王 磊，楚新磊，薛文雅，宋向楠，高 山

（1.鄭州正興環(huán)保能源有限公司，河南 新鄭 451100；2.中城院（北京）環(huán)境科技股份有限公司，北京 100120）

0 引言

隨著“垃圾圍城”形勢的日益嚴峻，焚燒垃圾發(fā)電成為了處理生活垃圾的最佳方式之一，因其能實現減量化、無害化和資源化的目標，引起了國家的高度關注和重視[1]。隨著兩化融合和“互聯網+”技術的不斷發(fā)展，工業(yè)控制系統(tǒng)通過多種途徑與外部網絡互聯互通，工控系統(tǒng)設備中通用軟件和通用協議得到了日益廣泛的應用，但高度信息化使工業(yè)控制系統(tǒng)更易被病毒感染、木馬等威脅的攻擊。另一方面，垃圾焚燒發(fā)電廠工控系統(tǒng)的穩(wěn)定性、實時性、可靠性要求又限制了網絡安全技術的應用，給安全防護帶來了巨大的挑戰(zhàn)，導致垃圾焚燒發(fā)電廠工控系統(tǒng)信息安全問題日益突出。據權威工業(yè)安全事件信息庫RISI 統(tǒng)計，全球已發(fā)生幾百起針對工控系統(tǒng)攻擊事件。隨著通用開發(fā)標準與互聯網技術的廣泛使用，使針對工業(yè)控制系統(tǒng)（ICS）的病毒、木馬等攻擊行為大幅度增長，結果導致整體控制系統(tǒng)的故障，甚至惡性安全事故，對人員、設備和環(huán)境造成嚴重后果。工控網絡環(huán)境成了網絡攻擊最青睞的地方，因此工業(yè)控制網絡安全建設成為當務之急[2]。

本文對垃圾焚燒發(fā)電廠的工控系統(tǒng)網絡安全建設進行探討，對于保障電廠穩(wěn)定運行，提高垃圾焚燒發(fā)電效率有重要意義[3]。

1 工控系統(tǒng)網絡安全建設現狀分析

垃圾發(fā)電廠工業(yè)控制網絡DCS 系統(tǒng)是C/S 架構，整個系統(tǒng)基于Windows 服務器。DCS 系統(tǒng)為內部系統(tǒng)，主要提供監(jiān)控全場生產現狀和歷史趨勢和由用戶規(guī)定的過程報警優(yōu)先級和整個系統(tǒng)安全保證等功能。DCS 系統(tǒng)的網絡架構是由4 臺二層工業(yè)交換機為核心交換機，1 臺工程師站、5臺操作員站、2 臺應用服務器以及多臺控制器組成的局域網，對各個子系統(tǒng)如焚燒爐液壓裝置控制系統(tǒng)、燃燒器控制系統(tǒng)、煙氣凈化系統(tǒng)、脫硝控制系統(tǒng)等22 個子系統(tǒng)進行連接、控制，未與其他區(qū)域之間建立網絡連接，業(yè)務結構單一[4]。網絡邊界處部署了1 臺橫向隔離網閘進行安全隔離，對系統(tǒng)的網絡邊界進行安全防護。其采用冗余架構設計，雙線纜AB 網，1 臺工程師站、5 臺操作員站作為業(yè)務終端冗余配置，控制器均采用雙機熱備，保證系統(tǒng)的高可用。

垃圾焚燒發(fā)電廠使用大量工業(yè)控制設備進行自動化控制，如DCS、PLC 等，這類系統(tǒng)一般都使用專用硬件、操作系統(tǒng)及通訊協議，同時也是在相對封閉網絡環(huán)境下進行，所以經常疏于保護，安全隱患較多[5]。

1.1 不同業(yè)務系統(tǒng)之間未做邊界隔離防護

SIS 系統(tǒng)是建立在DCS 系統(tǒng)的基礎上的，通過對監(jiān)測數據地實時分析對全場生產運行實時指揮調度，以保證生產整個系統(tǒng)的運行質量和經濟性為目的。

SIS 系統(tǒng)和DCS 之間如未采取任何工業(yè)專用的安全防護措施，部分惡意程序能直接攻擊到控制網絡，即便在SIS接口機上配置雙網卡，但是對于能利用Windows 系統(tǒng)漏洞進行攻擊的網絡蠕蟲和病毒來說，病毒仍將在SIS 系統(tǒng)與控制網中相互傳播。即使裝上殺毒軟件也能抑制某些病毒或者攻擊，但是病毒庫有滯后性，因此無法從本質上進行保護。

1.2 關鍵節(jié)點缺乏安全監(jiān)測預警能力

關鍵節(jié)點DCS 系統(tǒng)的匯聚交換機，如何對關鍵節(jié)點上業(yè)務系統(tǒng)的接入行為及敏感信息的傳播情況進行有效地監(jiān)測，對網絡系統(tǒng)安全狀態(tài)進行準確地把握，對違反安全策略事件進行及時地發(fā)現，實時地告警、記錄，在對安全事件定位分析的前提下，對事件進行事后跟蹤取證以達到合規(guī)性審計的要求是一個亟待解決的課題。

1.3 DCS或PLC系統(tǒng)各個控制站之間互相感染隱患

DCS 或PLC 的工程師站、操作員站、DPU 控制器（大部分控制系統(tǒng)DPU 都是采用基于Linux 或Windows 的實時多任務操作系統(tǒng)）均處于同一網內，通常和上層的數采網沒有隔離防護，若僅從管理的角度出發(fā)，采用以規(guī)章制度約束移動介質的訪問來降低外部感染的發(fā)生，沒有對網內進行有效的防護措施，控制系統(tǒng)內各控制站間就有可能互相感染甚至造成系統(tǒng)的停止運行。

1.4 工控網絡工作站終端“裸奔”的現狀

大多數控制系統(tǒng)的操作站和服務器采用了Windows 的操作系統(tǒng)，長期系統(tǒng)不更新導致大量漏洞存在，但相關人員并不掌握，也無嚴格的U 盤管控，導致可能通過U 盤傳入病毒。黑客可能利用病毒木馬等手段，通過文件擺渡或其他手段進入工控系統(tǒng)，對工控控制器發(fā)出惡意指令，導致工控系統(tǒng)宕機或出現嚴重的事故。

1.5 網絡安全能力缺乏統(tǒng)一規(guī)范化管理

垃圾焚燒發(fā)電廠的高度信息化使得工業(yè)控制系統(tǒng)中存在各種來自終端設備、網絡設備、安全設備、工控設備的系統(tǒng)日志，對這些日志進行安全審計是信息系統(tǒng)安全維護的重點工作之一，而日志存放分散、數量多、格式不統(tǒng)一、保存周期短、易被篡改破壞等因素，如今已很難進行人為的日志審計工作。

另一方面，信息系統(tǒng)迫切需要掌握全網的資產運行狀況、安全狀況，同時還能夠集中處理大量安全設備產生的安全數據和監(jiān)控信息，所以就需要一個平臺來進行集中管理，策略下發(fā)。

1.6 外部網接入工控網絡的威脅

電廠工業(yè)網絡還可能面臨來自互聯網針對電廠工業(yè)與信息網絡中的信息系統(tǒng)攻擊，如：

利用漏洞的遠程溢出攻擊；SQL 注入、XSS 跨站腳本、CSRF 跨站偽造請求等攻擊；木馬攻擊。

1.7 資產存在自身漏洞被利用的風險

事實證明，99%以上攻擊都是利用已公布并有修補措施，但用戶未修補的漏洞。操作系統(tǒng)與應用漏洞可直接對數據完整性與機密性構成威脅。流行蠕蟲在傳播過程中，一般還依賴于嚴重安全漏洞，黑客主動攻擊通常與利用漏洞密不可分。

2 工控安全系統(tǒng)建設方案設計原則

工控安全系統(tǒng)信息安全防護建設方案在設計時當以適度安全為核心，以重點保護為原則，從業(yè)務的角度出發(fā)，重點保護重要的業(yè)務系統(tǒng)。在方案設計中應當遵循以下原則：

1）適度安全原則

沒有一個信息系統(tǒng)是絕對安全的，開展垃圾焚燒發(fā)電廠工控網絡安全建設時，需要權衡與折中安全需求，風險與成本，過高的安全要求勢必導致安全成本急劇上升，操作復雜。

本防護方案從網絡、主機、安全審計和安全平臺運維管理層面強化防護措施，以確保綜合監(jiān)控系統(tǒng)可用性、完整性和機密性，此外還應考慮成本方面因素，根據綜合監(jiān)控系統(tǒng)存在的現實風險提出了相應的防護強度，根據防護強度設計構建了安全防護系統(tǒng)，有效地控制了成本。

2）標準化原則

方案設計遵循政策法規(guī)、國家標準和相關行業(yè)最佳實踐，并參考國際的標準來實施。

3）規(guī)范性原則

根據項目管理方法，在人員、質量和時間進度等方面進行嚴格管控。

4）完整性原則

完整性原則包含以下兩個層次的內容：

內容的完整性——工作要綜合考慮被評估對象的工業(yè)互聯網平臺各層次、不同應用場景及接入端差異帶來的不同安全問題。

項目流程完整性——作為一套完整而有效的系統(tǒng)開發(fā)和執(zhí)行過程，應具有科學性和嚴謹性，任何一個疏忽或者疏漏都會影響到整個流程的效果。

5）適用性原則

工業(yè)互聯網融合了物聯網、工業(yè)控制網絡、云計算、大數據等新技術，根據其系統(tǒng)設計和應用特點就決定了僅依靠傳統(tǒng)的信息安全產品無法完全適用于該環(huán)境，因此在設計中必須考慮安全技術和產品在平臺安全中的適用性。

6）技術管理并重原則

信息安全問題從來就不是單純的技術問題，把防范黑客入侵和病毒感染理解為信息安全問題的全部是片面的，單純依靠部署安全產品難以全面涵蓋該工程設計至工控網絡的全部信息安全，需要將技術措施與管理措施相結合，才能更加有效地確保工業(yè)互聯網平臺的整體安全。

7）確保ICS 在設計、生產、部署、運行四階段均安全

信息安全性：工控系統(tǒng)優(yōu)先順序為可用性（availability）、完整性（integrity）和機密性（confidentiality）、功能安全性、可靠性，韌性：除可以完成指定任務外，還可在災難后重構運行能力，私密性：ISO/IEC 29100、ISO/IEC 29101、ISO/IEC 29190、ISO/IEC 27018、ISO/IEC 29134、ISO/IEC 24745。

8）信息安全與工控系統(tǒng)基本功能沖突處理原則

信息安全措施不應對高可用性工控系統(tǒng)的基本功能產生有害影響，除非得到風險評估認可。訪問控制不應妨礙基本功能的運行，若區(qū)域邊界防護進入故障關閉和/或孤島模式，工控系統(tǒng)基本功能也應保持在控制系統(tǒng)或安全儀表系統(tǒng)網絡上的DoS 事件，不應妨礙安全儀表功能。

3 工控安全系統(tǒng)建設方案

3.1 業(yè)務系統(tǒng)間的邊界隔離防護

為了保障DCS 系統(tǒng)與SIS 系統(tǒng)的安全，需要在SIS 系統(tǒng)接口機與DCS 系統(tǒng)工程師站、DCS 系統(tǒng)與電氣側、地磅系統(tǒng)與DCS 系統(tǒng)之間部署工業(yè)防火墻，以實現對安全域邊界的全面安全防護。為了確保關鍵資產和業(yè)務的安全，必須避免網絡攻擊在不同區(qū)域的滲透。此外，采用白名單策略防護和工業(yè)防火墻的應用，能有效防止未知威脅和所有不可信數據及操作行為。

3.2 關鍵節(jié)點處的工業(yè)流量分析

在關鍵節(jié)點處旁路搭建工業(yè)審計系統(tǒng)并實時監(jiān)測，避免工業(yè)協議被攻擊誤操作，違規(guī)操作，非法IP 或設備接入而導致的病毒傳播。及時報警，幫助客戶采取相應應對措施，減少系統(tǒng)出現異常的潛在風險。平臺記錄一切網絡通信行為，還包括指令級的工業(yè)協議通信記錄，并支持回溯功能，為工業(yè)控制系統(tǒng)的安全事故調查提供可靠的支撐。

3.3 工控主機安全防護與加固

對于每個工作站主機，都應當安裝工業(yè)衛(wèi)士終端防護白名單軟件，以免遭受各種非法攻擊，同時能夠有效管理主機的USB 等外部端口。為確保關鍵業(yè)務順暢進行，Windows 主機（操作員站、工程師站、服務器）提供了專業(yè)的工控安全防護措施，其建立了穩(wěn)定的運行環(huán)境，有效遏制了已經爆發(fā)的工控病毒（如“震網”、Havex、“勒索”等）及其衍生版本的運行。

3.4 網絡安全能力的統(tǒng)一規(guī)范化管理

在工控網DCS 核心交換機上旁路在工控網絡中，搭建具備日志審計功能的系統(tǒng)，統(tǒng)一收集、分析安全產品日志和維護防護設備，形成安全運營中心，統(tǒng)一維護日常的信息安全防護，對安全事件的應急處置、攻擊行為的發(fā)現提供技術支撐。

在工控網DCS 核心交換機上旁路部署工業(yè)監(jiān)管平臺，實現工業(yè)網絡安全設備的統(tǒng)一管理、配置和安全規(guī)則的統(tǒng)一部署，監(jiān)測通信流量和安全事件，并分析工控網絡內的安全威脅，提供行為記錄、日志管理、設備管理和安全性分區(qū)等多項功能的工業(yè)監(jiān)管平臺。

4 工控安全系統(tǒng)建設優(yōu)勢

4.1 從垃圾焚燒發(fā)電廠工控網絡內部構建安全

并非將信息安全手段強加于工控網絡，而是以垃圾焚燒發(fā)電廠工控網絡的內在特性和行業(yè)特點為出發(fā)點，從隱患的根源入手，構建全新的解決方案，以確保垃圾焚燒發(fā)電廠工控網絡安全。垃圾焚燒發(fā)電廠工控網絡安全方案是基于對工控網絡自身特征進行深入分析而提出的，有別于目前流行的操作系統(tǒng)安全策略。只有采用這種解決方案，才能確保在工控系統(tǒng)中實現安全有效的操作。

解決方案能夠準確地掌握垃圾發(fā)電廠工控系統(tǒng)內部的運行、操作規(guī)律和生產流程，從而可以在垃圾發(fā)電廠工控系統(tǒng)現場底層和內部量身定制更符合電力實際生產需要的防護方案和運行管理規(guī)程，最終幫助業(yè)主實現垃圾焚燒發(fā)電廠工控系統(tǒng)穩(wěn)定地運行和安全治理工作。

4.2 理念先進

除了滿足合規(guī)和一般的業(yè)務需求，還利用先進的AI 技術為抓手，重點強化了對未知風險的洞察能力，能具有未來攻擊模式的預測能力；同時，以安全促進運營的思想通過具體的業(yè)務運營分析實現，是先進理念指導高水平安全規(guī)劃的成功實踐。

4.3 目標合理

根據工控網絡的特點和工控風險的特征，設定了合理的保護目標，接受剩余風險，以保障可用性為優(yōu)先，保障有效性為次優(yōu)，保障機密性為再次的安全規(guī)劃是經得起推敲的合理規(guī)劃。

4.4 可靠的縱深防御體系

針對工業(yè)系統(tǒng)的不同層次，基于“一個中心，三種防護”的指導思想，在每層都提供了必要的安全防護機制，并構建了以預測為核心的事前-事中-事后處置體系，針對目前的潛在攻擊威脅具備極強的抵御能力。

4.5 多維安全防護

根據生產控制系統(tǒng)特點及各個節(jié)點的基礎設施特點，提供了有效的工業(yè)控制系統(tǒng)安全和安全運維管理技術手段，充分滿足業(yè)務安全需求。

5 結論

目前，垃圾焚燒發(fā)電逐漸成為最為“減量化、無害化、資源化”的處理生活垃圾的方式。垃圾焚燒發(fā)電廠采用了大量的需要處于封閉網絡環(huán)境中的工業(yè)設備來對設備進行控制，因此存在著大量的網絡安全隱患。通過對工控系統(tǒng)網絡安全進行建設并不斷進行完善，不僅可以保障電廠網絡安全的可靠性，還可以提高垃圾焚燒發(fā)電的效率，對垃圾焚燒發(fā)電廠的安全穩(wěn)定運行具有重要意義。