火電廠工業控制系統網絡安全等級保護設計研究

張琴玲,侯正煒,桂 華

（淮浙電力有限責任公司鳳臺發電分公司,安徽 淮南 232131）

0 引言

火力發電作為我國主流的發電類型,是國民經濟發展的重要支撐。火力發電工業控制系統（以下簡稱“工控系統”）對火電廠運行安全至關重要。在兩化融合的大趨勢下,工業控制網絡（以下簡稱“工控網絡”）與辦公網絡的互聯互通是必然趨勢。從火力發電行業普遍性角度來看,工控網絡與辦公網絡的連接基本上僅有一個防火墻,但是不支持OPC等主流工控設備,控制粒度非常粗糙,存在很大的安全隱患。工控網絡基本上不具備發現、防御外部攻擊行為的手段,外部威脅源一旦進入辦公網絡,則可以連接到工控網絡的現場控制層,直接影響工業生產。另一方面,工控網絡內部設備如各類操作站、終端等,大部分采用Windows系統,為保證工業軟件穩定運行無法進行系統升級甚至不能安裝殺毒軟件,存在大量漏洞,在自身安全性不高的情況下運行,工控系統的安全風險不言而喻。

2019年5月13日,網絡安全等級保護制度2.0標準（簡稱“等保2.0”）在原有的基礎上進行了細化、分類和加強,工控系統、云計算、移動互聯網、物聯網、大數據安全被納入管理范疇。等保2.0標準的發布,對加強中國網絡安全保障工作,提升網絡安全保護能力具有重要意義。本文將根據等保2.0的要求,結合火力發電廠工控系統實際情況,對其進行網絡安全等級保護設計。

1 火電廠工控系統網絡安全需求與防護設計的目標

1.1 火電廠工控系統網絡安全需求分析

1.1.1 安全域劃分需求

很多火電廠的工控系統,包括整個網絡結構中沒有相應的安全防護設備,處于不設防狀態,各工控子系統之間沒有相應的隔離設備,不符合安全區域隔離的要求,關鍵服務器采用雙網卡的邏輯隔離方式等同于將工控系統暴露在公網上,十分危險。

1.1.2 生產控制系統與管理信息系統的網絡隔離需求

火電廠生產控制系統與管理信息系統的隔離十分重要,如火電廠廠級監控信息系統SIS（Supervisory Information System）與生產過程控制系統PCS（Production Control System）相連,直接關系整個火電廠的運行調度,二者之間安全隔離才能確保工控系統不會受到來自管理網的安全威脅。

1.1.3 漏洞監控和網絡入侵行為審計需求

電氣、鍋爐汽機、抄表等系統操作站和服務器大多采用Windows操作系統,系統長期不更新導致大量漏洞存在,但相關人員并不掌握。另外,各類操作站的外設管理以及安裝軟件合規性等都需進行安全防護。對于監控服務器、操作站服務器等設備的入侵或異常行為應進行及時監測。

1.1.4 運維行為安全審計防護需求

運維人員在運維時都是直接將運維筆記本接入到現場控制層網絡,如果對運維行為沒有安全審計防護,可能會因為運維中的不當行為造成控制系統停機事故。

1.2 火電廠工控系統安全防護設計的目標

發電廠工控系統安全防護建設的總體目標是參照國內外成熟、先進的方法和模型,根據火電廠工控系統的實際特點和安全需求,全面加強工控系統安全防護力度,切實保障生產經營活動的正常開展。主要實現以下幾個具體目標:

第一,完善工控系統安全風險管理,實現風險管理的機制化運行,相關人員能準確掌握自身工控系統面臨的主要安全風險。

第二,強化生產網和管理網的隔離和訪問控制,防止安全威脅或風險的滲透和轉移。

第三,提升工控系統對入侵和異常行為的檢測和發現能力,實現安全威脅的可知、可查。

第四,提高工控系統安全管理響應效率,實現可視化統一管控。

2 火電廠工控系統網絡安全防護設計的思路與框架

2.1設計思路

在原有的防護基礎上,通過對生產控制大區內部進行邊界區域安全防護、流量監測審計、主機安全防護和安全綜合管理,從而滿足等級保護2.0中“一個中心、三重防護”的核心要求。具體思路是:

第一,邊界區域安全防護,主要對控制大區邊界和各系統間的區域進行隔離防護；

第二,主機安全防護,主要對工控上位機（工程師站、操作員站等）與工控服務器進行安全加固和防護；

第三,流量監測審計,主要結合2015年國家能源局發布的36號文《電力監控系統安全防護總體方案等安全防護方案和評估規范的通知》中入侵檢測和安全審計的要求,對電廠控制大區進行網絡監測審計,對整個操作的行為安全性進行分析和監控；

第四,安全綜合管理,通過對分布式部署的邊界防護產品、監測審計產品的集中管理,以及工控系統日志的搜集和綜合分析,形成快速有效的威脅檢測、分析和處置能力。

2.2 設計框架

設計架構采用“縱向分層、橫向分區”的縱深防御,充分體現了等保2.0“一個中心、三重防御”的思想。“一個中心”指“安全管理中心”,“三重防御”指“安全計算環境、安全區域邊界、安全網絡通信”。同時等保2.0強化可信計算安全技術要求的使用,以實現可信、可控、可管的系統安全互聯、區域邊界安全防護和計算環境安全。火電廠工控系統網絡安全防護設計框架如圖1所示。

圖1 火電廠工控系統網絡安全防護設計框架Figure 1 Design framework for network security protection of industrial control system in thermal power plant

該框架充分參考了國內外相關工控系統安全標準和成熟的安全模型,結合行業工控系統的業務特點和安全需求,同時按照生產優先的原則,并充分考慮了對工控系統、網絡和軟硬件設備的兼容性。整體防護框架的落實需要按照循序漸進的原則逐步予以完善。根據該框架,對火電廠工控系統網絡安全防護建設的建議如下:

第一,開展全面的工控系統安全風險評估,充分了解工控系統中存在的安全風險,明確工控系統安全建設方向和重點。

第二,各類工控系統安全防護建設。首先,開展安全域劃分,明確安全防護重點和要求；其次,在工控系統中部署相應的安全技術防護措施,實現防護目標和效果。

第三,建立配套的安全管理措施。結合工控系統的管理特點和要求,以及國家相關標準規范,以現有運維管理制度和流程為基礎,制定專門的工控系統安全管理制度。

第四,形成網絡安全防護和管理的長效機制。通過專業機構服務和自身的網絡安全管理團隊建設,內外部協同,資源共享,使工控系統實現全方位、多角度、高效率的安全防護。

3 火電廠工控系統網絡安全防護的具體設計

根據等保2.0“一個中心、三重防御”的思想,對某火電廠工控系統進行網絡安全防護加固后的網絡拓撲如圖2所示。

圖2 某火電廠工控系統網絡安全防護加固后的網絡拓撲Figure 2 Network topology of a thermal power plant's industrial control system after network security protection has been strengthened

3.1 安全區域邊界防護設計

3.1.1 安全區域邊界防護要求

（1）控制區與非控制區邊界安全防護

安全區Ⅰ與安全區Ⅱ之間應當采用具有訪問控制功能的網絡設備、安全可靠的硬件防火墻或者相當功能的設備,實現邏輯隔離、報文過濾、訪問控制等功能。

（2）系統間安全防護

發電廠內同屬于安全Ⅰ區的各機組監控系統之間、機組監控系統與控制系統之間、同一機組不同功能的監控系統之間,尤其是機組監控系統與輸變電部分控制系統之間,根據需要可采取一定強度的邏輯訪問控制措施,如防火墻、VLAN等。

3.1.2 安全區域邊界防護目標

實現生產控制系統Ⅰ區到生產控制系統Ⅱ區之間生產和信息數據的安全訪問；實現廠級監控系統到機組DCS之間、主控DCS與輔控DCS之間的數據安全訪問；實現現場不同系統之間的邏輯隔離,例如機組DCS間,避免某一個系統將安全問題引入其他子系統。

3.1.3 安全區域邊界防護的技術實現

通過對火電廠工控系統邊界的定義,在安全區域劃分的基礎上,針對不同安全區域的業務重要性以及區域之間的通信與數據交換需求,部署適當防護強度的邊界防護設備,進行有效的邊界防護。邊界定義:電廠生產控制區到電廠生產非控制區之間；電廠機組DCS（Distributed Control System）、輔控DCS和NCS（Network Control System）等系統之間。

（1）控制區（安全Ⅰ區）和非控制區（安全Ⅱ區）邊界安全防護

第一,工業防火墻防護方式。在安全Ⅰ區和安全Ⅱ區之間部署工業防火墻,如圖3所示。允許安全Ⅰ區只有特定的對象并通過特定的工控協議與安全Ⅱ區進行交互；同時對安全Ⅰ區和安全Ⅱ區之間傳輸的報文內容做深度檢查,識別正常的操作行為并生成白名單,發現其用戶節點的行為不符合白名單中的行為特征時進行阻斷并告警。

第二,網閘防護方式。在安全Ⅰ區和安全Ⅱ區之間部署工業網閘（部署在圖3中的工業防火墻位置）,最大程度保證安全Ⅰ區和安全Ⅱ區之間數據采集和擺渡過程中的安全性。該方式實現了對基于TCP/IP協議體系攻擊的徹底阻斷,保障了工業網絡數據的安全傳輸。

圖3 安全Ⅰ區和安全Ⅱ區邊界防護部署工業防火墻Figure 3 Deploying industrial firewalls for border protection of Security ZoneⅠand Security ZoneⅡ

（2）電廠機組DCS、輔控DCS和NCS等系統之間的邊界安全防護

火電安全Ⅰ區內部邊界安全防護部署如圖4所示。在機組DCS之間、主控DCS與輔控DCS之間等部署工業防火墻,避免工業控制網絡受到未知漏洞威脅,以及避免某一個DCS系統將安全問題引入其他DCS等系統,同時防止誤操作、惡意病毒的傳播及越權訪問等。

圖4 火電安全Ⅰ區內部邊界安全防護部署圖Figure 4 Security protection deployment diagram for the internal boundary of Thermal Power Safety ZoneⅠ

3.2 安全計算環境防護設計

3.2.1 安全計算環境防護要求

發電廠廠級信息監控系統等關鍵應用系統的主服務器,以及網絡邊界處的通信網關機、Web服務器等,應當使用安全加固的操作系統。非控制區的網絡設備與安全設備應當進行身份鑒別、訪問權限控制、會話控制等安全配置加固。生產控制大區中除安全接入區外,應當禁止選用具有無線通信功能的設備。

3.2.2 安全計算環境防護目標

通過部署主機安全防護軟件,基于白名單、完整性保護等技術手段,加強主機的惡意代碼防范能力,避免不同監控軟件如iFix、Rsview、組態王等漏洞被利用的情況發生,并有效阻止蠕蟲等病毒在內網的傳播與破壞。

3.2.3 安全計算環境防護的技術實現

主機防護主要在發電廠生產控制系統如火電廠機組的DCS、輔控DCS以及NCS系統、ECMS等系統的上位機和服務器安裝防護軟件,以白名單的方式監控工控主機的進程、網絡端口和USB端口狀態,全方位地保護主機的資源使用。根據白名單配置,主機防護軟件會禁止非法進程的運行,禁止非法網絡端口的打開與服務,禁止非法USB設備的接入,從而切斷病毒和木馬的傳播與破壞路徑,保證上位機正常指令的順利下發和生產相關業務與進程的正常執行。其特點如下:

第一,白名單控制。可信應用白名單:禁止白名單以外的惡意代碼加載運行,替代殺毒軟件黑名單防范惡意代碼的方式,避免殺毒軟件的誤殺問題；USB安全管理:規范USB設備使用,并防止各種USB作為媒介的攻擊行為。

第二,完整性保護。關鍵配置完整性:對操作系統、工控應用關鍵配置（文件、注冊表、數據庫等）進行保護,防止非可信應用對其進行修改；系統加固:對操作系統、關鍵文件、注冊表項、策略進行安全加固。

第三,應用軟件兼容性。多種機制保障白名單部署,全系統無縫兼容。

3.3 安全通訊網絡防護設計

3.3.1 安全通訊網絡防護要求

第一,入侵檢測。發現隱藏于流經網絡邊界正常信息流中的入侵行為,分析潛在的威脅并進行安全審計。

第二,安全審計。從管理層面提供工控網絡的有效監督,預防、制止數據泄密,滿足對工控網絡行為審計備案及安全保護措施的要求,提供完整的記錄,便于信息追蹤、系統安全管理和風險防范。

第三,惡意代碼防范。及時更新特征碼,查看查殺記錄。

3.3.2 安全通訊網絡防護目標

監測網絡流量中的惡意代碼或漏洞攻擊行為,分析潛在威脅并進行安全預警；通過機器自學習和合理設置安全規則,檢測規則以外的異常數據和非法操作行為并進行記錄和告警,防止誤操作；進行監測審計,生成當前生產網絡的行為日志和運行日志,彌補現有工控系統無安全日志的空白,便于事件追溯和分析。

3.3.3 安全通訊網絡防護的技術實現

在火電廠的安全Ⅱ區核心交換機側部署安全監測審計平臺,以旁路鏡像核心交換機數據端口的方式,對外部入侵行為和內部人員操作行為進行監測審計,如圖5所示。

圖5 火電廠工控系統網絡監測審計部署Figure 5 The deployment of network monitoring and auditing of industrial control systems in thermal power plants

監測審計包含入侵行為檢測特征庫。特征庫包含兩大類:一類覆蓋常見工控網絡的木馬、蠕蟲病毒和滲透攻擊、拒絕服務等信息；另一類是針對電力行業特有環境下的攻擊特征,如利用操作系統、組態軟件、OPC工業協議等漏洞的攻擊。同時,監測審計由于系統集成商、設備供應商、第三方運維服務商等其他外部企業通過互聯網遠程連接電力生產控制大區內的系統或設備進行遠程調試、維護等操作。其具體功能如下:

第一,事前預警。通過裝置的自學習功能,收集和分析深入到協議層級的網絡數據、流量、操作指令及其他網絡信息,檢測發現隱藏于網絡正常信息流中的入侵行為,分析潛在威脅；對工控網絡系統內未知設備接入進行實時告警；對工控系統中流量的流入流出異常情況進行監測和預警。

第二,事中決策。通過流量特征檢測、弱點檢測、流量異常檢測、DDoS分析和混合式攻擊檢測等多重檢測技術,識別出正常網絡行為和異常網絡行為。在有外部攻擊或者內部人員誤操作的時候,通過告警的方式提醒電廠運維人員判斷異常行為是否為攻擊,經判定后確定繼續執行操作或者終止指令。

第三,事后追溯。對已經發生的安全事件進行統計并以報表的方式展現,總結出事件發生的全部過程并將事件還原,經過對事件各個環節的分析,建立有針對性的防護措施,避免類似安全事件的再次發生。

3.4 安全管理中心防護設計

3.4.1 安全管理中心防護要求

實時監測電力監控系統的計算機、網絡及安全設備運行狀態；定期對工控系統的應急響應預案進行演練,必要時對應急響應預案進行修訂。

3.4.2 安全管理中心防護目標

對工控系統內的防護設備統一進行安全管理,即可以統一控制配置管理、部署安全策略和監控通信流量與安全事件,消除安全孤島；通過多種方式來收集設備和業務系統的日志,通過對系統采集到的資產、業務、脆弱性漏洞、威脅、事件等信息進行大數據分析,從整體視角進行安全事件分析、安全攻擊溯源和根因挖掘等。

3.4.3 安全管理中心防護技術實現

安全管理平臺的部署如圖6所示。安全管理平臺基于對網絡中安全產品的集中管理,系統、主機、網絡設備等日志的搜集,以及告警、流量的關聯分析,在降低運維成本的同時形成快速有效的威脅檢測、分析、處置能力。

圖6 火電廠工控系統安全管理平臺部署Figure 6 Deployment of safety management platform for industrial control system in thermal power plants

第一,安全產品統一管理。統一管理和配置工業防火墻、安全監測審計等安全產品,并監測設備的通信流量和安全事件。

第二,信息采集。通過多種方式收集設備和業務系統的日志,例如Syslog,SNMPTrap,FTP和ODBC等。

第三,大數據分析。通過對系統采集到的資產、業務、脆弱性漏洞、威脅、事件等信息進行大數據分析,實現安全事件的關聯分析,協助用戶對不同設備的統一安全策略管理。

第四,應急響應。通過全局分析,進行安全預警,以便針對不同的安全事件快速啟動應急響應策略。

4 結語

本文結合等保2.0具體要求,構建了火電廠工控系統網絡的邊界安全、流量行為安全、主機安全、安全綜合管理為一體的網絡安全防護體系,形成了安全防護的合力,提高了火電廠工控系統網絡抵御內外部攻擊的能力。該系統實現了統一控制配置管理、統一部署安全規則、統一監控通信流量與安全事件,既可以消除安全孤島,又可以從整體視角進行安全事件分析、安全攻擊溯源和根因挖掘。

針對當下信創產業國產化替代,下一步需要從電力監控網絡的內在特性和行業特點出發,從隱患根源著手,研究電力監控系統現場底層和內部量身定制國產化硬件結構及芯片的安全技術,最終實現電力監控系統的穩定運行和安全治理。