与破坏的源头和路径；

（7）对生产网络内安全资产的一体化管理和运行态势分析。

2 项目实施

2.1 安全防护方案

根据对现有工控系统调研，依据能源局36号文、工信部《工业控制系统信息安全防护指南》《信息安全技术网络安全等级保护基本要求》等技术标准及指导性文件，根据“一个中心”管理下的“三重保护”体系框架进行设计，结合电厂现有国产化应用能力水平，建立“网络建设合规、安全防护到位”的防护思想，构建由安全计算环境、安全区域边界、安全通信网络和安全管理中心组成的工控系统的整体安全防护建设。建设体系架构如图1所示。

图1 建设体系架构图

2.1.1 安全计算环境

（1）主机安全防护

本项目在生产控制大区各终端主机部署终端安全防护类软件，实现终端进程的可信管理，如图2所示。该软件利用“防疫卫士”功能，优先保障客户自身软件正常运行，不被篡改；阻止其他病毒、恶意程序以及与业务无关的软件运行；提供极高的安全性，且与国产软硬件兼容性强，目前已成功与飞腾、麒麟、凝思等国产化系统完美兼容并使用。

图2 工控主机安全卫士

（2）USB存储介质管控

在生产控制大区工程师站交换机处旁路部署USB安全隔离装置，解决外部病毒、木马等威胁源通过USB存储介质带入到工控网络的风险隐患。该防护理念是从病毒入侵的源头出发，切断病毒入侵途径，通过独立的硬件隔离产品，实现外部数据到工控网络的数据摆渡，并提供接入工控网络前的病毒查杀措施。同时，这种安全隔离产品，还提供USB移动存储介质的全生命周期的安全管控，如图3所示。

图3 移动存储介质管控方案

2.1.2 安全区域边界

（1）网络边界防护

在生产控制大区控制区与非控制区边界部署边界隔离设备，提高各区域间访问控制能力，合理梳理优化边界设备的安全策略，遵循最小化和白名单原则，只允许业务数据通过边界，阻断其他非授权连接，例如来自区域之间的越权访问、病毒、蠕虫恶意软件扩散和入侵攻击，保护各个区域控制系统安全运行。

（2）边界入侵检测

在生产控制大区核心组网交换机处旁路部署入侵检测系统，实现网络威胁入侵检测，及时发现网络异常情况、蠕虫、木马病毒以及APT等恶意程序的传播状况，并对僵尸主机监控定位，实现网络运行状态的实时监控。在对经过流量的报文进行深入七层实时解析的基础上，该系统不仅可以做到对恶意代码、注入攻击及蠕虫木马等威胁的检测及防护，还可以对应用程序及URL等内容进行深度识别控制，并具备带宽管控的功能，从而在提供标准攻击检测防御的同时实现上网行为管理的功能。

2.1.3 安全通信网络

（1）日志安全分析

在生产控制大区核心交换机旁路部署日志审计系统。该系统能够实时将工业控制网络中网络设备、安全设备、服务器、数据库系统的日志信息进行统一收集、处理和关联分析，帮助一线管理人员从海量日志中迅速、精准地识别安全事件，并及时对安全事件进行追溯或干预。该系统满足国家标准规范中关于日志审计的相关要求。

（2）工控流量监测

在生产控制大区各子系统交换机旁路部署工控安全审计系统，实现对工控网络中的网络流量进行采集、监测和分析，有效识别工控网络中的安全隐患、恶意攻击以及违规操作、误操作、指令异常、参数篡改等安全事件，并通过阈值级的内容检测，及时发现业务管理的痛点问题。工控安全审计系统采用旁路接入方式，只抓取现场控制系统网络数据包进行分析处理，不向现场控制系统发送任何命令和数据包，如图4所示。

图4 工控流量监测

2.1.4 安全管理中心

（1）安全运维审计

在新建安全管理区核心交换机旁路部署账号集中管理与审计系统，用以解决工程师在运维过程中的认证授权、用户准入控制、运维审计等方面的信息安全问题，如图5所示。

图5 安全运维审计

（2）安全管理平台

为满足集中统一管理的要求，在生产控制大区安全生产Ⅱ区建立安全管理中心，构建电厂安全体系的统一管理平台，实现对安全设备的集中管控，并将实时分析结果推送到安管中心，为安全运维人员提供技术支撑。同时在安全管理中心部署工控漏洞扫描系统，对工业控制系统快速、精确、高效地进行网络安全风险合规巡检，如图6所示。

图6 工控安全管理平台

2.1.5 安全防护

图7为安全防护示意图。

图7 安全防护示意图

2.2 应用效果

本项目采用主动防御体系及纵深防御思想，创新性地将静态防御和主动的动态防御相结合，实现句容发电有限公司网络结构安全和深层防御能力，并满足合规性要求。

（1）实施后，对网络攻击、违规使用等情况，采用深度分析技术对网络进行不间断监控，分析来自网络内部和外部的入侵企图，并进行报警、响应和防范，有效延伸了网络安全防御层次，提高了各系统网络安全事件识别和响应能力；

（2）实施后，提高系统识别各类网络攻击行为的能力，并有效应对内部或外部发起的网络入侵行为；

（3）实施后，利于管理员定期分析各系统日志信息，也利于对安全事件、用户访问记录、系统运行日志、系统运行状态、网络存取日志等各类信息进行集中管理分析；

（4）实施后，减轻新能源电站日常IOT资产设备的运维强度和成本，通过集控中心统一安管平台，快速识别业务系统中的安全风险；提高系统管理人员安全意识，提高现场设备应对外来威胁的防御能力，减少自身脆弱性。

3 案例亮点及创新性

（1）安全产品实现基于国产化硬件平台的自主可控技术，积极支撑关基领域的国产化替代，为应用国产系统的用户提供全面、可靠的安全保障。

（2）基于网藤科技多年技术积累以及对火力发电行业的深入理解，结合火力发电行业工艺流程特点，利用自有的行业知识库研发具有行业特色的“安全保护模型”，并建立“检测规则”，准确识别电厂生产网络中的异常流量、异常行为、漏洞利用攻击、恶意代码攻击等入侵行为并实时告警。

（3）创新的工控主机外置病毒查杀机制，从根本上解决了工控主机与防病毒软件可能存在的兼容性和无法在线升级的问题；依托1200万+病毒库及双引擎查杀能力，有效提高病毒检测能力，且可实现移动存储介质的授权管理、安全接入和综合审计等全流程管理，杜绝移动存储介质“滥用”的安全隐患。

（4）方案中采用的工控主机安全卫士在“白名单”防护产品基础功能上，新增加了软件防疫卫士和病毒专杀工具，且可实现与USB安全隔离装置的策略联动，如U盘授权互认；利用主机本体+外设接口一体化防护技术，形成行业内创新的软件+硬件的终端防护方案，广泛适配国产化环境，为工控主机的安全保驾护航。

《自动化博览》2023年1月刊暨《工业控制系统信息安全专刊（第九辑）》