华北电力大学张浩军：五大因素导致智慧电厂风险提高

与传统电厂相比较，智慧电厂实现了网络化和信息系统化的建设运营，这些特征同时也给电厂的工控安全带来了更高的风险，那么如何针对性的提出合适的解决方案呢？带着这一问题，华北电力大学科技园信息安全中心解决方案经理张浩军在中国能源研究会节能减排中心与华北电力大学国家大学科技园联合举办“2018年智慧电厂论坛(第一期)”上发表重要讲话。北极星电力网全程对会议进行直播，如需了解更多的会议直播，请联系微信号：13693626116

华北电力大学科技园信息安全中心解决方案经理张浩军主题演讲《智慧电厂工控安全解决方案》

大家下午好！今天非常有幸给大家介绍一下关于智慧电厂的工控安全解决方案。我从以下四点介绍：

第一，智慧电厂的现状和面临的安全问题，就是说我们为什么要进行安全防护。

第二，国家的政策和行业的监管要求，就是说我们的安全防护的方案依据是什么。

第三，我们安全防护方案的简介。

第四，公共安全产品的简介。

第一，智慧电厂的现状及面临的一些安全的问题。

我们对智慧电厂的理解基本就是以上四个部分：智能决策、智能管理、智能生产、智能控制。就是说智能覆盖在电厂生产、管理、运营的方方面面。

这个是电厂所采用的一些核心技术，就是现在比较先进的，比如物联网技术、人工智能技术、空间地理信息和大数据融合。电厂与现在这些最先进的信息和通信技术深度结合，能够达到更加环保、更加高效、更加盈利的目的。

虽然智慧电厂有以上种种的好处，随着智能化的发展，电厂面临的安全风险点会越来越高，导致风险越来越高的原因有以下五个：

1，漏洞剧增。一提到工控安全，大家都避不过2010年伊朗的“震网”病毒，2010年以前大家所说的信息安全主要是互联网安全，当“震网”病毒爆发以后，相关工控部门都对系统的安全防护都重视起来了起来。所以相关的一些法律法规、政策还有一些防护措施也陆续推出，我们同时也看到了，漏洞从“震网”病毒爆发以后，工控的漏洞也在不断的增加，从“震网”病毒爆发以前，我们已知的漏洞已经有几十个，我们现在知道的漏洞已经有1500多个，而且这些漏洞覆盖100多个工控厂商的产品。这些产品据我们现在所知，大概有1/3并没有完全解决。

2，互联互通。由于现在最先进的这些信息化的技术，还有通讯技术的应用，导致了一些系统之间的协作增加，大量的生产数据被采集上来，这些系统的互联互通由以前的封闭走向开放而且是越来越开放，这些开放导致了安全边界的扩大。举个比较简单的例子，刚才说的这些智慧电厂在无线网的应用，在有线网如果接到内部系统里，首先要能够进入这个办公区，然后再进入到机房，有保安、有门禁，可是无线你只要在无线的信号范围之内，你就有可能通过无线的方式连到内网，然后采取攻击。随着安全边界的扩大，攻击的途径也在增加。

3，攻击趋易。随着现在技术的发展，网络上有大量的黑客大会、开源社区、白帽社区，通过这些社区可以非常方便的获得一些网络攻击的方法，而且有些方法写的非常详尽，基本上可以作为操作手册。第二，攻击的工具，从这些比如黑客网站、社区上可以非常方便的获得这些网络攻击工具，而且这些工具操作非常便利。第三，现在网络上有一些可以形容为网络雇佣军，已经有一些黑客的网站，你只要付费，那些黑客就会替你进行你所需要的网络攻击。

4，基础薄弱。两个方面，第一，公用系统，现在工控系统的软硬件绝大部分没有实现国产化，还是国外厂商的产品。第二，现在我们的安全防护，尤其是电厂的防护，现在虽然做的在整个工控系统的防控来说是做的比较好的，实际也只是刚刚起步，一旦面临着国家级的、专业级的攻击，其结果也就可想而知。

5，目标的重要性。工控系统作为国家关键基础设施的重要组成部分，已经成为了网络部队、黑客还有一些极端势力的重要攻击目标。

以上五个原因导致电厂的风险实际上是非常高的。如何来解决这些风险呢？就需要对电厂的工控系统进行安全防护，而电厂的工控安全防护的依据是什么呢？要依据国家的政策要求和行业的监管要求，就是说你的工控安全方案首先要合规。

这些主要是从“震网”病毒以后国家陆续推出的一些行业的规范和行政命令，首先有2011年工信部发布的451号文，2013年能源局的387号稳，2014年发改委的14号令，2015年能源局的36号文，2016年工信部的338号文，去年的《网络安全法》。

首先介绍一下国家能源局的36号文，是在等保的基础上，参考电力的实际情况，制定的关键工控系统如何进行防护，分为以下五个部分，隔离与加密，就是我们以前电厂提到的横向隔离和纵向加密。剩下4个，就是安全审计、恶意代码防范、入侵检查和访问控制。

下一个就是等级保护，从技术防护方面大概分为以下五个部分，物理的安全、网络的安全、主机的安全、应用安全和数据安全。大家可以看到红的字，可以看到跟36号文的防控基本上大体相似，因为36号文本身就是基于等保来制定的。

最后介绍一下《网络安全法》，在《网络安全法》里将信息安全、网络安全提高到了法律的层次，并且明确规定了国家要实行网络和等级保护制度，并对信息安全的责任人、防控工作如何做，并对不履行本法的人员、运营者如何进行处罚。

第三部分，介绍一下智慧电厂的安全防护方案。

刚才我说到的，安全防护方案主要是依据于能源局的36号文，刚才也提到了智慧电厂是电厂结合大量先进的信息和通讯技术，所以系统之间的数据、应用非常多，而且非常复杂，如何进行防护呢？第一步就是要进行安全分区，把整个网络架构清晰化，我们对电厂的系统防护首先分为两大区，生产控制大区和管理信息大区，生产控制大区又可以细分为控制区的一区和非控制区的二区，控制区就是说参与生产，对前方的一次系统有控制功能的系统，二区就是非控制区，也是参与生产，但是对前方的应用系统没有控制，其他的系统就属于管理信息大区。

在区域之间、大区之间、系统之间、生产区与地方的系统之间，要进行边界隔离，在生产系统与电网的调度系统之间要实行纵向加密。通过这两种方式，实现的是层层的防御，就像一个城堡一样，越往外他的防护等级越高，从外往里每个边界都有安全防护设备，需要一步一步的攻进来。第二个作用，他将每个区域都完全区分开，如果这个区域里一旦有恶意代码或者攻击，这个恶意代码的扩散只能在这个系统内部，而不能非常便利的扩散到其他系统或者扩散到每个电厂的控制系统。

第二，系统里如何进行防护，我们采用的就是点面结合的综合防御，点就是说系统里边每台电脑服务器，就相当于系统里的点，面就是系统里的网络。面的防御就是采用安全审计和入侵检测的设备，采集网络当中的数据，对数据进行分析，一旦发现有恶意代码或者攻击的特征数据，我们就会及时的，第一告警，第二记录下来，以备日后的查询。这个点，主机的防护，我们通过在主机加上软件，采用白名单的方式防护主机上的恶意代码。

下面我来介绍一下工控安全安全防护方案所涉及的四大类产品，1，边界隔离，就是横向隔离设备。横向隔离设备一般来说有单向隔离网闸和公共防火墙，还有一些逻辑控制到网络设备。2，纵向加密，也就是说现在说的纵向加密设备，基本上电厂已经都应该有实施。3，监测的安全审计设备，也就是涉及和入侵检测设备。4，主机的防护，就是主机交互软件。

接下来我来详细介绍横向隔离，就是边界防护。横向隔离就是边界防护大概分为四个部分：

1，生产控制大区与管理信息大区之间的隔离。这个隔离他的隔离强度应该达到近似于物理隔离，就是要使用电力专用的单向、横向隔离网闸，保证数据能单向传输，防御已知和未知的攻击。

2，在生产大区内部的安全一区跟二区之间的横向隔离，这个防护等级设备可以采用单向隔离网闸，也可以采用逻辑隔离的工业防火墙。这个应用关键选择就看你实际的两个区域至今数据流的具体应用，但是特别说明一下，这个工控防火墙不是我们传统以前以为的普通的防火墙，他两个防火墙之间的区别，首先第一是说，这个防火墙要能够深度解析工业协议，第二，他得通过白名单的方式进行防护。

3，区域当中的系统之间的边界隔离。这个边界隔离的强度是说，也可以选择单向隔离设备，也可以选择能达到逻辑隔离的工控防火墙，同样可以选择有访问控制功能的网络设备。这三种便利隔离设备，安全级别就是近似于物理隔离的单向隔离设备的安全性高于逻辑隔离的工控防火墙，逻辑防控功能的工控防火墙的安全等级高于有访问控制功能的网络设备。我们的使用原则，在保证应用的前提下，安全就高不就低，

4，第三方的边界隔离。第三方的边界隔离，举个例子，比如现在的环保，现在环保比较重视像火电厂的生产数据，他的排放，他需要前端的生产系统直接采生产数据，这样直接接到一区甚至二区。这种情况下他的防护等级必须采用近似于物理隔离的单向隔离设备。

上面4个隔离就像我刚才说的，是层层的防御，每个系统之间都有边界隔离设备进行防护，系统与系统之间互相的影响，都有设备进行防护。

第二，介绍一下系统内部的防护，就是刚才我说的点面结合的综合防护。

1，入侵检测设备。入侵检测设备通常部署在系统的边界，它主要是采集交换机上的镜像数据，发现从内到外或者从外到内的攻击行为，当发现这种攻击行为以后，他会把这种攻击行为首先是报警，然后是记录下来。

2，安全审计。主要是部署在系统的核心。同样是采集镜像数据，对数据进行分析，当发现异常情况，也会及时告警，并把这种情况记录下来。这两个设备它的部署全部都是在交换机的镜像部署上庞向部署，不深入到系统，不跟系统发生直接的联系。

3，点的防控。就是主机加固。通过在主机系统上安装主机加固软件，对系统进行安全防护，防护系统里的比如恶意代码，他采用的是白名单的方式，他的应用可以类比一下杀毒软件，但是杀毒软件采用的是黑名单的方式，杀毒软件一般如何进行防护呢？首先对数据进行分析，然后对比他的病毒库，当发现这个数据是病毒的话进行隔离、进行删除、进行处理。

但是这种模式在工业环境当中有几个弊端，1，病毒库不能实时更新。因为你毕竟是工业环境，你与互联网的连接是没有那么通常的，你的病毒库没法实时更新，新的病毒出现的时候实际上是起不到什么作用的的。2，杀毒软件是有误杀功能的。白名单这种模式，首先是把你的正常应用列入到白名单当中去，不在白名单的应用，比如说恶意代码，它一般的攻击首先是先要运营起来扫描，发现弱点进行攻击，你不在白名单当中，你这个软件根本就运行不起来，也就是说你基本上就没有破坏能力。

最后一个部分，介绍一下公共安全产品。2017年初我们与北京和信网安科技有限公司联合成立了“电力工控的安全技术及设备研发中心”。研发中心的核心就是提供安全工控的解决方案，主要面向电力。

1，介绍一下我们的产品，首先是天御6000的网络安全隔离系统，近似于物理隔离，保证数据是单向传输，只能从一个方向向另一个方向发送数据，TCP的回用字节根据要求小于1BT。

2，接下来介绍一下我们天御6000的工控防火墙。工控防火墙的防火等级能够达到逻辑隔离，这种工控防火墙主要的作用就是说，通过白名单的方式进行防护，他主要与普通防火墙的区别，能够对工业协议进行解析，因为你应用在工业环境，大部分数据都是通过工业协议进行传输，如果你不能解析工业协议，你防火墙的策略设置要不全关、要不全开，往往不能达到最佳效果。

3，介绍一下我们的公共安全监测与审计系统。我们的工控安全审计系统，首先也是能够解析工业协议，通过在系统内部采集镜像数据，对数据进行分析，当发现异常情况，就会及时告警，并将这个告警状况记录下来。

4，最后一个产品是天御1000的工控主机加固。就是我刚刚说的主机加固软件，它是一个软件，通过一个白名单的方式，防御主机上的病毒和密码，实现全生命周期的安全保障。

我的介绍到此结束。谢谢大家！

（发言为电力头条APP根据速记整理，未经本人审核）