與傳統電廠相比較，智慧電廠實現了網絡化和信息系統化的建設運營，這些特征同時也給電廠的工控安全帶來了更高的風險，那么如何針對性的提出合適的解決方案呢?帶著這一問題，華北電力大學科技園信息安全中心解決方案經理張浩軍在中國能源研究會節(jié)能減排中心與華北電力大學國家大學科技園聯合舉辦“2018年智慧電廠論壇(第一期)”上發(fā)表重要講話。北極星電力網全程對會議進行直播，如需了解更多的會議直播，請聯系微信號：13693626116

華北電力大學科技園信息安全中心解決方案經理張浩軍主題演講《智慧電廠工控安全解決方案》

大家下午好!今天非常有幸給大家介紹一下關于智慧電廠的工控安全解決方案。我從以下四點介紹：

第一，智慧電廠的現狀和面臨的安全問題，就是說我們?yōu)槭裁匆M行安全防護。

第二，國家的政策和行業(yè)的監(jiān)管要求，就是說我們的安全防護的方案依據是什么。

第三，我們安全防護方案的簡介。

第四，公共安全產品的簡介。

第一，智慧電廠的現狀及面臨的一些安全的問題。

我們對智慧電廠的理解基本就是以上四個部分：智能決策、智能管理、智能生產、智能控制。就是說智能覆蓋在電廠生產、管理、運營的方方面面。

這個是電廠所采用的一些核心技術，就是現在比較先進的，比如物聯網技術、人工智能技術、空間地理信息和大數據融合。電廠與現在這些最先進的信息和通信技術深度結合，能夠達到更加環(huán)保、更加高效、更加盈利的目的。

雖然智慧電廠有以上種種的好處，隨著智能化的發(fā)展，電廠面臨的安全風險點會越來越高，導致風險越來越高的原因有以下五個：

1，漏洞劇增。一提到工控安全，大家都避不過2010年伊朗的“震網”病毒，2010年以前大家所說的信息安全主要是互聯網安全，當“震網”病毒爆發(fā)以后，相關工控部門都對系統的安全防護都重視起來了起來。所以相關的一些法律法規(guī)、政策還有一些防護措施也陸續(xù)推出，我們同時也看到了，漏洞從“震網”病毒爆發(fā)以后，工控的漏洞也在不斷的增加，從“震網”病毒爆發(fā)以前，我們已知的漏洞已經有幾十個，我們現在知道的漏洞已經有1500多個，而且這些漏洞覆蓋100多個工控廠商的產品。這些產品據我們現在所知，大概有1/3并沒有完全解決。

2，互聯互通。由于現在最先進的這些信息化的技術，還有通訊技術的應用，導致了一些系統之間的協作增加，大量的生產數據被采集上來，這些系統的互聯互通由以前的封閉走向開放而且是越來越開放，這些開放導致了安全邊界的擴大。舉個比較簡單的例子，剛才說的這些智慧電廠在無線網的應用，在有線網如果接到內部系統里，首先要能夠進入這個辦公區(qū)，然后再進入到機房，有保安、有門禁，可是無線你只要在無線的信號范圍之內，你就有可能通過無線的方式連到內網，然后采取攻擊。隨著安全邊界的擴大，攻擊的途徑也在增加。

3，攻擊趨易。隨著現在技術的發(fā)展，網絡上有大量的黑客大會、開源社區(qū)、白帽社區(qū)，通過這些社區(qū)可以非常方便的獲得一些網絡攻擊的方法，而且有些方法寫的非常詳盡，基本上可以作為操作手冊。第二，攻擊的工具，從這些比如黑客網站、社區(qū)上可以非常方便的獲得這些網絡攻擊工具，而且這些工具操作非常便利。第三，現在網絡上有一些可以形容為網絡雇傭軍，已經有一些黑客的網站，你只要付費，那些黑客就會替你進行你所需要的網絡攻擊。

4，基礎薄弱。兩個方面，第一，公用系統，現在工控系統的軟硬件絕大部分沒有實現國產化，還是國外廠商的產品。第二，現在我們的安全防護，尤其是電廠的防護，現在雖然做的在整個工控系統的防控來說是做的比較好的，實際也只是剛剛起步，一旦面臨著國家級的、專業(yè)級的攻擊，其結果也就可想而知。

5，目標的重要性。工控系統作為國家關鍵基礎設施的重要組成部分，已經成為了網絡部隊、黑客還有一些極端勢力的重要攻擊目標。

以上五個原因導致電廠的風險實際上是非常高的。如何來解決這些風險呢?就需要對電廠的工控系統進行安全防護，而電廠的工控安全防護的依據是什么呢?要依據國家的政策要求和行業(yè)的監(jiān)管要求，就是說你的工控安全方案首先要合規(guī)。

這些主要是從“震網”病毒以后國家陸續(xù)推出的一些行業(yè)的規(guī)范和行政命令，首先有2011年工信部發(fā)布的451號文，2013年能源局的387號穩(wěn)，2014年發(fā)改委的14號令，2015年能源局的36號文，2016年工信部的338號文，去年的《網絡安全法》。

首先介紹一下國家能源局的36號文，是在等保的基礎上，參考電力的實際情況，制定的關鍵工控系統如何進行防護，分為以下五個部分，隔離與加密，就是我們以前電廠提到的橫向隔離和縱向加密。剩下4個，就是安全審計、惡意代碼防范、入侵檢查和訪問控制。

下一個就是等級保護，從技術防護方面大概分為以下五個部分，物理的安全、網絡的安全、主機的安全、應用安全和數據安全。大家可以看到紅的字，可以看到跟36號文的防控基本上大體相似，因為36號文本身就是基于等保來制定的。

最后介紹一下《網絡安全法》，在《網絡安全法》里將信息安全、網絡安全提高到了法律的層次，并且明確規(guī)定了國家要實行網絡和等級保護制度，并對信息安全的責任人、防控工作如何做，并對不履行本法的人員、運營者如何進行處罰。

第三部分，介紹一下智慧電廠的安全防護方案。

剛才我說到的，安全防護方案主要是依據于能源局的36號文，剛才也提到了智慧電廠是電廠結合大量先進的信息和通訊技術，所以系統之間的數據、應用非常多，而且非常復雜，如何進行防護呢?第一步就是要進行安全分區(qū)，把整個網絡架構清晰化，我們對電廠的系統防護首先分為兩大區(qū)，生產控制大區(qū)和管理信息大區(qū)，生產控制大區(qū)又可以細分為控制區(qū)的一區(qū)和非控制區(qū)的二區(qū)，控制區(qū)就是說參與生產，對前方的一次系統有控制功能的系統，二區(qū)就是非控制區(qū)，也是參與生產，但是對前方的應用系統沒有控制，其他的系統就屬于管理信息大區(qū)。

在區(qū)域之間、大區(qū)之間、系統之間、生產區(qū)與地方的系統之間，要進行邊界隔離，在生產系統與電網的調度系統之間要實行縱向加密。通過這兩種方式，實現的是層層的防御，就像一個城堡一樣，越往外他的防護等級越高，從外往里每個邊界都有安全防護設備，需要一步一步的攻進來。第二個作用，他將每個區(qū)域都完全區(qū)分開，如果這個區(qū)域里一旦有惡意代碼或者攻擊，這個惡意代碼的擴散只能在這個系統內部，而不能非常便利的擴散到其他系統或者擴散到每個電廠的控制系統。

第二，系統里如何進行防護，我們采用的就是點面結合的綜合防御，點就是說系統里邊每臺電腦服務器，就相當于系統里的點，面就是系統里的網絡。面的防御就是采用安全審計和入侵檢測的設備，采集網絡當中的數據，對數據進行分析，一旦發(fā)現有惡意代碼或者攻擊的特征數據，我們就會及時的，第一告警，第二記錄下來，以備日后的查詢。這個點，主機的防護，我們通過在主機加上軟件，采用白名單的方式防護主機上的惡意代碼。

下面我來介紹一下工控安全安全防護方案所涉及的四大類產品，1，邊界隔離，就是橫向隔離設備。橫向隔離設備一般來說有單向隔離網閘和公共防火墻，還有一些邏輯控制到網絡設備。2，縱向加密，也就是說現在說的縱向加密設備，基本上電廠已經都應該有實施。3，監(jiān)測的安全審計設備，也就是涉及和入侵檢測設備。4，主機的防護，就是主機交互軟件。

接下來我來詳細介紹橫向隔離，就是邊界防護。橫向隔離就是邊界防護大概分為四個部分：

1，生產控制大區(qū)與管理信息大區(qū)之間的隔離。這個隔離他的隔離強度應該達到近似于物理隔離，就是要使用電力專用的單向、橫向隔離網閘，保證數據能單向傳輸，防御已知和未知的攻擊。

2，在生產大區(qū)內部的安全一區(qū)跟二區(qū)之間的橫向隔離，這個防護等級設備可以采用單向隔離網閘，也可以采用邏輯隔離的工業(yè)防火墻。這個應用關鍵選擇就看你實際的兩個區(qū)域至今數據流的具體應用，但是特別說明一下，這個工控防火墻不是我們傳統以前以為的普通的防火墻，他兩個防火墻之間的區(qū)別，首先第一是說，這個防火墻要能夠深度解析工業(yè)協議，第二，他得通過白名單的方式進行防護。

3，區(qū)域當中的系統之間的邊界隔離。這個邊界隔離的強度是說，也可以選擇單向隔離設備，也可以選擇能達到邏輯隔離的工控防火墻，同樣可以選擇有訪問控制功能的網絡設備。這三種便利隔離設備，安全級別就是近似于物理隔離的單向隔離設備的安全性高于邏輯隔離的工控防火墻，邏輯防控功能的工控防火墻的安全等級高于有訪問控制功能的網絡設備。我們的使用原則，在保證應用的前提下，安全就高不就低，

4，第三方的邊界隔離。第三方的邊界隔離，舉個例子，比如現在的環(huán)保，現在環(huán)保比較重視像火電廠的生產數據，他的排放，他需要前端的生產系統直接采生產數據，這樣直接接到一區(qū)甚至二區(qū)。這種情況下他的防護等級必須采用近似于物理隔離的單向隔離設備。

上面4個隔離就像我剛才說的，是層層的防御，每個系統之間都有邊界隔離設備進行防護，系統與系統之間互相的影響，都有設備進行防護。

第二，介紹一下系統內部的防護，就是剛才我說的點面結合的綜合防護。

1，入侵檢測設備。入侵檢測設備通常部署在系統的邊界，它主要是采集交換機上的鏡像數據，發(fā)現從內到外或者從外到內的攻擊行為，當發(fā)現這種攻擊行為以后，他會把這種攻擊行為首先是報警，然后是記錄下來。

2，安全審計。主要是部署在系統的核心。同樣是采集鏡像數據，對數據進行分析，當發(fā)現異常情況，也會及時告警，并把這種情況記錄下來。這兩個設備它的部署全部都是在交換機的鏡像部署上龐向部署，不深入到系統，不跟系統發(fā)生直接的聯系。

3，點的防控。就是主機加固。通過在主機系統上安裝主機加固軟件，對系統進行安全防護，防護系統里的比如惡意代碼，他采用的是白名單的方式，他的應用可以類比一下殺毒軟件，但是殺毒軟件采用的是黑名單的方式，殺毒軟件一般如何進行防護呢?首先對數據進行分析，然后對比他的病毒庫，當發(fā)現這個數據是病毒的話進行隔離、進行刪除、進行處理。

但是這種模式在工業(yè)環(huán)境當中有幾個弊端，1，病毒庫不能實時更新。因為你畢竟是工業(yè)環(huán)境，你與互聯網的連接是沒有那么通常的，你的病毒庫沒法實時更新，新的病毒出現的時候實際上是起不到什么作用的的。2，殺毒軟件是有誤殺功能的。白名單這種模式，首先是把你的正常應用列入到白名單當中去，不在白名單的應用，比如說惡意代碼，它一般的攻擊首先是先要運營起來掃描，發(fā)現弱點進行攻擊，你不在白名單當中，你這個軟件根本就運行不起來，也就是說你基本上就沒有破壞能力。

最后一個部分，介紹一下公共安全產品。2017年初我們與北京和信網安科技有限公司聯合成立了“電力工控的安全技術及設備研發(fā)中心”。研發(fā)中心的核心就是提供安全工控的解決方案，主要面向電力。

1，介紹一下我們的產品，首先是天御6000的網絡安全隔離系統，近似于物理隔離，保證數據是單向傳輸，只能從一個方向向另一個方向發(fā)送數據，TCP的回用字節(jié)根據要求小于1BT。

2，接下來介紹一下我們天御6000的工控防火墻。工控防火墻的防火等級能夠達到邏輯隔離，這種工控防火墻主要的作用就是說，通過白名單的方式進行防護，他主要與普通防火墻的區(qū)別，能夠對工業(yè)協議進行解析，因為你應用在工業(yè)環(huán)境，大部分數據都是通過工業(yè)協議進行傳輸，如果你不能解析工業(yè)協議，你防火墻的策略設置要不全關、要不全開，往往不能達到最佳效果。

3，介紹一下我們的公共安全監(jiān)測與審計系統。我們的工控安全審計系統，首先也是能夠解析工業(yè)協議，通過在系統內部采集鏡像數據，對數據進行分析，當發(fā)現異常情況，就會及時告警，并將這個告警狀況記錄下來。

4，最后一個產品是天御1000的工控主機加固。就是我剛剛說的主機加固軟件，它是一個軟件，通過一個白名單的方式，防御主機上的病毒和密碼，實現全生命周期的安全保障。

我的介紹到此結束。謝謝大家!