在“垃圾圍城”日益嚴峻的形勢下�����,垃圾焚燒發(fā)電作為“減量化��、無害化��、資源化”處置生活垃圾的最佳方式��,引起國家高度重視與關(guān)注���。“十三五”期間���,全國城鎮(zhèn)生活垃圾無害化處理設施建設總投資約2518.4億元;2020年城鎮(zhèn)生活垃圾垃圾焚燒處理能力占總無害化處理能力的50%以上�����。隨著垃圾回收、處理���、運輸�、綜合利用等各環(huán)節(jié)技術(shù)不斷發(fā)展�����,工藝日益科學先進�����,垃圾發(fā)電方式很有可能會成為最經(jīng)濟的發(fā)電技術(shù)之一����。
從長遠效益和綜合指標看,垃圾發(fā)電將優(yōu)于傳統(tǒng)的電力生產(chǎn)���。同時各種不確定的安全風險也影響著垃圾焚燒發(fā)電企業(yè)的安全穩(wěn)定運行�����,導致安全事故頻發(fā)�,促使電力企業(yè)必須深入了解企業(yè)在運行過程中的安全風險因素���,完善相應的電網(wǎng)安全管控措施����,以促進電力行業(yè)的穩(wěn)固發(fā)展���。
為此����,六方云電力行業(yè)安全解決方案落地某垃圾焚燒發(fā)電廠��,為客戶打造具有針對性的安全防護體系�,讓客戶全面掌握了發(fā)電廠重要信息系統(tǒng)的信息安全狀態(tài),及時了解現(xiàn)有信息系統(tǒng)面臨的信息安全風險���,并通過逐步規(guī)劃建設���,有效提升了發(fā)電廠電力監(jiān)控系統(tǒng)的整體信息安全管理水平,讓該垃圾焚燒發(fā)電廠已經(jīng)達到國家相關(guān)部門及行業(yè)主管部門對業(yè)主的信息安全要求���。
01.現(xiàn)代垃圾焚燒發(fā)電廠特點
1. 現(xiàn)代垃圾焚燒發(fā)電廠由于有其特殊性���,其發(fā)電及供電效率比現(xiàn)代火力發(fā)電廠低得多�。
2. 現(xiàn)代垃圾焚燒發(fā)電廠應嚴格符合GWKB322000等標準要求為第一目標�,并在技術(shù)及經(jīng)濟可行的條件下,盡量提高熱能利用率���。
3. 從化學能轉(zhuǎn)換為熱能的效率較高���,垃圾焚燒發(fā)電廠適宜于供熱。
4. 垃圾焚燒發(fā)電廠的主要設備有焚燒爐����、余熱鍋爐、煙氣凈化系統(tǒng)����、發(fā)電汽輪機等。
5. 工控系統(tǒng)設備也越來越多的采用通用軟件及通用協(xié)議��,高度信息化使得工業(yè)控制系統(tǒng)更容易受到病毒����、木馬等威脅的攻擊。
6. 垃圾焚燒發(fā)電廠工控系統(tǒng)的穩(wěn)定性���、實時性����、可靠性要求又限制了網(wǎng)絡安全技術(shù)的應用,給安全防護帶來了巨大的挑戰(zhàn)���,導致垃圾焚燒發(fā)電廠工控系統(tǒng)信息安全問題日益突出,工控安全建設成為當務之急�����。
02.項目需求分析
該垃圾焚化電廠采用了大量的工業(yè)控制設備來實現(xiàn)控制的自動化�����,例如DCS����、PLC等,這些系統(tǒng)普遍采用了專用的硬件��、操作系統(tǒng)和通訊協(xié)議��,又存在于較為封閉的網(wǎng)絡環(huán)境中��,因此往往疏于防護���, 存在著諸多的安全隱患����。
1. 垃圾焚燒電廠SIS系統(tǒng)和DCS或PLC之間的連接作為過程控制網(wǎng)絡與企業(yè)信息網(wǎng)絡的接口部位通常采用OPC通訊,是兩個系統(tǒng)的邊界點�,存在遭受來自企業(yè)信息層病毒感染的風險。
雖然SIS系統(tǒng)和DCS或PLC之間采用傳統(tǒng)防火墻隔離�,部分惡意程序不能直接攻擊到控制網(wǎng)絡,SIS接口機也考慮了雙網(wǎng)卡配置��,但對于能夠利用 Windows 系統(tǒng)漏洞的網(wǎng)絡蠕蟲及病毒等��,這種配置沒有多大作用����,病毒還是會在SIS系統(tǒng)和控制網(wǎng)之間互相傳播。安裝殺毒軟件可以對部分病毒或攻擊有所抑制���,但病毒庫存在滯后問題�,所以不能從根本上進行防護���。
2. 垃圾焚燒電廠具有行業(yè)特殊性��,同時受環(huán)保��、電力等上層領(lǐng)導機構(gòu)監(jiān)管��,且具有一定的集團特性�����,需要實時上送監(jiān)控數(shù)據(jù)至監(jiān)管機構(gòu)和集團中心�����。導致將企業(yè)工控系統(tǒng)直接暴露在互聯(lián)網(wǎng)��,極易遭受來自互聯(lián)網(wǎng)側(cè)的網(wǎng)絡入侵與破壞�����。
3. 大多數(shù)控制系統(tǒng)的操作站和服務器采用了Windows的操作系統(tǒng)�,長期系統(tǒng)不更新導致大量漏洞存在�,但相關(guān)人員并不掌握,也無嚴格的U盤管控���,導致可能通過U盤傳入病毒����。黑客可能利用病毒木馬等手段,通過文件擺渡或其他手段進入工控系統(tǒng)���,對工控控制器發(fā)出惡意指令����,導致工控系統(tǒng)宕機或出現(xiàn)嚴重的事故�����。
4. 如何有效監(jiān)控業(yè)務系統(tǒng)訪問行為和敏感信息傳播�,準確掌握網(wǎng)絡系統(tǒng)的安全狀態(tài),及時發(fā)現(xiàn)違反安全策略的事件并實時告警����、記錄,同時進行安全事件定位分析����,事后追查取證,滿足合規(guī)性審計要求��,是迫切需要解決的問題�。
03.解決方案
本項目旨在依靠邊界隔離����、主機防護�、安全審計、威脅檢測等立體化防護方案加強DCS���、SIS控制系統(tǒng)的信息安全�,解決物理�、網(wǎng)絡、主機��、應用����、數(shù)據(jù)等方面的信息安全隱患�,為工業(yè)控制系統(tǒng)提供整套的信息安全防護解決方案,有效���、及時地避免突發(fā)病毒感染和惡意入侵�,意味著控制系統(tǒng)避免了更多非計劃的生產(chǎn)信息丟失��、信息堵塞�����、節(jié)點死機、系統(tǒng)崩潰甚至生產(chǎn)裝置停車導致生產(chǎn)事故等諸多隱患問題����,確保生產(chǎn)工藝能夠安全、穩(wěn)定��、高效的運行�����。
▲本項目工控安全防護示意圖
1���、部署工業(yè)防火墻��,實現(xiàn)電廠SIS系統(tǒng)和DCS區(qū)域的微隔離
在SIS系統(tǒng)接口機與DCS系統(tǒng)工程師站之間�����、DCS系統(tǒng)與電氣側(cè)之間�����、地磅系統(tǒng)與DCS系統(tǒng)之間分別部署工業(yè)防火墻���,對DCS系統(tǒng)與SIS系統(tǒng)安全域邊界進行安全防護���,阻止網(wǎng)絡攻擊在不同區(qū)域間滲透,保障關(guān)鍵資產(chǎn)和業(yè)務的安全�。另外基于采用白名單策略防護,工業(yè)防火墻阻止了一切不可信的數(shù)據(jù)和操作行為��,最大程度的防范未知威脅����。
▲OPC協(xié)議深度解析
2、部署工業(yè)審計�,實時監(jiān)測來自互聯(lián)網(wǎng)側(cè)的網(wǎng)絡入侵事件
在C網(wǎng)匯聚交換機旁路部署工業(yè)審計系統(tǒng),實時檢測出針對工業(yè)協(xié)議的網(wǎng)絡攻擊����、誤操作、違規(guī)操作�、非法IP或非法設備接入以及病毒的傳播并實時報警�����,幫助客戶及時采取應對措施�,減少系統(tǒng)異常風險�。平臺能夠詳實記錄一切網(wǎng)絡通信行為��,包括指令級的工業(yè)控制協(xié)議通信記錄�,并且提供回溯功能,為工業(yè)控制系統(tǒng)的安全事故調(diào)查提供堅實的基礎(chǔ)���。
▲西門子PLC黑名單規(guī)則特征庫
▲工業(yè)流量可視
3��、部署工業(yè)衛(wèi)士�,嚴密防護越來越IT化的上位機感染勒索病毒
在每臺工作站主機安裝終端防護白名單軟件工業(yè)衛(wèi)士����,使主機免受病毒等各種非法攻擊,可以有效管控主機的USB等外部端口�����。針對Windows主機(操作員站����、工程師站、服務器)�����,它提供完全適用于工控行業(yè)的安全防護,首先為保障關(guān)鍵業(yè)務的運行���,它能建立穩(wěn)定的運行環(huán)境���,同時它能有效遏制至今已經(jīng)爆發(fā)的工控病毒(如“震網(wǎng)”、Havex�����、“勒索”等)及其變種的運行�����。
▲工業(yè)終端白名單
▲操作員站主機加固
▲操作員站終端外設管控
4�����、部署監(jiān)管平臺�,實現(xiàn)電力工控安全的統(tǒng)一管控,達到可視�、可管和可控的效果
部署日志審計系統(tǒng),實現(xiàn)對安全產(chǎn)品日志的統(tǒng)一采集�、分析及主要防護設備的統(tǒng)一運維��,形成工控網(wǎng)絡中的安全運營中心,統(tǒng)一維護日常的信息安全防護���,對安全事件的應急處置���、攻擊行為的發(fā)現(xiàn)提供技術(shù)支撐。
部署工業(yè)監(jiān)管平臺�,實現(xiàn)對工業(yè)網(wǎng)絡安全設備統(tǒng)一管理、配置�����、統(tǒng)一部署安全規(guī)則��,監(jiān)測工業(yè)網(wǎng)絡的通信流量與安全事件�����,并能對工控網(wǎng)絡內(nèi)的安全威脅進行分析��,提供包括行為記錄���、日志管理����、設備管理、安全性分區(qū)等多項功能�。
▲綜合態(tài)勢大屏數(shù)據(jù)展示
▲多種方式展示資產(chǎn)詳情
▲可對資產(chǎn)的多種屬性進行管理
04.客戶價值
通過本方案的實施,能夠掌握生活垃圾焚燒發(fā)電廠工控系統(tǒng)的信息安全狀態(tài)���,了解生活垃圾焚燒發(fā)電廠工控系統(tǒng)面臨的信息安全風險�����,通過逐步規(guī)劃建設以有效提升電力監(jiān)控系統(tǒng)的整體信息安全管理水平�����,達到國家相關(guān)部門及行業(yè)主管部門對業(yè)主的信息安全要求�����。
滿足GB/T 22239-2019《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》�����、《電力監(jiān)控系統(tǒng)安全防護規(guī)定》(國家發(fā)改委14號令)�����、《國家能源局關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護總體方案等安全防護方案和評估規(guī)范的通知》(國能安全〔2015〕36號)�、《國家能源局關(guān)于印發(fā)電力行業(yè)網(wǎng)絡與信息安全管理辦法的通知》(國能安全〔2014〕317號)和《關(guān)于印發(fā)<電力行業(yè)信息系統(tǒng)安全等級保護基本要求>的通知》(電監(jiān)信息〔2012〕62號)等國家有關(guān)規(guī)定,解決風險點�,順利通過相關(guān)測評�����。
該項目已經(jīng)在環(huán)境能源行業(yè)作為試點安全建設項目�,為今后環(huán)境能源項目建設的推廣提供了寶貴的經(jīng)驗。同時在全面數(shù)字化和智能化的大背景下�����,六方云亦將繼續(xù)深耕原創(chuàng)技術(shù)創(chuàng)新�����,為我國的電力行業(yè)的高速發(fā)展提供有力支持��,推動IT和OT融合下的新安全��。
電力
京公網(wǎng)安備 11010802020613號
