在“垃圾圍城”日益嚴(yán)峻的形勢(shì)下，垃圾焚燒發(fā)電作為“減量化、無(wú)害化、資源化”處置生活垃圾的最佳方式，引起國(guó)家高度重視與關(guān)注。“十三五”期間，全國(guó)城鎮(zhèn)生活垃圾無(wú)害化處理設(shè)施建設(shè)總投資約2518.4億元；2020年城鎮(zhèn)生活垃圾垃圾焚燒處理能力占總無(wú)害化處理能力的50%以上。隨著垃圾回收、處理、運(yùn)輸、綜合利用等各環(huán)節(jié)技術(shù)不斷發(fā)展，工藝日益科學(xué)先進(jìn)，垃圾發(fā)電方式很有可能會(huì)成為最經(jīng)濟(jì)的發(fā)電技術(shù)之一。

從長(zhǎng)遠(yuǎn)效益和綜合指標(biāo)看，垃圾發(fā)電將優(yōu)于傳統(tǒng)的電力生產(chǎn)。同時(shí)各種不確定的安全風(fēng)險(xiǎn)也影響著垃圾焚燒發(fā)電企業(yè)的安全穩(wěn)定運(yùn)行，導(dǎo)致安全事故頻發(fā)，促使電力企業(yè)必須深入了解企業(yè)在運(yùn)行過(guò)程中的安全風(fēng)險(xiǎn)因素，完善相應(yīng)的電網(wǎng)安全管控措施，以促進(jìn)電力行業(yè)的穩(wěn)固發(fā)展。

為此，六方云電力行業(yè)安全解決方案落地某垃圾焚燒發(fā)電廠，為客戶(hù)打造具有針對(duì)性的安全防護(hù)體系，讓客戶(hù)全面掌握了發(fā)電廠重要信息系統(tǒng)的信息安全狀態(tài)，及時(shí)了解現(xiàn)有信息系統(tǒng)面臨的信息安全風(fēng)險(xiǎn)，并通過(guò)逐步規(guī)劃建設(shè)，有效提升了發(fā)電廠電力監(jiān)控系統(tǒng)的整體信息安全管理水平，讓該垃圾焚燒發(fā)電廠已經(jīng)達(dá)到國(guó)家相關(guān)部門(mén)及行業(yè)主管部門(mén)對(duì)業(yè)主的信息安全要求。

01.現(xiàn)代垃圾焚燒發(fā)電廠特點(diǎn)

1. 現(xiàn)代垃圾焚燒發(fā)電廠由于有其特殊性，其發(fā)電及供電效率比現(xiàn)代火力發(fā)電廠低得多。

2. 現(xiàn)代垃圾焚燒發(fā)電廠應(yīng)嚴(yán)格符合GWKB322000等標(biāo)準(zhǔn)要求為第一目標(biāo)，并在技術(shù)及經(jīng)濟(jì)可行的條件下，盡量提高熱能利用率。

3. 從化學(xué)能轉(zhuǎn)換為熱能的效率較高，垃圾焚燒發(fā)電廠適宜于供熱。

4. 垃圾焚燒發(fā)電廠的主要設(shè)備有焚燒爐、余熱鍋爐、煙氣凈化系統(tǒng)、發(fā)電汽輪機(jī)等。

5. 工控系統(tǒng)設(shè)備也越來(lái)越多的采用通用軟件及通用協(xié)議，高度信息化使得工業(yè)控制系統(tǒng)更容易受到病毒、木馬等威脅的攻擊。

6.  垃圾焚燒發(fā)電廠工控系統(tǒng)的穩(wěn)定性、實(shí)時(shí)性、可靠性要求又限制了網(wǎng)絡(luò)安全技術(shù)的應(yīng)用，給安全防護(hù)帶來(lái)了巨大的挑戰(zhàn)，導(dǎo)致垃圾焚燒發(fā)電廠工控系統(tǒng)信息安全問(wèn)題日益突出，工控安全建設(shè)成為當(dāng)務(wù)之急。

02.項(xiàng)目需求分析

該垃圾焚化電廠采用了大量的工業(yè)控制設(shè)備來(lái)實(shí)現(xiàn)控制的自動(dòng)化，例如DCS、PLC等，這些系統(tǒng)普遍采用了專(zhuān)用的硬件、操作系統(tǒng)和通訊協(xié)議，又存在于較為封閉的網(wǎng)絡(luò)環(huán)境中，因此往往疏于防護(hù)， 存在著諸多的安全隱患。

1.  垃圾焚燒電廠SIS系統(tǒng)和DCS或PLC之間的連接作為過(guò)程控制網(wǎng)絡(luò)與企業(yè)信息網(wǎng)絡(luò)的接口部位通常采用OPC通訊，是兩個(gè)系統(tǒng)的邊界點(diǎn)，存在遭受來(lái)自企業(yè)信息層病毒感染的風(fēng)險(xiǎn)。

雖然SIS系統(tǒng)和DCS或PLC之間采用傳統(tǒng)防火墻隔離，部分惡意程序不能直接攻擊到控制網(wǎng)絡(luò)，SIS接口機(jī)也考慮了雙網(wǎng)卡配置，但對(duì)于能夠利用 Windows 系統(tǒng)漏洞的網(wǎng)絡(luò)蠕蟲(chóng)及病毒等，這種配置沒(méi)有多大作用，病毒還是會(huì)在SIS系統(tǒng)和控制網(wǎng)之間互相傳播。安裝殺毒軟件可以對(duì)部分病毒或攻擊有所抑制，但病毒庫(kù)存在滯后問(wèn)題，所以不能從根本上進(jìn)行防護(hù)。

2.  垃圾焚燒電廠具有行業(yè)特殊性，同時(shí)受環(huán)保、電力等上層領(lǐng)導(dǎo)機(jī)構(gòu)監(jiān)管，且具有一定的集團(tuán)特性，需要實(shí)時(shí)上送監(jiān)控?cái)?shù)據(jù)至監(jiān)管機(jī)構(gòu)和集團(tuán)中心。導(dǎo)致將企業(yè)工控系統(tǒng)直接暴露在互聯(lián)網(wǎng)，極易遭受來(lái)自互聯(lián)網(wǎng)側(cè)的網(wǎng)絡(luò)入侵與破壞。

3.  大多數(shù)控制系統(tǒng)的操作站和服務(wù)器采用了Windows的操作系統(tǒng)，長(zhǎng)期系統(tǒng)不更新導(dǎo)致大量漏洞存在，但相關(guān)人員并不掌握，也無(wú)嚴(yán)格的U盤(pán)管控，導(dǎo)致可能通過(guò)U盤(pán)傳入病毒。黑客可能利用病毒木馬等手段，通過(guò)文件擺渡或其他手段進(jìn)入工控系統(tǒng)，對(duì)工控控制器發(fā)出惡意指令，導(dǎo)致工控系統(tǒng)宕機(jī)或出現(xiàn)嚴(yán)重的事故。

4.  如何有效監(jiān)控業(yè)務(wù)系統(tǒng)訪(fǎng)問(wèn)行為和敏感信息傳播，準(zhǔn)確掌握網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)，及時(shí)發(fā)現(xiàn)違反安全策略的事件并實(shí)時(shí)告警、記錄，同時(shí)進(jìn)行安全事件定位分析，事后追查取證，滿(mǎn)足合規(guī)性審計(jì)要求，是迫切需要解決的問(wèn)題。

03.解決方案

本項(xiàng)目旨在依靠邊界隔離、主機(jī)防護(hù)、安全審計(jì)、威脅檢測(cè)等立體化防護(hù)方案加強(qiáng)DCS、SIS控制系統(tǒng)的信息安全，解決物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)等方面的信息安全隱患，為工業(yè)控制系統(tǒng)提供整套的信息安全防護(hù)解決方案，有效、及時(shí)地避免突發(fā)病毒感染和惡意入侵，意味著控制系統(tǒng)避免了更多非計(jì)劃的生產(chǎn)信息丟失、信息堵塞、節(jié)點(diǎn)死機(jī)、系統(tǒng)崩潰甚至生產(chǎn)裝置停車(chē)導(dǎo)致生產(chǎn)事故等諸多隱患問(wèn)題，確保生產(chǎn)工藝能夠安全、穩(wěn)定、高效的運(yùn)行。

▲本項(xiàng)目工控安全防護(hù)示意圖

1、部署工業(yè)防火墻，實(shí)現(xiàn)電廠SIS系統(tǒng)和DCS區(qū)域的微隔離

在SIS系統(tǒng)接口機(jī)與DCS系統(tǒng)工程師站之間、DCS系統(tǒng)與電氣側(cè)之間、地磅系統(tǒng)與DCS系統(tǒng)之間分別部署工業(yè)防火墻，對(duì)DCS系統(tǒng)與SIS系統(tǒng)安全域邊界進(jìn)行安全防護(hù)，阻止網(wǎng)絡(luò)攻擊在不同區(qū)域間滲透，保障關(guān)鍵資產(chǎn)和業(yè)務(wù)的安全。另外基于采用白名單策略防護(hù)，工業(yè)防火墻阻止了一切不可信的數(shù)據(jù)和操作行為，最大程度的防范未知威脅。

▲OPC協(xié)議深度解析

2、部署工業(yè)審計(jì)，實(shí)時(shí)監(jiān)測(cè)來(lái)自互聯(lián)網(wǎng)側(cè)的網(wǎng)絡(luò)入侵事件

在C網(wǎng)匯聚交換機(jī)旁路部署工業(yè)審計(jì)系統(tǒng)，實(shí)時(shí)檢測(cè)出針對(duì)工業(yè)協(xié)議的網(wǎng)絡(luò)攻擊、誤操作、違規(guī)操作、非法IP或非法設(shè)備接入以及病毒的傳播并實(shí)時(shí)報(bào)警，幫助客戶(hù)及時(shí)采取應(yīng)對(duì)措施，減少系統(tǒng)異常風(fēng)險(xiǎn)。平臺(tái)能夠詳實(shí)記錄一切網(wǎng)絡(luò)通信行為，包括指令級(jí)的工業(yè)控制協(xié)議通信記錄，并且提供回溯功能，為工業(yè)控制系統(tǒng)的安全事故調(diào)查提供堅(jiān)實(shí)的基礎(chǔ)。

▲西門(mén)子PLC黑名單規(guī)則特征庫(kù)

▲工業(yè)流量可視

3、部署工業(yè)衛(wèi)士，嚴(yán)密防護(hù)越來(lái)越IT化的上位機(jī)感染勒索病毒

在每臺(tái)工作站主機(jī)安裝終端防護(hù)白名單軟件工業(yè)衛(wèi)士，使主機(jī)免受病毒等各種非法攻擊，可以有效管控主機(jī)的USB等外部端口。針對(duì)Windows主機(jī)（操作員站、工程師站、服務(wù)器），它提供完全適用于工控行業(yè)的安全防護(hù)，首先為保障關(guān)鍵業(yè)務(wù)的運(yùn)行，它能建立穩(wěn)定的運(yùn)行環(huán)境，同時(shí)它能有效遏制至今已經(jīng)爆發(fā)的工控病毒（如“震網(wǎng)”、Havex、“勒索”等）及其變種的運(yùn)行。

▲工業(yè)終端白名單

▲操作員站主機(jī)加固

▲操作員站終端外設(shè)管控

4、部署監(jiān)管平臺(tái)，實(shí)現(xiàn)電力工控安全的統(tǒng)一管控，達(dá)到可視、可管和可控的效果

部署日志審計(jì)系統(tǒng)，實(shí)現(xiàn)對(duì)安全產(chǎn)品日志的統(tǒng)一采集、分析及主要防護(hù)設(shè)備的統(tǒng)一運(yùn)維，形成工控網(wǎng)絡(luò)中的安全運(yùn)營(yíng)中心，統(tǒng)一維護(hù)日常的信息安全防護(hù)，對(duì)安全事件的應(yīng)急處置、攻擊行為的發(fā)現(xiàn)提供技術(shù)支撐。

部署工業(yè)監(jiān)管平臺(tái)，實(shí)現(xiàn)對(duì)工業(yè)網(wǎng)絡(luò)安全設(shè)備統(tǒng)一管理、配置、統(tǒng)一部署安全規(guī)則，監(jiān)測(cè)工業(yè)網(wǎng)絡(luò)的通信流量與安全事件，并能對(duì)工控網(wǎng)絡(luò)內(nèi)的安全威脅進(jìn)行分析，提供包括行為記錄、日志管理、設(shè)備管理、安全性分區(qū)等多項(xiàng)功能。

▲綜合態(tài)勢(shì)大屏數(shù)據(jù)展示

▲多種方式展示資產(chǎn)詳情

▲可對(duì)資產(chǎn)的多種屬性進(jìn)行管理

04.客戶(hù)價(jià)值

通過(guò)本方案的實(shí)施，能夠掌握生活垃圾焚燒發(fā)電廠工控系統(tǒng)的信息安全狀態(tài)，了解生活垃圾焚燒發(fā)電廠工控系統(tǒng)面臨的信息安全風(fēng)險(xiǎn)，通過(guò)逐步規(guī)劃建設(shè)以有效提升電力監(jiān)控系統(tǒng)的整體信息安全管理水平，達(dá)到國(guó)家相關(guān)部門(mén)及行業(yè)主管部門(mén)對(duì)業(yè)主的信息安全要求。

滿(mǎn)足GB/T 22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》、《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》（國(guó)家發(fā)改委14號(hào)令）、《國(guó)家能源局關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護(hù)總體方案等安全防護(hù)方案和評(píng)估規(guī)范的通知》（國(guó)能安全〔2015〕36號(hào)）、《國(guó)家能源局關(guān)于印發(fā)電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法的通知》（國(guó)能安全〔2014〕317號(hào))和《關(guān)于印發(fā)<電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)基本要求>的通知》（電監(jiān)信息〔2012〕62號(hào)）等國(guó)家有關(guān)規(guī)定，解決風(fēng)險(xiǎn)點(diǎn)，順利通過(guò)相關(guān)測(cè)評(píng)。

該項(xiàng)目已經(jīng)在環(huán)境能源行業(yè)作為試點(diǎn)安全建設(shè)項(xiàng)目，為今后環(huán)境能源項(xiàng)目建設(shè)的推廣提供了寶貴的經(jīng)驗(yàn)。同時(shí)在全面數(shù)字化和智能化的大背景下，六方云亦將繼續(xù)深耕原創(chuàng)技術(shù)創(chuàng)新，為我國(guó)的電力行業(yè)的高速發(fā)展提供有力支持，推動(dòng)IT和OT融合下的新安全。