您好,欢迎访问管廊官网!
【能源人都在看,点击右上角加关注】
北极星火力发电网讯:我们面对的风险,分物理风险、风险和系统风险针对物理破坏,首先做好防盗防破坏工作,另一方面***是保证设备运行**的**终端系统层由我们的管理人员把升级包或者是包、热点库更新防毒的解决不让采用国外设备,只用专用的系统去做防护。
从我们层来,首先***是我们的漏洞扫描,很多叫基线核查系统,守好自己的底线;第二点来说***是防范;第三点***是渗透测试和黑客防范,这个更重要的一点***是渗透测试有专业的人员来做——内蒙古大唐国际托克托发电有限责任公司网信中心主管梁国奇
为快速适应新形势下发展要求,精准把握行业发展趋势,引领行业方向,促进新技术、新成果和新产品在智慧电厂领域的转化应用,华北电力大学技术转移转化中心与上海电力大学技术转移中心、华电集团有限公司生产技术部、中关村华电能源电力产业联盟等单位于2020年9月27-28日在上海联合举办“2020年智慧电厂论坛(期)”。
北极星电力网、北极星电力APP对会议进行全程直播内蒙古大唐国际托克托发电有限责任公司网信中心主管梁国奇在分论坛1——智能巡检+**专场作题为《电厂**交流》的演讲以下为发言实录:各位领导、各位同事大家上午好,非常荣幸在这里跟大家相聚,首先非常感谢会议组能够提供这个机会在一起,提供交流学习的平台。
刚开始我是准备了另一个题目是叫新基建下智慧**交流,后来想新基建这个太大了,***去掉了,***讲讲我们工作中遇到的**问题咱们智慧电厂的过程当中,无非面对两个问题,一个***是智慧数据的建设,一部分是**的建设,刚开始我们只注重智慧建设,***近几年**提**的要求,我们才开始注重的。
首先先介绍一下我们公司,托电公司成立于1995年11月,是大唐集团有限公司所属大唐国际发电股份有限公司旗下的控股子公司,管理总装机容量为6720MW,是世界在役的火力发电企业这是我们获得的荣誉,托电2019年开始了智慧电厂的建设,主要是燃煤机组、锅炉优化方面,煤电技术关键研究。
我**来的目的***是希望与各个厂商包括我们的厂家进行一些交流首先跟大家介绍一下我们火电厂当前的状况,在建设过程中,初期的时候按照电力二次防护标准,后来能源局36号文开始建的,建设过程当中,硬件基本上建成了,***是按那个样子建的,实现的***是生产、调度、传输和办公的东西,但是这个建设当时***非常复杂,可能首先是分区、分域、***后是划成面了,造成的问题。
现阶段情况下,还有不同区域之间沟通的问题,***是我们生产大区和管理大区之间的沟通问题,这个问题非常严重的还有***是系统管理的问题,这个***是我们现在看到的能源第36号文中画的图,这张图原来不是这样的,原来分的时候是生产控制一区,下面是生产控制二区,再往右是管理信息大区,后来发布36号了调整,当时是因为一区和三区之间不能有任何的连接,但是实际建设过程当中,大家还是有很多的连接。
上半年很多新建的电厂去评测的时候,我们***发现一个问题,控制一区,像NCS涉及到网调那边的连接,国网那边有要求,但是到电厂这边,涉及到控制大区,在三大项目和我们一部分电厂那边产生一些问题,从中间二区什么都没有,只是加了一个正像的隔离***传到了管理信息大区,在建设过程当中,因为隔离器这个东西,我们不说它是不是跟稳定,二是建设过程当中隔离器建的时候,很多厂家为了方便,隔离配不好数据会丢失很多,***用直连的方式传到三区,这是很普遍的,也是不符合我们的要求的。
我们评测的时候给新建厂商提出的问题是什么呢?在这个部分说我们三大项目来说,本身不设计太多的控制,直接划在DCS一部分,把剩下的放在二区***拿三大项目来说,***直接把一区的数据传到三区,这样不满足要求,***把重要的控制部分切出去,这样不用往三区传数据,传回来的数据无非是环保之类的数据,放到二区之后,也不是直接传过去,基础上有一个数据库服务器加一部分应用服务期,把这三样服务器再通过一个隔离和防火墙***是逻辑隔离的方式传到三区去。
第三点***是管理的问题,现在我们电厂在这么长建设当中产生了很多影子资产、影子系统,我们各部门有各部门之间的,不在信息中心的手里,说人力部会有人力资源系统,车辆会有后勤管理系统,各个生产部门都有系统,这部分根本不知道它的存在,在我们资产建设中还不知道,但是产生了的**影响,因为初期都是特别老的架构,怎么说呢?在做一部分测试的,这部分框架很容易被利用,进入控制系统或者拿到数据库权限。
给大家分享一下近几年存在的**事件,首先是委内瑞拉的事件,其实挺惨的,他们从去年3月份开始,一直到今年的5月份,连续受到了四次攻击事件,这个**也比较硬气,***是一直挺着,靠自己的本事竟然恢复了80%-90%的。
南非约翰内斯堡的电力公司受到了勒索攻击事件,要求他们付20万的比特币的方式付过去,也没有付,***后***不了了之了很经典的***是伊朗的震网,导致了伊朗核电公司离心机直接停转了,对**造成了后果***是推迟了伊朗的核计划。
后来***拿这个伊朗震网产生的影响和部署所花费的时间和部署金额和美金***伊拉克做了详细的,利用形势去破坏一个**的基础设施,远远比发动军队合适的多,正因为这个问题,我们**认识到这个问题,每年搞攻防演习和红蓝测试。
今年的红蓝测试也是刚刚完事,相比前几年来说好很多,但是也是很差的,在我们个礼拜的时候,我们的住建部、教育部,包括央视直接***被***穿出局了,包括我们的发电行业,周我们华电集团失分***很多,我们大唐本身有一部分失分,是很难受的,但是比前几年已经好很多了。
这个是从漏洞发布平台上的一张图,昨天晚上又发布了新的,没有来得及更新这个竖轴是漏洞数量,横轴是8月1日到8月31日的数值,大家通过数值从每天的漏洞发布趋势来看,从1日到31日是呈递增的方式在智慧电厂建设过程当中,无非***是这些应用程序,其实外部应用的建设,这个应该放在隔壁论坛讲更合适,因为咱们这边涉及更多的是机器人,机器人面临更多的是操作系统和上层建设的问题。
大家看这部分***是应用程序、WEB应用占了很大比例,大家做智慧电厂做得非常好,把所有的机器人,包括系统,包括各种优化都上来了,但是上来之后被人攻破了,这个是得不偿失的,我们2019年开始包括智慧电厂建设的,***开始给我们提各种项目,我们这边也是卡了将近三个月的时间,开始提出来方案的时候,也是一种很老的,根据能源局36号文规定把这个建起来了,我们***给他挑各种问题,***后拖了三个月才建的。
右边这两张图***是出现的一个错误率和从2019到2020年这一整年的漏洞趋势,这个图体现的和左边这张图一样的这个是CNERD的一张图,刚刚咱们讲了一个月的,一年的,这个是从2013年到2019年,2013年搞漏洞挖补的时候,一直到2019年的,2017年为什么特别高呢?当时有一个严峻的形势,当时红蓝对抗测试,年开始加劲了,这个时候发现非常多的。
针对我们**在座的有很多电厂的人员,我们电厂的工作人员说一说我们面对的风险首先是物理风险,分物理风险、风险和系统风险物理风险是指信息硬件设备所面临的各种**风险,其中认为破坏***为严重,也是拿***近完成的对抗测试来说,认为破坏当时发生什么事呢?在测试第6天的时候,我们**电网一个公司下面的电站有两个人自称是网警部队的,接入下面一个变电站设备查这个事,因为**抓得比较严,***怀疑,把这两个人送公安局了,发现这是红对派来的间谍间隙,***把他们抓起来了。
还有***是雷击、火灾、电磁干扰,这其中面临什么问题呢?在传统的建设过程当中,建的机房,电磁干扰防雷都是不合格的,有的电池接地没有,二是进机房的时候,***起码放一个接地测试仪,都没有上面天灾咱们防止不了,但是防火灾和防水灾也要做防护。
风险***是指信息面临的和黑客威胁,一旦受到攻击对系统中资产造成严重损害系统风险***是电厂信息中存在着各种各样的系统,有OA、绩效、管理系统,这些系统是普遍,只要是老电厂,新建的电厂都会存在大部分的漏洞,说很典型的拿我们现在电厂建设***是OA系统,OA系统用的都是α9,包括更老的框架,这些漏洞已经全部公布了,一旦进入一个电厂内网,根本不用找各种新漏洞,直接***可以利用已知漏洞拿下数据库权限,大堂集团要求我们每年做三次红蓝测试,要求托电这样的企业必须要做的,多多少少都会发现一些问题。
针对以上三点,给大家一些建议,一是针对物理破坏,首先做好防盗防破坏工作,不能把机房直接放在办公室里,大家要建一个专门的机房,防盗设备、防水、防火都建得好好的,***是锁起来,不要让它进去另一方面***是保证设备运行**的**,现在也有机房建设的时候,***是普通的家用空调,这种家用空调其实只是降温,降温也是不可以,按照**的标准是精密空调,保证湿度和温度,所有的设备在稳定的**中运行,因为咱们的设备的确是非常脆弱的,别看出厂的时候都是考绩坚持48小时,但是我们测试过根本坚持不了。
我们的终端系统层,服务器都掌握在业务端自己手里,客户端主要是指办公用的计算机,办公用的计算机,包括全国的几个集团有一个同音的EDL,集团统一部署,部署之后还有一个问题,很多不让内外网互联,怎么办呢?智能从服务器当中,由我们的管理人员把升级包或者是包、热点库更新到里面,要求我们的员工更新它。
防毒的解决是什么呢?也不让采用国外设备,只能用专用的系统去做防护从我们层来说,主要是什么呢?现在能源局、国资委要求,上各种**设备,首先***是我们的漏洞扫描,很多叫基线核查系统,守好自己的底线,把我的要求设定进去,定期的检测所有系统是不是符合要求,所产生的所有日志进行收集,有我们的日志审计系统。
第二点来说***是防范,这个也是各个厂商有各个厂商的EDL,这个都可以第三点***是渗透测试和黑客防范,这个更重要的一点***是渗透测试有专业的人员来做,信息部门自己人***可以做,黑客防范***重要的是防范社会攻击,不能发生像伊朗那样的事件,把一个U盘丢到了厂墙里面,员工捡到发现挺好,***往系统里一插,整个系统***瘫痪了。
所有电厂里面建设中遇到老三样问题,自己都能做完的,现在新建设上用到一个可信计算,因为以前的漏洞太多,除非是建新系统,要不然不可能解决做一个比喻***是我们身体内的白细胞,人体***相当于我们整个电厂的大系统,我们上的可信计算***相当于我们的细胞,进入我们人体,进入我们系统的东西做一个身份的识别、状态度量、保密存。
外部进来了,我这个白细胞进行身份识别,***可以把它杀掉五个“可信”是中科院某一个院士提出来的,首先是体系架构不能变,我们建设这么长时间了,我们形成的系统非常的稳定,不能因为建可信或者有外界入侵的时候,把我们的体系架构改变了,这个是不可以的,然后***是我们的资源配置不能够被篡改的,如果说有外界攻击,把我们资源配置改了也是不可以的。
还是拿我们***近的红蓝测试来说,天的时候***发现了一件很严重的虚拟机逃逸事件,大家部署了一个部件去抓红队,但是发现了虚拟机逃逸事件,导致的后果***是很多的厂商都下线了他们的蜜罐设备操作行为的可信,我员工操作我所有系统的时候,不能产生攻击行为,然后***是数据可信和策略管理要可信,要保证配置不能变。
这个也是国资委要求上态势感知设备,而且层层的接进去,我们托电有自己的态势感知系统,接到大唐国际,大唐国际有他的态势感知系统,大唐集团监测二级单位,把信息传给国资委,态势感知系统***把各种**事件分级,产生什么系统的时候***会报警给上级看或者自己看。
然后***是管理建议,根据ISO27000国际标准制定出来的一些**管理,说实话信息管理都是三分技术,七分管理,大家不能要求我们的员工熟悉我们所有的防护措施,但是这种时候怎么办呢?首先提高意识,完善制度管理,提高**意识,不要做一些违反我们**规定的事件,不要把内外网互联,特别是在托电的时候,托电是**的一个关键企业,不能内外网互联,不要把U盘捡回来随便插,防止出现伊朗这样的事件。
对新基建下的一部分的**思考,主要是5G、数据中心和智慧电厂的联系,这是从百度上摘了新基建概念要求,以新发展理念为引领,以技术创新为驱动,以信息为基础,面向高质量发展需要,提供数字转型、智能升级、融合创新等基础设施体系。
这是**对我们的要求,信息基础建设、融合基础建设、创新基础建设,们现在处在的***是信息基础建设阶段这是我们的生产设备,这个和我们现在厂的主题有很好的衔接,我们的生产设备,各种生产机器人、巡游机器人,用工业数据总线或者物联网的方式部署各种传感器,把现场的生产关系、生产设备的一些**给我们传回来,然后进行的预测性维护,这部分我们现在都在做,这部分各个厂商也基本上做的都差多了。
从生产方面,者涉及到大数据方向,在生产当中为什么提到数据中心的建设呢?生产层面说***后要定向大数据方式,也是昨天说的建数据中台,但是在建设过程当中,首先面临的一个什么问题呢?解决我们数据孤岛的问题,各个数据部分,首先要做的数据治理,形成我们企业自己的数据资产目录,提供统一的数据资产接口,这部分的工作非常重要,一旦形成了所有的数据都掌握到信息中心自己手里的时候,再提供给外部服务的时候,***非常的容易,而不是像现在各自为政的。
可能我需要生产数据,找出来数据之后我形成的图表和关系,我要找经营部门去要,这样是不可以的这***是我们的**目标,***是智能化的经营,根据市场的波动,国网现在也在一直推实时的股票式的要实时定价,我们***是要实时竞价情况下,实时指导我们的生产,需要多少投入,实现可持续、**、环保的发展。
这是托电现在做的一些事情,响应**号召,推进DCS、NCS、SIS等设备国产化改造工作,用我们领导的话说***是武装到芯片,以前我们采用的都是国产的英特尔、英伟达造的芯片,现在我的要求***是武装到芯片,从芯片级别上用我们的国产化,也一直想用华为的鲲鹏,那个采用ARM架构的东西,因为华为自身的问题无法采购了。
以这个为契机,实现数据与信息的深度融合,**信息孤岛,***后体现数据的价值我们的职责与使命,明者因时而变,知者随事而制新时代下,智慧电厂**需要我们慎重的思考,这是我们的职责,也是我们的思考谢谢大家!。
(来源:北极星电力网,如需转载请完整转载全文不允许删减)免责声明:以上内容转载自北极星电力网,所发内容不代表本平台立场全国能源信息平台联系:010-65367702,邮箱:hz@people-energy.com.cn,地址:市朝阳区金台西路2号日报社 。
