| 工業(yè)互聯(lián)網(wǎng)優(yōu)秀應(yīng)用案例-華能集團(tuán)生產(chǎn)控制系統(tǒng)安全監(jiān)管預(yù)警平臺(tái) |
| 日期:2018/3/26 21:32:01 作者: |
|
|
|
|
| |
|
|
工業(yè)互聯(lián)網(wǎng)作為新一代信息技術(shù)與制造業(yè)深度融合的產(chǎn)物,日益成為新工業(yè)革命的關(guān)鍵支撐和深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”的重要基石,將對(duì)未來工業(yè)發(fā)展產(chǎn)生全方位、深層次、革命性影響。在工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟的指導(dǎo)下,產(chǎn)業(yè)發(fā)展組連續(xù)兩年面向聯(lián)盟成員及全社會(huì)開展了優(yōu)秀應(yīng)用案例滾動(dòng)征集工作,旨在發(fā)現(xiàn)我國工業(yè)互聯(lián)網(wǎng)新技術(shù)、新應(yīng)用、新業(yè)態(tài)、新模式的最佳實(shí)踐,加快優(yōu)秀案例的宣傳推廣和規(guī)模化應(yīng)用,助推我國工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)和應(yīng)用體系加速形成,貫徹落實(shí)《國務(wù)院關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》。通過聯(lián)盟專家組的三輪評(píng)審,2017年共評(píng)選出了17個(gè)優(yōu)秀案例,并由產(chǎn)業(yè)發(fā)展組組長和副組長單位牽頭編寫了優(yōu)秀案例集。
案 例 13
華能集團(tuán)生產(chǎn)控制系統(tǒng)安全監(jiān)管預(yù)警平臺(tái)
——工業(yè)互聯(lián)網(wǎng)中的工控信息安全
北京天地和興科技有限公司成立于2007 年,總部位于北京,是一家專注于工控行業(yè)信息安全測評(píng)、防護(hù)與技術(shù)服務(wù)的高新技術(shù)企業(yè)和雙軟認(rèn)證企業(yè);公司擁有先進(jìn)的技術(shù)、成熟的市場拓展、優(yōu)質(zhì)的系統(tǒng)集成和工程服務(wù)等核心競爭力,為企業(yè)客戶提供全方位一體化解決方案。通過在工控系統(tǒng)內(nèi)多年的研發(fā)投入和積累,完全自主研發(fā)并推出包括工業(yè)防火墻、主機(jī)安全防護(hù)系統(tǒng)、工控安全審計(jì)平臺(tái)、工控威脅檢測系統(tǒng)、賬號(hào)管理及運(yùn)維審計(jì)系統(tǒng)、工控入侵檢測系統(tǒng)以及工控安全監(jiān)管和分析平臺(tái)為一體的整體解決方案,在各發(fā)電集團(tuán)獲得普遍認(rèn)可,并推動(dòng)了發(fā)電廠信息安全示范性工程及安全防護(hù)試點(diǎn)項(xiàng)目的開展。公司根據(jù)華能玉環(huán)電廠工控系統(tǒng)網(wǎng)絡(luò)安全的實(shí)際情況,結(jié)合發(fā)改委2014 年第14 號(hào)令、國家能源局2015 年第36 號(hào)文件、國能安全161 號(hào)文、國家經(jīng)貿(mào)委30 號(hào)令等一系列相關(guān)政策和華能集團(tuán)針對(duì)電廠工控系統(tǒng)安全防護(hù)的具體要求,制定針對(duì)性的項(xiàng)目技術(shù)路線。
一、項(xiàng)目概況-百萬機(jī)組的“難題”
華能玉環(huán)電廠是由華能國際電力股份有限公司開發(fā)、建設(shè)的全資電廠。電廠位于浙江省臺(tái)州市玉環(huán)縣大麥嶼開發(fā)區(qū),華能玉環(huán)電廠是國家“863”計(jì)劃中引進(jìn)超臨界機(jī)組技術(shù),逐步實(shí)現(xiàn)國產(chǎn)化的國家重點(diǎn)依托工程。是全國第一個(gè)投產(chǎn)百萬千瓦超超臨界機(jī)組、第一座擁有四臺(tái)百萬千瓦機(jī)組的燃煤電廠。
1. 項(xiàng)目背景-頂層設(shè)計(jì)、整體布局
充分結(jié)合華能集團(tuán)玉環(huán)電廠工控系統(tǒng)的實(shí)際情況,有針對(duì)性的制定具體解決方案:
(1)加強(qiáng)頂層設(shè)計(jì),制定電力行業(yè)信息安全解決方案,完善電力行業(yè)信息安全管理標(biāo)準(zhǔn)制度,建立電力行業(yè)信息安全監(jiān)測、通報(bào)預(yù)警、應(yīng)急處置、協(xié)同聯(lián)動(dòng)機(jī)制,構(gòu)建電力行業(yè)信息安全縱深聯(lián)動(dòng)防御標(biāo)準(zhǔn)體系。
(2)建立電力行業(yè)統(tǒng)一信息安全基礎(chǔ)平臺(tái),具體包括電力行業(yè)信息安全通信平臺(tái)和電子認(rèn)證服務(wù)平臺(tái)。
(3)開展電力行業(yè)生產(chǎn)控制大區(qū)試點(diǎn)示范。
2. 項(xiàng)目簡介-多維度的安全體系
本項(xiàng)目采用三層分布式架構(gòu),由安全監(jiān)測層、區(qū)域管控層和全網(wǎng)分析層組成。安全監(jiān)測層包含流量監(jiān)測模塊、行為監(jiān)測模塊、威脅監(jiān)測模塊、主機(jī)監(jiān)測模塊和監(jiān)測數(shù)據(jù)存儲(chǔ)模塊,負(fù)責(zé)建立廠級(jí)電力工控系統(tǒng)信息安全縱深監(jiān)測體系,并完成各安全分區(qū)內(nèi)安全數(shù)據(jù)的存儲(chǔ)轉(zhuǎn)發(fā)。
3. 項(xiàng)目目標(biāo)-行業(yè)信息安全的防護(hù)之道
依據(jù)電力行業(yè)已發(fā)布的國家與行業(yè)標(biāo)準(zhǔn)規(guī)范,按照安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證、綜合防護(hù)對(duì)當(dāng)前計(jì)算機(jī)監(jiān)控網(wǎng)絡(luò)進(jìn)行安全升級(jí),設(shè)計(jì)、建設(shè)玉環(huán)電廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系,并實(shí)現(xiàn)以下建設(shè)目標(biāo):
1. 提高電廠工業(yè)控制系統(tǒng)信息安全防護(hù)能力和管理水平。在工控系統(tǒng)的主機(jī)層和網(wǎng)絡(luò)層進(jìn)行安全加固、搭建監(jiān)測、審計(jì)、預(yù)警平臺(tái),制定一套信息安全管理措施和標(biāo)準(zhǔn),以有效抵御來自工控網(wǎng)絡(luò)內(nèi)部、外部的病毒、入侵、滲透以及違規(guī)操作行為對(duì)工業(yè)控制系統(tǒng)造成破壞,防范信息安全事故的發(fā)生。
2. 滿足合規(guī)性要求。滿足能源局36 號(hào)文等一系列政策中的要求,使電廠的工業(yè)控制系統(tǒng)安全防護(hù)措施達(dá)到各監(jiān)管部門對(duì)發(fā)電企業(yè)的要求。
3.集團(tuán)戰(zhàn)略目標(biāo)的契合。集團(tuán)先后對(duì)各電廠開展了安全性評(píng)價(jià)標(biāo)準(zhǔn)查評(píng)及聘請(qǐng)專業(yè)機(jī)構(gòu)對(duì)系統(tǒng)進(jìn)行等級(jí)保護(hù)測評(píng)工作。
二、項(xiàng)目實(shí)施概況-用科技推動(dòng)工業(yè)進(jìn)步
本項(xiàng)目在工業(yè)互聯(lián)網(wǎng)體系架構(gòu)的基礎(chǔ)上應(yīng)用了基于工業(yè)控制系統(tǒng)的防護(hù)手段,構(gòu)建了安全可控為目標(biāo)、監(jiān)控審計(jì)為特征的電廠控制系統(tǒng)新一代主動(dòng)防御體系,提高工業(yè)控制系統(tǒng)在于工業(yè)互聯(lián)網(wǎng)對(duì)接過程中的整體安全性。
1. 項(xiàng)目總體架構(gòu)和主要內(nèi)容-一體化的功能支撐
1. 監(jiān)測模塊:測模塊可以實(shí)現(xiàn)對(duì)生產(chǎn)控制大區(qū)的工控系統(tǒng)和業(yè)務(wù)的安全狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)測和安全事件分析。
2. 預(yù)警模塊:預(yù)警模塊采用事件搜集及深度分析技術(shù),從全局角度進(jìn)行安全事件實(shí)時(shí)分析處理,為管理者提供網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的實(shí)時(shí)告警;幫助決策者根據(jù)生產(chǎn)控制網(wǎng)絡(luò)的安全形勢(shì),及時(shí)調(diào)整安全策略和有效部署安全措施;及時(shí)消除網(wǎng)絡(luò)系統(tǒng)中的安全隱患;實(shí)現(xiàn)可視化的網(wǎng)絡(luò)安全管理,幫助用戶實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的持續(xù)安全運(yùn)營。
3. 審計(jì)模塊:審計(jì)模塊對(duì)威脅進(jìn)行閉環(huán)管理的過程,從全局角度進(jìn)行安全事件實(shí)時(shí)分析處理;幫助管理者掌握網(wǎng)絡(luò)運(yùn)行情況。
4. 平臺(tái)模塊:接入防護(hù)平臺(tái)部署與生產(chǎn)控制系統(tǒng)類型無關(guān),不影響生產(chǎn)控制系統(tǒng)的安全性和可靠性。針對(duì)電力行業(yè)信息安全防護(hù)特點(diǎn),采用并接、串接、信息擺渡等方式實(shí)現(xiàn)對(duì)生產(chǎn)控制系統(tǒng)的安全防護(hù)和審計(jì),確保本地終端及遠(yuǎn)程終端的安全接入。不影響系統(tǒng)控制系統(tǒng)的安全性和可靠性,不增加新的系統(tǒng)風(fēng)險(xiǎn)點(diǎn)。
2. 網(wǎng)絡(luò)互聯(lián)架構(gòu)-基于工控網(wǎng)絡(luò)的獨(dú)立設(shè)計(jì)
在本項(xiàng)目中,網(wǎng)絡(luò)互聯(lián)技術(shù)負(fù)責(zé)的是能源信息安全數(shù)據(jù)的的識(shí)別、采集、分析、傳送、管理等方面,是實(shí)現(xiàn)多種信息內(nèi)容合理調(diào)配的關(guān)鍵。在信息采集和處理方面,在基于電廠自身的信息采集與傳輸上,基于旁路的防暑部署數(shù)據(jù)采集節(jié)點(diǎn),包含海量數(shù)據(jù)采集、預(yù)處理、存儲(chǔ)、分析等功能的大數(shù)據(jù)技術(shù)等。在設(shè)備與平臺(tái)方面,應(yīng)用具有可產(chǎn)業(yè)化的、工業(yè)環(huán)境下的專業(yè)設(shè)備進(jìn)行對(duì)整個(gè)信息平臺(tái)的建設(shè)。在通信安全、傳輸協(xié)議和標(biāo)準(zhǔn)方面,具備專業(yè)協(xié)議深度解析,支持工控協(xié)議包括Modbus/TCP,OPC,IEC104,DNP3, S7 等,并可對(duì)協(xié)議數(shù)據(jù)包深度解析。
3. 數(shù)據(jù)架構(gòu)和應(yīng)用-特有的工控?cái)?shù)據(jù)化管理
整個(gè)數(shù)據(jù)傳輸?shù)募軜?gòu)分為數(shù)據(jù)傳輸層、數(shù)據(jù)處理層、數(shù)據(jù)分析層、應(yīng)用服務(wù)層以及態(tài)勢(shì)展示層。
數(shù)據(jù)傳輸層負(fù)責(zé)數(shù)據(jù)傳輸。通過消息中間件將數(shù)據(jù)傳輸給中心平臺(tái)。
數(shù)據(jù)處理層通過分析引擎從消息中間件讀取數(shù)據(jù)后,進(jìn)行數(shù)據(jù)解壓縮,數(shù)據(jù)解密等操作。
數(shù)據(jù)分析層內(nèi)置多種分析引擎,包括:智能檢索引擎,關(guān)聯(lián)分析引擎,統(tǒng)計(jì)分析引擎,態(tài)勢(shì)展示引擎,報(bào)表引擎等。
應(yīng)用服務(wù)層提供系統(tǒng)的基本功能,包括資產(chǎn)管理,配置管理,事件管理,風(fēng)險(xiǎn)管理,知識(shí)庫管理等。
態(tài)勢(shì)展示層通過可視化的頁面展示網(wǎng)絡(luò)態(tài)勢(shì)情況,通過3D 地圖,熱力圖,雷達(dá)圖,平行坐標(biāo)圖等多種可視化圖標(biāo)展示網(wǎng)絡(luò)安全情況和態(tài)勢(shì)。
4. 安全及可靠性-三重防御多級(jí)互聯(lián)
本項(xiàng)目不僅僅是華能集團(tuán)2016 年工控信息安全防護(hù)改造試點(diǎn)(暨國家發(fā)改委工控信息安全改造示范項(xiàng)目),更是為發(fā)電企業(yè)的網(wǎng)絡(luò)安全防護(hù)做出了技術(shù)示范作用,優(yōu)化管理流程,切實(shí)保證了發(fā)電企業(yè)工業(yè)控制系統(tǒng)免受病毒、惡意代碼等威脅,保持安全穩(wěn)定運(yùn)行的狀態(tài)。安全框架通過借鑒《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)要求 第五部分:工業(yè)控制安全要求》 “網(wǎng)絡(luò)三重防御多級(jí)互聯(lián)”的互聯(lián)技術(shù)框架。采用“一個(gè)中心、三重發(fā)現(xiàn)”的建設(shè)理念,其中包含:
1. 資產(chǎn)安全
確立以資產(chǎn)安全為核心的安全生產(chǎn)原則,保障資產(chǎn)按時(shí)按規(guī)定的正常運(yùn)行和及時(shí)檢測出資產(chǎn)的異常行為,從而保護(hù)電力生產(chǎn)全過程的安全。
2. 空間域監(jiān)測
在空間域方面,借鑒了縱深防御的思想,形成一套縱深監(jiān)測架構(gòu),包括:邊界監(jiān)測、區(qū)域監(jiān)測、節(jié)點(diǎn)監(jiān)測、核心監(jiān)測、整體監(jiān)測五個(gè)方面。
3. 時(shí)間域監(jiān)測
在時(shí)間域方面,設(shè)計(jì)了評(píng)估、防護(hù)、偵測、響應(yīng)、恢復(fù)、決策六大過程,通過持續(xù)實(shí)施六大過程監(jiān)測來積極響應(yīng)工控網(wǎng)絡(luò)風(fēng)險(xiǎn)變化,促進(jìn)工控網(wǎng)絡(luò)整體安全的螺旋式上升。
三、下一步實(shí)施計(jì)劃-打造可信工控環(huán)境、助力網(wǎng)絡(luò)強(qiáng)國
1. 工控信息安全框架(IFS)
加大更具有針對(duì)性的工業(yè)互聯(lián)網(wǎng)體系架構(gòu)下的工控安全技術(shù)研發(fā)力度,貫徹落實(shí)習(xí)近平總書記419 講話精神,搭理開展工業(yè)信息安全仿真測試、漏洞挖掘、攻防對(duì)抗等非對(duì)稱技術(shù)、前沿技術(shù)、顛覆性技術(shù)的攻關(guān)工作,研發(fā)自主可控且滿足工控系統(tǒng)特點(diǎn)的專用工控安全防護(hù)工具。持續(xù)推進(jìn)工控信息安全框架(IFS)建設(shè),提升工業(yè)控制系統(tǒng)在線監(jiān)測和數(shù)據(jù)分析能力,實(shí)現(xiàn)全天候全方位感知工業(yè)信息安全態(tài)勢(shì)。
2. 深防護(hù)深感知
建立以工控協(xié)議深度(DPI)檢測能力為核心的工控系統(tǒng)網(wǎng)絡(luò)環(huán)境感知能力平臺(tái)。研發(fā)以可信、加固、抗惡意代碼為中心的工控節(jié)點(diǎn)安全產(chǎn)品方向和以預(yù)警、隔離、應(yīng)急、追溯為中心的工控區(qū)域安全產(chǎn)品方向。
四、項(xiàng)目創(chuàng)新點(diǎn)和實(shí)施效果
1. 項(xiàng)目先進(jìn)性及創(chuàng)新點(diǎn)-可復(fù)制的全系列生命周期應(yīng)用案例
1.可以生產(chǎn)全系列的工控安全產(chǎn)品
提供全系列工控安全產(chǎn)品,可以滿足不同工控系統(tǒng)信息安全防護(hù)項(xiàng)目的需要。
工控安全產(chǎn)品覆蓋了整個(gè)生產(chǎn)監(jiān)控系統(tǒng)的核心部分。
2.工控安全產(chǎn)品性能達(dá)到國內(nèi)領(lǐng)先水平
獨(dú)有的專利技術(shù)的全機(jī)柜一體化解決方案;松耦合的安全框架設(shè)計(jì)具有極好的設(shè)備兼容性;一體化安全產(chǎn)品管理機(jī)制。
配置簡單方便,無需部署管理集中部署;完全為工控網(wǎng)絡(luò)設(shè)計(jì)開發(fā),非IT 審計(jì)的修改。
獨(dú)有的專利技術(shù)雙因子認(rèn)證;白名單采用高效的hash 檢索算法,檢索時(shí)間小于4 微秒;白名單深入系統(tǒng)內(nèi)核,包括U 盤、動(dòng)態(tài)鏈接庫、命令行等。
采用工業(yè)級(jí)無風(fēng)扇設(shè)計(jì),配置簡單方便;支持工業(yè)控制協(xié)議識(shí)別。
3. 先進(jìn)的管理體系
ISO14001\9001\27001 管理體系、信息安全服務(wù)資質(zhì)(信息安全風(fēng)險(xiǎn)評(píng)估三級(jí))
4.持續(xù)的先進(jìn)技術(shù)支持
武漢建立工控信息安全產(chǎn)品研發(fā)中心。
完善的售后服務(wù)系統(tǒng)
與工業(yè)界、學(xué)術(shù)界、科學(xué)院校、培訓(xùn)機(jī)構(gòu)的廣泛合作
5.創(chuàng)新關(guān)鍵技術(shù)
Windows 系統(tǒng)調(diào)用攔截技術(shù)
多源異構(gòu)現(xiàn)場設(shè)備環(huán)境感知技術(shù)
2. 實(shí)施效果-為用戶考慮的智能安全
通過采用一整套的工控系統(tǒng)信息安全解決方案,以建立縱深防御策略為主要思想,主要達(dá)到了如下效果:
1.入侵檢測:對(duì)緩沖區(qū)溢出、SQL 注入、DoS 攻擊、蠕蟲病毒、木馬后門等各類黑客攻擊和惡意流量進(jìn)行實(shí)時(shí)檢測及報(bào)警,并通過與防火墻聯(lián)動(dòng)、安全中心顯示、日志數(shù)據(jù)庫記錄等方式進(jìn)行動(dòng)態(tài)防御。
2.深度檢查:面向應(yīng)用層對(duì)特有的工業(yè)通訊協(xié)議進(jìn)行內(nèi)容深度檢查,告別病毒庫升級(jí)缺陷;
3.通信管控:對(duì)數(shù)據(jù)流量進(jìn)行管控,通過端口、地址、協(xié)議等方式對(duì)數(shù)據(jù)流量進(jìn)行篩選,保證流量合法性。
4.實(shí)時(shí)報(bào)警:所有部署的安全設(shè)備都能由管理平臺(tái)進(jìn)行實(shí)時(shí)監(jiān)控,任何非法的訪問,都會(huì)在管理平臺(tái)產(chǎn)生實(shí)時(shí)報(bào)警信息,從而故障問題會(huì)在原始發(fā)生區(qū)域被迅速的發(fā)現(xiàn)和解決。
5.主機(jī)防護(hù):安裝了主機(jī)防護(hù)的電腦在面對(duì)自身與外界的安全威脅有了更深的防護(hù)級(jí)別,深度執(zhí)行白名單數(shù)據(jù)庫的數(shù)據(jù)運(yùn)行。
6.流量審計(jì):完善的安全審計(jì)平臺(tái),對(duì)網(wǎng)絡(luò)運(yùn)行日志、操作系統(tǒng)運(yùn)行日志、安全設(shè)施運(yùn)行日志等進(jìn)行集中收集、自動(dòng)分析,及時(shí)發(fā)現(xiàn)各種違規(guī)行為以及病毒和黑客的攻擊行為。
7.操作行為的監(jiān)控與審計(jì):依靠主機(jī)防護(hù)軟件的主機(jī)審計(jì)和工控安全審計(jì)系統(tǒng)的網(wǎng)絡(luò)審計(jì)對(duì)整個(gè)電力生產(chǎn)監(jiān)控系統(tǒng)進(jìn)行操作行為的監(jiān)控與審計(jì),記錄操作行為,便于事件追溯。
查詢進(jìn)一步信息,請(qǐng)?jiān)L問官方網(wǎng)站 http://www.aii-alliance.org/index.php?m=content&c=index&a=show&catid=23&id=242。
|
|
| → 『關(guān)閉窗口』 |
|
| |
|
|
|
|
|
|
