在“垃圾围城”日益严峻的形势下，垃圾焚烧发电作为“减量化、无害化、资源化”处置生活垃圾的最佳方式，引起国家高度重视与关注。“十三五”期间，全国城镇生活垃圾无害化处理设施建设总投资约2518.4亿元；2020年城镇生活垃圾垃圾焚烧处理能力占总无害化处理能力的50%以上。随着垃圾回收、处理、运输、综合利用等各环节技术不断发展，工艺日益科学先进，垃圾发电方式很有可能会成为最经济的发电技术之一。

从长远效益和综合指标看，垃圾发电将优于传统的电力生产。同时各种不确定的安全风险也影响着垃圾焚烧发电企业的安全稳定运行，导致安全事故频发，促使电力企业必须深入了解企业在运行过程中的安全风险因素，完善相应的电网安全管控措施，以促进电力行业的稳固发展。

为此，六方云电力行业安全解决方案落地某垃圾焚烧发电厂，为客户打造具有针对性的安全防护体系，让客户全面掌握了发电厂重要信息系统的信息安全状态，及时了解现有信息系统面临的信息安全风险，并通过逐步规划建设，有效提升了发电厂电力监控系统的整体信息安全管理水平，让该垃圾焚烧发电厂已经达到国家相关部门及行业主管部门对业主的信息安全要求。

01.现代垃圾焚烧发电厂特点

1. 现代垃圾焚烧发电厂由于有其特殊性，其发电及供电效率比现代火力发电厂低得多。

2. 现代垃圾焚烧发电厂应严格符合GWKB322000等标准要求为第一目标，并在技术及经济可行的条件下，尽量提高热能利用率。

3. 从化学能转换为热能的效率较高，垃圾焚烧发电厂适宜于供热。

4. 垃圾焚烧发电厂的主要设备有焚烧炉、余热锅炉、烟气净化系统、发电汽轮机等。

5. 工控系统设备也越来越多的采用通用软件及通用协议，高度信息化使得工业控制系统更容易受到病毒、木马等威胁的攻击。

6.  垃圾焚烧发电厂工控系统的稳定性、实时性、可靠性要求又限制了网络安全技术的应用，给安全防护带来了巨大的挑战，导致垃圾焚烧发电厂工控系统信息安全问题日益突出，工控安全建设成为当务之急。

02.项目需求分析

该垃圾焚化电厂采用了大量的工业控制设备来实现控制的自动化，例如DCS、PLC等，这些系统普遍采用了专用的硬件、操作系统和通讯协议，又存在于较为封闭的网络环境中，因此往往疏于防护， 存在着诸多的安全隐患。

1.  垃圾焚烧电厂SIS系统和DCS或PLC之间的连接作为过程控制网络与企业信息网络的接口部位通常采用OPC通讯，是两个系统的边界点，存在遭受来自企业信息层病毒感染的风险。

虽然SIS系统和DCS或PLC之间采用传统防火墙隔离，部分恶意程序不能直接攻击到控制网络，SIS接口机也考虑了双网卡配置，但对于能够利用 Windows 系统漏洞的网络蠕虫及病毒等，这种配置没有多大作用，病毒还是会在SIS系统和控制网之间互相传播。安装杀毒软件可以对部分病毒或攻击有所抑制，但病毒库存在滞后问题，所以不能从根本上进行防护。

2.  垃圾焚烧电厂具有行业特殊性，同时受环保、电力等上层领导机构监管，且具有一定的集团特性，需要实时上送监控数据至监管机构和集团中心。导致将企业工控系统直接暴露在互联网，极易遭受来自互联网侧的网络入侵与破坏。

3.  大多数控制系统的操作站和服务器采用了Windows的操作系统，长期系统不更新导致大量漏洞存在，但相关人员并不掌握，也无严格的U盘管控，导致可能通过U盘传入病毒。黑客可能利用病毒木马等手段，通过文件摆渡或其他手段进入工控系统，对工控控制器发出恶意指令，导致工控系统宕机或出现严重的事故。

4.  如何有效监控业务系统访问行为和敏感信息传播，准确掌握网络系统的安全状态，及时发现违反安全策略的事件并实时告警、记录，同时进行安全事件定位分析，事后追查取证，满足合规性审计要求，是迫切需要解决的问题。

03.解决方案

本项目旨在依靠边界隔离、主机防护、安全审计、威胁检测等立体化防护方案加强DCS、SIS控制系统的信息安全，解决物理、网络、主机、应用、数据等方面的信息安全隐患，为工业控制系统提供整套的信息安全防护解决方案，有效、及时地避免突发病毒感染和恶意入侵，意味着控制系统避免了更多非计划的生产信息丢失、信息堵塞、节点死机、系统崩溃甚至生产装置停车导致生产事故等诸多隐患问题，确保生产工艺能够安全、稳定、高效的运行。

nerror="javascript:this.style.opacity = 0;" src="https://nimg.ws.126.net/?url=http%3A%2F%2Fcms-bucket.ws.126.net%2F2022%2F0709%2F1d20ef28j00rercsr005gc000dw00d0c.jpg&thumbnail=660x2147483647&quality=80&type=jpg" />

▲本项目工控安全防护示意图

1、部署工业防火墙，实现电厂SIS系统和DCS区域的微隔离

在SIS系统接口机与DCS系统工程师站之间、DCS系统与电气侧之间、地磅系统与DCS系统之间分别部署工业防火墙，对DCS系统与SIS系统安全域边界进行安全防护，阻止网络攻击在不同区域间渗透，保障关键资产和业务的安全。另外基于采用白名单策略防护，工业防火墙阻止了一切不可信的数据和操作行为，最大程度的防范未知威胁。

nerror="javascript:this.style.opacity = 0;" src="https://nimg.ws.126.net/?url=http%3A%2F%2Fcms-bucket.ws.126.net%2F2022%2F0709%2F34d8412fj00rercsr001fc000dw006nc.jpg&thumbnail=660x2147483647&quality=80&type=jpg" />

▲OPC协议深度解析

2、部署工业审计，实时监测来自互联网侧的网络入侵事件

在C网汇聚交换机旁路部署工业审计系统，实时检测出针对工业协议的网络攻击、误操作、违规操作、非法IP或非法设备接入以及病毒的传播并实时报警，帮助客户及时采取应对措施，减少系统异常风险。平台能够详实记录一切网络通信行为，包括指令级的工业控制协议通信记录，并且提供回溯功能，为工业控制系统的安全事故调查提供坚实的基础。

nerror="javascript:this.style.opacity = 0;" src="https://nimg.ws.126.net/?url=http%3A%2F%2Fcms-bucket.ws.126.net%2F2022%2F0709%2Fb73440fbj00rercsr0038c000dw007gc.jpg&thumbnail=660x2147483647&quality=80&type=jpg" />

▲西门子PLC黑名单规则特征库

nerror="javascript:this.style.opacity = 0;" src="https://nimg.ws.126.net/?url=http%3A%2F%2Fcms-bucket.ws.126.net%2F2022%2F0709%2F710e86cej00rercsr002wc000dw007bc.jpg&thumbnail=660x2147483647&quality=80&type=jpg" />

▲工业流量可视

3、部署工业卫士，严密防护越来越IT化的上位机感染勒索病毒

在每台工作站主机安装终端防护白名单软件工业卫士，使主机免受病毒等各种非法攻击，可以有效管控主机的USB等外部端口。针对Windows主机（操作员站、工程师站、服务器），它提供完全适用于工控行业的安全防护，首先为保障关键业务的运行，它能建立稳定的运行环境，同时它能有效遏制至今已经爆发的工控病毒（如“震网”、Havex、“勒索”等）及其变种的运行。

nerror="javascript:this.style.opacity = 0;" src="https://nimg.ws.126.net/?url=http%3A%2F%2Fcms-bucket.ws.126.net%2F2022%2F0709%2Fa78d8a1bj00rercsr006ic000dw00bbc.jpg&thumbnail=660x2147483647&quality=80&type=jpg" />

▲工业终端白名单

nerror="javascript:this.style.opacity = 0;" src="https://nimg.ws.126.net/?url=http%3A%2F%2Fcms-bucket.ws.126.net%2F2022%2F0709%2Fc997d487j00rercsr006qc000dw00b7c.jpg&thumbnail=660x2147483647&quality=80&type=jpg" />

▲操作员站主机加固

nerror="javascript:this.style.opacity = 0;" src="https://nimg.ws.126.net/?url=http%3A%2F%2Fcms-bucket.ws.126.net%2F2022%2F0709%2F64060b12j00rercss006kc000dw00bdc.jpg&thumbnail=660x2147483647&quality=80&type=jpg" />

▲操作员站终端外设管控

4、部署监管平台，实现电力工控安全的统一管控，达到可视、可管和可控的效果

部署日志审计系统，实现对安全产品日志的统一采集、分析及主要防护设备的统一运维，形成工控网络中的安全运营中心，统一维护日常的信息安全防护，对安全事件的应急处置、攻击行为的发现提供技术支撑。

部署工业监管平台，实现对工业网络安全设备统一管理、配置、统一部署安全规则，监测工业网络的通信流量与安全事件，并能对工控网络内的安全威胁进行分析，提供包括行为记录、日志管理、设备管理、安全性分区等多项功能。

nerror="javascript:this.style.opacity = 0;" src="https://nimg.ws.126.net/?url=http%3A%2F%2Fcms-bucket.ws.126.net%2F2022%2F0709%2Fba0bf379j00rercss006bc000dw0071c.jpg&thumbnail=660x2147483647&quality=80&type=jpg" />

▲综合态势大屏数据展示

nerror="javascript:this.style.opacity = 0;" src="https://nimg.ws.126.net/?url=http%3A%2F%2Fcms-bucket.ws.126.net%2F2022%2F0709%2Fa5a97475j00rercss0020c000dw0074c.jpg&thumbnail=660x2147483647&quality=80&type=jpg" />

▲多种方式展示资产详情

nerror="javascript:this.style.opacity = 0;" src="https://nimg.ws.126.net/?url=http%3A%2F%2Fcms-bucket.ws.126.net%2F2022%2F0709%2F3eeb7d72j00rercss002lc000dw006lc.jpg&thumbnail=660x2147483647&quality=80&type=jpg" />

▲可对资产的多种属性进行管理

04.客户价值

通过本方案的实施，能够掌握生活垃圾焚烧发电厂工控系统的信息安全状态，了解生活垃圾焚烧发电厂工控系统面临的信息安全风险，通过逐步规划建设以有效提升电力监控系统的整体信息安全管理水平，达到国家相关部门及行业主管部门对业主的信息安全要求。

满足GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》、《电力监控系统安全防护规定》（国家发改委14号令）、《国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》（国能安全〔2015〕36号）、《国家能源局关于印发电力行业网络与信息安全管理办法的通知》（国能安全〔2014〕317号)和《关于印发<电力行业信息系统安全等级保护基本要求>的通知》（电监信息〔2012〕62号）等国家有关规定，解决风险点，顺利通过相关测评。

该项目已经在环境能源行业作为试点安全建设项目，为今后环境能源项目建设的推广提供了宝贵的经验。同时在全面数字化和智能化的大背景下，六方云亦将继续深耕原创技术创新，为我国的电力行业的高速发展提供有力支持，推动IT和OT融合下的新安全。