神州慧安张友平:基于PK体系的电力DCS系统安全防护设计与实践
2021-04-26
作者:韦肖葳
来源:电子技术应用
在刚刚落幕的CITE2021 工业互联网发展与安全峰会上,北京神州慧安科技有限公司首席科学家张友平做了题为《基于PK体系的电力DCS系统安全防护设计与实践》的主题报告,详述了神州慧安在工控安全和国产化领域所取得的成果及获得的经验。
北京神州慧安科技有限公司首席科学家 张友平
张友平表示,工控安全目前面临着这样的国际背景:工控行业关键基础设施多为国外产品,面临风险非常高,且外部设备往往留有后门,时刻被监听,关键时刻还会破坏。同时,网络攻击武器库已经成为现代战争中重要的组成部分,禁运变成卡脖子的一张王牌,妄图扼杀科技的发展,大国间的博弈已成为今后整个世界格局的常态。而在国内,企业信息化建设越来越多,智能化程度越来越高,但是信创体系基础差、时间短、生态差、供给侧严重不足。这是国家关键基础设施保护的迫切需求,国内政策法规也在不断完善和出台。
基于PK体系的信创DCS安全防护设计
PK体系
“PK体系”立足中国国产安全、面向全球开放联合,是国家级网络安全核心体系,是技术创新体系加商业模式的综合体,对标WINDOWS+INTEL体系。“PK体系”是一个基础的、先进的、开放的架构组合。作为国内首家将“PK”体系应用到工业信息安全的安全厂商,北京神州慧安科技有限公司已经实现基于“PK”体系的全系列工业信息安全产品的移植和适配,同时建立了基于“PK”架构的工业信息安全防护体系。
建设思路
张友平首先介绍了项目背景:DCS是火力发电的核心控制系统,被称为发电厂的“大脑”,也是关键网络安全基础设施安全的核心。长期以来,国内DCS所使用的芯片、元器件以及操作系统等软、硬件依赖进口。实现DCS自主可控,具有重要的现实价值和战略意义。
在某电厂投运基于飞腾处理器及麒麟操作系统的自主可控智能分散控制系统(DCS)实现了首次在超超临界火电机组的应用,控制范围覆盖锅炉、汽轮机等主辅设备,系统控制层、网络层、监控层全部实现了国产化,实现国内自主可控DCS在超超临界火电机组上的首次示范应用和全厂一体化控制,取得了重大突破。为了对国产DCS进行安全防护,电厂急需搭建与之相配套的基于PK体系的工业信息安全防护体系,来保障生产安全。
谈及建设思路,张友平表示,整个安全防护体系以资产为中心,以发现威胁为目的,以零信任为理念,分别从系统防护、监测感知、态势展示等方面进行设计,集可视、检测、预警、服务于一体,形成整体的纵深安全体系,可达到“通过去、知现在、晓未来”的目的。
防御思路脱离于传统安全防护的访问控制和黑名单机制,不局限于某一个点,而是从全局的高度提升对安全威胁的发现、识别、分析和处置的能力。在基本防护的基础上,通过大数据分析研判能力,增加了对未知风险的检测和发现机制,从被动防护转向主动防御,消除了传统安全防御滞后性的弊端。通过对潜在风险的挖掘(如隐藏在正常业务流量中的黑客踩点、试探、信息收集等行为),将防御前移,在告警事件未真正发生或范围很小时即进行预警通报,提前部署措施进行防御,结合安全运维和安全服务体系,化被动为主动,达到料敌于先、制敌于前的效果。
在覆盖范围方面,系统前端感知探头覆盖到操作系统、网络设备、安全设备、网络行为、网络流量、业务审计、网络脆弱性、网络威胁态势等等。相对于友商单一种类(或漏洞、或木马、或终端管理)信息的采集,探头类型多,部署范围广,采集信息全面。
大数据分析方面,以全网大数据为基础,以智能分析策略为核心,通过机器学习引擎对能够引起网络态势变化的要素进行攫取、分析,结合用户业务场景,对数据流量、网络连接、访问关系、用户行为等进行学习,建立起企业的安全模型,并且可根据条件自定义安全策略,灵活便捷。
基础防护方面,前端探头除进行信息收集和数据上报外,还能够对各个节点起到基本的安全防护作用,保护关键控制设备的正常运行。
还有一点就是安全服务,安全防护体系还融入了服务的理念,设计了安全评估模块和服务评价模块。安全评估部分内置了国家标准,用户可通过标准对网络和系统进行自评估,找出差距。服务评价是对托管服务质量的评价,甲方可通过事件的响应速度、问题的处理率等指标,评估安全托管服务商的工作质量。
基于PK体系的信创DCS安全防护实践
张友平介绍,目前某电厂是处于这样一种情况:一期、二期的安全1区和安全2区之间未进行边界隔离;缺少针对主控系统、辅网系统和网络系统的信息收集和风险预警;管理及技术人员运维管理缺乏监控、审计及追溯;设备自身系统漏洞、防病毒软件缺失等。神州慧安建设的目标是主动防御、态势感知、数据分类、辅助决策。“我们的安全系统肯定不能加入主动的生产运行,而是在旁边来发现,真正有异常之后由现场的工艺工程师和网络工程师来最终处理,”张友平表示。
下图展示了防护体系实施的整个架构情况。以数据为核心的生产大区的生产预警平台,实现了收集数据量十亿余条,共收集DCS系统、SCADA系统及SIS资产信息1万余条,关键节点100余个,实时采集生产大区工控系统双向数据流,预警分析处理上千条风险事件。
张友平在报告最后表示,信创DCS安全防护体系实践有如下几点经验体会:
第一,目前国内工控安全产品都基于国外硬件产品进行研发,存在较大的风险和安全隐患。自主可控国产化安全体系的推出对于推进国家在军工、航天、核电、轨道交通、电力、化工等国家重要基础设施的保护具有重大意义;
第二,整个安全防护体系构建在国产化飞腾平台和麒麟操作系统组成的PK体系之上,与自主研发的软件和防护系统相结合,形成了集软、硬件于一体的国产化工控安全防护体系,完全自主可控,与国产DCS进行配套,形成了从生产系统到安全防护体系的百分之百国产化率,做到了真正的基因安全,确保国家关键基础设施的安全稳定运行;
第三,通过国产化工控安全防护体系的研发和建设,不仅开拓了工控安全领域的市场,而且让更多的人知晓和使用上国产化品牌,同时在此过程中,培养和储备了一大部分国产化应用的研发人才,形成了良好的生态环境;
最后一点就是树立了典范、取得了宝贵经验。根据工业互联网、工业云和工业大数据对自主可控国产化的需求,工控安全国产化的成功实践为进一步研发国产化安全数采,国产化可编程控制器、国产化工业大数据等产品和技术提供了思路和样例,为国家国产化产业的推广和建设贡献了力量。