★ 周盛杭州和利时自动化有限公司

★ 吕世民宁波和利时信息安全研究院有限公司

★ 田志宏广州大学网络空间安全学院

1 项目概况

1.1 项目背景

国能神福（石狮）发电有限公司2×1050MW机组是国内技术水平领先的百万千瓦级超超临界发电机组，是福建省“十一五”能源发展专项规划和电力发展规划确定的优化发展煤电和热电联产大型电源点，是“神华电站数字化建设解决方案”的标杆项目。该厂采用和利时公司HOLLiAS-MACS大型分布式控制系统，实现了DCS和DEH在百万千瓦级机组的一体化应用，实现了全厂智能仪表的现场总线互联互通，在国内大型电厂具有典型代表意义。但由于机组在初始建设时未考虑完善网络安全设计，未部署其他网络安全系统及设备，不能满足国家网络安全和电网公司二次防护要求。因此，需要加强机组的网络安全防护建设，满足等保合规等需求。

1.2 项目简介

国能神福（石狮）发电有限公司2×1050MW机组安全防护项目基于国能神福（石狮）发电有限公司2×1050MW机组，实现基于可信计算3.0技术的安全防护方案在火电超超临界百万千瓦机组DCS的应用。该项目致力于突破工控系统的安全保护关键技术，构建系统可信环境，设计一体化主动防御体系，研发关键内生安全工控系统和工控安全防护产品，并应用在鸿山电厂百万千瓦机组国产DCS系统安全防护中。

本项目按照“需求分析-研究开发-设计实施-系统运行-安全服务”的阶段开展研究工作，通过分析工控系统面临的安全风险及安全需求，围绕“识别—保护—检测—响应”防护闭环，研究工控系统可信环境构建机制、业务和安全相融合的检测审计和访问控制等技术，在此基础上实现基于可信计算技术、实时保障控制行为安全和业务流程作业安全的主动防御安全产品和控制系统。基于等保2.0三级要求构建纵深防御体系并在百万千瓦机组国产DCS系统中实施，并进行持续的安全运行、管理和维护。

1.3 项目目标

为解决电力行业内工业安全防护的难题，同时解决神华福能发电有限责任公司现有安全防护能力不足的问题，建设基于可信计算环境的网络安全系统及机制，本项目进行基于可信计算的百万机组国产DCS系统信息安全技术研究，并对神华福能发电有限责任公司现有DCS网络结构进行相关调整优化，部署网络安全监控管理设备，使其全面满足GB/T22239-2019《信息安全技术网络安全等级保护基本要求》等规范的要求。

2 项目实施

2.1 技术路线

本项目技术路线以常规防护如边界防护、入侵检测、安全审计等外围防护为基础，结合基于可信计算的主动防护技术，构建内生安全的纵深综合防护体系。将可信计算、数字证书体系、强制访问控制、深度协议解析、业务行为审计等安全技术融入工业控制系统，并结合终端防护和核心控制器防护为工业控制系统运行提供安全保障。项目安全防护建设整体技术路线如图1所示。

图1 项目安全防护建设整体技术路线

2.2 防护方案

安全防护方案遵循GB/T25070-2019《网络安全等级保护安全设计技术要求》，以设计要求中提出的工业控制系统保护安全技术设计框架为基础，设计满足工业控制系统等级保护安全，构建在安全管理中心支持下的计算环境、区域边界、通信网络三重防御体系，从边界防护、终端防护、检测审计、安全管理等角度实现全面的IoT安全防护。

（1）边界防护

对控制系统之间进行信息传输实施安全策略，包括合理的网络架构和分区、通信传输时的访问控制和数据安全等，通过安全可信工业防火墙和安全可信工业安全隔离与信息交换系统进行网络边界的防护。

其中，工业防火墙主要在控制网络内部进行分区分域安全管理与访问控制，基于逻辑隔离技术，通过包过滤、访问控制等一系列措施，在实现隔离防护的同时，可满足不同安全区域之间的网络访问需求，有效防止不同安全区内的威胁蔓延；工业安全隔离与信息交换系统主要实现内部网络与外部网络，即DCS控制网络和SIS网络之间的隔离和安全数据交换，有效防止管理网内的网络威胁蔓延到生产监控网内，满足合规要求。

（2）终端防护

核心控制系统采用安全可信DCS，内部集成信息安全功能，支持与组态上位机的加密通信，同时协议栈经过优化后具备对DDoS攻击、畸形报文攻击和非法报文攻击的网络自抵御能力；控制系统采用可信计算3.0双体系架构，支持全生命周期动静态可信度量，能够实现对内核中可能存在的恶意代码的加载和启动度量，以及对系统实时运行过程中的系统和业务行为的度量，有效抑制内嵌恶意代码和代码篡改的风险。

控制系统上位机加装基于可信计算和主机白名单的可信终端防护系统实现终端的病毒和安全防护，进行主机加固。系统通过可信度量、白名单防护、访问控制、外设管控、漏洞防御、网络防护、资产管理、集中管理、资源监控、告警与安全审计等功能，提供对主机终端的有效保护，全面满足标准规范要求。

（3）检测审计

在控制系统关键交换机旁路部署安全可信工业网络检测审计系统，对网络流量进行采集和分析，对通信报文进行深度解析，能够实时检测针对工业协议的网络攻击、用户误操作、用户违规操作及非法设备接入并实时报警；同时详实记录一切网络通信行为，满足网络流量安全检测预警和审计要求；此外，可有效检测网络威胁和入侵行为，针对检测到的威胁和入侵行为进行记录和告警，满足合规和网络边界防范要求。

通过部署安全可信工业日志审计系统，实时收集电厂中的安全设备、网络设备、主机设备的日志、警报等信息，支持收集、存储、查询、统计分析和关联分析等功能，实现全网综合安全审计；实时地对采集到的不同类型的日志和事件信息进行标准化（归一化）和实时关联分析，并通过仪表板进行实时动态、可视化呈现。

（4）安全管理

建设统一的工业安全可信管理平台，对各类IT和OT设备数据（工业网络中各类上位机服务器、工控终端、网络交换设备、工控安全设备）进行采集，含网络流量数据采集、设备日志采集、安全设备事件收集和安全设备配置采集，并进行设备状态监控、统一管理和配置、安全可信策略统一部署及安全事件的集中展示，依赖于工控知识库的安全响应与处置，发现工控网络内部的异常行为，平台对各类数据和时间进行统一分析与展示，如图2所示。

图2 机组安全防护部署典型图

2.3 应用效果

本项目针对国内大型火电机组DCS控制系统面临的网络安全问题，采用基于可信计算3.0技术的主动安全防护方案，形成以控制系统内生安全为核心，配合边界安全措施，满足等级保护三级要求的信息安全防护体系。安全防护技术与电厂控制业务深度融合，和控制系统深度兼容，形成对控制逻辑和控制网络数据有效监管和防护的一体化监测方案，助力电厂业务安全稳定运行。该方案实现安全可信主动防护体系在超超临界1000MW火电机组的应用突破，具有技术创新性和很好的推广价值。

3 案例亮点及创新性

3.1 方案创新性

本项目方案结合基于可信计算的主动防护与边界防护构成内外贯穿的综合防护体系，在满足网络安全等级保护2.0标准的同时，最大化提升工业控制系统的网络安全防护能力，具备良好的技术创新和应用示范效应。

（1）基于可信计算的自主免疫内生安全体系

针对火电百万机组DCS系统安全防护，本方案全面应用了可信计算技术体系，打破了传统以边界防护为主体的网络安全防护理念，构建了基于控制系统本身的内生主动防护体系。

在传统信息防护手段基础上，本方案设计并应用了适用于工业控制场景的可信计算技术，通过控制系统可信计算体系，增强控制系统的内生安全防护能力。在可信计算安全策略的指导下，针对工业控制网络的实时控制行为和业务流程作业，本方案构建了实现贯穿设计、运行、服务全生命周期的防御、检测、响应、预测的主动安全防御循环技术体系（TDDRP）。

（2）基于可信计算的控制安全一体化业务行为监测

在实际的工控环境中，通常缺乏针对工业控制系统的安全监测及配置变更管理，导致安全事故的分析难以进行。目前，在应用系统层面的误操作、违规操作或故意的破坏性操作是国内工业控制系统面临的主要安全风险。本方案基于安全可信策略的应用，对生产网络的访问行为与特定控制协议内容的真实性和完整性进行监控、管理与审计。本方案依托DCS厂家在工业控制系统专用网络和通信的技术积累，将传统边界防护解决方案与控制系统网络和数据特点有机融合，形成对控制逻辑和控制网络数据有效监管和防护的一体化监测方案，实现安全中有控制、控制中有安全的突破性解决方案。

（3）基于可信计算的工控强制访问控制防护模型

针对工控系统的特殊性，传统的信息防护手段不能完全满足工业信息安全的需求。因此，在传统边界防护的信息防护手段基础上，本方案设计并应用了适用于工业控制场景的可信计算技术，通过控制系统内嵌可信计算体系，增强控制系统自身的防护能力。通过嵌入式防护技术的集成，控制系统能够对启动态和运行态的恶意代码和内核变化进行主动检测和可信度量，进一步发现存在的威胁和隐患。同时在可信计算技术的基础上结合强制访问控制技术，对工控系统中操作系统和逻辑行为所涉及的关键主、客体增加安全标记，通过建立适用于工业控制逻辑业务需求的强制访问控制模型，保证控制过程中关键的访问行为均在可控范围之内进行。通过建立应用于工业场景的强制访问控制机制，有效避免越权操作，进而保障控制系统的安全可控。可信计算和强制访问控制的结合，使工业系统的信息安全防护不只是依赖外围的边界防护设备，当发生由内爆发的或外部突破进入的威胁时，控制系统有足够的自保或应对能力。

3.2 方案推广价值

本项目方案在控制系统规模和复杂度上具备良好的示范效果，通过该项目的信息安全建设能实现以下目标：

（1）满足等保2.0要求的大规模工业现场应用与方案推广

本项目选择以大型分布式控制系统为核心中枢的百万千瓦级超超临界火电机组开展信息安全设计和实施，填补了新标准在实际工业领域工程项目应用的空白，通过该项目可对新标准技术要求进行合理有效的验证。该示范项目能够进一步完善等保2.0工业控制系统安全技术体系、管理体系和测评体系建设，对后续开展全国范围的工业控制领域网络安全等级保护评估和建设具有良好的推广和示范意义，能够有力地推动网络安全等级保护2.0标准在工业领域的全面推广和实行。

（2）基于可信计算的主动防护技术在工控领域的应用推广

本示范项目采用基于可信计算的主动防护与边界防护有机结合的综合防护技术体系，将可信计算技术集成到工业控制器中，使网络安全能力相对脆弱的控制系统内部具备内生安全能力，同时通过对传统的安全审计设备增加控制逻辑和业务行为审计的功能，进而打破控制行为和网络行为的防护壁垒，能够实现对内部和外部不同层面爆发的网络威胁的核心抵御能力。本项目中创新性的技术应用和防护体系建设带来的良好防护能力将有助于为当前模糊的工业安全产品和技术发展方向提供正确指引，同时对完善和建设真正适用于工业控制系统的安全防护技术和产品体系形态能够提供有力的工程应用支撑。

（3）结合流程行业共性特点的普适性应用模板

本示范项目选取具备典型工业特点的百万千瓦级火电机组，同时全厂采用现场总线技术实现智能仪表互联互通，具备流程行业工控系统的共性特点。

基于以上基础设计和建设的工业信息安全解决方案，该项目适用于工控现场同时覆盖流程行业全工艺环节的综合安全防护工程应用模板，解决了主动安全技术与流程行业工控系统实施应用的适应性难题。

3.3 效益分析

（1）经济效益

通过对基于可信计算技术的百万机组DCS系统信息安全技术的研究并进行应用，可对发电现场控制系统进行全面有效的防护，防止系统受到病毒、木马等各种形式的网络攻击，从而避免因停产等原因造成的经济损失，每避免一次非计划停机预计节约机组启停费用约200万元。

（2）社会效益

本课题内容实施后，可突破目前国产百万千瓦级火力发电厂基于可信计算技术按照等保2.0三级要求建设工业控制系统网络信息安全的技术空白，从根源降低电网安全事件影响，为后续集团内各电厂进行信息安全建设提供技术指导，并可作为标杆为国内其他电厂在按照等级保护2.0要求建设监控系统安全制度、系统仿真和测试验证、等级保护测评等方面提供成熟经验并在国内发电行业进行推广及应用。

《自动化博览》2023年1月刊暨《工业控制系统信息安全专刊（第九辑）》