王 磊，楚新磊，薛文雅，宋向楠，高 山

（1.郑州正兴环保能源有限公司，河南 新郑 451100；2.中城院（北京）环境科技股份有限公司，北京 100120）

0 引言

随着“垃圾围城”形势的日益严峻，焚烧垃圾发电成为了处理生活垃圾的最佳方式之一，因其能实现减量化、无害化和资源化的目标，引起了国家的高度关注和重视[1]。随着两化融合和“互联网+”技术的不断发展，工业控制系统通过多种途径与外部网络互联互通，工控系统设备中通用软件和通用协议得到了日益广泛的应用，但高度信息化使工业控制系统更易被病毒感染、木马等威胁的攻击。另一方面，垃圾焚烧发电厂工控系统的稳定性、实时性、可靠性要求又限制了网络安全技术的应用，给安全防护带来了巨大的挑战，导致垃圾焚烧发电厂工控系统信息安全问题日益突出。据权威工业安全事件信息库RISI 统计，全球已发生几百起针对工控系统攻击事件。随着通用开发标准与互联网技术的广泛使用，使针对工业控制系统（ICS）的病毒、木马等攻击行为大幅度增长，结果导致整体控制系统的故障，甚至恶性安全事故，对人员、设备和环境造成严重后果。工控网络环境成了网络攻击最青睐的地方，因此工业控制网络安全建设成为当务之急[2]。

本文对垃圾焚烧发电厂的工控系统网络安全建设进行探讨，对于保障电厂稳定运行，提高垃圾焚烧发电效率有重要意义[3]。

1 工控系统网络安全建设现状分析

垃圾发电厂工业控制网络DCS 系统是C/S 架构，整个系统基于Windows 服务器。DCS 系统为内部系统，主要提供监控全场生产现状和历史趋势和由用户规定的过程报警优先级和整个系统安全保证等功能。DCS 系统的网络架构是由4 台二层工业交换机为核心交换机，1 台工程师站、5台操作员站、2 台应用服务器以及多台控制器组成的局域网，对各个子系统如焚烧炉液压装置控制系统、燃烧器控制系统、烟气净化系统、脱硝控制系统等22 个子系统进行连接、控制，未与其他区域之间建立网络连接，业务结构单一[4]。网络边界处部署了1 台横向隔离网闸进行安全隔离，对系统的网络边界进行安全防护。其采用冗余架构设计，双线缆AB 网，1 台工程师站、5 台操作员站作为业务终端冗余配置，控制器均采用双机热备，保证系统的高可用。

垃圾焚烧发电厂使用大量工业控制设备进行自动化控制，如DCS、PLC 等，这类系统一般都使用专用硬件、操作系统及通讯协议，同时也是在相对封闭网络环境下进行，所以经常疏于保护，安全隐患较多[5]。

1.1 不同业务系统之间未做边界隔离防护

SIS 系统是建立在DCS 系统的基础上的，通过对监测数据地实时分析对全场生产运行实时指挥调度，以保证生产整个系统的运行质量和经济性为目的。

SIS 系统和DCS 之间如未采取任何工业专用的安全防护措施，部分恶意程序能直接攻击到控制网络，即便在SIS接口机上配置双网卡，但是对于能利用Windows 系统漏洞进行攻击的网络蠕虫和病毒来说，病毒仍将在SIS 系统与控制网中相互传播。即使装上杀毒软件也能抑制某些病毒或者攻击，但是病毒库有滞后性，因此无法从本质上进行保护。

1.2 关键节点缺乏安全监测预警能力

关键节点DCS 系统的汇聚交换机，如何对关键节点上业务系统的接入行为及敏感信息的传播情况进行有效地监测，对网络系统安全状态进行准确地把握，对违反安全策略事件进行及时地发现，实时地告警、记录，在对安全事件定位分析的前提下，对事件进行事后跟踪取证以达到合规性审计的要求是一个亟待解决的课题。

1.3 DCS或PLC系统各个控制站之间互相感染隐患

DCS 或PLC 的工程师站、操作员站、DPU 控制器（大部分控制系统DPU 都是采用基于Linux 或Windows 的实时多任务操作系统）均处于同一网内，通常和上层的数采网没有隔离防护，若仅从管理的角度出发，采用以规章制度约束移动介质的访问来降低外部感染的发生，没有对网内进行有效的防护措施，控制系统内各控制站间就有可能互相感染甚至造成系统的停止运行。

1.4 工控网络工作站终端“裸奔”的现状

大多数控制系统的操作站和服务器采用了Windows 的操作系统，长期系统不更新导致大量漏洞存在，但相关人员并不掌握，也无严格的U 盘管控，导致可能通过U 盘传入病毒。黑客可能利用病毒木马等手段，通过文件摆渡或其他手段进入工控系统，对工控控制器发出恶意指令，导致工控系统宕机或出现严重的事故。

1.5 网络安全能力缺乏统一规范化管理

垃圾焚烧发电厂的高度信息化使得工业控制系统中存在各种来自终端设备、网络设备、安全设备、工控设备的系统日志，对这些日志进行安全审计是信息系统安全维护的重点工作之一，而日志存放分散、数量多、格式不统一、保存周期短、易被篡改破坏等因素，如今已很难进行人为的日志审计工作。

另一方面，信息系统迫切需要掌握全网的资产运行状况、安全状况，同时还能够集中处理大量安全设备产生的安全数据和监控信息，所以就需要一个平台来进行集中管理，策略下发。

1.6 外部网接入工控网络的威胁

电厂工业网络还可能面临来自互联网针对电厂工业与信息网络中的信息系统攻击，如：

利用漏洞的远程溢出攻击；SQL 注入、XSS 跨站脚本、CSRF 跨站伪造请求等攻击；木马攻击。

1.7 资产存在自身漏洞被利用的风险

事实证明，99%以上攻击都是利用已公布并有修补措施，但用户未修补的漏洞。操作系统与应用漏洞可直接对数据完整性与机密性构成威胁。流行蠕虫在传播过程中，一般还依赖于严重安全漏洞，黑客主动攻击通常与利用漏洞密不可分。

2 工控安全系统建设方案设计原则

工控安全系统信息安全防护建设方案在设计时当以适度安全为核心，以重点保护为原则，从业务的角度出发，重点保护重要的业务系统。在方案设计中应当遵循以下原则：

1）适度安全原则

没有一个信息系统是绝对安全的，开展垃圾焚烧发电厂工控网络安全建设时，需要权衡与折中安全需求，风险与成本，过高的安全要求势必导致安全成本急剧上升，操作复杂。

本防护方案从网络、主机、安全审计和安全平台运维管理层面强化防护措施，以确保综合监控系统可用性、完整性和机密性，此外还应考虑成本方面因素，根据综合监控系统存在的现实风险提出了相应的防护强度，根据防护强度设计构建了安全防护系统，有效地控制了成本。

2）标准化原则

方案设计遵循政策法规、国家标准和相关行业最佳实践，并参考国际的标准来实施。

3）规范性原则

根据项目管理方法，在人员、质量和时间进度等方面进行严格管控。

4）完整性原则

完整性原则包含以下两个层次的内容：

内容的完整性——工作要综合考虑被评估对象的工业互联网平台各层次、不同应用场景及接入端差异带来的不同安全问题。

项目流程完整性——作为一套完整而有效的系统开发和执行过程，应具有科学性和严谨性，任何一个疏忽或者疏漏都会影响到整个流程的效果。

5）适用性原则

工业互联网融合了物联网、工业控制网络、云计算、大数据等新技术，根据其系统设计和应用特点就决定了仅依靠传统的信息安全产品无法完全适用于该环境，因此在设计中必须考虑安全技术和产品在平台安全中的适用性。

6）技术管理并重原则

信息安全问题从来就不是单纯的技术问题，把防范黑客入侵和病毒感染理解为信息安全问题的全部是片面的，单纯依靠部署安全产品难以全面涵盖该工程设计至工控网络的全部信息安全，需要将技术措施与管理措施相结合，才能更加有效地确保工业互联网平台的整体安全。

7）确保ICS 在设计、生产、部署、运行四阶段均安全

信息安全性：工控系统优先顺序为可用性（availability）、完整性（integrity）和机密性（confidentiality）、功能安全性、可靠性，韧性：除可以完成指定任务外，还可在灾难后重构运行能力，私密性：ISO/IEC 29100、ISO/IEC 29101、ISO/IEC 29190、ISO/IEC 27018、ISO/IEC 29134、ISO/IEC 24745。

8）信息安全与工控系统基本功能冲突处理原则

信息安全措施不应对高可用性工控系统的基本功能产生有害影响，除非得到风险评估认可。访问控制不应妨碍基本功能的运行，若区域边界防护进入故障关闭和/或孤岛模式，工控系统基本功能也应保持在控制系统或安全仪表系统网络上的DoS 事件，不应妨碍安全仪表功能。

3 工控安全系统建设方案

3.1 业务系统间的边界隔离防护

为了保障DCS 系统与SIS 系统的安全，需要在SIS 系统接口机与DCS 系统工程师站、DCS 系统与电气侧、地磅系统与DCS 系统之间部署工业防火墙，以实现对安全域边界的全面安全防护。为了确保关键资产和业务的安全，必须避免网络攻击在不同区域的渗透。此外，采用白名单策略防护和工业防火墙的应用，能有效防止未知威胁和所有不可信数据及操作行为。

3.2 关键节点处的工业流量分析

在关键节点处旁路搭建工业审计系统并实时监测，避免工业协议被攻击误操作，违规操作，非法IP 或设备接入而导致的病毒传播。及时报警，帮助客户采取相应应对措施，减少系统出现异常的潜在风险。平台记录一切网络通信行为，还包括指令级的工业协议通信记录，并支持回溯功能，为工业控制系统的安全事故调查提供可靠的支撑。

3.3 工控主机安全防护与加固

对于每个工作站主机，都应当安装工业卫士终端防护白名单软件，以免遭受各种非法攻击，同时能够有效管理主机的USB 等外部端口。为确保关键业务顺畅进行，Windows 主机（操作员站、工程师站、服务器）提供了专业的工控安全防护措施，其建立了稳定的运行环境，有效遏制了已经爆发的工控病毒（如“震网”、Havex、“勒索”等）及其衍生版本的运行。

3.4 网络安全能力的统一规范化管理

在工控网DCS 核心交换机上旁路在工控网络中，搭建具备日志审计功能的系统，统一收集、分析安全产品日志和维护防护设备，形成安全运营中心，统一维护日常的信息安全防护，对安全事件的应急处置、攻击行为的发现提供技术支撑。

在工控网DCS 核心交换机上旁路部署工业监管平台，实现工业网络安全设备的统一管理、配置和安全规则的统一部署，监测通信流量和安全事件，并分析工控网络内的安全威胁，提供行为记录、日志管理、设备管理和安全性分区等多项功能的工业监管平台。

4 工控安全系统建设优势

4.1 从垃圾焚烧发电厂工控网络内部构建安全

并非将信息安全手段强加于工控网络，而是以垃圾焚烧发电厂工控网络的内在特性和行业特点为出发点，从隐患的根源入手，构建全新的解决方案，以确保垃圾焚烧发电厂工控网络安全。垃圾焚烧发电厂工控网络安全方案是基于对工控网络自身特征进行深入分析而提出的，有别于目前流行的操作系统安全策略。只有采用这种解决方案，才能确保在工控系统中实现安全有效的操作。

解决方案能够准确地掌握垃圾发电厂工控系统内部的运行、操作规律和生产流程，从而可以在垃圾发电厂工控系统现场底层和内部量身定制更符合电力实际生产需要的防护方案和运行管理规程，最终帮助业主实现垃圾焚烧发电厂工控系统稳定地运行和安全治理工作。

4.2 理念先进

除了满足合规和一般的业务需求，还利用先进的AI 技术为抓手，重点强化了对未知风险的洞察能力，能具有未来攻击模式的预测能力；同时，以安全促进运营的思想通过具体的业务运营分析实现，是先进理念指导高水平安全规划的成功实践。

4.3 目标合理

根据工控网络的特点和工控风险的特征，设定了合理的保护目标，接受剩余风险，以保障可用性为优先，保障有效性为次优，保障机密性为再次的安全规划是经得起推敲的合理规划。

4.4 可靠的纵深防御体系

针对工业系统的不同层次，基于“一个中心，三种防护”的指导思想，在每层都提供了必要的安全防护机制，并构建了以预测为核心的事前-事中-事后处置体系，针对目前的潜在攻击威胁具备极强的抵御能力。

4.5 多维安全防护

根据生产控制系统特点及各个节点的基础设施特点，提供了有效的工业控制系统安全和安全运维管理技术手段，充分满足业务安全需求。

5 结论

目前，垃圾焚烧发电逐渐成为最为“减量化、无害化、资源化”的处理生活垃圾的方式。垃圾焚烧发电厂采用了大量的需要处于封闭网络环境中的工业设备来对设备进行控制，因此存在着大量的网络安全隐患。通过对工控系统网络安全进行建设并不断进行完善，不仅可以保障电厂网络安全的可靠性，还可以提高垃圾焚烧发电的效率，对垃圾焚烧发电厂的安全稳定运行具有重要意义。