發(fā)電廠分散控制系統(tǒng)安全加固研究與實踐

◆俞愛榮 林賢良 陳金虎

?

發(fā)電廠分散控制系統(tǒng)安全加固研究與實踐

◆俞愛榮1林賢良1陳金虎2

（1.浙江浙能長興天然氣熱電有限公司 浙江 313100；2.西門子電站自動化有限公司 江蘇 211100）

隨著信息技術(shù)的發(fā)展，特別是工業(yè)4.0的提出[1]，工業(yè)化和信息化深度融合，電力行業(yè)的信息安全已成為國家信息安全的重要組成部分。同時國內(nèi)外信息安全形勢日趨嚴峻，針對工業(yè)控制系統(tǒng)展開地有組織、有預謀的網(wǎng)絡(luò)攻擊時有發(fā)生。本文通過對某火力發(fā)電廠分散控制系統(tǒng)防火墻改造項目的分析來討論電力行業(yè)工業(yè)控制系統(tǒng)安全加固工作的開展，為國家關(guān)鍵基礎(chǔ)設(shè)施工業(yè)控制系統(tǒng)信息安全的發(fā)展提供有價值的參考依據(jù)。案例電廠積極應對國內(nèi)電力行業(yè)中工業(yè)控制系統(tǒng)國外產(chǎn)品占絕對比例帶來的安全問題和潛在風險，使國產(chǎn)工業(yè)防火墻技術(shù)真正在工控系統(tǒng)中落地，減少對國外進口設(shè)備的依賴，逐步建立符合中國國情的電廠工業(yè)控制系統(tǒng)安全防護體系。

分散控制系統(tǒng)；安全加固；工業(yè)防火墻

0 引言

在信息技術(shù)和互聯(lián)網(wǎng)高速發(fā)展的21世紀，信息安全正深入各個領(lǐng)域，工業(yè)基礎(chǔ)設(shè)施已成為信息安全的新戰(zhàn)場。工業(yè)控制系統(tǒng)作為國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，直接關(guān)系到國家的戰(zhàn)略安全和政治穩(wěn)定。電力行業(yè)發(fā)展較早，建設(shè)較好，但依然存在機組核心部件及控制系統(tǒng)主要由外國廠商提供和運維的基本現(xiàn)狀。同時近年來，帶有政治色彩并對被攻擊對象造成特別嚴重后果的網(wǎng)絡(luò)攻擊越來越頻繁：2010年“震網(wǎng)” 病毒控制伊朗核電站離心機轉(zhuǎn)速導致離心機損壞；2016年BlackEnergy3惡意軟件感染并控制烏克蘭變電站造成大面積停電。在此大環(huán)境下，國家關(guān)鍵基礎(chǔ)設(shè)施行業(yè)從企業(yè)層面、行業(yè)層面、部門層面、國家層面上研究和實踐工業(yè)控制系統(tǒng)安全運行以推動建立安全防護體系顯得很重要也很迫切。

1 相關(guān)概念

（1）工業(yè)控制系統(tǒng)

工業(yè)控制系統(tǒng)[2]簡稱工控系統(tǒng)，是由各種自動化控制組件以及對實時數(shù)據(jù)進行采集、監(jiān)測的過程控制組件共同構(gòu)成的確保工業(yè)基礎(chǔ)設(shè)施自動化運行、過程控制與監(jiān)控的業(yè)務(wù)流程管控系統(tǒng)。其核心組件包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)、分布式控制系統(tǒng)、可編程控制器、遠程終端、人機交互界面設(shè)備，以及確保各組件通信的接口技術(shù)。

（2）分散控制系統(tǒng)

分散控制系統(tǒng)[3]簡稱DCS (Distributed Control System)，是由過程控制級和過程監(jiān)控級組成的以通信網(wǎng)絡(luò)為紐帶的多計算機系統(tǒng)，綜合了計算機、通信、顯示和控制等4C技術(shù)，其基本思想是分散控制、集中操作、分級管理、配置靈活、組態(tài)方便。

（3）安全模塊S612

S612屬于西門子工業(yè)部SCALANCE S通信產(chǎn)品，用于VPN(Virtual Private Network)通道安全防護。案例電廠基建期安裝此模塊的目的是便于西門子工程師遠程診斷。

（4）工業(yè)防火墻

工控防火墻與傳統(tǒng)防火墻相比，支持Modbus TCP、OPC (OLE for Process Control)、IEC 60870-5-104、IEC 61850、Siemens S7等多種工業(yè)協(xié)議。且工控防火墻具備工控協(xié)議指令級“4S”深度防護技術(shù)和業(yè)務(wù)連續(xù)性保障技術(shù)，支持多種訪問控制規(guī)則、協(xié)議深度分析、VPN、流量控制、安全審計等安全防護功能，具備Dos、ARP(Address Resolution Protocol)攻擊防護和自身訪問控制功能，可有效保障自身和工控網(wǎng)絡(luò)的雙重安全。

2 項目背景

本文對某燃機發(fā)電廠分散控制系統(tǒng)安全加固[4]研究與實踐進行全過程的分析，案例電廠采用西門子SGT5-4000F(4)型燃氣輪發(fā)電機組，分散控制系統(tǒng)采用SPPA-T3000，系統(tǒng)運行物理環(huán)境包括網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備、服務(wù)器、接口機、操作員站、打印機均由機組廠家全套提供。案例電廠分散控制系統(tǒng)由#1機組、#2機組、公用部分、化水部分四個相對獨立的子系統(tǒng)組成。分散控制系統(tǒng)架構(gòu)如圖1所示。

3 安全加固實踐依據(jù)

2016年，案例電廠完成SIS(Supervisory Information System)系統(tǒng)改造后發(fā)現(xiàn)#2機組SIS系統(tǒng)測點頻繁出現(xiàn)斷點故障，經(jīng)信息專業(yè)和儀控專業(yè)逐步排查定位故障節(jié)點#2機組分散控制系統(tǒng)接口機出口處安全模塊S612，安裝位置在工程師站#2機組屏柜。在對S612進行消缺過程中，信息安全專職提出根據(jù)《發(fā)電廠監(jiān)控系統(tǒng)安全防護方案》條款4.1.3系統(tǒng)間安全防護（發(fā)電廠內(nèi)同屬于安全區(qū)I 的各機組監(jiān)控系統(tǒng)之間、機組監(jiān)控系統(tǒng)與控制系統(tǒng)之間、同一機組的不同功能的監(jiān)控系統(tǒng)之間，尤其是機組監(jiān)控系統(tǒng)與輸變電部分控制系統(tǒng)之間，根據(jù)需要可以采取一定強度的邏輯訪問控制措施，如防火墻、VLAN 等）和《工業(yè)控制系統(tǒng)信息安全防護指南》相關(guān)條款要求，建議拆除S612并在單元機組之間部署工業(yè)級防火墻[5]。

圖1 分散控制系統(tǒng)架構(gòu)圖

4 安全加固實現(xiàn)過程

4.1 機組運行方式

案例電廠是以天然氣為發(fā)電原料的調(diào)峰機組，全年利用小時數(shù)比較低，在一年中的大數(shù)時間處于調(diào)停狀態(tài)，且兩臺機組同時上網(wǎng)的概率小，這為安全加固前期調(diào)研、基礎(chǔ)收據(jù)收集、改造方式選擇、改造效果試驗對比提供了相對寬松的外部條件。

4.2 實現(xiàn)保障

案例電廠從社會效益和安全效益兩方面分析本次分散控制系統(tǒng)安全加固的必要性后明確目標和周期，從案例電廠最高層面成立專項工作組，保障安全加固工作的技術(shù)力量和資金投入。

4.3 系統(tǒng)學習

鑒于案例電廠分散控制系統(tǒng)四個子系統(tǒng)之間相對獨立、系統(tǒng)架構(gòu)一致。本章節(jié)所有內(nèi)容以案例電廠#2機組分散控制系統(tǒng)為例來對安全加固實現(xiàn)過程進行詳細地記錄和分析。

案例電廠分散控制系統(tǒng)的硬件設(shè)備和軟件均采用進口產(chǎn)品，相關(guān)專業(yè)自身對系統(tǒng)本身只停留在簡單使用層面。針對硬件升級、補丁更新、漏洞掃描修復、系統(tǒng)查毒殺毒等常規(guī)安全行為不能自行開展；對系統(tǒng)內(nèi)部數(shù)據(jù)包、數(shù)據(jù)流向、通信協(xié)議、通訊端口等數(shù)據(jù)安全不能有效控制，系統(tǒng)涉及的維護、升級、改造都依托設(shè)備和系統(tǒng)廠家。

依據(jù)重要信息系統(tǒng)建設(shè)和改造“三同步”0原則，保證分散控制系統(tǒng)的持續(xù)運行和安全性，必須要求對系統(tǒng)有一個全面深入地認識。案例電廠通過三個方面工作實現(xiàn)對系統(tǒng)的全新認識：

（1）邀請廠家系統(tǒng)工程師、網(wǎng)絡(luò)工程師到現(xiàn)場進行技術(shù)指導，組織專業(yè)對分散控制系統(tǒng)網(wǎng)絡(luò)拓撲、硬件功能、策略配置、軟件運行進行全面學習;

（2）通過電話技術(shù)支持咨詢西門子能源部、發(fā)電部、工業(yè)部工程師，從一個更加廣義的角度尋找工控系統(tǒng)的有效解決方案;

（3）在此基礎(chǔ)上，案例電廠組織技術(shù)骨干模擬機組運行環(huán)境，利用外部條件優(yōu)勢開展不同機組間的橫向?qū)Ρ葴y試和同一機組的縱向?qū)Ρ葴y試。

4.4 設(shè)備部署

通過對現(xiàn)場的實地勘察，工程師站溫度和濕度能夠控制在B級機房標準，機柜空間緊湊，案例電廠選用機架式工業(yè)防火墻，機架式是網(wǎng)絡(luò)安全設(shè)備常見的一種安裝方式，通過螺絲固定在機柜上，設(shè)備使用和維護方便。

案例電廠工業(yè)防火墻部署模式采用重要系統(tǒng)、設(shè)備的隔離與防護[7]。工控防火墻以透明或路由模式部署于控制網(wǎng)絡(luò)與控制設(shè)備之間，實現(xiàn)對重要設(shè)備的安全防護。啟用應用層安全防護策略，通過“四維一體”安全防護技術(shù)以及“白名單”機制，對來自控制網(wǎng)絡(luò)的工控指令“數(shù)據(jù)完整性”、“功能碼”、“地址范圍”和“工藝參數(shù)范圍”進行深度解析和過濾，及時發(fā)現(xiàn)可疑指令和惡意數(shù)據(jù)。啟用網(wǎng)絡(luò)層安全防護策略，對PLC等控制設(shè)備進行訪問控制，只允許有權(quán)限的終端對其進行修改或訪問。同時結(jié)合“工控業(yè)務(wù)連續(xù)性保障方法”技術(shù)在不影響工控業(yè)務(wù)連續(xù)性的基礎(chǔ)上阻斷異常指令、告警可疑操作、隔離威脅數(shù)據(jù)，保障關(guān)鍵設(shè)備運行安全。

4.5 系統(tǒng)原接線和數(shù)據(jù)流

（1）系統(tǒng)接線：SIEMENS OPC接口機電口P2上聯(lián)進口防火墻模塊S612電口P2口，S612電口P1口上聯(lián)交換機模塊X108電口P7口，X108電口P1口上聯(lián)SIS系統(tǒng)。

（2）系統(tǒng)數(shù)據(jù)流：源數(shù)據(jù)由SIEMENS OPC Server經(jīng)SIEMENS OPC Interface、進口防火墻模塊S612、模塊X108、傳統(tǒng)防火墻到達SIS OPC Client。OPC Server到OPC Client之間采用MatrikonOPC Tunneller代替DCOM進行通信，以解決DCOM[8]使用眾多端口和合理配置防火墻困難大的問題。機組DCS原接線和數(shù)據(jù)流如圖2所示。

4.6 系統(tǒng)測試階段接線和數(shù)據(jù)流

（1）系統(tǒng)接線：SIEMENS OPC接口機電口P2上聯(lián)交換機模塊X108電口P7口，X108電口P1口上聯(lián)SIS系統(tǒng)。

圖2 機組DCS原接線和數(shù)據(jù)流圖

（2）系統(tǒng)數(shù)據(jù)流：數(shù)據(jù)源由SIEMENS OPC Server經(jīng)SIEMENS OPC Interface、模塊X108、傳統(tǒng)防火墻到達SIS OPC Client。OPC Server到OPC Client之間采用DCOM進行通信。機組DCS測試階段接線和數(shù)據(jù)流如圖3所示。

4.7 系統(tǒng)加固后接線和數(shù)據(jù)流

（1）SIEMENS OPC Server上聯(lián)交換機模塊X202電口P2口，X202電口P3口上聯(lián)工業(yè)防火墻電口，防火墻電口上聯(lián)SIEMENS OPC接口機電口P2，OPC接口機電口P2上聯(lián)交換機模塊X108電口P7口，X108電口P1口上聯(lián)SIS系統(tǒng)。

（2）數(shù)據(jù)源由SIEMENS OPC Server經(jīng)模塊X202、工業(yè)防火墻、SIEMENS OPC Interface、模塊X108、傳統(tǒng)防火墻到達SIS OPC Client。OPC Server到OPC Client之間采用DCOM進行通信。機組DCS加固后接線和數(shù)據(jù)流如圖4所示。

5 成果

案例電廠積極應對國內(nèi)電力行業(yè)中工業(yè)控制系統(tǒng)國外產(chǎn)品占絕對比例帶來的安全問題和潛在風險，使工業(yè)防火墻技術(shù)真正在工控系統(tǒng)中落地，以點帶面找準定位，從被動防御逐步轉(zhuǎn)化為主動防護，建立并不斷完善電廠工業(yè)控制系統(tǒng)安全防護體系。更重要的是為同情況機組和新建機組工控系統(tǒng)的選型、建設(shè)、安全防護提供了有實際意義的參考。

就案例電廠本次分散控制系統(tǒng)安全加固工作從短期來看，存在一定的技術(shù)困難并且缺乏資金投入，但從長期來看工控系統(tǒng)防火墻國產(chǎn)化和工業(yè)級防護是必然趨勢，同時也為后期的設(shè)備更新、修理、保養(yǎng)、維護及安全性、合規(guī)性帶來優(yōu)勢。

案例電廠通過工業(yè)防火墻的部署，利用其具備的工控協(xié)議指令級“四維一體”深度防護技術(shù)，同時結(jié)合工控業(yè)務(wù)連續(xù)性保障技術(shù)和“白名單”機制，可對工業(yè)控制網(wǎng)絡(luò)“協(xié)議完整性”、“功能碼”、“地址范圍”和“工藝參數(shù)范圍”進行深度解析，在不影響工控業(yè)務(wù)連續(xù)性的基礎(chǔ)上阻斷異常指令、告警可疑操作、隔離威脅數(shù)據(jù)，保障分散控制系統(tǒng)安全、可靠運行[9]。

圖4 機組DCS加固后接線和數(shù)據(jù)流圖

6 結(jié)束語

本次案例電廠的防護體系設(shè)計，在一定程度上規(guī)避了大量的工控網(wǎng)絡(luò)內(nèi)部的非法訪問，有效隔離了分散控制系統(tǒng)不同機組單元之間和與生產(chǎn)區(qū)其他系統(tǒng)之間的訪問，保障了分散控制系統(tǒng)運行的可靠性、穩(wěn)定性及安全性。

然而，工控系統(tǒng)的穩(wěn)定性及安全性，僅僅通過防火墻的安全防護顯然是不夠的，正如傳統(tǒng)網(wǎng)絡(luò)當中防火墻所起的作用一樣，其防護的本質(zhì)還是通過端口、協(xié)議進行識別和防護，一旦病毒或者攻擊通過正常的端口或者使用正常的協(xié)議進行傳播，工控防火墻的防護效果就會被大打折扣，此時需要通過其他防護手段，如主機加固、工業(yè)流量審計等手段進行全方位、立體化、可視化進行統(tǒng)一綜合整治，讓病毒及攻擊無處藏身，因此工控系統(tǒng)如分散控制系統(tǒng)等防護的工作依然任重而道遠。

[1][德]烏爾里?！ど吕?工業(yè)4.0：即將來襲的第四次工業(yè)革命[M].機械工業(yè)出版社，2014.

[2]工業(yè)控制系統(tǒng)基本概念簡述[J].保密科學技術(shù)，2014.

[3]聞躍軍.分散控制系統(tǒng)DCS在電氣控制系統(tǒng)中的應用[J].今日科苑，2008.

[4]唐文.基于縱深防御理念的工業(yè)自動化控制系統(tǒng)信息安全[J].中國儀器儀表，2013.

[5]姬勝凱.協(xié)議安全測試在工業(yè)DCS系統(tǒng)測評中的應用[J].微型機與應用，2017.

[6]中華人民共和國網(wǎng)絡(luò)安全法：附草案說明[M].法律出版社，2016.

[7]鮑金鵬.一種工業(yè)控制系統(tǒng)應用層數(shù)據(jù)安全防護方法[J].現(xiàn)代電子技術(shù)，2016.

[8]蘇岳龍.中國標準化論壇[C]，2015.

[9]李興東.基于OPC技術(shù)的DCS系統(tǒng)數(shù)據(jù)實時集成方法研究[J].科技與創(chuàng)新，2014.