《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > AET原創(chuàng) > 神州慧安張友平:基于PK體系的電力DCS系統(tǒng)安全防護設計與實踐

神州慧安張友平:基于PK體系的電力DCS系統(tǒng)安全防護設計與實踐

2021-04-26
作者:韋肖葳
來源:電子技術應用

       在剛剛落幕的CITE2021 工業(yè)互聯(lián)網(wǎng)發(fā)展與安全峰會上,,北京神州慧安科技有限公司首席科學家張友平做了題為《基于PK體系電力DCS系統(tǒng)安全防護設計與實踐》的主題報告,,詳述了神州慧安在工控安全和國產化領域所取得的成果及獲得的經(jīng)驗。

 

Picture 1.png


北京神州慧安科技有限公司首席科學家 張友平

 

       張友平表示,,工控安全目前面臨著這樣的國際背景:工控行業(yè)關鍵基礎設施多為國外產品,,面臨風險非常高,且外部設備往往留有后門,,時刻被監(jiān)聽,,關鍵時刻還會破壞。同時,,網(wǎng)絡攻擊武器庫已經(jīng)成為現(xiàn)代戰(zhàn)爭中重要的組成部分,,禁運變成卡脖子的一張王牌,妄圖扼殺科技的發(fā)展,,大國間的博弈已成為今后整個世界格局的常態(tài),。而在國內,企業(yè)信息化建設越來越多,,智能化程度越來越高,,但是信創(chuàng)體系基礎差、時間短,、生態(tài)差,、供給側嚴重不足。這是國家關鍵基礎設施保護的迫切需求,,國內政策法規(guī)也在不斷完善和出臺,。

 

基于PK體系的信創(chuàng)DCS安全防護設計

  • PK體系

       “PK體系”立足中國國產安全,、面向全球開放聯(lián)合,,是國家級網(wǎng)絡安全核心體系,是技術創(chuàng)新體系加商業(yè)模式的綜合體,,對標WINDOWS+INTEL體系,。“PK體系”是一個基礎的,、先進的,、開放的架構組合,。作為國內首家將“PK”體系應用到工業(yè)信息安全的安全廠商,北京神州慧安科技有限公司已經(jīng)實現(xiàn)基于“PK”體系的全系列工業(yè)信息安全產品的移植和適配,,同時建立了基于“PK”架構的工業(yè)信息安全防護體系,。


  • 建設思路

       張友平首先介紹了項目背景:DCS是火力發(fā)電的核心控制系統(tǒng),被稱為發(fā)電廠的“大腦”,,也是關鍵網(wǎng)絡安全基礎設施安全的核心,。長期以來,國內DCS所使用的芯片,、元器件以及操作系統(tǒng)等軟,、硬件依賴進口。實現(xiàn)DCS自主可控,,具有重要的現(xiàn)實價值和戰(zhàn)略意義,。

       在某電廠投運基于飛騰處理器及麒麟操作系統(tǒng)的自主可控智能分散控制系統(tǒng)(DCS)實現(xiàn)了首次在超超臨界火電機組的應用,控制范圍覆蓋鍋爐,、汽輪機等主輔設備,,系統(tǒng)控制層、網(wǎng)絡層,、監(jiān)控層全部實現(xiàn)了國產化,,實現(xiàn)國內自主可控DCS在超超臨界火電機組上的首次示范應用和全廠一體化控制,取得了重大突破,。為了對國產DCS進行安全防護,,電廠急需搭建與之相配套的基于PK體系的工業(yè)信息安全防護體系,來保障生產安全,。

       談及建設思路,,張友平表示,整個安全防護體系以資產為中心,,以發(fā)現(xiàn)威脅為目的,,以零信任為理念,分別從系統(tǒng)防護,、監(jiān)測感知,、態(tài)勢展示等方面進行設計,集可視,、檢測,、預警、服務于一體,,形成整體的縱深安全體系,,可達到“通過去、知現(xiàn)在,、曉未來”的目的,。

       防御思路脫離于傳統(tǒng)安全防護的訪問控制和黑名單機制,,不局限于某一個點,而是從全局的高度提升對安全威脅的發(fā)現(xiàn),、識別,、分析和處置的能力。在基本防護的基礎上,,通過大數(shù)據(jù)分析研判能力,,增加了對未知風險的檢測和發(fā)現(xiàn)機制,從被動防護轉向主動防御,,消除了傳統(tǒng)安全防御滯后性的弊端,。通過對潛在風險的挖掘(如隱藏在正常業(yè)務流量中的黑客踩點、試探,、信息收集等行為),,將防御前移,在告警事件未真正發(fā)生或范圍很小時即進行預警通報,,提前部署措施進行防御,,結合安全運維和安全服務體系,化被動為主動,,達到料敵于先,、制敵于前的效果。

       在覆蓋范圍方面,,系統(tǒng)前端感知探頭覆蓋到操作系統(tǒng),、網(wǎng)絡設備、安全設備,、網(wǎng)絡行為,、網(wǎng)絡流量、業(yè)務審計,、網(wǎng)絡脆弱性,、網(wǎng)絡威脅態(tài)勢等等。相對于友商單一種類(或漏洞,、或木馬,、或終端管理)信息的采集,探頭類型多,,部署范圍廣,,采集信息全面。

       大數(shù)據(jù)分析方面,,以全網(wǎng)大數(shù)據(jù)為基礎,,以智能分析策略為核心,,通過機器學習引擎對能夠引起網(wǎng)絡態(tài)勢變化的要素進行攫取,、分析,,結合用戶業(yè)務場景,對數(shù)據(jù)流量,、網(wǎng)絡連接,、訪問關系、用戶行為等進行學習,,建立起企業(yè)的安全模型,,并且可根據(jù)條件自定義安全策略,靈活便捷,。

       基礎防護方面,,前端探頭除進行信息收集和數(shù)據(jù)上報外,還能夠對各個節(jié)點起到基本的安全防護作用,,保護關鍵控制設備的正常運行,。

       還有一點就是安全服務,安全防護體系還融入了服務的理念,,設計了安全評估模塊和服務評價模塊,。安全評估部分內置了國家標準,用戶可通過標準對網(wǎng)絡和系統(tǒng)進行自評估,,找出差距,。服務評價是對托管服務質量的評價,甲方可通過事件的響應速度,、問題的處理率等指標,,評估安全托管服務商的工作質量。


Screen Shot 2021-04-14 at 4.39.15 pm.png



基于PK體系的信創(chuàng)DCS安全防護實踐

       張友平介紹,,目前某電廠是處于這樣一種情況:一期,、二期的安全1區(qū)和安全2區(qū)之間未進行邊界隔離;缺少針對主控系統(tǒng),、輔網(wǎng)系統(tǒng)和網(wǎng)絡系統(tǒng)的信息收集和風險預警,;管理及技術人員運維管理缺乏監(jiān)控、審計及追溯,;設備自身系統(tǒng)漏洞,、防病毒軟件缺失等。神州慧安建設的目標是主動防御,、態(tài)勢感知,、數(shù)據(jù)分類、輔助決策,?!拔覀兊陌踩到y(tǒng)肯定不能加入主動的生產運行,而是在旁邊來發(fā)現(xiàn),真正有異常之后由現(xiàn)場的工藝工程師和網(wǎng)絡工程師來最終處理,,”張友平表示,。

    

Screen Shot 2021-04-22 at 2.15.44 pm.png


 

       下圖展示了防護體系實施的整個架構情況。以數(shù)據(jù)為核心的生產大區(qū)的生產預警平臺,,實現(xiàn)了收集數(shù)據(jù)量十億余條,,共收集DCS系統(tǒng)、SCADA系統(tǒng)及SIS資產信息1萬余條,,關鍵節(jié)點100余個,,實時采集生產大區(qū)工控系統(tǒng)雙向數(shù)據(jù)流,預警分析處理上千條風險事件,。


Screen Shot 2021-04-14 at 4.44.02 pm.png


        張友平在報告最后表示,,信創(chuàng)DCS安全防護體系實踐有如下幾點經(jīng)驗體會:

       第一,目前國內工控安全產品都基于國外硬件產品進行研發(fā),,存在較大的風險和安全隱患,。自主可控國產化安全體系的推出對于推進國家在軍工、航天,、核電,、軌道交通、電力,、化工等國家重要基礎設施的保護具有重大意義,;

       第二,整個安全防護體系構建在國產化飛騰平臺和麒麟操作系統(tǒng)組成的PK體系之上,,與自主研發(fā)的軟件和防護系統(tǒng)相結合,,形成了集軟、硬件于一體的國產化工控安全防護體系,,完全自主可控,,與國產DCS進行配套,形成了從生產系統(tǒng)到安全防護體系的百分之百國產化率,,做到了真正的基因安全,,確保國家關鍵基礎設施的安全穩(wěn)定運行;

       第三,,通過國產化工控安全防護體系的研發(fā)和建設,,不僅開拓了工控安全領域的市場,而且讓更多的人知曉和使用上國產化品牌,,同時在此過程中,,培養(yǎng)和儲備了一大部分國產化應用的研發(fā)人才,形成了良好的生態(tài)環(huán)境,;

       最后一點就是樹立了典范,、取得了寶貴經(jīng)驗,。根據(jù)工業(yè)互聯(lián)網(wǎng)、工業(yè)云和工業(yè)大數(shù)據(jù)對自主可控國產化的需求,,工控安全國產化的成功實踐為進一步研發(fā)國產化安全數(shù)采,,國產化可編程控制器、國產化工業(yè)大數(shù)據(jù)等產品和技術提供了思路和樣例,,為國家國產化產業(yè)的推廣和建設貢獻了力量,。

此內容為AET網(wǎng)站原創(chuàng),,未經(jīng)授權禁止轉載,。