2019 中国电力安全与应急管理论坛 - 426 - 可移动式工控安全运维设备的关键技术研究 浙江浙能兰溪发电有限责任公司，胡凯波、於立峰、夏志凌 浙江浙能电力股份有限公司、顾范华 摘 要：近年来，尽管国内发电厂从管理手段和技术手段上对工控系统进行了网络安全防护体系的建设，但是因部 分工控设备以及工控网络的运维必须绕过正常的网络安全防护体系，用笔记本以串口或 U 盘等移动介质摆渡的方式进行 运维，其运维行为无法管控和审计，稍有不慎易引发因计算机病毒导致的网络安全事件。本文开发了一套可移动式的安 全运维设备，并介绍了其原理和关键技术，解决了上述重大难题，实现了发电厂工控系统现场运维的全面管控和审计。 关键词：工控系统；网络安全事件；现场运维；可移动式；管控和审计 近年来，尽管国内发电厂从管理手段和技术手 段上对工控系统进行了网络安全防护体系的建设， 但是因部分工控设备例如未联网的微机保护设备、 励磁调节器、 PLC 等用笔记本以串口或 U 盘等移动介 质摆渡的方式进行运维；同时因按照网络专用的原 则，同一台机组的不同类型工控系统以及不同机组 的同类型均需有单独的网络，这势必导致网络安全 防护设备大量增加，往往因资金投入和工期建设的 原因，无法实现固定式堡垒机和安全审计系统的全 覆盖，在对这些系统也只能绕过正常的网络安全防 护体系，用笔记本以串口或 U 盘等移动介质摆渡的 方式进行运维。上述运维行为无法管控和审计，稍 有不慎易引发像伊朗的震网病毒事件、乌克兰的 BlackEnergy、以及国内大型火力发电厂曾发生的勒 索病毒等因计算机病毒导致的网络安全事件。本文 研究并开发了一套可移动式的安全运维设备，采用 工业笔记本形态的硬件安全防护装置，实现了人员 身份鉴别，运维对象访问控制、权限管理、操作过 程审计、事件回溯、安全数据交换等电力工控系统 现场运维管控所需的完整的安全防护功能体系，具 有安全、简便、可移动的特点，解决了上述重大难 题，实现了发电厂工控系统现场运维的全面管控和 审计。 1.1 工控运维不安全事件分析 2010 年 9 月，伊朗布什尔核电站遭到“震网” 病毒攻击，该病毒通过 U 盘摆渡在供应商电脑和核 电站运维电脑间“交叉感染”，并取得工业电脑的 控制权，导致伊朗 20%的离心机报废，截止目前已经 感染了全球超过 45000 个网络；2014 年上海一燃机 电厂因工控网络故障及处置不当引起两台机全停， 受到了电力行业的通报。2015 年 12 月，乌克兰遭到 BlackEnergy2/3 病毒攻击，该病毒通过工控运维及 电力网络的传播，改写 SCADA 程序和界面并远程控 制拉开断路器，导致 8 万多用户大面积断电。2017 年 WannaCry 和 NotPetya 勒索病毒通过 USB 摆渡、 网络传播，席卷了全球众多大型跨国公司，造成了 数亿美元的损失；同时国内 4*600MW 大型火力某发 电厂的 DCS 和辅控工控系统感染勒索病毒，导致 20 多台电脑重启或蓝屏死机。近些年来， 一种被称为 USB HID 攻击的新型 USB 攻击技术 正在兴起，利用 HID 协议漏洞的攻击技术，通过伪 造用户键盘输入内容，达到操纵计算机的目的。 从上述案例和典型攻击手段可以看出，针对工 控系统的网络攻击具有很强的针对性、长期性、隐