北极星热电网讯:我们面临的风险分为物理风险、网络风险和系统风险。 对于物理损坏,首先要做好防盗、防破坏工作,另一方面要保证设备运行环境的安全。 在终端系统层,我们的管理人员更新升级包或病毒包以及热点数据库。 网关防病毒的最佳解决方案是不使用国外设备,而仅使用专用系统进行防护。 从我们综合网络层来说,第一是我们的漏洞扫描,很多都是叫基线验证系统,守住我们自己的底线; 第二点是病毒预防; 第三点是渗透测试和黑客防范,这也是比较重要的。 也就是说,渗透测试是由专业人员进行的。
——内蒙古大唐国际托克托发电有限公司网络信息中心主任梁国琪
为快速适应新形势下的发展要求,准确把握行业发展趋势,引领行业方向,推动新技术、新成果、新产品在智能电站领域的转化应用华北电力大学技术转移转化中心、上海电力大学技术转移中心、中国华电集团有限公司生产技术部、中关村华电能源电力产业联盟等单位联合举办“2020智能2020年9月27-28日,“电厂论坛(第一期)”在上海举行。北极星电力网、北极星电力APP对会议进行了直播。
内蒙古大唐国际托克托发电有限公司网络信息中心主任梁国旗在分论坛一——智能巡检+安全专场中做了题为《电厂网络安全通信》的演讲。
以下为演讲实录:
各位领导、各位同事,大家早上好。 很荣幸在这里见到您。 首先感谢会议组提供了这次相聚的机会,提供了交流学习的平台。
一开始我准备了另一个专题楼宇自控系统网络安全防护,叫做新基建下的智能网络安全交换。 后来我觉得新的基础设施太大了,就把它去掉了,讲了我们工作中遇到的网络安全问题。 我们智慧电厂的过程中,无非就是两个问题。 一是智慧数据建设,二是网络安全建设。 一开始,我们只注重智慧的建设。 近年来,国家提高了网络安全的要求,我们也开始关注。 的。
首先,我来介绍一下我们公司。 拓电公司成立于1995年11月,是中国大唐集团公司所属大唐国际发电有限公司的控股子公司。 管理总装机容量为世界最大在运装机容量。 火力发电企业。
这是我们获得的荣誉。 TOD于2019年启动智慧电厂建设,主要围绕燃煤机组、锅炉优化等,重点研究燃煤发电技术。 我今天来的目的就是想和包括我们在内的各个厂家进行一些交流。
首先我向大家介绍一下我们热电厂的现状。 建设过程中,一开始遵循电力二级保护标准,随后按照能源局36号文件开始建设。 在建设过程中,硬件基本完成了,就是按照这样建设的,实现的就是生产、调度、传输、办公。 然而,当时的建设非常复杂。 可能先分区,分域,最后分区域,出现问题。 现阶段还存在一个不同区域之间的沟通问题,就是我们的生产区和管理区之间的沟通问题。 这个问题非常严重。 还有系统管理的问题。 这是我们在36号能源文件中看到的图。这个图本来不是这样的。 原来划分为生产控制区1,最下面的区域是生产控制区2。右边是管理信息区,后来在36号文件中进行了调整。 当时是因为第一区域和第三区域之间不可能有任何联系。 但在实际建设过程中,大家还是有很多联系的。 上半年对很多新建电厂进行评估的时候,我们发现第一个区域的控制存在问题。 例如NCS涉及到网络调测侧的连接。 国家电网有要求,但涉及到电厂,涉及到大面积的控制。 、三大工程和我们的一些电厂都存在一些问题。 中间的第二个区域什么也没有,只是加了一个正向隔离,传输到管理信息区。 施工过程中,因为有隔离器,稳定与否我们不说。 其次,在施工过程中进行隔离器施工时,很多厂家为了方便,采用直接连接到第三区域的方式。 如果隔离配置不好,数据会丢失很多。 这很常见。 ,不符合我们的要求。
在评估过程中我们会向新制造商提出哪些问题? 这部分比如说我们的三大项目,我们没有设计太多的控制,直接分配给DCS部分,剩下的放在第二区。
以三大项目为例,第一区域的数据直接传输到第三区域。 如果这不满足要求,则将重要的控制部分剪掉,这样就不需要向第三区域传输数据了,返回的数据无非是环保而已。 这些数据放入第二区域后,并不直接传输给第二区域。 基本上就是有一台数据库服务器加上一部分应用服务期,然后这三台服务器通过隔离和防火墙传输到第三区域,这是一种逻辑隔离的方法。
第三点是管理问题。 现在我们电厂在这么长的建设过程中已经产生了大量的影子资产和影子系统。 我们各个部门都有跨部门的,不归信息中心管。 比如人力部会有一个人力资源系统,车辆会有一个物流管理系统,每个生产部门都有一个系统。 这部分根本不知道它的存在,我们在资产建设中也不知道它,但是它有一定的安全影响,因为初期是一个很老的网络架构,怎么说呢? 在做部分测试的时候,这部分框架很容易被利用来进入控制系统或者获取数据库权限。
下面我跟大家分享一下近年来存在的网络安全事件。 首先是委内瑞拉的事件,其实是相当悲惨的。 从去年3月到今年5月,他们已连续遭遇四次袭击。 我比较固执,但是我一直坚持着,凭借自己的能力已经恢复了80%-90%的网络。
南非约翰内斯堡的电力公司遭到勒索攻击,被要求支付20万比特币,但他们没有支付,最后什么也没发生。
经典的就是伊朗的震网病毒,导致伊朗核电公司的离心机直接停止运转,给国家带来的后果就是伊朗核计划被拖延。 后来我把伊朗震网病毒的影响和部署时间、部署金额、攻击伊拉克的美元做了一个详细的病毒。 利用网络形势来破坏一个国家的基础设施,远比动员军队更合适。 因为这个问题,我国认识到这个问题,每年都会进行攻防演习和红蓝测试。 今年的红蓝测试刚刚结束。 与往年相比,是好很多,但也很差。 我们第一周,我们住房城乡建设部、教育部,包括央视直接被淘汰了,包括我们发电行业,华电集团第一周就丢了很多分,大唐自己也丢了一些要点。 虽然很不舒服,但是比往年已经好很多了。
这是来自中国漏洞发布平台的图片,昨晚发布了新的,没来得及更新。 纵轴是漏洞数量,横轴是8月1日到8月31日的值。 从数值上我们可以看出每天漏洞发布的趋势。 从1日到31日,呈增加趋势。 在建设智能电厂的过程中,无非就是这些应用。 其实外部应用的构建应该在下一个论坛讨论,因为我们更关心机器人,而机器人更关心操作系统和上层。 施工问题。
可以看到,这部分是应用程序和WEB应用程序占比很大。 我们在智能电厂方面做得非常好。 我们把所有的机器人,包括系统,包括各种优化都上传了,但是上传之后就被黑了。 这样得不偿失。 2019年我们就开始提出包括智能电厂建设在内的各种项目,我们这边也卡了近三个月。 当我们第一次提出这个计划时,它也是一个非常古老的计划。 按照能源局36号文件的规定,我们建了这座大楼,我们给他挑了各种问题,最后花了三个月的时间才建成。
右侧两张图显示了2019年至2020年全年的错误率和漏洞趋势。该图反映的情况与左侧图相同。
这是 CNERD 的照片。 刚才我们讲了一个月和一年。 这是2013年到2019年,2013年我们挖坑的时候一直持续到2019年,为什么2017年这么高呢? 当时,形势严峻。 当时第一年红蓝对抗测试就开始加强,此时就有了很多发现。
今天在座的很多电厂人员,我们电厂的工作人员会讲一下我们面临的风险。
首先是物理风险,分为物理风险、网络风险和系统风险。
物理风险是指信息网络硬件设备面临的各种安全风险。 其中,损坏被认为是最严重的。 以最近完成的对抗测试为例,损坏时发生了什么? 测试第6天,国家电网公司下属电站内有两人自称是中国网警。 他们连接到下面的一个变电站设备来调查此事。 我亲自送到公安局,发现这是红队派来的特务之间的间隙,所以我把他们抓了起来。 还有雷击、火灾、电磁干扰等。 我们面临什么问题? 传统建设过程中,建成的机房在电磁干扰、防雷方面不合格。 有些电池没有接地。 其次,进入机房时至少要放一个接地测试仪,没有接地测试仪的。 上述自然灾害我们无法防范,但火灾、水灾也必须防范。
网络风险是指信息网络面临的病毒和黑客威胁。 一旦受到攻击,将会对系统中的网络资产造成严重损害。
系统风险是电厂信息网络中存在各种系统,包括OA、绩效、管理系统等。 我们现在的电厂建设的是OA系统。 OA系统使用α9,包括旧框架。 漏洞已经接管了数据库权限。 游说集团要求我们每年进行三次红蓝测试。 像这样的公司是需要去做的,或多或少会发现一些问题。
针对以上三点,我想给大家一些建议。 一、针对物理损坏,首先要做好防盗、防破坏工作。 不能把机房直接放在办公室里。 你需要建造一个专门的计算机房。 好吧,锁起来不让进去就可以了。另一方面是为了保证设备运行环境的安全。 现在机房建设时,就是普通的家用空调。 这种家用空调实际上只是制冷,不制冷。 按照最新标准,它是保证湿度和温度的精密空调。 所有的设备都是在稳定的环境下运行的,因为我们的设备确实是非常脆弱的。 尽管出厂时经过了48小时的测试,但我们测试过它根本无法持久。
我们的终端系统层和服务器都在业务方手里。 客户端主要指办公电脑。 办公室电脑,包括全国各地的几个团体,都有一个发音相同的EDL。 集团统一部署。 有一个问题,很多不允许内外网连接,怎么办? 在智能从服务器中,我们的管理人员会将升级包、病毒包、热点库更新到里面,并要求我们的员工进行更新。 网关防病毒的最佳解决方案是什么? 也不允许使用国外设备,只能使用专用系统进行保护。
从我们综合网络层来看,主要是什么? 现在能源局和国资委要求安装各种网络安全设备。 第一个是我们的漏洞扫描,其中很多被称为基线验证系统。 守住自己的底线,设定我的网络要求,定期检查所有网络系统是否不符合要求,所有产生的日志都用我们的日志审计系统收集。 第二点是病毒的预防。 这也是各个厂家的EDL,没问题。 第三点是渗透测试和黑客防范。 更重要的一点是,渗透测试应该由专业人员来做,信息部门可以自己做。 防范黑客最重要的是防止社会攻击,像伊朗这样的事件不能发生。 ,一个U盘被扔到工厂的墙上,员工发现没问题,就插到系统里,整个系统就瘫痪了。
电厂建设中遇到的老三大问题都可以自己解决。 现在新建的建设都用了可信计算,因为过去的漏洞太多了,除非建设新的系统,否则是不可能解决的。 打个比喻,就是我们体内的白细胞。 人体相当于我们整个发电厂的大系统。 我们互联网上的可信计算相当于我们的细胞。 进入我们身体和系统的事物会进行身份识别和状态测量,并保密。 新冠病毒从外面进来了,我的白细胞可以识别它并杀死它。
五个“守信”是由一位中国科学院院士提出的。 首先,系统结构不能改变。 我们建设了这么久,形成的系统非常稳定。 不可能是因为可信度或外部入侵。 我们的系统架构不可能改变,我们的资源配置也无法篡改。 如果有外部攻击,也无法改变我们的资源配置。 还是以我们最近的红蓝测试为例。 第一天就发现了一起非常严重的虚拟机逃逸事件。 我们部署了一个组件来抓红队,但是虚拟机逃逸事件被发现了,后果就是很多厂商都下线了他们的蜜罐设备。
操作行为的可信性,当我的员工操作我所有的系统时,不能发生攻击行为,那么数据和策略管理必须是可信的,配置不能被改变。
这也是国资委要求的态势感知设备,而且是层层相连的。 我们拓店有自己的态势感知系统,与大唐国际相连。 大唐国际有自己的态势感知系统。 大唐集团对二级单位进行监控,将信息发送至国资委,态势感知系统将对各类安全事件进行分类。 当任何系统出现问题时,都会向上级报警或者自己观看。
然后是管理建议,一些安全管理是按照国际标准制定的。 说实话,信息管理就是三分技术和七分管理。 你不能要求我们的员工熟悉我们所有的网络保护措施,但是这个时候我们该怎么办呢? ? 首先要提高认识,完善系统管理,提高网络安全意识,不做违反我们网络安全规定的事情,不打通内外网,特别是现在通电这样的骨干企业。国家,无法连接到内部或外部网络。 上网,不要拿起U盘随便插,防止发生伊朗这样的事件。
新基建下的部分安全考虑主要是5G、数据中心和智能电厂之间的连接。 这是从百度提炼出来的新基建的概念要求。 以新发展理念为指导,以科技创新为动力,以信息网络为基础。 基于高质量发展需求,提供数字化转型、智能升级、集成创新等基础设施体系。
这就是国家对我们的要求。 信息基础设施建设、融合基础设施建设、创新基础设施建设现在正处于信息基础设施建设阶段。
这是我们的生产设备,和我们现在工厂的主题非常契合。 我们的生产设备,各种生产机器人,巡检机器人,以工业数据总线或者物联网的形式部署各种传感器,将现场的生产关系和生产设备的环境传回给我们,并且然后进行一定量的预测性维护。 我们现在就在做这一部分,这部分基本上都是各个厂家在做。
从生产方面,笔者参考了大数据的方向。 为什么会提到生产中数据中心的建设? 在生产层面,都说大数据的方法要针对性的放在最后,这也是我昨天说的建设数据中心,但是在建设过程中,我们面临的第一个问题是什么? 要解决我们的数据孤岛问题,每个数据部分,首先要做的就是数据治理,形成我们自己的数据资产目录,提供统一的数据资产接口。 这部分工作非常重要。 一旦所有的数据形成了信息中心在自己手里的时候,对外提供服务就非常容易了,而不是像现在这样的孤岛。 也许我需要生产数据。 找出数据后,我会形成一定的图表和关系。 我需要向业务部门询问。 这不可能。
这就是我们的最终目标,就是智能化运营。 根据市场波动情况,国家电网现推送实时股价实时定价。 我们希望在实时投标条件下实时指导我们的生产。 我们需要多少? 投资实现可持续、安全、环境友好的发展。
这些是拓店现在正在做的一些事情。 响应国家号召,推进DCS、NCS、SIS等设备国产化改造。 用我们领导人的话说,就是武装芯片。 以前我们用的是国产Intel和。 芯片,现在我的要求是ARM芯片,在芯片层面使用我们的国产化,一直想用华为的鲲鹏,采用ARM架构,因为华为自身的问题买不到。 以此为契机,实现数据与信息的深度融合,消除信息孤岛,最终体现数据的价值。
我们的责任使命随时代而变,识人者随形势而变。 新时代,智能电厂的网络安全需要我们认真思考。 这是我们的责任,也是我们的思考。
谢谢你们!
“希望志愿者能够到高层写字楼开展消防安全知识普及宣传。” 日前,贵阳市新时代文明实践中心云平台收到市民刘女士发出的“心愿”,组织开展消防安全宣传“绿丝带”志愿服务主题日活动。
近期,汛期出现暴雨雷电、夏季气温升高等极端天气。 对于高层办公楼来说,存在很多安全隐患。 要提高高层办公人员对应急逃生措施的认识,增强各方面的消防安全意识。 刘女士通过云平台发起了愿望。 在“愿望清单”中楼宇消防自控,她说,“希望专业的消防安全志愿者为高层写字楼的工作人员普及消防安全知识,开展逃生演练等活动,增强大家的消防安全意识。”
为了完成这个心愿,6月30日,贵阳市新时代文明实践中心、贵阳市志愿服务总队邀请贵山社区小消防站消防员顾彦伟、云岩区消防救援大队姜瑞红,在贵阳新时代文明实践中心进行示范。 举办“绿丝带”志愿服务主题日。
当日上午,开展“2023消防安全进楼大讲堂”暨“绿丝带”志愿服务活动。 龟山社区微型消防站消防员顾彦伟通过演示和现场互动,从近期火灾案例、常见火灾预防与应对、建筑防火注意事项、广播电视机房安全等方面为观众进行了精彩的讲解维护、消防知识宣传教育等,对公司员工进行了消防安全知识培训。 讲座期间,龟山社区新时代文明实践站还开展了新文明风尚倡导和垃圾分类科普知识宣传。
下午,云岩区消防救援大队消防员江瑞红开展了以“摆脱惯性思维——‘人人都是消防员’”为主题的紧急讲座和演练。 姜瑞红在演讲中用PPT图文讲解和视频演示,从设置影响逃生的防盗窗、锁定安全出口等常见火灾隐患,到检查消除火灾隐患的能力、扑灭初期火灾的能力、组织疏散逃生和消防的能力。 宣传教育能力“预防、破坏、逃生、宣传”等方面讲解消防安全基本知识。 活动期间还进行了消防安全应急演练,通过实物教学演示消防栓的使用方法。
据悉,今年6月是全国第22个“安全生产月”。 通过开展以消防安全进楼为主题的志愿服务活动,向上班族送去安全知识,进一步提高了上班族的安全防范意识和预防火灾事故的能力。 营造人人关注安全生产的浓厚氛围。
陈莉/文陈成李艳群/图
编辑周欢/编辑李峰/发行濮某
