在剛剛落幕的CITE2021 工業(yè)互聯(lián)網發(fā)展與安全峰會上，北京神州慧安科技有限公司首席科學家張友平做了題為《基于PK體系的電力DCS系統(tǒng)安全防護設計與實踐》的主題報告，詳述了神州慧安在工控安全和國產化領域所取得的成果及獲得的經驗。

北京神州慧安科技有限公司首席科學家 張友平

       張友平表示，工控安全目前面臨著這樣的國際背景：工控行業(yè)關鍵基礎設施多為國外產品，面臨風險非常高，且外部設備往往留有后門，時刻被監(jiān)聽，關鍵時刻還會破壞。同時，網絡攻擊武器庫已經成為現代戰(zhàn)爭中重要的組成部分，禁運變成卡脖子的一張王牌，妄圖扼殺科技的發(fā)展，大國間的博弈已成為今后整個世界格局的常態(tài)。而在國內，企業(yè)信息化建設越來越多，智能化程度越來越高，但是信創(chuàng)體系基礎差、時間短、生態(tài)差、供給側嚴重不足。這是國家關鍵基礎設施保護的迫切需求，國內政策法規(guī)也在不斷完善和出臺。

基于PK體系的信創(chuàng)DCS安全防護設計

• PK體系

       “PK體系”立足中國國產安全、面向全球開放聯(lián)合，是國家級網絡安全核心體系，是技術創(chuàng)新體系加商業(yè)模式的綜合體，對標WINDOWS+INTEL體系?！癙K體系”是一個基礎的、先進的、開放的架構組合。作為國內首家將“PK”體系應用到工業(yè)信息安全的安全廠商，北京神州慧安科技有限公司已經實現基于“PK”體系的全系列工業(yè)信息安全產品的移植和適配，同時建立了基于“PK”架構的工業(yè)信息安全防護體系。

• 建設思路

       張友平首先介紹了項目背景：DCS是火力發(fā)電的核心控制系統(tǒng)，被稱為發(fā)電廠的“大腦”，也是關鍵網絡安全基礎設施安全的核心。長期以來，國內DCS所使用的芯片、元器件以及操作系統(tǒng)等軟、硬件依賴進口。實現DCS自主可控，具有重要的現實價值和戰(zhàn)略意義。

       在某電廠投運基于飛騰處理器及麒麟操作系統(tǒng)的自主可控智能分散控制系統(tǒng)（DCS）實現了首次在超超臨界火電機組的應用，控制范圍覆蓋鍋爐、汽輪機等主輔設備，系統(tǒng)控制層、網絡層、監(jiān)控層全部實現了國產化，實現國內自主可控DCS在超超臨界火電機組上的首次示范應用和全廠一體化控制，取得了重大突破。為了對國產DCS進行安全防護，電廠急需搭建與之相配套的基于PK體系的工業(yè)信息安全防護體系，來保障生產安全。

       談及建設思路，張友平表示，整個安全防護體系以資產為中心，以發(fā)現威脅為目的，以零信任為理念，分別從系統(tǒng)防護、監(jiān)測感知、態(tài)勢展示等方面進行設計，集可視、檢測、預警、服務于一體，形成整體的縱深安全體系，可達到“通過去、知現在、曉未來”的目的。

       防御思路脫離于傳統(tǒng)安全防護的訪問控制和黑名單機制，不局限于某一個點，而是從全局的高度提升對安全威脅的發(fā)現、識別、分析和處置的能力。在基本防護的基礎上，通過大數據分析研判能力，增加了對未知風險的檢測和發(fā)現機制，從被動防護轉向主動防御，消除了傳統(tǒng)安全防御滯后性的弊端。通過對潛在風險的挖掘（如隱藏在正常業(yè)務流量中的黑客踩點、試探、信息收集等行為），將防御前移，在告警事件未真正發(fā)生或范圍很小時即進行預警通報，提前部署措施進行防御，結合安全運維和安全服務體系，化被動為主動，達到料敵于先、制敵于前的效果。

       在覆蓋范圍方面，系統(tǒng)前端感知探頭覆蓋到操作系統(tǒng)、網絡設備、安全設備、網絡行為、網絡流量、業(yè)務審計、網絡脆弱性、網絡威脅態(tài)勢等等。相對于友商單一種類（或漏洞、或木馬、或終端管理）信息的采集，探頭類型多，部署范圍廣，采集信息全面。

       大數據分析方面，以全網大數據為基礎，以智能分析策略為核心，通過機器學習引擎對能夠引起網絡態(tài)勢變化的要素進行攫取、分析，結合用戶業(yè)務場景，對數據流量、網絡連接、訪問關系、用戶行為等進行學習，建立起企業(yè)的安全模型，并且可根據條件自定義安全策略，靈活便捷。

       基礎防護方面，前端探頭除進行信息收集和數據上報外，還能夠對各個節(jié)點起到基本的安全防護作用，保護關鍵控制設備的正常運行。

       還有一點就是安全服務，安全防護體系還融入了服務的理念，設計了安全評估模塊和服務評價模塊。安全評估部分內置了國家標準，用戶可通過標準對網絡和系統(tǒng)進行自評估，找出差距。服務評價是對托管服務質量的評價，甲方可通過事件的響應速度、問題的處理率等指標，評估安全托管服務商的工作質量。

基于PK體系的信創(chuàng)DCS安全防護實踐

       張友平介紹，目前某電廠是處于這樣一種情況：一期、二期的安全1區(qū)和安全2區(qū)之間未進行邊界隔離；缺少針對主控系統(tǒng)、輔網系統(tǒng)和網絡系統(tǒng)的信息收集和風險預警；管理及技術人員運維管理缺乏監(jiān)控、審計及追溯；設備自身系統(tǒng)漏洞、防病毒軟件缺失等。神州慧安建設的目標是主動防御、態(tài)勢感知、數據分類、輔助決策?！拔覀兊陌踩到y(tǒng)肯定不能加入主動的生產運行，而是在旁邊來發(fā)現，真正有異常之后由現場的工藝工程師和網絡工程師來最終處理，”張友平表示。

       下圖展示了防護體系實施的整個架構情況。以數據為核心的生產大區(qū)的生產預警平臺，實現了收集數據量十億余條，共收集DCS系統(tǒng)、SCADA系統(tǒng)及SIS資產信息1萬余條，關鍵節(jié)點100余個，實時采集生產大區(qū)工控系統(tǒng)雙向數據流，預警分析處理上千條風險事件。

        張友平在報告最后表示，信創(chuàng)DCS安全防護體系實踐有如下幾點經驗體會：

       第一，目前國內工控安全產品都基于國外硬件產品進行研發(fā)，存在較大的風險和安全隱患。自主可控國產化安全體系的推出對于推進國家在軍工、航天、核電、軌道交通、電力、化工等國家重要基礎設施的保護具有重大意義；

       第二，整個安全防護體系構建在國產化飛騰平臺和麒麟操作系統(tǒng)組成的PK體系之上，與自主研發(fā)的軟件和防護系統(tǒng)相結合，形成了集軟、硬件于一體的國產化工控安全防護體系，完全自主可控，與國產DCS進行配套，形成了從生產系統(tǒng)到安全防護體系的百分之百國產化率，做到了真正的基因安全，確保國家關鍵基礎設施的安全穩(wěn)定運行；

       第三，通過國產化工控安全防護體系的研發(fā)和建設，不僅開拓了工控安全領域的市場，而且讓更多的人知曉和使用上國產化品牌，同時在此過程中，培養(yǎng)和儲備了一大部分國產化應用的研發(fā)人才，形成了良好的生態(tài)環(huán)境；

       最后一點就是樹立了典范、取得了寶貴經驗。根據工業(yè)互聯(lián)網、工業(yè)云和工業(yè)大數據對自主可控國產化的需求，工控安全國產化的成功實踐為進一步研發(fā)國產化安全數采，國產化可編程控制器、國產化工業(yè)大數據等產品和技術提供了思路和樣例，為國家國產化產業(yè)的推廣和建設貢獻了力量。