在“垃圾圍城”日益嚴峻的形勢下，垃圾焚燒發電作為“減量化、無害化、資源化”處置生活垃圾的最佳方式，引起國家高度重視與關注。“十三五”期間，全國城鎮生活垃圾無害化處理設施建設總投資約2518.4億元；2020年城鎮生活垃圾垃圾焚燒處理能力占總無害化處理能力的50%以上。隨著垃圾回收、處理、運輸、綜合利用等各環節技術不斷發展，工藝日益科學先進，垃圾發電方式很有可能會成為最經濟的發電技術之一。

從長遠效益和綜合指標看，垃圾發電將優于傳統的電力生產。同時各種不確定的安全風險也影響著垃圾焚燒發電企業的安全穩定運行，導致安全事故頻發，促使電力企業必須深入了解企業在運行過程中的安全風險因素，完善相應的電網安全管控措施，以促進電力行業的穩固發展。

為此，六方云電力行業安全解決方案落地某垃圾焚燒發電廠，為客戶打造具有針對性的安全防護體系，讓客戶全面掌握了發電廠重要信息系統的信息安全狀態，及時了解現有信息系統面臨的信息安全風險，并通過逐步規劃建設，有效提升了發電廠電力監控系統的整體信息安全管理水平，讓該垃圾焚燒發電廠已經達到國家相關部門及行業主管部門對業主的信息安全要求。

01.現代垃圾焚燒發電廠特點

1. 現代垃圾焚燒發電廠由于有其特殊性，其發電及供電效率比現代火力發電廠低得多。

2. 現代垃圾焚燒發電廠應嚴格符合GWKB322000等標準要求為第一目標，并在技術及經濟可行的條件下，盡量提高熱能利用率。

3. 從化學能轉換為熱能的效率較高，垃圾焚燒發電廠適宜于供熱。

4. 垃圾焚燒發電廠的主要設備有焚燒爐、余熱鍋爐、煙氣凈化系統、發電汽輪機等。

5. 工控系統設備也越來越多的采用通用軟件及通用協議，高度信息化使得工業控制系統更容易受到病毒、木馬等威脅的攻擊。

6.  垃圾焚燒發電廠工控系統的穩定性、實時性、可靠性要求又限制了網絡安全技術的應用，給安全防護帶來了巨大的挑戰，導致垃圾焚燒發電廠工控系統信息安全問題日益突出，工控安全建設成為當務之急。

02.項目需求分析

該垃圾焚化電廠采用了大量的工業控制設備來實現控制的自動化，例如DCS、PLC等，這些系統普遍采用了專用的硬件、操作系統和通訊協議，又存在于較為封閉的網絡環境中，因此往往疏于防護， 存在著諸多的安全隱患。

1.  垃圾焚燒電廠SIS系統和DCS或PLC之間的連接作為過程控制網絡與企業信息網絡的接口部位通常采用OPC通訊，是兩個系統的邊界點，存在遭受來自企業信息層病毒感染的風險。

雖然SIS系統和DCS或PLC之間采用傳統防火墻隔離，部分惡意程序不能直接攻擊到控制網絡，SIS接口機也考慮了雙網卡配置，但對于能夠利用 Windows 系統漏洞的網絡蠕蟲及病毒等，這種配置沒有多大作用，病毒還是會在SIS系統和控制網之間互相傳播。安裝殺毒軟件可以對部分病毒或攻擊有所抑制，但病毒庫存在滯后問題，所以不能從根本上進行防護。

2.  垃圾焚燒電廠具有行業特殊性，同時受環保、電力等上層領導機構監管，且具有一定的集團特性，需要實時上送監控數據至監管機構和集團中心。導致將企業工控系統直接暴露在互聯網，極易遭受來自互聯網側的網絡入侵與破壞。

3.  大多數控制系統的操作站和服務器采用了Windows的操作系統，長期系統不更新導致大量漏洞存在，但相關人員并不掌握，也無嚴格的U盤管控，導致可能通過U盤傳入病毒。黑客可能利用病毒木馬等手段，通過文件擺渡或其他手段進入工控系統，對工控控制器發出惡意指令，導致工控系統宕機或出現嚴重的事故。

4.  如何有效監控業務系統訪問行為和敏感信息傳播，準確掌握網絡系統的安全狀態，及時發現違反安全策略的事件并實時告警、記錄，同時進行安全事件定位分析，事后追查取證，滿足合規性審計要求，是迫切需要解決的問題。

03.解決方案

本項目旨在依靠邊界隔離、主機防護、安全審計、威脅檢測等立體化防護方案加強DCS、SIS控制系統的信息安全，解決物理、網絡、主機、應用、數據等方面的信息安全隱患，為工業控制系統提供整套的信息安全防護解決方案，有效、及時地避免突發病毒感染和惡意入侵，意味著控制系統避免了更多非計劃的生產信息丟失、信息堵塞、節點死機、系統崩潰甚至生產裝置停車導致生產事故等諸多隱患問題，確保生產工藝能夠安全、穩定、高效的運行。

▲本項目工控安全防護示意圖

1、部署工業防火墻，實現電廠SIS系統和DCS區域的微隔離

在SIS系統接口機與DCS系統工程師站之間、DCS系統與電氣側之間、地磅系統與DCS系統之間分別部署工業防火墻，對DCS系統與SIS系統安全域邊界進行安全防護，阻止網絡攻擊在不同區域間滲透，保障關鍵資產和業務的安全。另外基于采用白名單策略防護，工業防火墻阻止了一切不可信的數據和操作行為，最大程度的防范未知威脅。

▲OPC協議深度解析

2、部署工業審計，實時監測來自互聯網側的網絡入侵事件

在C網匯聚交換機旁路部署工業審計系統，實時檢測出針對工業協議的網絡攻擊、誤操作、違規操作、非法IP或非法設備接入以及病毒的傳播并實時報警，幫助客戶及時采取應對措施，減少系統異常風險。平臺能夠詳實記錄一切網絡通信行為，包括指令級的工業控制協議通信記錄，并且提供回溯功能，為工業控制系統的安全事故調查提供堅實的基礎。

▲西門子PLC黑名單規則特征庫

▲工業流量可視

3、部署工業衛士，嚴密防護越來越IT化的上位機感染勒索病毒

在每臺工作站主機安裝終端防護白名單軟件工業衛士，使主機免受病毒等各種非法攻擊，可以有效管控主機的USB等外部端口。針對Windows主機（操作員站、工程師站、服務器），它提供完全適用于工控行業的安全防護，首先為保障關鍵業務的運行，它能建立穩定的運行環境，同時它能有效遏制至今已經爆發的工控病毒（如“震網”、Havex、“勒索”等）及其變種的運行。

▲工業終端白名單

▲操作員站主機加固

▲操作員站終端外設管控

4、部署監管平臺，實現電力工控安全的統一管控，達到可視、可管和可控的效果

部署日志審計系統，實現對安全產品日志的統一采集、分析及主要防護設備的統一運維，形成工控網絡中的安全運營中心，統一維護日常的信息安全防護，對安全事件的應急處置、攻擊行為的發現提供技術支撐。

部署工業監管平臺，實現對工業網絡安全設備統一管理、配置、統一部署安全規則，監測工業網絡的通信流量與安全事件，并能對工控網絡內的安全威脅進行分析，提供包括行為記錄、日志管理、設備管理、安全性分區等多項功能。

▲綜合態勢大屏數據展示

▲多種方式展示資產詳情

▲可對資產的多種屬性進行管理

04.客戶價值

通過本方案的實施，能夠掌握生活垃圾焚燒發電廠工控系統的信息安全狀態，了解生活垃圾焚燒發電廠工控系統面臨的信息安全風險，通過逐步規劃建設以有效提升電力監控系統的整體信息安全管理水平，達到國家相關部門及行業主管部門對業主的信息安全要求。

滿足GB/T 22239-2019《信息安全技術網絡安全等級保護基本要求》、《電力監控系統安全防護規定》（國家發改委14號令）、《國家能源局關于印發電力監控系統安全防護總體方案等安全防護方案和評估規范的通知》（國能安全〔2015〕36號）、《國家能源局關于印發電力行業網絡與信息安全管理辦法的通知》（國能安全〔2014〕317號)和《關于印發<電力行業信息系統安全等級保護基本要求>的通知》（電監信息〔2012〕62號）等國家有關規定，解決風險點，順利通過相關測評。

該項目已經在環境能源行業作為試點安全建設項目，為今后環境能源項目建設的推廣提供了寶貴的經驗。同時在全面數字化和智能化的大背景下，六方云亦將繼續深耕原創技術創新，為我國的電力行業的高速發展提供有力支持，推動IT和OT融合下的新安全。