在剛剛落幕的CITE2021 工業(yè)互聯(lián)網(wǎng)發(fā)展與安全峰會(huì)上，北京神州慧安科技有限公司首席科學(xué)家張友平做了題為《基于PK體系的電力DCS系統(tǒng)安全防護(hù)設(shè)計(jì)與實(shí)踐》的主題報(bào)告，詳述了神州慧安在工控安全和國(guó)產(chǎn)化領(lǐng)域所取得的成果及獲得的經(jīng)驗(yàn)。

北京神州慧安科技有限公司首席科學(xué)家 張友平

       張友平表示，工控安全目前面臨著這樣的國(guó)際背景：工控行業(yè)關(guān)鍵基礎(chǔ)設(shè)施多為國(guó)外產(chǎn)品，面臨風(fēng)險(xiǎn)非常高，且外部設(shè)備往往留有后門，時(shí)刻被監(jiān)聽，關(guān)鍵時(shí)刻還會(huì)破壞。同時(shí)，網(wǎng)絡(luò)攻擊武器庫(kù)已經(jīng)成為現(xiàn)代戰(zhàn)爭(zhēng)中重要的組成部分，禁運(yùn)變成卡脖子的一張王牌，妄圖扼殺科技的發(fā)展，大國(guó)間的博弈已成為今后整個(gè)世界格局的常態(tài)。而在國(guó)內(nèi)，企業(yè)信息化建設(shè)越來(lái)越多，智能化程度越來(lái)越高，但是信創(chuàng)體系基礎(chǔ)差、時(shí)間短、生態(tài)差、供給側(cè)嚴(yán)重不足。這是國(guó)家關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的迫切需求，國(guó)內(nèi)政策法規(guī)也在不斷完善和出臺(tái)。

基于PK體系的信創(chuàng)DCS安全防護(hù)設(shè)計(jì)

• PK體系

       “PK體系”立足中國(guó)國(guó)產(chǎn)安全、面向全球開放聯(lián)合，是國(guó)家級(jí)網(wǎng)絡(luò)安全核心體系，是技術(shù)創(chuàng)新體系加商業(yè)模式的綜合體，對(duì)標(biāo)WINDOWS+INTEL體系。“PK體系”是一個(gè)基礎(chǔ)的、先進(jìn)的、開放的架構(gòu)組合。作為國(guó)內(nèi)首家將“PK”體系應(yīng)用到工業(yè)信息安全的安全廠商，北京神州慧安科技有限公司已經(jīng)實(shí)現(xiàn)基于“PK”體系的全系列工業(yè)信息安全產(chǎn)品的移植和適配，同時(shí)建立了基于“PK”架構(gòu)的工業(yè)信息安全防護(hù)體系。

• 建設(shè)思路

       張友平首先介紹了項(xiàng)目背景：DCS是火力發(fā)電的核心控制系統(tǒng)，被稱為發(fā)電廠的“大腦”，也是關(guān)鍵網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施安全的核心。長(zhǎng)期以來(lái)，國(guó)內(nèi)DCS所使用的芯片、元器件以及操作系統(tǒng)等軟、硬件依賴進(jìn)口。實(shí)現(xiàn)DCS自主可控，具有重要的現(xiàn)實(shí)價(jià)值和戰(zhàn)略意義。

       在某電廠投運(yùn)基于飛騰處理器及麒麟操作系統(tǒng)的自主可控智能分散控制系統(tǒng)（DCS）實(shí)現(xiàn)了首次在超超臨界火電機(jī)組的應(yīng)用，控制范圍覆蓋鍋爐、汽輪機(jī)等主輔設(shè)備，系統(tǒng)控制層、網(wǎng)絡(luò)層、監(jiān)控層全部實(shí)現(xiàn)了國(guó)產(chǎn)化，實(shí)現(xiàn)國(guó)內(nèi)自主可控DCS在超超臨界火電機(jī)組上的首次示范應(yīng)用和全廠一體化控制，取得了重大突破。為了對(duì)國(guó)產(chǎn)DCS進(jìn)行安全防護(hù)，電廠急需搭建與之相配套的基于PK體系的工業(yè)信息安全防護(hù)體系，來(lái)保障生產(chǎn)安全。

       談及建設(shè)思路，張友平表示，整個(gè)安全防護(hù)體系以資產(chǎn)為中心，以發(fā)現(xiàn)威脅為目的，以零信任為理念，分別從系統(tǒng)防護(hù)、監(jiān)測(cè)感知、態(tài)勢(shì)展示等方面進(jìn)行設(shè)計(jì)，集可視、檢測(cè)、預(yù)警、服務(wù)于一體，形成整體的縱深安全體系，可達(dá)到“通過去、知現(xiàn)在、曉未來(lái)”的目的。

       防御思路脫離于傳統(tǒng)安全防護(hù)的訪問控制和黑名單機(jī)制，不局限于某一個(gè)點(diǎn)，而是從全局的高度提升對(duì)安全威脅的發(fā)現(xiàn)、識(shí)別、分析和處置的能力。在基本防護(hù)的基礎(chǔ)上，通過大數(shù)據(jù)分析研判能力，增加了對(duì)未知風(fēng)險(xiǎn)的檢測(cè)和發(fā)現(xiàn)機(jī)制，從被動(dòng)防護(hù)轉(zhuǎn)向主動(dòng)防御，消除了傳統(tǒng)安全防御滯后性的弊端。通過對(duì)潛在風(fēng)險(xiǎn)的挖掘（如隱藏在正常業(yè)務(wù)流量中的黑客踩點(diǎn)、試探、信息收集等行為），將防御前移，在告警事件未真正發(fā)生或范圍很小時(shí)即進(jìn)行預(yù)警通報(bào)，提前部署措施進(jìn)行防御，結(jié)合安全運(yùn)維和安全服務(wù)體系，化被動(dòng)為主動(dòng)，達(dá)到料敵于先、制敵于前的效果。

       在覆蓋范圍方面，系統(tǒng)前端感知探頭覆蓋到操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、網(wǎng)絡(luò)行為、網(wǎng)絡(luò)流量、業(yè)務(wù)審計(jì)、網(wǎng)絡(luò)脆弱性、網(wǎng)絡(luò)威脅態(tài)勢(shì)等等。相對(duì)于友商單一種類（或漏洞、或木馬、或終端管理）信息的采集，探頭類型多，部署范圍廣，采集信息全面。

       大數(shù)據(jù)分析方面，以全網(wǎng)大數(shù)據(jù)為基礎(chǔ)，以智能分析策略為核心，通過機(jī)器學(xué)習(xí)引擎對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)變化的要素進(jìn)行攫取、分析，結(jié)合用戶業(yè)務(wù)場(chǎng)景，對(duì)數(shù)據(jù)流量、網(wǎng)絡(luò)連接、訪問關(guān)系、用戶行為等進(jìn)行學(xué)習(xí)，建立起企業(yè)的安全模型，并且可根據(jù)條件自定義安全策略，靈活便捷。

       基礎(chǔ)防護(hù)方面，前端探頭除進(jìn)行信息收集和數(shù)據(jù)上報(bào)外，還能夠?qū)Ω鱾€(gè)節(jié)點(diǎn)起到基本的安全防護(hù)作用，保護(hù)關(guān)鍵控制設(shè)備的正常運(yùn)行。

       還有一點(diǎn)就是安全服務(wù)，安全防護(hù)體系還融入了服務(wù)的理念，設(shè)計(jì)了安全評(píng)估模塊和服務(wù)評(píng)價(jià)模塊。安全評(píng)估部分內(nèi)置了國(guó)家標(biāo)準(zhǔn)，用戶可通過標(biāo)準(zhǔn)對(duì)網(wǎng)絡(luò)和系統(tǒng)進(jìn)行自評(píng)估，找出差距。服務(wù)評(píng)價(jià)是對(duì)托管服務(wù)質(zhì)量的評(píng)價(jià)，甲方可通過事件的響應(yīng)速度、問題的處理率等指標(biāo)，評(píng)估安全托管服務(wù)商的工作質(zhì)量。

基于PK體系的信創(chuàng)DCS安全防護(hù)實(shí)踐

       張友平介紹，目前某電廠是處于這樣一種情況：一期、二期的安全1區(qū)和安全2區(qū)之間未進(jìn)行邊界隔離；缺少針對(duì)主控系統(tǒng)、輔網(wǎng)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的信息收集和風(fēng)險(xiǎn)預(yù)警；管理及技術(shù)人員運(yùn)維管理缺乏監(jiān)控、審計(jì)及追溯；設(shè)備自身系統(tǒng)漏洞、防病毒軟件缺失等。神州慧安建設(shè)的目標(biāo)是主動(dòng)防御、態(tài)勢(shì)感知、數(shù)據(jù)分類、輔助決策?！拔覀兊陌踩到y(tǒng)肯定不能加入主動(dòng)的生產(chǎn)運(yùn)行，而是在旁邊來(lái)發(fā)現(xiàn)，真正有異常之后由現(xiàn)場(chǎng)的工藝工程師和網(wǎng)絡(luò)工程師來(lái)最終處理，”張友平表示。

       下圖展示了防護(hù)體系實(shí)施的整個(gè)架構(gòu)情況。以數(shù)據(jù)為核心的生產(chǎn)大區(qū)的生產(chǎn)預(yù)警平臺(tái)，實(shí)現(xiàn)了收集數(shù)據(jù)量十億余條，共收集DCS系統(tǒng)、SCADA系統(tǒng)及SIS資產(chǎn)信息1萬(wàn)余條，關(guān)鍵節(jié)點(diǎn)100余個(gè)，實(shí)時(shí)采集生產(chǎn)大區(qū)工控系統(tǒng)雙向數(shù)據(jù)流，預(yù)警分析處理上千條風(fēng)險(xiǎn)事件。

        張友平在報(bào)告最后表示，信創(chuàng)DCS安全防護(hù)體系實(shí)踐有如下幾點(diǎn)經(jīng)驗(yàn)體會(huì)：

       第一，目前國(guó)內(nèi)工控安全產(chǎn)品都基于國(guó)外硬件產(chǎn)品進(jìn)行研發(fā)，存在較大的風(fēng)險(xiǎn)和安全隱患。自主可控國(guó)產(chǎn)化安全體系的推出對(duì)于推進(jìn)國(guó)家在軍工、航天、核電、軌道交通、電力、化工等國(guó)家重要基礎(chǔ)設(shè)施的保護(hù)具有重大意義；

       第二，整個(gè)安全防護(hù)體系構(gòu)建在國(guó)產(chǎn)化飛騰平臺(tái)和麒麟操作系統(tǒng)組成的PK體系之上，與自主研發(fā)的軟件和防護(hù)系統(tǒng)相結(jié)合，形成了集軟、硬件于一體的國(guó)產(chǎn)化工控安全防護(hù)體系，完全自主可控，與國(guó)產(chǎn)DCS進(jìn)行配套，形成了從生產(chǎn)系統(tǒng)到安全防護(hù)體系的百分之百國(guó)產(chǎn)化率，做到了真正的基因安全，確保國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的安全穩(wěn)定運(yùn)行；

       第三，通過國(guó)產(chǎn)化工控安全防護(hù)體系的研發(fā)和建設(shè)，不僅開拓了工控安全領(lǐng)域的市場(chǎng)，而且讓更多的人知曉和使用上國(guó)產(chǎn)化品牌，同時(shí)在此過程中，培養(yǎng)和儲(chǔ)備了一大部分國(guó)產(chǎn)化應(yīng)用的研發(fā)人才，形成了良好的生態(tài)環(huán)境；

       最后一點(diǎn)就是樹立了典范、取得了寶貴經(jīng)驗(yàn)。根據(jù)工業(yè)互聯(lián)網(wǎng)、工業(yè)云和工業(yè)大數(shù)據(jù)對(duì)自主可控國(guó)產(chǎn)化的需求，工控安全國(guó)產(chǎn)化的成功實(shí)踐為進(jìn)一步研發(fā)國(guó)產(chǎn)化安全數(shù)采，國(guó)產(chǎn)化可編程控制器、國(guó)產(chǎn)化工業(yè)大數(shù)據(jù)等產(chǎn)品和技術(shù)提供了思路和樣例，為國(guó)家國(guó)產(chǎn)化產(chǎn)業(yè)的推廣和建設(shè)貢獻(xiàn)了力量。