在“垃圾圍城”日益嚴(yán)峻的形勢下,垃圾焚燒發(fā)電作為“減量化����、無害化、資源化”處置生活垃圾的最佳方式��,引起國家高度重視與關(guān)注。“十三五”期間��,全國城鎮(zhèn)生活垃圾無害化處理設(shè)施建設(shè)總投資約2518.4億元���;2020年城鎮(zhèn)生活垃圾垃圾焚燒處理能力占總無害化處理能力的50%以上���。隨著垃圾回收、處理����、運輸、綜合利用等各環(huán)節(jié)技術(shù)不斷發(fā)展�����,工藝日益科學(xué)先進(jìn)�,垃圾發(fā)電方式很有可能會成為最經(jīng)濟的發(fā)電技術(shù)之一。
從長遠(yuǎn)效益和綜合指標(biāo)看�����,垃圾發(fā)電將優(yōu)于傳統(tǒng)的電力生產(chǎn)。同時各種不確定的安全風(fēng)險也影響著垃圾焚燒發(fā)電企業(yè)的安全穩(wěn)定運行�,導(dǎo)致安全事故頻發(fā),促使電力企業(yè)必須深入了解企業(yè)在運行過程中的安全風(fēng)險因素���,完善相應(yīng)的電網(wǎng)安全管控措施��,以促進(jìn)電力行業(yè)的穩(wěn)固發(fā)展。
為此�,六方云電力行業(yè)安全解決方案落地某垃圾焚燒發(fā)電廠,為客戶打造具有針對性的安全防護體系���,讓客戶全面掌握了發(fā)電廠重要信息系統(tǒng)的信息安全狀態(tài)����,及時了解現(xiàn)有信息系統(tǒng)面臨的信息安全風(fēng)險,并通過逐步規(guī)劃建設(shè)��,有效提升了發(fā)電廠電力監(jiān)控系統(tǒng)的整體信息安全管理水平,讓該垃圾焚燒發(fā)電廠已經(jīng)達(dá)到國家相關(guān)部門及行業(yè)主管部門對業(yè)主的信息安全要求。
01.現(xiàn)代垃圾焚燒發(fā)電廠特點
1. 現(xiàn)代垃圾焚燒發(fā)電廠由于有其特殊性���,其發(fā)電及供電效率比現(xiàn)代火力發(fā)電廠低得多��。
2. 現(xiàn)代垃圾焚燒發(fā)電廠應(yīng)嚴(yán)格符合GWKB322000等標(biāo)準(zhǔn)要求為第一目標(biāo)�,并在技術(shù)及經(jīng)濟可行的條件下�,盡量提高熱能利用率�。
3. 從化學(xué)能轉(zhuǎn)換為熱能的效率較高����,垃圾焚燒發(fā)電廠適宜于供熱�����。
4. 垃圾焚燒發(fā)電廠的主要設(shè)備有焚燒爐���、余熱鍋爐��、煙氣凈化系統(tǒng)���、發(fā)電汽輪機等。
5. 工控系統(tǒng)設(shè)備也越來越多的采用通用軟件及通用協(xié)議��,高度信息化使得工業(yè)控制系統(tǒng)更容易受到病毒�����、木馬等威脅的攻擊��。
6. 垃圾焚燒發(fā)電廠工控系統(tǒng)的穩(wěn)定性、實時性�、可靠性要求又限制了網(wǎng)絡(luò)安全技術(shù)的應(yīng)用�,給安全防護帶來了巨大的挑戰(zhàn)��,導(dǎo)致垃圾焚燒發(fā)電廠工控系統(tǒng)信息安全問題日益突出��,工控安全建設(shè)成為當(dāng)務(wù)之急��。
02.項目需求分析
該垃圾焚化電廠采用了大量的工業(yè)控制設(shè)備來實現(xiàn)控制的自動化,例如DCS、PLC等�����,這些系統(tǒng)普遍采用了專用的硬件�、操作系統(tǒng)和通訊協(xié)議�����,又存在于較為封閉的網(wǎng)絡(luò)環(huán)境中,因此往往疏于防護����, 存在著諸多的安全隱患。
1. 垃圾焚燒電廠SIS系統(tǒng)和DCS或PLC之間的連接作為過程控制網(wǎng)絡(luò)與企業(yè)信息網(wǎng)絡(luò)的接口部位通常采用OPC通訊�,是兩個系統(tǒng)的邊界點���,存在遭受來自企業(yè)信息層病毒感染的風(fēng)險�。
雖然SIS系統(tǒng)和DCS或PLC之間采用傳統(tǒng)防火墻隔離,部分惡意程序不能直接攻擊到控制網(wǎng)絡(luò)����,SIS接口機也考慮了雙網(wǎng)卡配置��,但對于能夠利用 Windows 系統(tǒng)漏洞的網(wǎng)絡(luò)蠕蟲及病毒等���,這種配置沒有多大作用,病毒還是會在SIS系統(tǒng)和控制網(wǎng)之間互相傳播�����。安裝殺毒軟件可以對部分病毒或攻擊有所抑制���,但病毒庫存在滯后問題�����,所以不能從根本上進(jìn)行防護����。
2. 垃圾焚燒電廠具有行業(yè)特殊性����,同時受環(huán)保、電力等上層領(lǐng)導(dǎo)機構(gòu)監(jiān)管����,且具有一定的集團特性����,需要實時上送監(jiān)控數(shù)據(jù)至監(jiān)管機構(gòu)和集團中心�。導(dǎo)致將企業(yè)工控系統(tǒng)直接暴露在互聯(lián)網(wǎng)��,極易遭受來自互聯(lián)網(wǎng)側(cè)的網(wǎng)絡(luò)入侵與破壞���。
3. 大多數(shù)控制系統(tǒng)的操作站和服務(wù)器采用了Windows的操作系統(tǒng)���,長期系統(tǒng)不更新導(dǎo)致大量漏洞存在,但相關(guān)人員并不掌握��,也無嚴(yán)格的U盤管控�����,導(dǎo)致可能通過U盤傳入病毒��。黑客可能利用病毒木馬等手段����,通過文件擺渡或其他手段進(jìn)入工控系統(tǒng),對工控控制器發(fā)出惡意指令����,導(dǎo)致工控系統(tǒng)宕機或出現(xiàn)嚴(yán)重的事故。
4. 如何有效監(jiān)控業(yè)務(wù)系統(tǒng)訪問行為和敏感信息傳播��,準(zhǔn)確掌握網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)�,及時發(fā)現(xiàn)違反安全策略的事件并實時告警�、記錄,同時進(jìn)行安全事件定位分析�,事后追查取證,滿足合規(guī)性審計要求��,是迫切需要解決的問題���。
03.解決方案
本項目旨在依靠邊界隔離、主機防護�、安全審計���、威脅檢測等立體化防護方案加強DCS���、SIS控制系統(tǒng)的信息安全,解決物理����、網(wǎng)絡(luò)、主機�����、應(yīng)用��、數(shù)據(jù)等方面的信息安全隱患�,為工業(yè)控制系統(tǒng)提供整套的信息安全防護解決方案,有效���、及時地避免突發(fā)病毒感染和惡意入侵�����,意味著控制系統(tǒng)避免了更多非計劃的生產(chǎn)信息丟失��、信息堵塞��、節(jié)點死機�、系統(tǒng)崩潰甚至生產(chǎn)裝置停車導(dǎo)致生產(chǎn)事故等諸多隱患問題���,確保生產(chǎn)工藝能夠安全���、穩(wěn)定、高效的運行��。
▲本項目工控安全防護示意圖
1����、部署工業(yè)防火墻����,實現(xiàn)電廠SIS系統(tǒng)和DCS區(qū)域的微隔離
在SIS系統(tǒng)接口機與DCS系統(tǒng)工程師站之間����、DCS系統(tǒng)與電氣側(cè)之間�、地磅系統(tǒng)與DCS系統(tǒng)之間分別部署工業(yè)防火墻��,對DCS系統(tǒng)與SIS系統(tǒng)安全域邊界進(jìn)行安全防護�,阻止網(wǎng)絡(luò)攻擊在不同區(qū)域間滲透�,保障關(guān)鍵資產(chǎn)和業(yè)務(wù)的安全。另外基于采用白名單策略防護���,工業(yè)防火墻阻止了一切不可信的數(shù)據(jù)和操作行為���,最大程度的防范未知威脅�����。
▲OPC協(xié)議深度解析
2���、部署工業(yè)審計�����,實時監(jiān)測來自互聯(lián)網(wǎng)側(cè)的網(wǎng)絡(luò)入侵事件
在C網(wǎng)匯聚交換機旁路部署工業(yè)審計系統(tǒng)�����,實時檢測出針對工業(yè)協(xié)議的網(wǎng)絡(luò)攻擊�、誤操作��、違規(guī)操作��、非法IP或非法設(shè)備接入以及病毒的傳播并實時報警��,幫助客戶及時采取應(yīng)對措施���,減少系統(tǒng)異常風(fēng)險。平臺能夠詳實記錄一切網(wǎng)絡(luò)通信行為���,包括指令級的工業(yè)控制協(xié)議通信記錄,并且提供回溯功能�����,為工業(yè)控制系統(tǒng)的安全事故調(diào)查提供堅實的基礎(chǔ)���。
▲西門子PLC黑名單規(guī)則特征庫
▲工業(yè)流量可視
3�����、部署工業(yè)衛(wèi)士�,嚴(yán)密防護越來越IT化的上位機感染勒索病毒
在每臺工作站主機安裝終端防護白名單軟件工業(yè)衛(wèi)士,使主機免受病毒等各種非法攻擊��,可以有效管控主機的USB等外部端口�。針對Windows主機(操作員站、工程師站�、服務(wù)器),它提供完全適用于工控行業(yè)的安全防護�����,首先為保障關(guān)鍵業(yè)務(wù)的運行�,它能建立穩(wěn)定的運行環(huán)境,同時它能有效遏制至今已經(jīng)爆發(fā)的工控病毒(如“震網(wǎng)”�、Havex、“勒索”等)及其變種的運行�。
▲工業(yè)終端白名單
▲操作員站主機加固
▲操作員站終端外設(shè)管控
4、部署監(jiān)管平臺��,實現(xiàn)電力工控安全的統(tǒng)一管控����,達(dá)到可視、可管和可控的效果
部署日志審計系統(tǒng)��,實現(xiàn)對安全產(chǎn)品日志的統(tǒng)一采集、分析及主要防護設(shè)備的統(tǒng)一運維�,形成工控網(wǎng)絡(luò)中的安全運營中心,統(tǒng)一維護日常的信息安全防護���,對安全事件的應(yīng)急處置����、攻擊行為的發(fā)現(xiàn)提供技術(shù)支撐�����。
部署工業(yè)監(jiān)管平臺���,實現(xiàn)對工業(yè)網(wǎng)絡(luò)安全設(shè)備統(tǒng)一管理�����、配置、統(tǒng)一部署安全規(guī)則�����,監(jiān)測工業(yè)網(wǎng)絡(luò)的通信流量與安全事件�����,并能對工控網(wǎng)絡(luò)內(nèi)的安全威脅進(jìn)行分析,提供包括行為記錄�����、日志管理�、設(shè)備管理、安全性分區(qū)等多項功能����。
▲綜合態(tài)勢大屏數(shù)據(jù)展示
▲多種方式展示資產(chǎn)詳情
▲可對資產(chǎn)的多種屬性進(jìn)行管理
04.客戶價值
通過本方案的實施,能夠掌握生活垃圾焚燒發(fā)電廠工控系統(tǒng)的信息安全狀態(tài)�,了解生活垃圾焚燒發(fā)電廠工控系統(tǒng)面臨的信息安全風(fēng)險,通過逐步規(guī)劃建設(shè)以有效提升電力監(jiān)控系統(tǒng)的整體信息安全管理水平���,達(dá)到國家相關(guān)部門及行業(yè)主管部門對業(yè)主的信息安全要求��。
滿足GB/T 22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》��、《電力監(jiān)控系統(tǒng)安全防護規(guī)定》(國家發(fā)改委14號令)��、《國家能源局關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護總體方案等安全防護方案和評估規(guī)范的通知》(國能安全〔2015〕36號)����、《國家能源局關(guān)于印發(fā)電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法的通知》(國能安全〔2014〕317號)和《關(guān)于印發(fā)<電力行業(yè)信息系統(tǒng)安全等級保護基本要求>的通知》(電監(jiān)信息〔2012〕62號)等國家有關(guān)規(guī)定,解決風(fēng)險點��,順利通過相關(guān)測評���。
該項目已經(jīng)在環(huán)境能源行業(yè)作為試點安全建設(shè)項目�����,為今后環(huán)境能源項目建設(shè)的推廣提供了寶貴的經(jīng)驗����。同時在全面數(shù)字化和智能化的大背景下�����,六方云亦將繼續(xù)深耕原創(chuàng)技術(shù)創(chuàng)新�,為我國的電力行業(yè)的高速發(fā)展提供有力支持,推動IT和OT融合下的新安全���。
電力
京公網(wǎng)安備 11010802020613號
