登录注册
请使用微信扫一扫
关注公众号完成登录
我要投稿
与传统电厂相比较,智慧电厂实现了网络化和信息系统化的建设运营,这些特征同时也给电厂的工控安全带来了更高的风险,那么如何针对性的提出合适的解决方案呢?带着这一问题,华北电力大学科技园信息安全中心解决方案经理张浩军在中国能源研究会节能减排中心与华北电力大学国家大学科技园联合举办“2018年智慧电厂论坛(第一期)”上发表重要讲话。北极星电力网全程对会议进行直播,如需了解更多的会议直播,请联系微信号:13693626116
华北电力大学科技园信息安全中心解决方案经理张浩军主题演讲《智慧电厂工控安全解决方案》
大家下午好!今天非常有幸给大家介绍一下关于智慧电厂的工控安全解决方案。我从以下四点介绍:
第一,智慧电厂的现状和面临的安全问题,就是说我们为什么要进行安全防护。
第二,国家的政策和行业的监管要求,就是说我们的安全防护的方案依据是什么。
第三,我们安全防护方案的简介。
第四,公共安全产品的简介。
第一,智慧电厂的现状及面临的一些安全的问题。
我们对智慧电厂的理解基本就是以上四个部分:智能决策、智能管理、智能生产、智能控制。就是说智能覆盖在电厂生产、管理、运营的方方面面。
这个是电厂所采用的一些核心技术,就是现在比较先进的,比如物联网技术、人工智能技术、空间地理信息和大数据融合。电厂与现在这些最先进的信息和通信技术深度结合,能够达到更加环保、更加高效、更加盈利的目的。
虽然智慧电厂有以上种种的好处,随着智能化的发展,电厂面临的安全风险点会越来越高,导致风险越来越高的原因有以下五个:
1,漏洞剧增。一提到工控安全,大家都避不过2010年伊朗的“震网”病毒,2010年以前大家所说的信息安全主要是互联网安全,当“震网”病毒爆发以后,相关工控部门都对系统的安全防护都重视起来了起来。所以相关的一些法律法规、政策还有一些防护措施也陆续推出,我们同时也看到了,漏洞从“震网”病毒爆发以后,工控的漏洞也在不断的增加,从“震网”病毒爆发以前,我们已知的漏洞已经有几十个,我们现在知道的漏洞已经有1500多个,而且这些漏洞覆盖100多个工控厂商的产品。这些产品据我们现在所知,大概有1/3并没有完全解决。
2,互联互通。由于现在最先进的这些信息化的技术,还有通讯技术的应用,导致了一些系统之间的协作增加,大量的生产数据被采集上来,这些系统的互联互通由以前的封闭走向开放而且是越来越开放,这些开放导致了安全边界的扩大。举个比较简单的例子,刚才说的这些智慧电厂在无线网的应用,在有线网如果接到内部系统里,首先要能够进入这个办公区,然后再进入到机房,有保安、有门禁,可是无线你只要在无线的信号范围之内,你就有可能通过无线的方式连到内网,然后采取攻击。随着安全边界的扩大,攻击的途径也在增加。
3,攻击趋易。随着现在技术的发展,网络上有大量的黑客大会、开源社区、白帽社区,通过这些社区可以非常方便的获得一些网络攻击的方法,而且有些方法写的非常详尽,基本上可以作为操作手册。第二,攻击的工具,从这些比如黑客网站、社区上可以非常方便的获得这些网络攻击工具,而且这些工具操作非常便利。第三,现在网络上有一些可以形容为网络雇佣军,已经有一些黑客的网站,你只要付费,那些黑客就会替你进行你所需要的网络攻击。
4,基础薄弱。两个方面,第一,公用系统,现在工控系统的软硬件绝大部分没有实现国产化,还是国外厂商的产品。第二,现在我们的安全防护,尤其是电厂的防护,现在虽然做的在整个工控系统的防控来说是做的比较好的,实际也只是刚刚起步,一旦面临着国家级的、专业级的攻击,其结果也就可想而知。
5,目标的重要性。工控系统作为国家关键基础设施的重要组成部分,已经成为了网络部队、黑客还有一些极端势力的重要攻击目标。
以上五个原因导致电厂的风险实际上是非常高的。如何来解决这些风险呢?就需要对电厂的工控系统进行安全防护,而电厂的工控安全防护的依据是什么呢?要依据国家的政策要求和行业的监管要求,就是说你的工控安全方案首先要合规。
这些主要是从“震网”病毒以后国家陆续推出的一些行业的规范和行政命令,首先有2011年工信部发布的451号文,2013年能源局的387号稳,2014年发改委的14号令,2015年能源局的36号文,2016年工信部的338号文,去年的《网络安全法》。
首先介绍一下国家能源局的36号文,是在等保的基础上,参考电力的实际情况,制定的关键工控系统如何进行防护,分为以下五个部分,隔离与加密,就是我们以前电厂提到的横向隔离和纵向加密。剩下4个,就是安全审计、恶意代码防范、入侵检查和访问控制。
下一个就是等级保护,从技术防护方面大概分为以下五个部分,物理的安全、网络的安全、主机的安全、应用安全和数据安全。大家可以看到红的字,可以看到跟36号文的防控基本上大体相似,因为36号文本身就是基于等保来制定的。
最后介绍一下《网络安全法》,在《网络安全法》里将信息安全、网络安全提高到了法律的层次,并且明确规定了国家要实行网络和等级保护制度,并对信息安全的责任人、防控工作如何做,并对不履行本法的人员、运营者如何进行处罚。
第三部分,介绍一下智慧电厂的安全防护方案。
刚才我说到的,安全防护方案主要是依据于能源局的36号文,刚才也提到了智慧电厂是电厂结合大量先进的信息和通讯技术,所以系统之间的数据、应用非常多,而且非常复杂,如何进行防护呢?第一步就是要进行安全分区,把整个网络架构清晰化,我们对电厂的系统防护首先分为两大区,生产控制大区和管理信息大区,生产控制大区又可以细分为控制区的一区和非控制区的二区,控制区就是说参与生产,对前方的一次系统有控制功能的系统,二区就是非控制区,也是参与生产,但是对前方的应用系统没有控制,其他的系统就属于管理信息大区。
在区域之间、大区之间、系统之间、生产区与地方的系统之间,要进行边界隔离,在生产系统与电网的调度系统之间要实行纵向加密。通过这两种方式,实现的是层层的防御,就像一个城堡一样,越往外他的防护等级越高,从外往里每个边界都有安全防护设备,需要一步一步的攻进来。第二个作用,他将每个区域都完全区分开,如果这个区域里一旦有恶意代码或者攻击,这个恶意代码的扩散只能在这个系统内部,而不能非常便利的扩散到其他系统或者扩散到每个电厂的控制系统。
第二,系统里如何进行防护,我们采用的就是点面结合的综合防御,点就是说系统里边每台电脑服务器,就相当于系统里的点,面就是系统里的网络。面的防御就是采用安全审计和入侵检测的设备,采集网络当中的数据,对数据进行分析,一旦发现有恶意代码或者攻击的特征数据,我们就会及时的,第一告警,第二记录下来,以备日后的查询。这个点,主机的防护,我们通过在主机加上软件,采用白名单的方式防护主机上的恶意代码。
下面我来介绍一下工控安全安全防护方案所涉及的四大类产品,1,边界隔离,就是横向隔离设备。横向隔离设备一般来说有单向隔离网闸和公共防火墙,还有一些逻辑控制到网络设备。2,纵向加密,也就是说现在说的纵向加密设备,基本上电厂已经都应该有实施。3,监测的安全审计设备,也就是涉及和入侵检测设备。4,主机的防护,就是主机交互软件。
接下来我来详细介绍横向隔离,就是边界防护。横向隔离就是边界防护大概分为四个部分:
1,生产控制大区与管理信息大区之间的隔离。这个隔离他的隔离强度应该达到近似于物理隔离,就是要使用电力专用的单向、横向隔离网闸,保证数据能单向传输,防御已知和未知的攻击。
2,在生产大区内部的安全一区跟二区之间的横向隔离,这个防护等级设备可以采用单向隔离网闸,也可以采用逻辑隔离的工业防火墙。这个应用关键选择就看你实际的两个区域至今数据流的具体应用,但是特别说明一下,这个工控防火墙不是我们传统以前以为的普通的防火墙,他两个防火墙之间的区别,首先第一是说,这个防火墙要能够深度解析工业协议,第二,他得通过白名单的方式进行防护。
3,区域当中的系统之间的边界隔离。这个边界隔离的强度是说,也可以选择单向隔离设备,也可以选择能达到逻辑隔离的工控防火墙,同样可以选择有访问控制功能的网络设备。这三种便利隔离设备,安全级别就是近似于物理隔离的单向隔离设备的安全性高于逻辑隔离的工控防火墙,逻辑防控功能的工控防火墙的安全等级高于有访问控制功能的网络设备。我们的使用原则,在保证应用的前提下,安全就高不就低,
4,第三方的边界隔离。第三方的边界隔离,举个例子,比如现在的环保,现在环保比较重视像火电厂的生产数据,他的排放,他需要前端的生产系统直接采生产数据,这样直接接到一区甚至二区。这种情况下他的防护等级必须采用近似于物理隔离的单向隔离设备。
上面4个隔离就像我刚才说的,是层层的防御,每个系统之间都有边界隔离设备进行防护,系统与系统之间互相的影响,都有设备进行防护。
第二,介绍一下系统内部的防护,就是刚才我说的点面结合的综合防护。
1,入侵检测设备。入侵检测设备通常部署在系统的边界,它主要是采集交换机上的镜像数据,发现从内到外或者从外到内的攻击行为,当发现这种攻击行为以后,他会把这种攻击行为首先是报警,然后是记录下来。
2,安全审计。主要是部署在系统的核心。同样是采集镜像数据,对数据进行分析,当发现异常情况,也会及时告警,并把这种情况记录下来。这两个设备它的部署全部都是在交换机的镜像部署上庞向部署,不深入到系统,不跟系统发生直接的联系。
3,点的防控。就是主机加固。通过在主机系统上安装主机加固软件,对系统进行安全防护,防护系统里的比如恶意代码,他采用的是白名单的方式,他的应用可以类比一下杀毒软件,但是杀毒软件采用的是黑名单的方式,杀毒软件一般如何进行防护呢?首先对数据进行分析,然后对比他的病毒库,当发现这个数据是病毒的话进行隔离、进行删除、进行处理。
但是这种模式在工业环境当中有几个弊端,1,病毒库不能实时更新。因为你毕竟是工业环境,你与互联网的连接是没有那么通常的,你的病毒库没法实时更新,新的病毒出现的时候实际上是起不到什么作用的的。2,杀毒软件是有误杀功能的。白名单这种模式,首先是把你的正常应用列入到白名单当中去,不在白名单的应用,比如说恶意代码,它一般的攻击首先是先要运营起来扫描,发现弱点进行攻击,你不在白名单当中,你这个软件根本就运行不起来,也就是说你基本上就没有破坏能力。
最后一个部分,介绍一下公共安全产品。2017年初我们与北京和信网安科技有限公司联合成立了“电力工控的安全技术及设备研发中心”。研发中心的核心就是提供安全工控的解决方案,主要面向电力。
1,介绍一下我们的产品,首先是天御6000的网络安全隔离系统,近似于物理隔离,保证数据是单向传输,只能从一个方向向另一个方向发送数据,TCP的回用字节根据要求小于1BT。
2,接下来介绍一下我们天御6000的工控防火墙。工控防火墙的防火等级能够达到逻辑隔离,这种工控防火墙主要的作用就是说,通过白名单的方式进行防护,他主要与普通防火墙的区别,能够对工业协议进行解析,因为你应用在工业环境,大部分数据都是通过工业协议进行传输,如果你不能解析工业协议,你防火墙的策略设置要不全关、要不全开,往往不能达到最佳效果。
3,介绍一下我们的公共安全监测与审计系统。我们的工控安全审计系统,首先也是能够解析工业协议,通过在系统内部采集镜像数据,对数据进行分析,当发现异常情况,就会及时告警,并将这个告警状况记录下来。
4,最后一个产品是天御1000的工控主机加固。就是我刚刚说的主机加固软件,它是一个软件,通过一个白名单的方式,防御主机上的病毒和密码,实现全生命周期的安全保障。
我的介绍到此结束。谢谢大家!
(发言为电力头条APP根据速记整理,未经本人审核)
特别声明:北极星转载其他网站内容,出于传递更多信息而非盈利之目的,同时并不代表赞成其观点或证实其描述,内容仅供参考。版权归原作者所有,若有侵权,请联系我们删除。
凡来源注明北极星*网的内容为北极星原创,转载需获授权。
为促进能源技术创新,推动成果转化应用,并在新型能源体系的构建中发挥重要作用,4月25日,备受瞩目的智慧电厂论坛在山东济南正式召开。论坛在华北电力大学指导下举办。优特科技作为此次论坛的协办单位参加并作主题报告,与现场600多位行业同仁共同探讨新型能源体系下的智慧电厂未来。论坛汇聚了众多业
4月19日,以“新质生产力引领新赛道”为主题的第九届中国能源发展与创新论坛在京召开。四川省人大常委、国能大渡河流域发电有限公司一级业务总监涂扬举在主题演讲中称,日新月异的多模态人工智能(AI)技术将给能源企业的智慧化转型提供更多的新机遇、新手段。近年来,多模态AI已经广泛应用于自然语言
说起5G大家脑海中出现的是什么?是更快的网络速度还是更便利的自动驾驶亦或是更多样化的智能生产5G就像一张网将万物和你我网罗在一起当5G赋能智慧电厂也是妥妥的安全生产小能手~“碳”路先锋逐绿前行国家能源集团江苏泰州电厂拥有世界首台百万千瓦超超临界二次再热燃煤发电机组投产亚洲最大煤电CCUS项
走进大唐国际发电股份有限公司托克托发电公司,智能优化应用模块循环大屏光影闪烁,为设备管理提供直观简洁的“第一窗口”;智慧工地管理系统与监控摄像、手机APP协同作战、“慧眼”识违;环保监测平台实时分析脱硫脱硝等设备运行趋势,提前预警、自动调节……数字智能化转型升级的进度条正在这艘“超
新质生产力代表新技术、创造新价值、适应新产业、重塑新动能,发展新质生产力是夯实全面建设社会主义现代化国家物质技术基础的重要举措。贵州金元作为国家电投在黔火电装机容量最大的企业,肩负社会保供的“压舱石”责任,紧跟时代发展步伐,坚持以创新为第一动力,在机组迭代升级、技术改造、科技兴安
国电电力聚焦数字化转型,提质增效,赋能企业高质量发展。绥中公司作为“一厂跨两网”的火力发电企业,国电电力绥中公司深耕转型发展,加快推进数字化建设,制定“1+3+N”管理框架,实现了数据驱动,管控升级。公司发布的81条线上审批流程,实现了生产、经营领域的业务信息化,极大减少了各级跑签环节
在科技快速发展的时代,我国火力发电厂的热工控制处在怎样的一个水平?也许有人认为,当前,国内火力发电厂DCS应用已经普及,DCS是现代先进的热控装置,热工控制水平当然处在国际先进行列。真的是这样吗?读史明智,鉴往知来。我们都知道,DCS是以计算机技术为本底平台的,计算机的使用功能是由硬件和
由北极星学社主办的线上培训班《火电厂热工控制APS从入门到精通》正式开课!我国上千台火电机组(燃煤机组和燃气/蒸汽联合循环机组)全部应用了DCS,硬件上已经进入到“数字化”时代,但“人工智能”属性的应用软件仍然是一个巨大的技术洼地。在国内火电机组上全面推广应用APS,会极大地提升火电机组的
3月11日,在南方电网电力科技股份有限公司(以下称“南网科技”)党委书记、董事长吴亦竹,深圳能源副总裁郭志东等领导的见证下,集团与南网科技签订了技术监督服务与第三方检测综合服务工作合作框架协议。双方将在以能源为主体的新型电力系统领域,发挥各自在资源、产品、服务等方面的优势,本着“优
加快能源产业与数字技术融合访全国人大代表、华电国际邹县发电厂生技部精密诊断中心组长曹景芳新质生产力是今年全国两会的一个高频词汇。作为一名来自基层的全国人大代表,华电国际邹县发电厂(以下简称“邹县发电”)生技部精密诊断中心组长曹景芳认为,能源产业与数字技术融合发展是能源高质量发展的
2月26日上午,国家能源集团党组召开会议,传达学习贯彻习近平总书记在主持召开中央全面深化改革委员会第四次会议和中央财经委员会第四次会议时的重要讲话精神,学习习近平总书记《坚持和完善人民代表大会制度保障人民当家作主》重要文章和中共中央《党史学习教育工作条例》《中国共产党巡视工作条例》
4月22日,华北院与华北电力大学举行重力储能交流及合作协议签订会。在中电工程副董事长,华北院公司党委书记、董事长梁政平和中国工程院院士、华北电力大学校长杨勇平的共同见证下,华北院总工程师兼副总经理孙永斌与华北电力大学副校长刘云鹏分别代表双方签订了校企联合重力储能实验平台合作协议。签
2月20日,国家发展改革委印发修订后的《供电营业规则》(以下简称《规则》),自6月1日开始施行,原《供电营业规则》(以下简称原《规则》)同时废止。原《规则》作为与《电力法》《电力供应与使用条例》相配套的部门规章,由原电力工业部于1996年10月8日发布并生效,共10章、107条。其主要用于规范供
高等教育专业评价机构软科今日正式发布“2024软科中国大学排名”。“软科中国大学排名”前身是“软科中国最好大学排名”,自2015年首次发布以来,以专业、客观、透明的优势赢得了高等教育领域内外的广泛关注和认可,已经成为具有重要社会影响力和权威参考价值的中国大学排名领先品牌。在2024软科中国大
北极星氢能网获悉,4月8日,华北电力大学(保定)煤掺氢/氨燃烧实验平台公开招标,预算金额为65万元,该项目不接受联合体投标。详情如下:华北电力大学(保定)煤掺氢/氨燃烧实验平台公开招标公告一、项目基本情况项目编号:TD2024Y183项目名称:华北电力大学(保定)煤掺氢/氨燃烧实验平台预算金额:6
3月28日,中国电机工程学会第十一届理事会第十二次会议暨2024年工作会议在北京召开,会上公布了2023年度中国电机工程学会增选会士名单,新增选11名会士和6名外籍会士。会士是会员在学会的最高学术荣誉。为表彰在电机工程科学技术领域有重大贡献、成绩卓著的专家学者,自2011年起,学会开展了会士遴选工
3月19日,内蒙古能源集团在北京与华北电力大学交流座谈。华北电力大学杨勇平院士、中关村院士专家工作委员会武强院士、自治区科技厅党组书记冯家举,内蒙古能源集团党委书记、董事长张海峰以及各方相关人员,围绕科技创新与产业合作等展开了深入而富有成效的探讨交流。会上,杨勇平对内蒙古能源集团的
2月2日,华北电力大学党委书记周坚,党委副书记、校长杨勇平一行到雄安新区考察调研。河北省委常委,雄安新区党工委书记、管委会主任张国华与周坚、杨勇平一行举行工作座谈。张国华代表雄安新区党工委、管委会对周坚、杨勇平一行的到来表示热烈欢迎,对华北电力大学长期给予新区的关心支持表示衷心感谢
华北电力大学新型配电系统主动支撑能力评估与调控平台招标项目的潜在投标人应在华采招标集团有限公司邮箱或北京市海淀区中关村东路18号财智国际大厦C栋20层2010室获取招标文件,并于2024年02月22日13点30分(北京时间)前递交投标文件。一、项目基本情况项目编号:HCZB-2023-ZB1906项目名称:华北电力
近日,北京市教育委员会发布《关于同意新型储能技术北京实验室立项建设的通知》,依托我校国家储能技术产教融合创新平台、储能科学与工程专业、氢能科学与工程专业建设的新型储能技术北京实验室正式获批立项建设,实验室由华北电力大学牵头,联合北方工业大学、国家电投集团氢能科技发展有限公司、北京
1月11日,中国电机工程学会拟提名2023年度国家科学技术奖项目公示,详情如下:中国电机工程学会拟提名2023年度国家科学技术奖项目公示根据国家科学技术奖励工作办公室的相关规定,现将中国电机工程学会拟提名2023年度国家科学技术奖8个项目予以公示。自公布之日起5日内,任何单位和个人均可对公示内容
12月22日,未势能源科技有限公司(以下简称:未势能源)与华北电力大学科学技术处(以下简称:华北电力大学)正式签署《氢能与燃料电池校企联合研究院合作备忘录》,双方将共同探索校企合作的新模式,加强氢能及燃料电池领域关键技术研发和高端人才培养,助力氢能产业高质量发展。根据备忘录内容,双方
请使用微信扫一扫
关注公众号完成登录
姓名: | |
性别: | |
出生日期: | |
邮箱: | |
所在地区: | |
行业类别: | |
工作经验: | |
学历: | |
公司名称: | |
任职岗位: |
我们将会第一时间为您推送相关内容!