北京天地和兴科技有限公司成立于2007年，总部位于北京，是一家专注于工控行业信息安全测评、防护与技术服务的高新技术企业和双软认证企业；公司拥有先进的技术、成熟的市场拓展、优质的系统集成和工程服务等核心竞争力，为企业客户提供全方位一体化解决方案。通过在工控系统内多年的研发投入和积累，完全自主研发并推出包括工业防火墙、主机安全防护系统、工控安全审计平台、工控威胁检测系统、账号管理及运维审计系统、工控入侵检测系统以及工控安全监管和分析平台为一体的整体解决方案，在各发电集团获得普遍认可，并推动了发电厂信息安全示范性工程及安全防护试点项目的开展。公司根据华能玉环电厂工控系统网络安全的实际情况，结合发改委2014年第14号令、国家能源局2015年第36号文件、国能安全161号文、国家经贸委30号令等一系列相关政策和华能集团针对电厂工控系统安全防护的具体要求，制定针对性的项目技术路线。

一、项目概况-百万机组的“难题”

华能玉环电厂是由华能国际电力股份有限公司开发、建设的全资电厂。电厂位于浙江省台州市玉环县大麦屿开发区，华能玉环电厂是国家“863”计划中引进超临界机组技术，逐步实现国产化的国家重点依托工程。是全国第一个投产百万千瓦超超临界机组、第一座拥有四台百万千瓦机组的燃煤电厂。

1. 项目背景-顶层设计、整体布局
充分结合华能集团玉环电厂工控系统的实际情况，有针对性的制定具体解决方案：
（1）加强顶层设计，制定电力行业信息安全解决方案，完善电力行业信息安全管理标准制度，建立电力行业信息安全监测、通报预警、应急处置、协同联动机制，构建电力行业信息安全纵深联动防御标准体系。
（2）建立电力行业统一信息安全基础平台，具体包括电力行业信息安全通信平台和电子认证服务平台。
（3）开展电力行业生产控制大区试点示范。

2. 项目简介-多维度的安全体系
本项目采用三层分布式架构，由安全监测层、区域管控层和全网分析层组成。安全监测层包含流量监测模块、行为监测模块、威胁监测模块、主机监测模块和监测数据存储模块，负责建立厂级电力工控系统信息安全纵深监测体系，并完成各安全分区内安全数据的存储转发。

3. 项目目标-行业信息安全的防护之道
依据电力行业已发布的国家与行业标准规范，按照安全分区、网络专用、横向隔离、纵向认证、综合防护对当前计算机监控网络进行安全升级，设计、建设玉环电厂工业控制系统网络安全防护体系，并实现以下建设目标：
1. 提高电厂工业控制系统信息安全防护能力和管理水平。
在工控系统的主机层和网络层进行安全加固、搭建监测、审计、预警平台，制定一套信息安全管理措施和标准，以有效抵御来自工控网络内部、外部的病毒、入侵、渗透以及违规操作行为对工业控制系统造成破坏，防范信息安全事故的发生。
2. 满足合规性要求
满足能源局36号文等一系列政策中的要求，使电厂的工业控制系统安全防护措施达到各监管部门对发电企业的要求。
3．集团战略目标的契合
集团先后对各电厂开展了安全性评价标准查评及聘请专业机构对系统进行等级保护测评工作。

二、项目实施概况-用科技推动工业进步

本项目在工业互联网体系架构的基础上应用了基于工业控制系统的防护手段，构建了安全可控为目标、监控审计为特征的电厂控制系统新一代主动防御体系，提高工业控制系统在于工业互联网对接过程中的整体安全性。
1. 项目总体架构和主要内容-一体化的功能支撑

图1  项目总体架构图

1.        监测模块
监测模块可以实现对生产控制大区的工控系统和业务的安全状态进行实时监测和安全事件分析。
2.      预警模块
预警模块采用事件搜集及深度分析技术，从全局角度进行安全事件实时分析处理，为管理者提供网络安全风险的实时告警；帮助决策者根据生产控制网络的安全形势，及时调整安全策略和有效部署安全措施；及时消除网络系统中的安全隐患；实现可视化的网络安全管理，帮助用户实现网络系统的持续安全运营。
3.      审计模块
审计模块对威胁进行闭环管理的过程，从全局角度进行安全事件实时分析处理；帮助管理者掌握网络运行情况。
4.      平台模块
接入防护平台部署与生产控制系统类型无关，不影响生产控制系统的安全性和可靠性。针对电力行业信息安全防护特点，采用并接、串接、信息摆渡等方式实现对生产控制系统的安全防护和审计，确保本地终端及远程终端的安全接入。不影响系统控制系统的安全性和可靠性，不增加新的系统风险点。
2. 网络互联架构-基于工控网络的独立设计
在本项目中，网络互联技术负责的是能源信息安全数据的的识别、采集、分析、传送、管理等方面，是实现多种信息内容合理调配的关键。在信息采集和处理方面，在基于电厂自身的信息采集与传输上，基于旁路的防暑部署数据采集节点，包含海量数据采集、预处理、存储、分析等功能的大数据技术等。在设备与平台方面，应用具有可产业化的、工业环境下的专业设备进行对整个信息平台的建设。在通信安全、传输协议和标准方面，具备专业协议深度解析，支持工控协议包括Modbus/TCP，OPC，IEC104，DNP3， S7等，并可对协议数据包深度解析。
3. 数据架构和应用-特有的工控数据化管理
整个数据传输的架构分为数据传输层、数据处理层、数据分析层、应用服务层以及态势展示层。
数据传输层负责数据传输。通过消息中间件将数据传输给中心平台。
数据处理层通过分析引擎从消息中间件读取数据后，进行数据解压缩，数据解密等操作。
数据分析层内置多种分析引擎，包括：智能检索引擎，关联分析引擎，统计分析引擎，态势展示引擎，报表引擎等。
应用服务层提供系统的基本功能，包括资产管理，配置管理，事件管理，风险管理，知识库管理等。
态势展示层通过可视化的页面展示网络态势情况，通过3D地图，热力图，雷达图，平行坐标图等多种可视化图标展示网络安全情况和态势。
4. 安全及可靠性-三重防御多级互联
本项目不仅仅是华能集团2016年工控信息安全防护改造试点（暨国家发改委工控信息安全改造示范项目），更是为发电企业的网络安全防护做出了技术示范作用，优化管理流程，切实保证了发电企业工业控制系统免受病毒、恶意代码等威胁，保持安全稳定运行的状态。安全框架通过借鉴《信息安全技术 网络安全等级保护安全设计要求 第五部分：工业控制安全要求》 “网络三重防御多级互联”的互联技术框架。采用“一个中心、三重发现”的建设理念，其中包含：
1.      资产安全
确立以资产安全为核心的安全生产原则，保障资产按时按规定的正常运行和及时检测出资产的异常行为，从而保护电力生产全过程的安全。
2.      空间域监测
在空间域方面，借鉴了纵深防御的思想，形成一套纵深监测架构，包括：边界监测、区域监测、节点监测、核心监测、整体监测五个方面。
3.      时间域监测
在时间域方面，设计了评估、防护、侦测、响应、恢复、决策六大过程，通过持续实施六大过程监测来积极响应工控网络风险变化，促进工控网络整体安全的螺旋式上升。

三、下一步实施计划-打造可信工控环境、助力网络强国

1. 工控信息安全框架(IFS)
加大更具有针对性的工业互联网体系架构下的工控安全技术研发力度，贯彻落实习近平总书记419讲话精神，搭理开展工业信息安全仿真测试、漏洞挖掘、攻防对抗等非对称技术、前沿技术、颠覆性技术的攻关工作，研发自主可控且满足工控系统特点的专用工控安全防护工具。持续推进工控信息安全框架(IFS)建设，提升工业控制系统在线监测和数据分析能力，实现全天候全方位感知工业信息安全态势。如图2所示：

图2 ISF框架

2. 深防护深感知
建立以工控协议深度（DPI）检测能力为核心的工控系统网络环境感知能力平台。研发以可信、加固、抗恶意代码为中心的工控节点安全产品方向和以预警、隔离、应急、追溯为中心的工控区域安全产品方向。
 

四、项目创新点和实施效果

（一）. 项目先进性及创新点-可复制的全系列生命周期应用案例
1.可以生产全系列的工控安全产品
Ø   提供全系列工控安全产品，可以满足不同工控系统信息安全防护项目的需要。
Ø   工控安全产品覆盖了整个生产监控系统的核心部分。

2.工控安全产品性能达到国内领先水平
Ø   独有的专利技术的全机柜一体化解决方案；松耦合的安全框架设计具有极好的设备兼容性；一体化安全产品管理机制。
Ø   配置简单方便，无需部署管理集中部署；完全为工控网络设计开发，非IT审计的修改。
Ø   独有的专利技术双因子认证；白名单采用高效的hash检索算法，检索时间小于4微秒；白名单深入系统内核，包括U盘、动态链接库、命令行等。
Ø   采用工业级无风扇设计，配置简单方便；支持工业控制协议识别。

3. 先进的管理体系
Ø   ISO14001900127001管理体系、信息安全服务资质（信息安全风险评估三级）

4.持续的先进技术支持
Ø   武汉建立工控信息安全产品研发中心。
Ø   完善的售后服务系统
Ø   与工业界、学术界、科学院校、培训机构的广泛合作

5.创新关键技术
Ø   Windows系统调用拦截技术
Ø   多源异构现场设备环境感知技术

（二）实施效果-为用户考虑的智能安全
通过采用一整套的工控系统信息安全解决方案，以建立纵深防御策略为主要思想，主要达到了如下效果：
1.入侵检测：
对缓冲区溢出、SQL 注入、DoS 攻击、蠕虫病毒、木马后门等各类黑客攻击和恶意流量进行实时检测及报警，并通过与防火墙联动、安全中心显示、日志数据库记录等方式进行动态防御。

2.深度检查：
面向应用层对特有的工业通讯协议进行内容深度检查，告别病毒库升级缺陷；

3.通信管控：
对数据流量进行管控，通过端口、地址、协议等方式对数据流量进行筛选，保证流量合法性。

4.实时报警：
所有部署的安全设备都能由管理平台进行实时监控，任何非法的访问，都会在管理平台产生实时报警信息，从而故障问题会在原始发生区域被迅速的发现和解决。

5.主机防护：
安装了主机防护的电脑在面对自身与外界的安全威胁有了更深的防护级别，深度执行白名单数据库的数据运行。

6.流量审计：
完善的安全审计平台，对网络运行日志、操作系统运行日志、安全设施运行日志等进行集中收集、自动分析，及时发现各种违规行为以及病毒和黑客的攻击行为。

7.操作行为的监控与审计：
依靠主机防护软件的主机审计和工控安全审计系统的网络审计对整个电力生产监控系统进行操作行为的监控与审计，记录操作行为，便于事件追溯。