登录注册
请使用微信扫一扫
关注公众号完成登录
我要投稿
与传统电厂相比较,智慧电厂实现了网络化和信息系统化的建设运营,这些特征同时也给电厂的工控安全带来了更高的风险,那么如何针对性的提出合适的解决方案呢?带着这一问题,华北电力大学科技园信息安全中心解决方案经理张浩军在中国能源研究会节能减排中心与华北电力大学国家大学科技园联合举办“2018年智慧电厂论坛(第一期)”上发表重要讲话。北极星电力网全程对会议进行直播,如需了解更多的会议直播,请联系微信号:13693626116
华北电力大学科技园信息安全中心解决方案经理张浩军主题演讲《智慧电厂工控安全解决方案》
大家下午好!今天非常有幸给大家介绍一下关于智慧电厂的工控安全解决方案。我从以下四点介绍:
第一,智慧电厂的现状和面临的安全问题,就是说我们为什么要进行安全防护。
第二,国家的政策和行业的监管要求,就是说我们的安全防护的方案依据是什么。
第三,我们安全防护方案的简介。
第四,公共安全产品的简介。
第一,智慧电厂的现状及面临的一些安全的问题。
我们对智慧电厂的理解基本就是以上四个部分:智能决策、智能管理、智能生产、智能控制。就是说智能覆盖在电厂生产、管理、运营的方方面面。
这个是电厂所采用的一些核心技术,就是现在比较先进的,比如物联网技术、人工智能技术、空间地理信息和大数据融合。电厂与现在这些最先进的信息和通信技术深度结合,能够达到更加环保、更加高效、更加盈利的目的。
虽然智慧电厂有以上种种的好处,随着智能化的发展,电厂面临的安全风险点会越来越高,导致风险越来越高的原因有以下五个:
1,漏洞剧增。一提到工控安全,大家都避不过2010年伊朗的“震网”病毒,2010年以前大家所说的信息安全主要是互联网安全,当“震网”病毒爆发以后,相关工控部门都对系统的安全防护都重视起来了起来。所以相关的一些法律法规、政策还有一些防护措施也陆续推出,我们同时也看到了,漏洞从“震网”病毒爆发以后,工控的漏洞也在不断的增加,从“震网”病毒爆发以前,我们已知的漏洞已经有几十个,我们现在知道的漏洞已经有1500多个,而且这些漏洞覆盖100多个工控厂商的产品。这些产品据我们现在所知,大概有1/3并没有完全解决。
2,互联互通。由于现在最先进的这些信息化的技术,还有通讯技术的应用,导致了一些系统之间的协作增加,大量的生产数据被采集上来,这些系统的互联互通由以前的封闭走向开放而且是越来越开放,这些开放导致了安全边界的扩大。举个比较简单的例子,刚才说的这些智慧电厂在无线网的应用,在有线网如果接到内部系统里,首先要能够进入这个办公区,然后再进入到机房,有保安、有门禁,可是无线你只要在无线的信号范围之内,你就有可能通过无线的方式连到内网,然后采取攻击。随着安全边界的扩大,攻击的途径也在增加。
3,攻击趋易。随着现在技术的发展,网络上有大量的黑客大会、开源社区、白帽社区,通过这些社区可以非常方便的获得一些网络攻击的方法,而且有些方法写的非常详尽,基本上可以作为操作手册。第二,攻击的工具,从这些比如黑客网站、社区上可以非常方便的获得这些网络攻击工具,而且这些工具操作非常便利。第三,现在网络上有一些可以形容为网络雇佣军,已经有一些黑客的网站,你只要付费,那些黑客就会替你进行你所需要的网络攻击。
4,基础薄弱。两个方面,第一,公用系统,现在工控系统的软硬件绝大部分没有实现国产化,还是国外厂商的产品。第二,现在我们的安全防护,尤其是电厂的防护,现在虽然做的在整个工控系统的防控来说是做的比较好的,实际也只是刚刚起步,一旦面临着国家级的、专业级的攻击,其结果也就可想而知。
5,目标的重要性。工控系统作为国家关键基础设施的重要组成部分,已经成为了网络部队、黑客还有一些极端势力的重要攻击目标。
以上五个原因导致电厂的风险实际上是非常高的。如何来解决这些风险呢?就需要对电厂的工控系统进行安全防护,而电厂的工控安全防护的依据是什么呢?要依据国家的政策要求和行业的监管要求,就是说你的工控安全方案首先要合规。
这些主要是从“震网”病毒以后国家陆续推出的一些行业的规范和行政命令,首先有2011年工信部发布的451号文,2013年能源局的387号稳,2014年发改委的14号令,2015年能源局的36号文,2016年工信部的338号文,去年的《网络安全法》。
首先介绍一下国家能源局的36号文,是在等保的基础上,参考电力的实际情况,制定的关键工控系统如何进行防护,分为以下五个部分,隔离与加密,就是我们以前电厂提到的横向隔离和纵向加密。剩下4个,就是安全审计、恶意代码防范、入侵检查和访问控制。
下一个就是等级保护,从技术防护方面大概分为以下五个部分,物理的安全、网络的安全、主机的安全、应用安全和数据安全。大家可以看到红的字,可以看到跟36号文的防控基本上大体相似,因为36号文本身就是基于等保来制定的。
最后介绍一下《网络安全法》,在《网络安全法》里将信息安全、网络安全提高到了法律的层次,并且明确规定了国家要实行网络和等级保护制度,并对信息安全的责任人、防控工作如何做,并对不履行本法的人员、运营者如何进行处罚。
第三部分,介绍一下智慧电厂的安全防护方案。
刚才我说到的,安全防护方案主要是依据于能源局的36号文,刚才也提到了智慧电厂是电厂结合大量先进的信息和通讯技术,所以系统之间的数据、应用非常多,而且非常复杂,如何进行防护呢?第一步就是要进行安全分区,把整个网络架构清晰化,我们对电厂的系统防护首先分为两大区,生产控制大区和管理信息大区,生产控制大区又可以细分为控制区的一区和非控制区的二区,控制区就是说参与生产,对前方的一次系统有控制功能的系统,二区就是非控制区,也是参与生产,但是对前方的应用系统没有控制,其他的系统就属于管理信息大区。
在区域之间、大区之间、系统之间、生产区与地方的系统之间,要进行边界隔离,在生产系统与电网的调度系统之间要实行纵向加密。通过这两种方式,实现的是层层的防御,就像一个城堡一样,越往外他的防护等级越高,从外往里每个边界都有安全防护设备,需要一步一步的攻进来。第二个作用,他将每个区域都完全区分开,如果这个区域里一旦有恶意代码或者攻击,这个恶意代码的扩散只能在这个系统内部,而不能非常便利的扩散到其他系统或者扩散到每个电厂的控制系统。
第二,系统里如何进行防护,我们采用的就是点面结合的综合防御,点就是说系统里边每台电脑服务器,就相当于系统里的点,面就是系统里的网络。面的防御就是采用安全审计和入侵检测的设备,采集网络当中的数据,对数据进行分析,一旦发现有恶意代码或者攻击的特征数据,我们就会及时的,第一告警,第二记录下来,以备日后的查询。这个点,主机的防护,我们通过在主机加上软件,采用白名单的方式防护主机上的恶意代码。
下面我来介绍一下工控安全安全防护方案所涉及的四大类产品,1,边界隔离,就是横向隔离设备。横向隔离设备一般来说有单向隔离网闸和公共防火墙,还有一些逻辑控制到网络设备。2,纵向加密,也就是说现在说的纵向加密设备,基本上电厂已经都应该有实施。3,监测的安全审计设备,也就是涉及和入侵检测设备。4,主机的防护,就是主机交互软件。
接下来我来详细介绍横向隔离,就是边界防护。横向隔离就是边界防护大概分为四个部分:
1,生产控制大区与管理信息大区之间的隔离。这个隔离他的隔离强度应该达到近似于物理隔离,就是要使用电力专用的单向、横向隔离网闸,保证数据能单向传输,防御已知和未知的攻击。
2,在生产大区内部的安全一区跟二区之间的横向隔离,这个防护等级设备可以采用单向隔离网闸,也可以采用逻辑隔离的工业防火墙。这个应用关键选择就看你实际的两个区域至今数据流的具体应用,但是特别说明一下,这个工控防火墙不是我们传统以前以为的普通的防火墙,他两个防火墙之间的区别,首先第一是说,这个防火墙要能够深度解析工业协议,第二,他得通过白名单的方式进行防护。
3,区域当中的系统之间的边界隔离。这个边界隔离的强度是说,也可以选择单向隔离设备,也可以选择能达到逻辑隔离的工控防火墙,同样可以选择有访问控制功能的网络设备。这三种便利隔离设备,安全级别就是近似于物理隔离的单向隔离设备的安全性高于逻辑隔离的工控防火墙,逻辑防控功能的工控防火墙的安全等级高于有访问控制功能的网络设备。我们的使用原则,在保证应用的前提下,安全就高不就低,
4,第三方的边界隔离。第三方的边界隔离,举个例子,比如现在的环保,现在环保比较重视像火电厂的生产数据,他的排放,他需要前端的生产系统直接采生产数据,这样直接接到一区甚至二区。这种情况下他的防护等级必须采用近似于物理隔离的单向隔离设备。
上面4个隔离就像我刚才说的,是层层的防御,每个系统之间都有边界隔离设备进行防护,系统与系统之间互相的影响,都有设备进行防护。
第二,介绍一下系统内部的防护,就是刚才我说的点面结合的综合防护。
1,入侵检测设备。入侵检测设备通常部署在系统的边界,它主要是采集交换机上的镜像数据,发现从内到外或者从外到内的攻击行为,当发现这种攻击行为以后,他会把这种攻击行为首先是报警,然后是记录下来。
2,安全审计。主要是部署在系统的核心。同样是采集镜像数据,对数据进行分析,当发现异常情况,也会及时告警,并把这种情况记录下来。这两个设备它的部署全部都是在交换机的镜像部署上庞向部署,不深入到系统,不跟系统发生直接的联系。
3,点的防控。就是主机加固。通过在主机系统上安装主机加固软件,对系统进行安全防护,防护系统里的比如恶意代码,他采用的是白名单的方式,他的应用可以类比一下杀毒软件,但是杀毒软件采用的是黑名单的方式,杀毒软件一般如何进行防护呢?首先对数据进行分析,然后对比他的病毒库,当发现这个数据是病毒的话进行隔离、进行删除、进行处理。
但是这种模式在工业环境当中有几个弊端,1,病毒库不能实时更新。因为你毕竟是工业环境,你与互联网的连接是没有那么通常的,你的病毒库没法实时更新,新的病毒出现的时候实际上是起不到什么作用的的。2,杀毒软件是有误杀功能的。白名单这种模式,首先是把你的正常应用列入到白名单当中去,不在白名单的应用,比如说恶意代码,它一般的攻击首先是先要运营起来扫描,发现弱点进行攻击,你不在白名单当中,你这个软件根本就运行不起来,也就是说你基本上就没有破坏能力。
最后一个部分,介绍一下公共安全产品。2017年初我们与北京和信网安科技有限公司联合成立了“电力工控的安全技术及设备研发中心”。研发中心的核心就是提供安全工控的解决方案,主要面向电力。
1,介绍一下我们的产品,首先是天御6000的网络安全隔离系统,近似于物理隔离,保证数据是单向传输,只能从一个方向向另一个方向发送数据,TCP的回用字节根据要求小于1BT。
2,接下来介绍一下我们天御6000的工控防火墙。工控防火墙的防火等级能够达到逻辑隔离,这种工控防火墙主要的作用就是说,通过白名单的方式进行防护,他主要与普通防火墙的区别,能够对工业协议进行解析,因为你应用在工业环境,大部分数据都是通过工业协议进行传输,如果你不能解析工业协议,你防火墙的策略设置要不全关、要不全开,往往不能达到最佳效果。
3,介绍一下我们的公共安全监测与审计系统。我们的工控安全审计系统,首先也是能够解析工业协议,通过在系统内部采集镜像数据,对数据进行分析,当发现异常情况,就会及时告警,并将这个告警状况记录下来。
4,最后一个产品是天御1000的工控主机加固。就是我刚刚说的主机加固软件,它是一个软件,通过一个白名单的方式,防御主机上的病毒和密码,实现全生命周期的安全保障。
我的介绍到此结束。谢谢大家!
(发言为电力头条APP根据速记整理,未经本人审核)
特别声明:北极星转载其他网站内容,出于传递更多信息而非盈利之目的,同时并不代表赞成其观点或证实其描述,内容仅供参考。版权归原作者所有,若有侵权,请联系我们删除。
凡来源注明北极星*网的内容为北极星原创,转载需获授权。
3月11日,在南方电网电力科技股份有限公司(以下称“南网科技”)党委书记、董事长吴亦竹,深圳能源副总裁郭志东等领导的见证下,集团与南网科技签订了技术监督服务与第三方检测综合服务工作合作框架协议。双方将在以能源为主体的新型电力系统领域,发挥各自在资源、产品、服务等方面的优势,本着“优
加快能源产业与数字技术融合访全国人大代表、华电国际邹县发电厂生技部精密诊断中心组长曹景芳新质生产力是今年全国两会的一个高频词汇。作为一名来自基层的全国人大代表,华电国际邹县发电厂(以下简称“邹县发电”)生技部精密诊断中心组长曹景芳认为,能源产业与数字技术融合发展是能源高质量发展的
2月26日上午,国家能源集团党组召开会议,传达学习贯彻习近平总书记在主持召开中央全面深化改革委员会第四次会议和中央财经委员会第四次会议时的重要讲话精神,学习习近平总书记《坚持和完善人民代表大会制度保障人民当家作主》重要文章和中共中央《党史学习教育工作条例》《中国共产党巡视工作条例》
据说现在电力行业的AI也非常火,是个能源大企业就要搞自己的“大模型”。但是大部分我认为可能都失败。因为世界上有两种AI,底层逻辑各不相同。来源:鱼眼看电改作者:俞庆模式一、强控制型AI强控制的AI,强调模式识别+最优控制算法求解,最典型的就是自动驾驶。在电力行业是人工智能调度。强控制型的A
2月19日,集团公司召开2024年重点工作推进会议,听取相关部门、事业部、单位的工作汇报,对推进2024年重点工作进行再部署、再安排、再动员,为全年各项任务圆满完成打牢基础。集团公司党委书记、董事长张海峰主持会议并讲话,党委副书记、副董事长、总经理李文忠作了具体安排,公司领导班子其他成员围
当“IMS”遇上“大模型”想象一下在大型火电厂的背后还有一个虚拟的电厂模型而这一模型如同游戏世界一样但是,却能真实的通过人工智能算法、数字孪生理念为能源保供提供智慧赋能!当专业化智慧管理系统(IMS)遇上大模型会碰撞出怎样的火花?当前,大模型技术是AI领域当之无愧的C位担当,被行业普遍认
近日,集团公司组织召开了《国家能源集团智慧发电企业示范建设案例集》(以下简称《案例集》)技术评审会。怀柔国家实验室、中国自动化学会、华北电力大学、华北电科院、国电电力等17家单位的内外部专家参加了评审会。与会专家认为,《案例集》架构清晰、逻辑完整、内容详实,具有很强的实用性和创新性
2023年是“十四五”发展的承启之年,是“十四五”征程中的关键之年。在集团党委的坚强领导下,华润电力围绕“学标杆、扩规模、强增长”的年度主题,努力将各项工作落到实处,各项指标持续向好,多项业绩取得突破。这一年,我们贯彻习近平总书记重要指示批示精神,落实集团“1246”模式建设要求,持续深
1月26日,国家能源集团召开改革深化提升行动数智化工程启动会,贯彻落实国务院国资委国有企业改革深化提升行动数智化工程工作方案有关要求,加快推进工程建设。集团公司总经理、党组副书记余兵出席会议并讲话。会议指出,开展国有企业改革深化行动数智化工程建设,对巩固国企改革三年行动成果、推动国
2024年1月25日,湖北省数据局在武汉正式挂牌成立。湖北省数据局为湖北省人民政府直属正厅级机构。参照国家数据局组建方案和工作职能,湖北省数据局将负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字湖北、数字经济、数字社会、数字政府规划和建设等。湖北省数据局的成立
随着人工智能技术的飞速升级,世界范围内正快速迈入以大模型为核心的人工智能新时代,这次产业升级被认为是第四次产业革命的标志。大模型不仅仅是一种技术手段,更是对人机交互方式的重新定义。过去几十年,人机交互方式经历了从命令行到图形用户界面(GUI)的演变,而如今人工智能的诞生让我们可以用
3月19日,内蒙古能源集团在北京与华北电力大学交流座谈。华北电力大学杨勇平院士、中关村院士专家工作委员会武强院士、自治区科技厅党组书记冯家举,内蒙古能源集团党委书记、董事长张海峰以及各方相关人员,围绕科技创新与产业合作等展开了深入而富有成效的探讨交流。会上,杨勇平对内蒙古能源集团的
2月2日,华北电力大学党委书记周坚,党委副书记、校长杨勇平一行到雄安新区考察调研。河北省委常委,雄安新区党工委书记、管委会主任张国华与周坚、杨勇平一行举行工作座谈。张国华代表雄安新区党工委、管委会对周坚、杨勇平一行的到来表示热烈欢迎,对华北电力大学长期给予新区的关心支持表示衷心感谢
华北电力大学新型配电系统主动支撑能力评估与调控平台招标项目的潜在投标人应在华采招标集团有限公司邮箱或北京市海淀区中关村东路18号财智国际大厦C栋20层2010室获取招标文件,并于2024年02月22日13点30分(北京时间)前递交投标文件。一、项目基本情况项目编号:HCZB-2023-ZB1906项目名称:华北电力
近日,北京市教育委员会发布《关于同意新型储能技术北京实验室立项建设的通知》,依托我校国家储能技术产教融合创新平台、储能科学与工程专业、氢能科学与工程专业建设的新型储能技术北京实验室正式获批立项建设,实验室由华北电力大学牵头,联合北方工业大学、国家电投集团氢能科技发展有限公司、北京
1月11日,中国电机工程学会拟提名2023年度国家科学技术奖项目公示,详情如下:中国电机工程学会拟提名2023年度国家科学技术奖项目公示根据国家科学技术奖励工作办公室的相关规定,现将中国电机工程学会拟提名2023年度国家科学技术奖8个项目予以公示。自公布之日起5日内,任何单位和个人均可对公示内容
12月22日,未势能源科技有限公司(以下简称:未势能源)与华北电力大学科学技术处(以下简称:华北电力大学)正式签署《氢能与燃料电池校企联合研究院合作备忘录》,双方将共同探索校企合作的新模式,加强氢能及燃料电池领域关键技术研发和高端人才培养,助力氢能产业高质量发展。根据备忘录内容,双方
北极星氢能网获悉,12月22日,北京昌平区经信局公示了2023年度氢能产业资金支持项目拟兑现企业名单,共有22家企业入选,其中包括国家电投的北京低碳清洁能源研究院,中国华能集团清洁能源技术研究院有限公司,国家电投集团科学技术研究院有限公司,华北电力大学等。汽车相关企业共有7家入围。根据今年4
北极星储能网获悉,12月7日,北京市教育委员会发布同意新型储能技术北京实验室立项建设的通知。该实验室由华北电力大学牵头联合北方工业大学、国家电投集团氢能科技发展有限公司、北京能源集团有限责任公司、北京京城机电控股有限责任公司、北京亿华通科技股份有限公司等公司立项建设。原文如下:北京
在新能源占主体的新型电力系统中,分布式电源成为装机主体,“电从身边取”将会成为电力供应的基本形态,但是我国疆域辽阔,能源资源和负荷呈逆向分布,又让“电从远方来”变得不可避免。因此,电力供应将同时存在“集中式”和“分布式”两种方式。在此情况下,电网规划建设将作何思考?安全保供方式需
11月22日,中国工程院2023年院士增选共选举产生74位中国工程院院士。其中,能源与矿业工程学部8人。华北电力大学教授杨勇平入选。杨勇平,男,1967年4月生,山西柳林人,中共党员,工学博士,华北电力大学教授,博士生导师,两次担任国家“973计划项目”首席科学家,“国家杰出青年基金获得者”,国家
11月9日,科睿唯安(ClarivateAnalytics)公布了2023年11月的ESI最新数据。我校“工程学”学科进入全球前50强,标志着我校世界一流学科建设迈上新台阶。目前,我校已有“工程学”、“环境/生态学”、“计算机科学”、“材料科学”、“化学”和“社会科学”6个学科进入ESI全球前1%行列,其中,“工程学
请使用微信扫一扫
关注公众号完成登录
姓名: | |
性别: | |
出生日期: | |
邮箱: | |
所在地区: | |
行业类别: | |
工作经验: | |
学历: | |
公司名称: | |
任职岗位: |
我们将会第一时间为您推送相关内容!