在剛剛落幕的CITE2021 工業(yè)互聯(lián)網(wǎng)發(fā)展與安全峰會上，北京神州慧安科技有限公司首席科學家張友平做了題為《基于PK體系的電力DCS系統(tǒng)安全防護設(shè)計與實踐》的主題報告，詳述了神州慧安在工控安全和國產(chǎn)化領(lǐng)域所取得的成果及獲得的經(jīng)驗。

北京神州慧安科技有限公司首席科學家 張友平

       張友平表示，工控安全目前面臨著這樣的國際背景：工控行業(yè)關(guān)鍵基礎(chǔ)設(shè)施多為國外產(chǎn)品，面臨風險非常高，且外部設(shè)備往往留有后門，時刻被監(jiān)聽，關(guān)鍵時刻還會破壞。同時，網(wǎng)絡(luò)攻擊武器庫已經(jīng)成為現(xiàn)代戰(zhàn)爭中重要的組成部分，禁運變成卡脖子的一張王牌，妄圖扼殺科技的發(fā)展，大國間的博弈已成為今后整個世界格局的常態(tài)。而在國內(nèi)，企業(yè)信息化建設(shè)越來越多，智能化程度越來越高，但是信創(chuàng)體系基礎(chǔ)差、時間短、生態(tài)差、供給側(cè)嚴重不足。這是國家關(guān)鍵基礎(chǔ)設(shè)施保護的迫切需求，國內(nèi)政策法規(guī)也在不斷完善和出臺。

基于PK體系的信創(chuàng)DCS安全防護設(shè)計

• PK體系

       “PK體系”立足中國國產(chǎn)安全、面向全球開放聯(lián)合，是國家級網(wǎng)絡(luò)安全核心體系，是技術(shù)創(chuàng)新體系加商業(yè)模式的綜合體，對標WINDOWS+INTEL體系?！癙K體系”是一個基礎(chǔ)的、先進的、開放的架構(gòu)組合。作為國內(nèi)首家將“PK”體系應(yīng)用到工業(yè)信息安全的安全廠商，北京神州慧安科技有限公司已經(jīng)實現(xiàn)基于“PK”體系的全系列工業(yè)信息安全產(chǎn)品的移植和適配，同時建立了基于“PK”架構(gòu)的工業(yè)信息安全防護體系。

• 建設(shè)思路

       張友平首先介紹了項目背景：DCS是火力發(fā)電的核心控制系統(tǒng)，被稱為發(fā)電廠的“大腦”，也是關(guān)鍵網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施安全的核心。長期以來，國內(nèi)DCS所使用的芯片、元器件以及操作系統(tǒng)等軟、硬件依賴進口。實現(xiàn)DCS自主可控，具有重要的現(xiàn)實價值和戰(zhàn)略意義。

       在某電廠投運基于飛騰處理器及麒麟操作系統(tǒng)的自主可控智能分散控制系統(tǒng)（DCS）實現(xiàn)了首次在超超臨界火電機組的應(yīng)用，控制范圍覆蓋鍋爐、汽輪機等主輔設(shè)備，系統(tǒng)控制層、網(wǎng)絡(luò)層、監(jiān)控層全部實現(xiàn)了國產(chǎn)化，實現(xiàn)國內(nèi)自主可控DCS在超超臨界火電機組上的首次示范應(yīng)用和全廠一體化控制，取得了重大突破。為了對國產(chǎn)DCS進行安全防護，電廠急需搭建與之相配套的基于PK體系的工業(yè)信息安全防護體系，來保障生產(chǎn)安全。

       談及建設(shè)思路，張友平表示，整個安全防護體系以資產(chǎn)為中心，以發(fā)現(xiàn)威脅為目的，以零信任為理念，分別從系統(tǒng)防護、監(jiān)測感知、態(tài)勢展示等方面進行設(shè)計，集可視、檢測、預警、服務(wù)于一體，形成整體的縱深安全體系，可達到“通過去、知現(xiàn)在、曉未來”的目的。

       防御思路脫離于傳統(tǒng)安全防護的訪問控制和黑名單機制，不局限于某一個點，而是從全局的高度提升對安全威脅的發(fā)現(xiàn)、識別、分析和處置的能力。在基本防護的基礎(chǔ)上，通過大數(shù)據(jù)分析研判能力，增加了對未知風險的檢測和發(fā)現(xiàn)機制，從被動防護轉(zhuǎn)向主動防御，消除了傳統(tǒng)安全防御滯后性的弊端。通過對潛在風險的挖掘（如隱藏在正常業(yè)務(wù)流量中的黑客踩點、試探、信息收集等行為），將防御前移，在告警事件未真正發(fā)生或范圍很小時即進行預警通報，提前部署措施進行防御，結(jié)合安全運維和安全服務(wù)體系，化被動為主動，達到料敵于先、制敵于前的效果。

       在覆蓋范圍方面，系統(tǒng)前端感知探頭覆蓋到操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、網(wǎng)絡(luò)行為、網(wǎng)絡(luò)流量、業(yè)務(wù)審計、網(wǎng)絡(luò)脆弱性、網(wǎng)絡(luò)威脅態(tài)勢等等。相對于友商單一種類（或漏洞、或木馬、或終端管理）信息的采集，探頭類型多，部署范圍廣，采集信息全面。

       大數(shù)據(jù)分析方面，以全網(wǎng)大數(shù)據(jù)為基礎(chǔ)，以智能分析策略為核心，通過機器學習引擎對能夠引起網(wǎng)絡(luò)態(tài)勢變化的要素進行攫取、分析，結(jié)合用戶業(yè)務(wù)場景，對數(shù)據(jù)流量、網(wǎng)絡(luò)連接、訪問關(guān)系、用戶行為等進行學習，建立起企業(yè)的安全模型，并且可根據(jù)條件自定義安全策略，靈活便捷。

       基礎(chǔ)防護方面，前端探頭除進行信息收集和數(shù)據(jù)上報外，還能夠?qū)Ω鱾€節(jié)點起到基本的安全防護作用，保護關(guān)鍵控制設(shè)備的正常運行。

       還有一點就是安全服務(wù)，安全防護體系還融入了服務(wù)的理念，設(shè)計了安全評估模塊和服務(wù)評價模塊。安全評估部分內(nèi)置了國家標準，用戶可通過標準對網(wǎng)絡(luò)和系統(tǒng)進行自評估，找出差距。服務(wù)評價是對托管服務(wù)質(zhì)量的評價，甲方可通過事件的響應(yīng)速度、問題的處理率等指標，評估安全托管服務(wù)商的工作質(zhì)量。

基于PK體系的信創(chuàng)DCS安全防護實踐

       張友平介紹，目前某電廠是處于這樣一種情況：一期、二期的安全1區(qū)和安全2區(qū)之間未進行邊界隔離；缺少針對主控系統(tǒng)、輔網(wǎng)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的信息收集和風險預警；管理及技術(shù)人員運維管理缺乏監(jiān)控、審計及追溯；設(shè)備自身系統(tǒng)漏洞、防病毒軟件缺失等。神州慧安建設(shè)的目標是主動防御、態(tài)勢感知、數(shù)據(jù)分類、輔助決策。“我們的安全系統(tǒng)肯定不能加入主動的生產(chǎn)運行，而是在旁邊來發(fā)現(xiàn)，真正有異常之后由現(xiàn)場的工藝工程師和網(wǎng)絡(luò)工程師來最終處理，”張友平表示。

       下圖展示了防護體系實施的整個架構(gòu)情況。以數(shù)據(jù)為核心的生產(chǎn)大區(qū)的生產(chǎn)預警平臺，實現(xiàn)了收集數(shù)據(jù)量十億余條，共收集DCS系統(tǒng)、SCADA系統(tǒng)及SIS資產(chǎn)信息1萬余條，關(guān)鍵節(jié)點100余個，實時采集生產(chǎn)大區(qū)工控系統(tǒng)雙向數(shù)據(jù)流，預警分析處理上千條風險事件。

        張友平在報告最后表示，信創(chuàng)DCS安全防護體系實踐有如下幾點經(jīng)驗體會：

       第一，目前國內(nèi)工控安全產(chǎn)品都基于國外硬件產(chǎn)品進行研發(fā)，存在較大的風險和安全隱患。自主可控國產(chǎn)化安全體系的推出對于推進國家在軍工、航天、核電、軌道交通、電力、化工等國家重要基礎(chǔ)設(shè)施的保護具有重大意義；

       第二，整個安全防護體系構(gòu)建在國產(chǎn)化飛騰平臺和麒麟操作系統(tǒng)組成的PK體系之上，與自主研發(fā)的軟件和防護系統(tǒng)相結(jié)合，形成了集軟、硬件于一體的國產(chǎn)化工控安全防護體系，完全自主可控，與國產(chǎn)DCS進行配套，形成了從生產(chǎn)系統(tǒng)到安全防護體系的百分之百國產(chǎn)化率，做到了真正的基因安全，確保國家關(guān)鍵基礎(chǔ)設(shè)施的安全穩(wěn)定運行；

       第三，通過國產(chǎn)化工控安全防護體系的研發(fā)和建設(shè)，不僅開拓了工控安全領(lǐng)域的市場，而且讓更多的人知曉和使用上國產(chǎn)化品牌，同時在此過程中，培養(yǎng)和儲備了一大部分國產(chǎn)化應(yīng)用的研發(fā)人才，形成了良好的生態(tài)環(huán)境；

       最后一點就是樹立了典范、取得了寶貴經(jīng)驗。根據(jù)工業(yè)互聯(lián)網(wǎng)、工業(yè)云和工業(yè)大數(shù)據(jù)對自主可控國產(chǎn)化的需求，工控安全國產(chǎn)化的成功實踐為進一步研發(fā)國產(chǎn)化安全數(shù)采，國產(chǎn)化可編程控制器、國產(chǎn)化工業(yè)大數(shù)據(jù)等產(chǎn)品和技術(shù)提供了思路和樣例，為國家國產(chǎn)化產(chǎn)業(yè)的推廣和建設(shè)貢獻了力量。