飞腾携三十多家生态伙伴推出电厂网络安全解决方案

以2021年美国最大的油气管道运营商遭到勒索软件攻击、2020年委内瑞拉停电事件为代表的工控安全事件层出不穷，反映出工业控制系统信息安全面临着严峻挑战。电力系统是关系着国计民生的重要基础设施，一旦出现纰漏，将影响生产生活甚至国家安全。

与此同时，电厂控制系统信息安全仍存在不少问题，例如工控系统和上位机安全防护薄弱、不同系统间未有效隔离、移动介质传播恶意软件、没有针对工控系统的防御、缺少审计能力、缺乏全景可视化和统一管理能力、缺乏应急响应机制等。加上电厂网络化建设不断发展，企业生产系统网络化水平不断提升，由封闭逐渐走向开放，使矛盾越来越突出。

国家和各部委颁布了一系列法律法规，如国家颁布的《中华人民共和国网络安全法》、工信部颁布的《工业控制系统信息安全防护指南》、发改委颁布的14号令《电力监控系统安全防护规定》、国家能源局颁布的《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》，更进一步凸显开展网络安全防护工作的重要性。

飞腾携三十多家工业网络安全厂家，共同提出了电厂工业网络安全解决方案，如下图：

方案以国家能源局电力监控系统安全防护总体方案等要求为基准，遵循 “安全分区、网络专用、横向隔离、纵向认证”的总体原则，从本体、结构、行为、管理四个角度来实施安全防护。各组成部分的功能如下：

主机防护系统：部署在上位机和服务器上的防护软件，用于加强系统安全措施，封堵系统漏洞，杀灭病毒或恶意软件。可限制U盘等移动介的使用以切断恶意软件传播途径。上报设备软硬件配置变化、输入密码失败等安全事件。

防火墙：针对工业控制系统的边界隔离和安全防护产品，也可部署在关键的DCS、PLC系统前方，除了通常防火墙的访问控制、审计、VPN、DOS攻击防护等功能外，还支持OPC、Modbus TCP、S7、IEC104、EIP等主流工业协议。用于相同安全级别的区域内的隔离用途。自身采用工业级硬件平台，具备宽温、抗电磁干扰、适应恶劣环境等特性，能有效保护自身和被保护系统安全。

交换机：适用于工控环境的交换机，用于连接相同安全级别的区域内的设备，本身具有内置防火墙、访问权限控制、强化的操作系统等特性以保护自身安全，支持报文过滤、MAC绑定等功能加强网络安全，具有SNMP协议接口、日志记录、端口镜像等功能以支持其它安全设备的监控和审计功能。

网闸：用于隔离不同安全级别的网络，同时能实现双向数据交换。内部包含两个主机模块，分别连接内外网，两模块之间没有直接连接，只支持文件传输、数据库、视频流等少数协议，被传输内容以纯数据块形式在两个主机模块间“摆渡”，保证攻击报文、非法连接等无法通过。并且还支持通常防火墙的访问控制、攻击防御、内容过滤等功能。

入侵检测：一般在交换机旁边，与交换机一对一部署，采用旁听方式，不影响现有业务，通过分析网络流量，发现网络异常和攻击行为。在攻击发生时可与交换机和防火墙设备联动，阻断攻击连接，可存留证据。判别攻击的门限可通过自学习自动调整。还可统计所在局域网的流量性质和分布，协助管理员了解安全形势。

可信终端：系统中关键位置的台式机、服务器、网安设备、工控设备采用了可信计算设备，除了原有功能外，CPU内置隔离的可信模块，可保证关键硬件不被破解，BIOS、操作系统等软件不被篡改。在运行时能不断检查设备安全状态，在管理平台协调下上报状态、动态调整防护策略。相当于为设备本身增加了一层坚实的保护壳。

统一安全管理：用于对网络中的安全产品和安全事件进行集中管理，被管理产品包括边界隔离、网络监控、主机防护、入侵检测、运维管理等，实现安全策略统一配置，运行状况全面监控，安全事件实时告警。帮助用户掌握网络的安全状况，降低运维成本。

可信管理平台：用于管理系统中的可信终端，可收集各节点运行情况，对所有节点的状况关联分析，发现攻击行为时告警。安全策略可统一下发，可动态学习和调整。通过把可信终端组织起来，加强了防御的灵活性和有效性。

漏洞扫描：又称为“威胁检测”、“安全合规分析”，用于定期对常见的SCADA、组态、HMI、PLC、DCS、应用系统、数据库等进行扫描，借助规则库和多种扫描手段组合，确定弱点和漏洞位置，查找不符合政策规范要求的情况，给管理员提供修补建议。另外借助完善的设备指纹库，能在扫描的同时搜集设备信息和，协助资产管理。

运维审计：为了解决运维人员登录方式复杂、密码难记、操作难回溯的问题，该设备提供单点的登陆接口，简洁的登陆方式（如手机扫码、指纹等），运维人员能通过此设备操作内网其它设备，同时也受到严格的控制，有精细的权限管理，所有操作有记录，可回放，违规操作有告警。

态势感知：通过在网络的各个部位布置探针应用把全网的流量大小、去向、类型，统一汇集到网管中心，用大数据的手段加以分析，可以得出网络的负载状况、健康状况，还可发现攻击威胁的走势，并且将这些趋势和风险用图表形式实时显示出来，使管理员能清晰地知道整个网络的状态。

日志分析：对各系统的日志进行收集和集中分析，了解设备运行状态，识别存在的安全事件，提高系统安全防护能力。并提供历史日志查询、安全告警的功能。

以上六部分合起来构成安全管理中心，中心的设备通过专用的管理网络与交换机、防火墙等网络设备相连，收集日志等信息，由中心的各个应用设备分别处理，在业务网络受到攻击时仍能正常工作。

    基于飞腾平台的工控设备以及在上面运行的安全软件已经形成了庞大的生态体系，从而满足了上述方案中提到的防火墙、网闸、入侵检测设备等的需求，以下是网络安全软件行业和工控行业合作厂商：