1 項目概況

1.1 項目背景

能源問題與社會、經濟發展密切相關，受到了越來越廣泛的關注。研發適應能源轉型發展需求、有效促進產業升級的能源電力新裝備、新技術、新模式已成為構建現代產業發展體系的重要組成部分，其核心特征就是能源利用的清潔化與能源轉換的智能化。本項目基于信息安全主動防御技術，工控安全態勢分析與管控平臺，支持5種以上主流工控協議的自識別與解析，實現全系統的在線安全態勢分析與智能預警，滿足《信息安全技術 信息系統等級保護基本要求》《信息安全技術 信息系統等級保護實施指南》等標準要求；信息安全相關軟硬件對系統功能業務流程無影響，對系統運行態實時性能影響<10%。

1.2 項目簡介

大唐集團三門峽電廠（以下簡稱：電廠）于2009年投產發電，鍋爐為亞臨界壓力、一次中間再熱、循環流化床式，汽機為亞臨界、一次中間再熱、單軸雙缸雙排汽、直接空冷凝汽式，發電機為三相交流隱極式同步發電機，控制系統為和利時HOLLiASMACS DCS系統。

傳統信息安全防護與態勢感知無法有效下沉到控制系統網內部，使得工業控制業務與安全威脅分析無法有效融合。和利時依托自身在控制系統領域的優勢，結合工控威脅情報、行為分析建模、情報關聯分析、可視化等技術，對工業現場業務數據和多源網絡安全數據進行同步采集，并通過和利時特有的工業安全專家數據分析模型將工業生產業務數據與安全數據融合起來進行關聯分析，把網絡安全分析作為業務生產保障的一個輸入點，切實從工業網絡全局視角提升對安全威脅的發現識別、理解分析和響應處置，幫助用戶提升安全決策的能力，最終實現對工業生產的持續安全運行提供保障，打通安全與業務，形成“業務+安全”一體化的解決方案。

1.3 項目目標

現代工控系統網絡中專有設備較多，私有協議不公開，數據類型與流量特點不同于互聯網，且攻擊數據、背景數據和業務數據混雜在一起，具有隱蔽性。因此需要開發一套工控系統數據旁路采集工具，實現對工控系統網絡節點與流量的旁路采集、工控專用協議的深度解析、工控系統網絡因受到攻擊而產生的異常行為的識別與記錄等，提高工業控制系統安全性。

隨著電廠的數字化、智能化升級發展，對信息化建設和機組運行水平、設備管理水平都提出了更高的要求，電廠運營效益提升、員工勞動強度降低還有較大提升空間。當前面臨的主要挑戰是，機組控制層和管理層的深度融合不夠，各系統信息孤島情況嚴重，數據利用率不高，不能有效地為管理、生產、檢修提供支撐。

針對面臨的問題和挑戰，電廠基于現有各系統情況和運營管理提升訴求，在現場建立基于工業互聯網技術的智能發電運行優化云平臺、部署電廠智能化運營管理模塊，將數據挖掘和場景畫像的綜合競價上網技術進行落地實施，構建了面向現場實際應用的智能電廠整體解決方案。電廠智能改造的過程大大提高了電廠的智能化程度，在優化分析和產能提升方面獲得了極大提升。由于互聯互通的需求，智能化建設過程打通了電廠各子系統網絡，在關鍵網絡節點和關鍵網絡設備方面缺乏信息安全防護能力，缺乏統一的安全態勢管理和集中網絡分析，整體系統內生網絡安全防護能力提升空間巨大。

通過部署數據采集設備對工控系統網絡數據進行實時采集、解析與檢測。數據采集探針以旁路方式部署在工控系統中，獲取工控系統數據，進行初步處理后上報給數據分析與處理平臺。該平臺為一個硬件服務器，負責接收各個數據采集探針上報的數據，進行統一分析檢測，將結果以圖形化方式展示給用戶。該技術可自動識別工業控制協議，對網絡中的所有安全節點進行實時監控與分析，及時發現異常流量或異常操作。自動分析安全態勢，并根據配置策略產生實時報警。

2 項目實施

2.1 系統總體設計

2.2.1 安全防護體系架構

依據上述需求，基于終端安全可信防護系統、工控安全態勢分析與管控平臺等關鍵產品技術，設計了信息安全防護體系架構，如圖1所示。

圖1 火電機組智能運行控制系統信息安全防護體系架構

（1）工控安全態勢分析與管控平臺

工控安全態勢分析與管控平臺對通過下層網絡探針采集到的數據進行統一分析與展示，能夠實現對工控現場安全事件的預警與響應、安全事件集中展示、安全風險評估、工控安全設備策略管理等，并進一步為安全事件響應與處置提供態勢情報基礎。

在下層網絡中工控安全態勢分析與管控平臺通過工控網絡數據流量采集探針對工控網絡的協議和數據報文進行集中數據采集和分析，采集的數據通過基線和知識庫分析由工控安全態勢分析與管控平臺進行告警分析和可視化呈現，進而實現對網絡安全風險和安全態勢的集中管控。

（2）工業終端安全可信防護系統

工業終端安全可信防護系統作為可信計算的核心管控系統能夠對工業終端安全的可信策略進行策略配置、集中告警和統一管控。可信上層平臺與工業終端安全可信防護系統構成基于可信計算技術的統一整體，同時可信策略和可信告警作為態勢系統分析數據源的一部分為整體態勢分析提供基礎。

工業終端安全采用可信計算技術，設計了工業終端安全可信防護系統，基于可信策略和可信度量技術實現對工業終端計算環境的完整性校驗和可信監管。工業終端安全可信防護系統能夠對操作系統內核級的安全威脅和未知威脅進行有效抵御，同時配合管理平臺實現可信策略和安全告警的集中控制。

上述各部分之間的主要交互關系如圖2所示，構成完整的信息安全防護體系。

圖2 信息安全防護體系構成

2.2.2 業務影響分析

該應用驗證方案所采用的信息安全防護架構核心技術和設備采用輕量化旁路部署，實現對系統功能業務的無擾運行。

（1）工控安全態勢分析與管控平臺采用旁路部署的方式并接入系統業務網絡中，通過核心交換機鏡像口部署，以被動式數據采集方式，對業務網絡無流量干擾、不主動發包，實現系統業務網絡與安全數據采集的通訊隔離。

（2）工業終端安全可信防護系統采用可信計算技術，可信計算技術不同于傳統的黑名單防護技術，通過構建可信度量環境實現對可信基準值的可信校驗，從而完成對惡意代碼、非法進程和未知威脅的檢測。可信度量基于密碼技術對被度量對象進行密碼校驗，該技術實現方式相比于黑名單掃描檢測，具有計算量小、資源負荷低的特點，全面應用可信計算技術的終端防護系統對計算終端的CPU資源占用小于5%。標準上位機組態操作系統的實時數據刷新時間為500ms，根據實時性周期和數據量的分析結果顯示，當前工業控制系統上位機運行對組態軟件實時數據采集的性能影響不到30%，應用可信計算技術的終端防護系統后的性能要求仍不到設計要求的30%，總體對上位機實時性設計指標無影響。

2.2 關鍵產品技術

2.2.1 工業終端安全可信防護

（1）工業終端安全可信防護架構

工業終端安全可信防護以可信計算為核心技術，基于TCM構建從操作系統引導到上層應用的信任鏈，實現工業控制系統運行過程中可執行程序的完整性檢驗，防范惡意代碼等攻擊，為現有系統構建自主防御體系，打造可信應用環境，抵御未知病毒、木馬、惡意代碼的攻擊，其架構如圖3所示。

首先構建一個信任根，以信任根為起點建立一條信任鏈，從信任根開始到硬件平臺、操作系統、應用，一級認證一級，一級信任一級，把這種信任擴展到整個計算機系統，從而從源頭上確保整個計算機系統可信，并且能夠通過可信報告功能將這種信任關系通過網絡連接延伸到整個信息系統。通過可信計算技術和標簽管理、證書管理技術的結合，可以解決上述諸如應用來源判斷、應用動態度量、一致性訪問控制及可信網絡連接等問題。

圖3 可信環境架構圖

可信計算通過信任根和信任鏈的技術對惡意代碼起到了免疫的效果。主要從系統的三個階段進行防護：初態啟動階段、運行階段和網絡連接階段。在啟動階段通過BIOS設置，由可信芯片進行啟動，可信芯片內部存儲著啟動的初始代碼MBR等信息，這樣由硬件保護提升了代碼安全性且不會被惡意篡改，其次對存于硬盤上的后續執行代碼進行校驗，只有通過才能繼續啟動。在操作系統運行階段，通過可信軟件庫和白名單機制，對運行的軟件進行可信保護和執行限制，保障了惡意代碼不能被執行。

動態度量技術保障操作系統與安全機制的完整，惡意代碼要實現攻擊會對操作系統進行破壞，修改其關鍵的數據結構和配置信息，動態度量確保了應用的執行環境的安全；主客體行為度量和關鍵數據保護則是從應用行為和數據兩個方面提供惡意代碼防護，使得惡意代碼既不能做越權行為，對關鍵數據也沒有訪問權限。

最后通過可信網絡連接建立安全的業務系統網絡，在終端發生網絡連接之前可信機制對連接的雙方進行可信檢驗，主要檢驗雙方的身份、平臺以及系統環境的安全，保障網絡連接是在可信的環境中進行數據交換。可信網絡連接既保障網絡連接的可信也控制了非法接入，對已經被惡意代碼破壞的終端進行隔離，防止了惡意代碼的擴散。

基于可信計算技術提升工業控制系統核心技術能力，為控制系統上位機組態軟件構建安全環境，對終端主機搭建可信計算環境，目標是建立計算機免疫系統，主要包括可信芯片COS、可信軟件基、可信網絡連接、網絡化的管理支持等，構建可信芯片起始的完整信任鏈，實現計算機運行的同時進行防護，為上層業務應用的運行提供可信的環境，為建立體系化的安全防護系統提供基礎支撐。

（2）工業終端安全可信防護服務端

工業終端安全可信防護服務端實現對接入終端的策略、資源的統一管理以及審計的統計與分析。主要實現以下功能：

· 統一管理

· 資源可信監控

· 策略管理

· 審計管理

· 三權分立

（3）工業終端安全可信防護客戶端

工業終端安全可信防護客戶端部署在DCS控制系統的上位機環境中，主要實現了以下各項功能：

· 內核級安全防護

· 權限控制

· 移動存儲介質的管理

· 基于白名單的終端應用控制

· 協議和內容識別

· 操作系統告警

· 白名單機制（靜態度量）

· 動態度量技術

工業終端安全可信防護系統客戶端防護如圖4所示。

圖4 工業終端安全可信防護系統客戶端防護

工業終端安全可信防護對系統中所有裝載的可執行文件代碼進行控制，通過可信白名單機制可以增強終端和主機的安全防護能力，為邊緣安全服務提供防篡改和惡意代碼抵御的能力，在終端軟件安裝時通過掃描工具自動采集本地執行程序，為系統制定可信白名單（記錄執行程序全路徑、摘要值），并可通過管理中心配置下發白名單策略。

2.2.2 工控安全態勢分析與管控平臺

（1）工控安全態勢分析與管控平臺

· 深入理解工業自動化行業需求，對工控安全設備進行統一管控；對工控網絡日志進行統一采集與分析，幫助用戶及時發現問題，并提供決策依據；

· 完善的工控網絡態勢綜合分析與展示能力：支持工控行業主機節點的識別及拓撲展示，符合行業習慣；支持可視化的攻擊鏈狀況展示、風險儀表盤展示、告警事件類型分布展示、資產風險分布展示、最新安全事件列表等可視化模塊；

· 融合業務特性的工控知識庫：包括工控事件庫、處置預案庫、工控漏洞庫、工控協議庫，并據此進行整合關聯分析，產生告警并給出處置建議；

· 符合自主安全可控，采用基于國家商用密碼算法的通信加解密技術及身份認證技術，護航工業數據安全。

（2）網絡流量數據采集探針

工控安全態勢分析與管控平臺通過網絡流量數據采集探針，對工業控制協議的通信報文進行深度解析，實時檢測針對工業協議的網絡攻擊、用戶誤操作、用違規操作、非法設備接入以及蠕蟲、病毒等惡意軟件的傳播并實時報警，同時詳實記錄一切網絡通信行為，將數據收集匯聚到工控安全態勢分析與管控平臺中，為工業控制系統的安全事故調查提供堅實的基礎。

工控網絡數據流量采集探針的技術特點如下：

· 工業協議深度解析：支持OPC、ModbusTCP、IEC 104、S7、DNP3等數十種工控協議，對協議內容進行細粒度分析；

· 高可靠的自身安全性：采用獨立的硬件平臺，數據分區加密，Web站點采用HTTPS方式訪問；產品相關任務、日志、數據等導出都采用獨立的加密處理；

· 無擾部署模式：通過流量鏡像的方式對工控網絡進行全流量數據監聽，不主動發包，不做網絡的任 何修改，對工控系統“無擾動，零風險” 。

3 案例亮點

智能發電系統中控制系統采用TCM可信計算密碼支撐平臺、具備可信啟動的現場設備等技術，通過可信根、靜態可信擴展和動態可信擴展、可信隔離和可信連接等可信支撐功能，實現設備安全、網絡安全、控制安全、應用安全和數據安全防護全方位安全防護，構建安全可信、穩定可靠的智能發電系統。通過部署相關可信設備及相關管理軟件，實現電廠控制系統的安全可靠，分別從管理體系、技術體系、運維體系多個維度進行可信防護，實現非授權未知威脅進不來、拿不走、看不到、改不了、走不掉等安全目標。

在系統整個安全架構設計上，基于“安全分區、網絡專用、橫向隔離、縱向認證”的總設計原則，將系統分為管理信息大區和生產控制大區，兩區之間部署單向隔離裝置進行橫向隔離，實現生產控制區安全，從而保障控制系統安全運行。

數據采集探針以旁路方式部署在工控系統中，實時獲取工控系統數據，進行初步處理后上報給數據分析與處理平臺。該平臺為一個硬件服務器，負責接收各個數據采集探針上報的數據，進行統一分析檢測，將結果以圖形化方式展示給用戶。可自動識別工業控制協議，對網絡中的所有安全節點進行實時監控與分析，及時發現異常流量或異常操作。自動分析安全態勢，并根據配置策略產生實時報警。