登录注册
请使用微信扫一扫
关注公众号完成登录
大家下午好!今天非常有幸给大家介绍一下关于智慧电厂的工控安全解决方案。我从以下四点介绍:
第一,智慧电厂的现状和面临的安全问题,就是说我们为什么要进行安全防护。
第二,国家的政策和行业的监管要求,就是说我们的安全防护的方案依据是什么。
第三,我们安全防护方案的简介。
第四,公共安全产品的简介。
第一,智慧电厂的现状及面临的一些安全的问题。
我们对智慧电厂的理解基本就是以上四个部分:智能决策、智能管理、智能生产、智能控制。就是说智能覆盖在电厂生产、管理、运营的方方面面。
这个是电厂所采用的一些核心技术,就是现在比较先进的,比如物联网技术、人工智能技术、空间地理信息和大数据融合。电厂与现在这些最先进的信息和通信技术深度结合,能够达到更加环保、更加高效、更加盈利的目的。
虽然智慧电厂有以上种种的好处,随着智能化的发展,电厂面临的安全风险点会越来越高,导致风险越来越高的原因有以下五个:
1,漏洞剧增。一提到工控安全,大家都避不过2010年伊朗的“震网”病毒,2010年以前大家所说的信息安全主要是互联网安全,当“震网”病毒爆发以后,相关工控部门都对系统的安全防护都重视起来了起来。所以相关的一些法律法规、政策还有一些防护措施也陆续推出,我们同时也看到了,漏洞从“震网”病毒爆发以后,工控的漏洞也在不断的增加,从“震网”病毒爆发以前,我们已知的漏洞已经有几十个,我们现在知道的漏洞已经有1500多个,而且这些漏洞覆盖100多个工控厂商的产品。这些产品据我们现在所知,大概有1/3并没有完全解决。
2,互联互通。由于现在最先进的这些信息化的技术,还有通讯技术的应用,导致了一些系统之间的协作增加,大量的生产数据被采集上来,这些系统的互联互通由以前的封闭走向开放而且是越来越开放,这些开放导致了安全边界的扩大。举个比较简单的例子,刚才说的这些智慧电厂在无线网的应用,在有线网如果接到内部系统里,首先要能够进入这个办公区,然后再进入到机房,有保安、有门禁,可是无线你只要在无线的信号范围之内,你就有可能通过无线的方式连到内网,然后采取攻击。随着安全边界的扩大,攻击的途径也在增加。
3,攻击趋易。随着现在技术的发展,网络上有大量的黑客大会、开源社区、白帽社区,通过这些社区可以非常方便的获得一些网络攻击的方法,而且有些方法写的非常详尽,基本上可以作为操作手册。第二,攻击的工具,从这些比如黑客网站、社区上可以非常方便的获得这些网络攻击工具,而且这些工具操作非常便利。第三,现在网络上有一些可以形容为网络雇佣军,已经有一些黑客的网站,你只要付费,那些黑客就会替你进行你所需要的网络攻击。
4,基础薄弱。两个方面,第一,公用系统,现在工控系统的软硬件绝大部分没有实现国产化,还是国外厂商的产品。第二,现在我们的安全防护,尤其是电厂的防护,现在虽然做的在整个工控系统的防控来说是做的比较好的,实际也只是刚刚起步,一旦面临着国家级的、专业级的攻击,其结果也就可想而知。
5,目标的重要性。工控系统作为国家关键基础设施的重要组成部分,已经成为了网络部队、黑客还有一些极端势力的重要攻击目标。
以上五个原因导致电厂的风险实际上是非常高的。如何来解决这些风险呢?就需要对电厂的工控系统进行安全防护,而电厂的工控安全防护的依据是什么呢?要依据国家的政策要求和行业的监管要求,就是说你的工控安全方案首先要合规。
这些主要是从“震网”病毒以后国家陆续推出的一些行业的规范和行政命令,首先有2011年工信部发布的451号文,2013年能源局的387号稳,2014年发改委的14号令,2015年能源局的36号文,2016年工信部的338号文,去年的《网络安全法》。
首先介绍一下国家能源局的36号文,是在等保的基础上,参考电力的实际情况,制定的关键工控系统如何进行防护,分为以下五个部分,隔离与加密,就是我们以前电厂提到的横向隔离和纵向加密。剩下4个,就是安全审计、恶意代码防范、入侵检查和访问控制。
下一个就是等级保护,从技术防护方面大概分为以下五个部分,物理的安全、网络的安全、主机的安全、应用安全和数据安全。大家可以看到红的字,可以看到跟36号文的防控基本上大体相似,因为36号文本身就是基于等保来制定的。
最后介绍一下《网络安全法》,在《网络安全法》里将信息安全、网络安全提高到了法律的层次,并且明确规定了国家要实行网络和等级保护制度,并对信息安全的责任人、防控工作如何做,并对不履行本法的人员、运营者如何进行处罚。
第三部分,介绍一下智慧电厂的安全防护方案。
刚才我说到的,安全防护方案主要是依据于能源局的36号文,刚才也提到了智慧电厂是电厂结合大量先进的信息和通讯技术,所以系统之间的数据、应用非常多,而且非常复杂,如何进行防护呢?第一步就是要进行安全分区,把整个网络架构清晰化,我们对电厂的系统防护首先分为两大区,生产控制大区和管理信息大区,生产控制大区又可以细分为控制区的一区和非控制区的二区,控制区就是说参与生产,对前方的一次系统有控制功能的系统,二区就是非控制区,也是参与生产,但是对前方的应用系统没有控制,其他的系统就属于管理信息大区。
在区域之间、大区之间、系统之间、生产区与地方的系统之间,要进行边界隔离,在生产系统与电网的调度系统之间要实行纵向加密。通过这两种方式,实现的是层层的防御,就像一个城堡一样,越往外他的防护等级越高,从外往里每个边界都有安全防护设备,需要一步一步的攻进来。第二个作用,他将每个区域都完全区分开,如果这个区域里一旦有恶意代码或者攻击,这个恶意代码的扩散只能在这个系统内部,而不能非常便利的扩散到其他系统或者扩散到每个电厂的控制系统。
第二,系统里如何进行防护,我们采用的就是点面结合的综合防御,点就是说系统里边每台电脑服务器,就相当于系统里的点,面就是系统里的网络。面的防御就是采用安全审计和入侵检测的设备,采集网络当中的数据,对数据进行分析,一旦发现有恶意代码或者攻击的特征数据,我们就会及时的,第一告警,第二记录下来,以备日后的查询。这个点,主机的防护,我们通过在主机加上软件,采用白名单的方式防护主机上的恶意代码。
下面我来介绍一下工控安全安全防护方案所涉及的四大类产品,1,边界隔离,就是横向隔离设备。横向隔离设备一般来说有单向隔离网闸和公共防火墙,还有一些逻辑控制到网络设备。2,纵向加密,也就是说现在说的纵向加密设备,基本上电厂已经都应该有实施。3,监测的安全审计设备,也就是涉及和入侵检测设备。4,主机的防护,就是主机交互软件。
接下来我来详细介绍横向隔离,就是边界防护。横向隔离就是边界防护大概分为四个部分:
1,生产控制大区与管理信息大区之间的隔离。这个隔离他的隔离强度应该达到近似于物理隔离,就是要使用电力专用的单向、横向隔离网闸,保证数据能单向传输,防御已知和未知的攻击。
2,在生产大区内部的安全一区跟二区之间的横向隔离,这个防护等级设备可以采用单向隔离网闸,也可以采用逻辑隔离的工业防火墙。这个应用关键选择就看你实际的两个区域至今数据流的具体应用,但是特别说明一下,这个工控防火墙不是我们传统以前以为的普通的防火墙,他两个防火墙之间的区别,首先第一是说,这个防火墙要能够深度解析工业协议,第二,他得通过白名单的方式进行防护。
3,区域当中的系统之间的边界隔离。这个边界隔离的强度是说,也可以选择单向隔离设备,也可以选择能达到逻辑隔离的工控防火墙,同样可以选择有访问控制功能的网络设备。这三种便利隔离设备,安全级别就是近似于物理隔离的单向隔离设备的安全性高于逻辑隔离的工控防火墙,逻辑防控功能的工控防火墙的安全等级高于有访问控制功能的网络设备。我们的使用原则,在保证应用的前提下,安全就高不就低,
4,第三方的边界隔离。第三方的边界隔离,举个例子,比如现在的环保,现在环保比较重视像火电厂的生产数据,他的排放,他需要前端的生产系统直接采生产数据,这样直接接到一区甚至二区。这种情况下他的防护等级必须采用近似于物理隔离的单向隔离设备。
上面4个隔离就像我刚才说的,是层层的防御,每个系统之间都有边界隔离设备进行防护,系统与系统之间互相的影响,都有设备进行防护。
第二,介绍一下系统内部的防护,就是刚才我说的点面结合的综合防护。
1,入侵检测设备。入侵检测设备通常部署在系统的边界,它主要是采集交换机上的镜像数据,发现从内到外或者从外到内的攻击行为,当发现这种攻击行为以后,他会把这种攻击行为首先是报警,然后是记录下来。
2,安全审计。主要是部署在系统的核心。同样是采集镜像数据,对数据进行分析,当发现异常情况,也会及时告警,并把这种情况记录下来。这两个设备它的部署全部都是在交换机的镜像部署上庞向部署,不深入到系统,不跟系统发生直接的联系。
3,点的防控。就是主机加固。通过在主机系统上安装主机加固软件,对系统进行安全防护,防护系统里的比如恶意代码,他采用的是白名单的方式,他的应用可以类比一下杀毒软件,但是杀毒软件采用的是黑名单的方式,杀毒软件一般如何进行防护呢?首先对数据进行分析,然后对比他的病毒库,当发现这个数据是病毒的话进行隔离、进行删除、进行处理。
但是这种模式在工业环境当中有几个弊端,1,病毒库不能实时更新。因为你毕竟是工业环境,你与互联网的连接是没有那么通常的,你的病毒库没法实时更新,新的病毒出现的时候实际上是起不到什么作用的的。2,杀毒软件是有误杀功能的。白名单这种模式,首先是把你的正常应用列入到白名单当中去,不在白名单的应用,比如说恶意代码,它一般的攻击首先是先要运营起来扫描,发现弱点进行攻击,你不在白名单当中,你这个软件根本就运行不起来,也就是说你基本上就没有破坏能力。
最后一个部分,介绍一下公共安全产品。2017年初我们与北京和信网安科技有限公司联合成立了“电力工控的安全技术及设备研发中心”。研发中心的核心就是提供安全工控的解决方案,主要面向电力。
1,介绍一下我们的产品,首先是天御6000的网络安全隔离系统,近似于物理隔离,保证数据是单向传输,只能从一个方向向另一个方向发送数据,TCP的回用字节根据要求小于1BT。
2,接下来介绍一下我们天御6000的工控防火墙。工控防火墙的防火等级能够达到逻辑隔离,这种工控防火墙主要的作用就是说,通过白名单的方式进行防护,他主要与普通防火墙的区别,能够对工业协议进行解析,因为你应用在工业环境,大部分数据都是通过工业协议进行传输,如果你不能解析工业协议,你防火墙的策略设置要不全关、要不全开,往往不能达到最佳效果。
3,介绍一下我们的公共安全监测与审计系统。我们的工控安全审计系统,首先也是能够解析工业协议,通过在系统内部采集镜像数据,对数据进行分析,当发现异常情况,就会及时告警,并将这个告警状况记录下来。
4,最后一个产品是天御1000的工控主机加固。就是我刚刚说的主机加固软件,它是一个软件,通过一个白名单的方式,防御主机上的病毒和密码,实现全生命周期的安全保障。
我的介绍到此结束。谢谢大家!
(发言为电力头条APP根据速记整理,未经本人审核)
特别声明:北极星转载其他网站内容,出于传递更多信息而非盈利之目的,同时并不代表赞成其观点或证实其描述,内容仅供参考。版权归原作者所有,若有侵权,请联系我们删除。
凡来源注明北极星*网的内容为北极星原创,转载需获授权。
全国两会期间,国家电投集团内蒙古公司白音华坑口发电公司积极响应国家能源安全战略,深入运用“智慧安全、智慧运行、智慧检修、智慧管理”四大应用体系,为能源保供注入了科技动能。截至3月11日,白音华坑口发电公司一号机组完成发电量6759.22万千瓦时,二号机组C级检修进度完成90%,实现了保供检修“
内蒙古公司鄂温克电厂智能电站示范建设项目公开招标项目招标公告1.招标条件本招标项目名称为:内蒙古公司鄂温克电厂智能电站示范建设项目公开招标,项目招标编号为:CEZB250301982,招标人为内蒙古蒙东能源有限公司鄂温克电厂,项目单位为:内蒙古蒙东能源有限公司鄂温电厂,资金来源为自筹。招标代理
1、中国中煤智慧电厂工控及网络安全防护项目中标候选人公示标段名称:中国中煤智慧电厂工控及网络安全防护项目-标段4中标候选人:第1名:宁波和利时信息安全研究院有限公司;投标报价:701.108(万元);交货期符合招标文件要求;第2名:北京威努特技术有限公司;投标报价:1099.6354(万元);交货期符合招
2月27日,福建省工业和信息化厅信息化推进处发来表扬信,对国能(泉州)热电有限公司2024年在推动数字化转型工作中取得的成果给予充分肯定。来信表示,国能(泉州)热电有限公司积极响应国家创新驱动发展战略,推动科技创新和产业创新深度融合,培育发展新质生产力。2024年,该公司申报的“5G+AI及UWB
2月28日,大唐泰州热电公司召开2025年智慧电厂建设专题会议。会议听取了创新工作室对于智慧电厂建设工作情况的汇报,并将2025年工作计划进行任务分解,全面推进智慧电厂3.0建设。2024年,该公司在智慧电厂建设方面取得较好成绩,实现了“从0到1”的突破,但规模化应用不足。2025年,智慧电厂建设将全面
2月18日,国能(泉州)热电有限公司输煤集控室前监控大屏顺利投屏,标志着“黑灯燃料岛”科技项目中集控中心改造工程圆满竣工。此次改造基于燃料系统全流程数字化智能化运行需求,对原程控室进行了全面升级,同时调整了相关功能区域布局,为该公司的智能化转型奠定了坚实基础。改造过程中,该公司将原
截至目前,中国中煤新集能源股份有限公司板集电厂二期项目所采用的辅网虚拟DCS控制系统已成功运行近四个月。该系统卓越的灵活性、高性价比以及可靠性等技术优势,在虚拟化、远程操作和统一管理等方面得到了充分展现。此外,该技术成功验证了将云平台与DCS控制系统结合应用于智慧电厂技术解决方案的可行
电力工程龙源工程国能安吉梅溪2×9H级燃机新建工程项目智慧电厂服务公开招标项目中标候选人公示标段(包)编号:CEZB240513359001第一中标候选人:国能信控技术股份有限公司,投标报价:3392.043833万元;第二中标候选人:南京科远智慧科技集团股份有限公司,投标报价:3491.893600万元;
1月8日,中国大唐召开2025年工作会议。连日来,中国大唐系统各二级企业统一思想,迅速行动,先后召开2025年工作会议,学习传达中国大唐2025年工作会议精神,安排部署落实措施,引领干部职工勇担使命、真抓实干,踔厉奋发勇向前,推进“二次创业”向纵深发展。重庆分公司2024年,重庆分公司认真落实集团
电力工程龙源工程国能安吉梅溪2×9H级燃机新建工程项目智慧电厂服务公开招标项目招标公告1.招标条件本招标项目名称为:电力工程龙源工程国能安吉梅溪2×9H级燃机新建工程项目智慧电厂服务公开招标,项目招标编号为:CEZB240513359,招标人为国能龙源电力技术工程有限责任公司,项目单位为:国能(浙江
国电电力秦皇岛发电有限责任公司2×350MW等容量替代热电联产项目智慧电厂IMS智慧管理平台建设项目公开招标项目招标公告1.招标条件本招标项目名称为:国电电力秦皇岛发电有限责任公司2×350MW等容量替代热电联产项目智慧电厂IMS智慧管理平台建设项目公开招标,项目招标编号为:CEZB240013380,招标人为
为深化校企合作,加速产教融合进程,有效构建人才储备体系。3月5日,英利能源发展有限公司(以下简称“英利发展”)与华北电力大学新能源学院实习实践基地授牌仪式在英利发展蠡县公司成功举办。华北电力大学新能源学院副院长高攀、高级工程师方霞琴、教师代表李若水,英利发展人力总监田亚生、技术工程
3月5日,国家电网有限公司与华北电力大学签署进一步全面深化合作框架协议。公司董事长、党组书记张智刚,华北电力大学党委书记汪庆华出席签约仪式并讲话。公司总经理、党组副书记庞骁刚,党组副书记邵国勇,副总经理、党组成员陈国平出席签约仪式。华北电力大学校长、党委副书记毕天姝主持签约仪式。中
2月19日,校党委书记汪庆华,校长、党委副书记毕天姝前往国家能源局,拜访国家能源局党组书记、局长王宏志。双方围绕国家能源安全新战略、加快推进新型电力系统建设等议题进行深入交流。校党委常委、副校长檀勤良参加会谈。王宏志对华北电力大学长期以来对国家能源局工作全方位的支持表示感谢,对华北
2月12日,中电联党委书记、常务副理事长杨昆在本部会见了华北电力大学党委书记汪庆华、校长毕天姝一行。中电联党委委员、秘书长郝英杰参加会见。杨昆指出,华北电力大学作为中电联副理事长单位,长期以来对中电联各项工作给予了大力支持,双方开展了良好的沟通合作,取得一系列成果。杨昆介绍了中电联
2月11日,国家电网有限公司董事长、党组书记张智刚,总经理、党组副书记庞骁刚在公司总部与华北电力大学党委书记汪庆华、校长毕天姝举行会谈,进一步加强校企合作,推进科技创新,深化人才培养,开展联学共建,推动国际合作。公司副总经理、党组成员陈国平,华北电力大学党委副书记郭孝锋参加会谈。张
1月17日,教育部党组在华北电力大学宣布了有关任免决定,汪庆华同志任华北电力大学党委书记,毕天姝同志任华北电力大学校长、党委副书记;周坚同志不再担任华北电力大学党委书记职务,杨勇平同志不再担任华北电力大学校长、党委副书记职务。教育部党组成员、副部长熊四皓出席会议并讲话。北京市委教育
12月23日,华北电力大学雄安校区发布绿色校园专项规划编制咨询服务公开招标公告,预算金额35万元。详情如下:华北电力大学雄安校区绿色校园专项规划编制咨询服务公开招标公告项目概况华北电力大学雄安校区绿色校园专项规划编制咨询服务招标项目的潜在投标人应在北京市丰台区东旭国际中心C座8层805室获
培养目标以习近平新时代中国特色社会主义思想为指导,全面贯彻党的教育方针,以立德树人、服务需求、提高质量、追求卓越为主线,培养德智体美劳全面发展,在本门学科上掌握坚实宽广的基础理论和系统深入的专门知识,具有独立从事科学研究工作的能力,在科学或专门技术上做出创造性成果,德才兼备的高级
能源法出台使中国能源转型“如虎添翼”华北电力大学教授、国家能源发展战略研究院执行院长王鹏备受关注的《中华人民共和国能源法》于2024年11月8日经全国人大常委会第三次审议后正式发布,这是中国能源转型的一个里程碑。中共中央高度重视能源领域的立法工作,党的二十大和党的二十届三中全会都强调,
2024年11月8日,经十四届全国人大常委会第十二次会议审议表决,《能源法》正式通过,全文80条,将于2025年1月1日开始实施。任何立法都有其目的,或者说有其需要解决的问题。《能源法》作为能源领域的一部基本法,它要解决的主要问题是什么呢?《能源法》要解决的第一个问题是能源的安全问题(来源:电
2024年10月15日,高等教育评价专业机构软科正式发布“2024软科中国最好学科排名”。排名榜单包括94个一级学科,各个学科排名的对象是在该一级学科设有学术型研究生学位授权点的所有高校(截止到2023年底),发布的是在该学科排名前50%的高校,共有486所高校的4924个学科点上榜。今年的排名首次采用了国
请使用微信扫一扫
关注公众号完成登录
姓名: | |
性别: | |
出生日期: | |
邮箱: | |
所在地区: | |
行业类别: | |
工作经验: | |
学历: | |
公司名称: | |
任职岗位: |
我们将会第一时间为您推送相关内容!