與傳統(tǒng)電廠相比較，智慧電廠實現(xiàn)了網(wǎng)絡(luò)化和信息系統(tǒng)化的建設(shè)運營，這些特征同時也給電廠的工控安全帶來了更高的風險，那么如何針對性的提出合適的解決方案呢?帶著這一問題，華北電力大學科技園信息安全中心解決方案經(jīng)理張浩軍在中國能源研究會節(jié)能減排中心與華北電力大學國家大學科技園聯(lián)合舉辦“2018年智慧電廠論壇(第一期)”上發(fā)表重要講話。北極星電力網(wǎng)全程對會議進行直播，如需了解更多的會議直播，請聯(lián)系微信號：13693626116

華北電力大學科技園信息安全中心解決方案經(jīng)理張浩軍主題演講《智慧電廠工控安全解決方案》

大家下午好!今天非常有幸給大家介紹一下關(guān)于智慧電廠的工控安全解決方案。我從以下四點介紹：

第一，智慧電廠的現(xiàn)狀和面臨的安全問題，就是說我們?yōu)槭裁匆M行安全防護。

第二，國家的政策和行業(yè)的監(jiān)管要求，就是說我們的安全防護的方案依據(jù)是什么。

第三，我們安全防護方案的簡介。

第四，公共安全產(chǎn)品的簡介。

第一，智慧電廠的現(xiàn)狀及面臨的一些安全的問題。

我們對智慧電廠的理解基本就是以上四個部分：智能決策、智能管理、智能生產(chǎn)、智能控制。就是說智能覆蓋在電廠生產(chǎn)、管理、運營的方方面面。

這個是電廠所采用的一些核心技術(shù)，就是現(xiàn)在比較先進的，比如物聯(lián)網(wǎng)技術(shù)、人工智能技術(shù)、空間地理信息和大數(shù)據(jù)融合。電廠與現(xiàn)在這些最先進的信息和通信技術(shù)深度結(jié)合，能夠達到更加環(huán)保、更加高效、更加盈利的目的。

雖然智慧電廠有以上種種的好處，隨著智能化的發(fā)展，電廠面臨的安全風險點會越來越高，導(dǎo)致風險越來越高的原因有以下五個：

1，漏洞劇增。一提到工控安全，大家都避不過2010年伊朗的“震網(wǎng)”病毒，2010年以前大家所說的信息安全主要是互聯(lián)網(wǎng)安全，當“震網(wǎng)”病毒爆發(fā)以后，相關(guān)工控部門都對系統(tǒng)的安全防護都重視起來了起來。所以相關(guān)的一些法律法規(guī)、政策還有一些防護措施也陸續(xù)推出，我們同時也看到了，漏洞從“震網(wǎng)”病毒爆發(fā)以后，工控的漏洞也在不斷的增加，從“震網(wǎng)”病毒爆發(fā)以前，我們已知的漏洞已經(jīng)有幾十個，我們現(xiàn)在知道的漏洞已經(jīng)有1500多個，而且這些漏洞覆蓋100多個工控廠商的產(chǎn)品。這些產(chǎn)品據(jù)我們現(xiàn)在所知，大概有1/3并沒有完全解決。

2，互聯(lián)互通。由于現(xiàn)在最先進的這些信息化的技術(shù)，還有通訊技術(shù)的應(yīng)用，導(dǎo)致了一些系統(tǒng)之間的協(xié)作增加，大量的生產(chǎn)數(shù)據(jù)被采集上來，這些系統(tǒng)的互聯(lián)互通由以前的封閉走向開放而且是越來越開放，這些開放導(dǎo)致了安全邊界的擴大。舉個比較簡單的例子，剛才說的這些智慧電廠在無線網(wǎng)的應(yīng)用，在有線網(wǎng)如果接到內(nèi)部系統(tǒng)里，首先要能夠進入這個辦公區(qū)，然后再進入到機房，有保安、有門禁，可是無線你只要在無線的信號范圍之內(nèi)，你就有可能通過無線的方式連到內(nèi)網(wǎng)，然后采取攻擊。隨著安全邊界的擴大，攻擊的途徑也在增加。

3，攻擊趨易。隨著現(xiàn)在技術(shù)的發(fā)展，網(wǎng)絡(luò)上有大量的黑客大會、開源社區(qū)、白帽社區(qū)，通過這些社區(qū)可以非常方便的獲得一些網(wǎng)絡(luò)攻擊的方法，而且有些方法寫的非常詳盡，基本上可以作為操作手冊。第二，攻擊的工具，從這些比如黑客網(wǎng)站、社區(qū)上可以非常方便的獲得這些網(wǎng)絡(luò)攻擊工具，而且這些工具操作非常便利。第三，現(xiàn)在網(wǎng)絡(luò)上有一些可以形容為網(wǎng)絡(luò)雇傭軍，已經(jīng)有一些黑客的網(wǎng)站，你只要付費，那些黑客就會替你進行你所需要的網(wǎng)絡(luò)攻擊。

4，基礎(chǔ)薄弱。兩個方面，第一，公用系統(tǒng)，現(xiàn)在工控系統(tǒng)的軟硬件絕大部分沒有實現(xiàn)國產(chǎn)化，還是國外廠商的產(chǎn)品。第二，現(xiàn)在我們的安全防護，尤其是電廠的防護，現(xiàn)在雖然做的在整個工控系統(tǒng)的防控來說是做的比較好的，實際也只是剛剛起步，一旦面臨著國家級的、專業(yè)級的攻擊，其結(jié)果也就可想而知。

5，目標的重要性。工控系統(tǒng)作為國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，已經(jīng)成為了網(wǎng)絡(luò)部隊、黑客還有一些極端勢力的重要攻擊目標。

以上五個原因?qū)е码姀S的風險實際上是非常高的。如何來解決這些風險呢?就需要對電廠的工控系統(tǒng)進行安全防護，而電廠的工控安全防護的依據(jù)是什么呢?要依據(jù)國家的政策要求和行業(yè)的監(jiān)管要求，就是說你的工控安全方案首先要合規(guī)。

這些主要是從“震網(wǎng)”病毒以后國家陸續(xù)推出的一些行業(yè)的規(guī)范和行政命令，首先有2011年工信部發(fā)布的451號文，2013年能源局的387號穩(wěn)，2014年發(fā)改委的14號令，2015年能源局的36號文，2016年工信部的338號文，去年的《網(wǎng)絡(luò)安全法》。

首先介紹一下國家能源局的36號文，是在等保的基礎(chǔ)上，參考電力的實際情況，制定的關(guān)鍵工控系統(tǒng)如何進行防護，分為以下五個部分，隔離與加密，就是我們以前電廠提到的橫向隔離和縱向加密。剩下4個，就是安全審計、惡意代碼防范、入侵檢查和訪問控制。

下一個就是等級保護，從技術(shù)防護方面大概分為以下五個部分，物理的安全、網(wǎng)絡(luò)的安全、主機的安全、應(yīng)用安全和數(shù)據(jù)安全。大家可以看到紅的字，可以看到跟36號文的防控基本上大體相似，因為36號文本身就是基于等保來制定的。

最后介紹一下《網(wǎng)絡(luò)安全法》，在《網(wǎng)絡(luò)安全法》里將信息安全、網(wǎng)絡(luò)安全提高到了法律的層次，并且明確規(guī)定了國家要實行網(wǎng)絡(luò)和等級保護制度，并對信息安全的責任人、防控工作如何做，并對不履行本法的人員、運營者如何進行處罰。

第三部分，介紹一下智慧電廠的安全防護方案。

剛才我說到的，安全防護方案主要是依據(jù)于能源局的36號文，剛才也提到了智慧電廠是電廠結(jié)合大量先進的信息和通訊技術(shù)，所以系統(tǒng)之間的數(shù)據(jù)、應(yīng)用非常多，而且非常復(fù)雜，如何進行防護呢?第一步就是要進行安全分區(qū)，把整個網(wǎng)絡(luò)架構(gòu)清晰化，我們對電廠的系統(tǒng)防護首先分為兩大區(qū)，生產(chǎn)控制大區(qū)和管理信息大區(qū)，生產(chǎn)控制大區(qū)又可以細分為控制區(qū)的一區(qū)和非控制區(qū)的二區(qū)，控制區(qū)就是說參與生產(chǎn)，對前方的一次系統(tǒng)有控制功能的系統(tǒng)，二區(qū)就是非控制區(qū)，也是參與生產(chǎn)，但是對前方的應(yīng)用系統(tǒng)沒有控制，其他的系統(tǒng)就屬于管理信息大區(qū)。

在區(qū)域之間、大區(qū)之間、系統(tǒng)之間、生產(chǎn)區(qū)與地方的系統(tǒng)之間，要進行邊界隔離，在生產(chǎn)系統(tǒng)與電網(wǎng)的調(diào)度系統(tǒng)之間要實行縱向加密。通過這兩種方式，實現(xiàn)的是層層的防御，就像一個城堡一樣，越往外他的防護等級越高，從外往里每個邊界都有安全防護設(shè)備，需要一步一步的攻進來。第二個作用，他將每個區(qū)域都完全區(qū)分開，如果這個區(qū)域里一旦有惡意代碼或者攻擊，這個惡意代碼的擴散只能在這個系統(tǒng)內(nèi)部，而不能非常便利的擴散到其他系統(tǒng)或者擴散到每個電廠的控制系統(tǒng)。

第二，系統(tǒng)里如何進行防護，我們采用的就是點面結(jié)合的綜合防御，點就是說系統(tǒng)里邊每臺電腦服務(wù)器，就相當于系統(tǒng)里的點，面就是系統(tǒng)里的網(wǎng)絡(luò)。面的防御就是采用安全審計和入侵檢測的設(shè)備，采集網(wǎng)絡(luò)當中的數(shù)據(jù)，對數(shù)據(jù)進行分析，一旦發(fā)現(xiàn)有惡意代碼或者攻擊的特征數(shù)據(jù)，我們就會及時的，第一告警，第二記錄下來，以備日后的查詢。這個點，主機的防護，我們通過在主機加上軟件，采用白名單的方式防護主機上的惡意代碼。

下面我來介紹一下工控安全安全防護方案所涉及的四大類產(chǎn)品，1，邊界隔離，就是橫向隔離設(shè)備。橫向隔離設(shè)備一般來說有單向隔離網(wǎng)閘和公共防火墻，還有一些邏輯控制到網(wǎng)絡(luò)設(shè)備。2，縱向加密，也就是說現(xiàn)在說的縱向加密設(shè)備，基本上電廠已經(jīng)都應(yīng)該有實施。3，監(jiān)測的安全審計設(shè)備，也就是涉及和入侵檢測設(shè)備。4，主機的防護，就是主機交互軟件。

接下來我來詳細介紹橫向隔離，就是邊界防護。橫向隔離就是邊界防護大概分為四個部分：

1，生產(chǎn)控制大區(qū)與管理信息大區(qū)之間的隔離。這個隔離他的隔離強度應(yīng)該達到近似于物理隔離，就是要使用電力專用的單向、橫向隔離網(wǎng)閘，保證數(shù)據(jù)能單向傳輸，防御已知和未知的攻擊。

2，在生產(chǎn)大區(qū)內(nèi)部的安全一區(qū)跟二區(qū)之間的橫向隔離，這個防護等級設(shè)備可以采用單向隔離網(wǎng)閘，也可以采用邏輯隔離的工業(yè)防火墻。這個應(yīng)用關(guān)鍵選擇就看你實際的兩個區(qū)域至今數(shù)據(jù)流的具體應(yīng)用，但是特別說明一下，這個工控防火墻不是我們傳統(tǒng)以前以為的普通的防火墻，他兩個防火墻之間的區(qū)別，首先第一是說，這個防火墻要能夠深度解析工業(yè)協(xié)議，第二，他得通過白名單的方式進行防護。

3，區(qū)域當中的系統(tǒng)之間的邊界隔離。這個邊界隔離的強度是說，也可以選擇單向隔離設(shè)備，也可以選擇能達到邏輯隔離的工控防火墻，同樣可以選擇有訪問控制功能的網(wǎng)絡(luò)設(shè)備。這三種便利隔離設(shè)備，安全級別就是近似于物理隔離的單向隔離設(shè)備的安全性高于邏輯隔離的工控防火墻，邏輯防控功能的工控防火墻的安全等級高于有訪問控制功能的網(wǎng)絡(luò)設(shè)備。我們的使用原則，在保證應(yīng)用的前提下，安全就高不就低，

4，第三方的邊界隔離。第三方的邊界隔離，舉個例子，比如現(xiàn)在的環(huán)保，現(xiàn)在環(huán)保比較重視像火電廠的生產(chǎn)數(shù)據(jù)，他的排放，他需要前端的生產(chǎn)系統(tǒng)直接采生產(chǎn)數(shù)據(jù)，這樣直接接到一區(qū)甚至二區(qū)。這種情況下他的防護等級必須采用近似于物理隔離的單向隔離設(shè)備。

上面4個隔離就像我剛才說的，是層層的防御，每個系統(tǒng)之間都有邊界隔離設(shè)備進行防護，系統(tǒng)與系統(tǒng)之間互相的影響，都有設(shè)備進行防護。

第二，介紹一下系統(tǒng)內(nèi)部的防護，就是剛才我說的點面結(jié)合的綜合防護。

1，入侵檢測設(shè)備。入侵檢測設(shè)備通常部署在系統(tǒng)的邊界，它主要是采集交換機上的鏡像數(shù)據(jù)，發(fā)現(xiàn)從內(nèi)到外或者從外到內(nèi)的攻擊行為，當發(fā)現(xiàn)這種攻擊行為以后，他會把這種攻擊行為首先是報警，然后是記錄下來。

2，安全審計。主要是部署在系統(tǒng)的核心。同樣是采集鏡像數(shù)據(jù)，對數(shù)據(jù)進行分析，當發(fā)現(xiàn)異常情況，也會及時告警，并把這種情況記錄下來。這兩個設(shè)備它的部署全部都是在交換機的鏡像部署上龐向部署，不深入到系統(tǒng)，不跟系統(tǒng)發(fā)生直接的聯(lián)系。

3，點的防控。就是主機加固。通過在主機系統(tǒng)上安裝主機加固軟件，對系統(tǒng)進行安全防護，防護系統(tǒng)里的比如惡意代碼，他采用的是白名單的方式，他的應(yīng)用可以類比一下殺毒軟件，但是殺毒軟件采用的是黑名單的方式，殺毒軟件一般如何進行防護呢?首先對數(shù)據(jù)進行分析，然后對比他的病毒庫，當發(fā)現(xiàn)這個數(shù)據(jù)是病毒的話進行隔離、進行刪除、進行處理。

但是這種模式在工業(yè)環(huán)境當中有幾個弊端，1，病毒庫不能實時更新。因為你畢竟是工業(yè)環(huán)境，你與互聯(lián)網(wǎng)的連接是沒有那么通常的，你的病毒庫沒法實時更新，新的病毒出現(xiàn)的時候?qū)嶋H上是起不到什么作用的的。2，殺毒軟件是有誤殺功能的。白名單這種模式，首先是把你的正常應(yīng)用列入到白名單當中去，不在白名單的應(yīng)用，比如說惡意代碼，它一般的攻擊首先是先要運營起來掃描，發(fā)現(xiàn)弱點進行攻擊，你不在白名單當中，你這個軟件根本就運行不起來，也就是說你基本上就沒有破壞能力。

最后一個部分，介紹一下公共安全產(chǎn)品。2017年初我們與北京和信網(wǎng)安科技有限公司聯(lián)合成立了“電力工控的安全技術(shù)及設(shè)備研發(fā)中心”。研發(fā)中心的核心就是提供安全工控的解決方案，主要面向電力。

1，介紹一下我們的產(chǎn)品，首先是天御6000的網(wǎng)絡(luò)安全隔離系統(tǒng)，近似于物理隔離，保證數(shù)據(jù)是單向傳輸，只能從一個方向向另一個方向發(fā)送數(shù)據(jù)，TCP的回用字節(jié)根據(jù)要求小于1BT。

2，接下來介紹一下我們天御6000的工控防火墻。工控防火墻的防火等級能夠達到邏輯隔離，這種工控防火墻主要的作用就是說，通過白名單的方式進行防護，他主要與普通防火墻的區(qū)別，能夠?qū)I(yè)協(xié)議進行解析，因為你應(yīng)用在工業(yè)環(huán)境，大部分數(shù)據(jù)都是通過工業(yè)協(xié)議進行傳輸，如果你不能解析工業(yè)協(xié)議，你防火墻的策略設(shè)置要不全關(guān)、要不全開，往往不能達到最佳效果。

3，介紹一下我們的公共安全監(jiān)測與審計系統(tǒng)。我們的工控安全審計系統(tǒng)，首先也是能夠解析工業(yè)協(xié)議，通過在系統(tǒng)內(nèi)部采集鏡像數(shù)據(jù)，對數(shù)據(jù)進行分析，當發(fā)現(xiàn)異常情況，就會及時告警，并將這個告警狀況記錄下來。

4，最后一個產(chǎn)品是天御1000的工控主機加固。就是我剛剛說的主機加固軟件，它是一個軟件，通過一個白名單的方式，防御主機上的病毒和密碼，實現(xiàn)全生命周期的安全保障。

我的介紹到此結(jié)束。謝謝大家!