今日頭條
官方微信
官方抖音
案例頻道★ 北京網藤科技有限公司
1 項目概況
1.1 項目背景
電力行業是國家重要的關鍵基礎設施,為商業、工業、制造和住宅客戶提供必要的能源。隨著工業化和信息化的加速融合,電力系統也從相互獨立不與外網連接的管理模式逐漸與互聯網互通互聯。各系統間的互通增加了傳統內部網絡風險發生的幾率,而我國工業網絡安全基礎設施建設落后,國內DCS所使用的CPU和操作系統等軟、硬件依賴進口產品,存在巨大的安全隱患。電力行業是技術密集和資產密集型產業,歷來都是利益團體和黑客攻擊的重點對象。因此,加快關鍵信息基礎設施國產化替代,實現核心技術自主可控,加強行業網絡信息安全建設,提高安全防護意識和能力成為當務之急。
1.2 項目簡介
長期以來,國內電力企業的智能監控系統的大部分軟硬件依賴國外進口。目前自主可控的國產化控制系統技術日趨成熟并逐步落地應用,解決了自動化控制的“卡脖子”難題,隨之安全防護方案中配套的安全產品和技術也處在國產化適配的探索實踐階段。作為典型的關基行業,電力監控系統網絡安全規劃和建設時除應依據GB/T22239-2019《信息安全技術網絡安全等級保護基本要求》外,還要滿足行業內國能安全〔2015〕36號《電力監控系統安全防護總體方案》《電力監控系統安全防護規定》《電力可靠性管理辦法(暫行)》等相關網絡安全要求。
江蘇華電句容發電有限公司建設有2×1000MW高效潔凈超超臨界燃煤發電機組,配套“華電睿藍”智能控制系統,采用國產元器件、國產芯片、國產處理器、國產操作系統、國產數據庫、國產服務器、國產交換機和開源軟件,完成了DEH的設計、組態、調試和投運,并對MEH、ETS、FGD等系統進行了改造,在國內首次實現1000MW超超臨界機組自主可控DCS&DEH一體化控制,并實現火電廠的一體化控制、保護等功能。本項目以江蘇華電句容發電有限公司#1機組DCS系統工業控制系統網絡安全保護建設為主線,借助網絡產品、安全產品、安全服務、管理制度等手段,建立全面的網絡安全防控體系,并以生產控制系統安全為重點,保證業務系統安全運行,從而全面提高生產的工作效率,提升信息化的運用水平。
1.3 項目目標
電力行業是我國重要的戰略性產業,對國民經濟和國家安全有著重要作用。近年來電力工控系統網絡攻擊處于高發態勢,安全風險愈演愈烈。電力行業風險主要包括:(1)外部網絡安全威脅首當其沖;(2)工控系統缺乏內生安全措施,長期處于獨立運行狀態,漏洞等脆弱性風險無法修復;(3)人員安全意識薄弱,移動存儲設備濫用;(4)安全技術滯后于新技術的應用,以及高級持續性威脅虎視眈眈。
通過對江蘇華電句容發電有限公司網絡結構、網絡安全風險分析,針對不同區域間數據通信安全和整體信息化建設要求,本項目建設目標是:
(1)全面識別工業控制網絡系統安全現狀;
(2)建立健全工控現場操作流程及操作規范的管理機制;
(3)實時監控網絡內的異常數據和操作行為及預報預警;
(4)實時保護網絡安全,及時阻止惡意代碼、網絡漏洞等對控制網絡的破壞;
(5)降低通過移動存儲介質的方式拷貝數據遭受攻擊的幾率;
(6)追溯入侵者對工業控制網絡的惡意攻擊與破壞的源頭和路徑;
(7)對生產網絡內安全資產的一體化管理和運行態勢分析。
2 項目實施
2.1 安全防護方案
根據對現有工控系統調研,依據能源局36號文、工信部《工業控制系統信息安全防護指南》《信息安全技術網絡安全等級保護基本要求》等技術標準及指導性文件,根據“一個中心”管理下的“三重保護”體系框架進行設計,結合電廠現有國產化應用能力水平,建立“網絡建設合規、安全防護到位”的防護思想,構建由安全計算環境、安全區域邊界、安全通信網絡和安全管理中心組成的工控系統的整體安全防護建設。建設體系架構如圖1所示。
圖1 建設體系架構圖
2.1.1 安全計算環境
(1)主機安全防護
本項目在生產控制大區各終端主機部署終端安全防護類軟件,實現終端進程的可信管理,如圖2所示。該軟件利用“防疫衛士”功能,優先保障客戶自身軟件正常運行,不被篡改;阻止其他病毒、惡意程序以及與業務無關的軟件運行;提供極高的安全性,且與國產軟硬件兼容性強,目前已成功與飛騰、麒麟、凝思等國產化系統完美兼容并使用。
圖2 工控主機安全衛士
(2)USB存儲介質管控
在生產控制大區工程師站交換機處旁路部署USB安全隔離裝置,解決外部病毒、木馬等威脅源通過USB存儲介質帶入到工控網絡的風險隱患。該防護理念是從病毒入侵的源頭出發,切斷病毒入侵途徑,通過獨立的硬件隔離產品,實現外部數據到工控網絡的數據擺渡,并提供接入工控網絡前的病毒查殺措施。同時,這種安全隔離產品,還提供USB移動存儲介質的全生命周期的安全管控,如圖3所示。
圖3 移動存儲介質管控方案
2.1.2 安全區域邊界
(1)網絡邊界防護
在生產控制大區控制區與非控制區邊界部署邊界隔離設備,提高各區域間訪問控制能力,合理梳理優化邊界設備的安全策略,遵循最小化和白名單原則,只允許業務數據通過邊界,阻斷其他非授權連接,例如來自區域之間的越權訪問、病毒、蠕蟲惡意軟件擴散和入侵攻擊,保護各個區域控制系統安全運行。
(2)邊界入侵檢測
在生產控制大區核心組網交換機處旁路部署入侵檢測系統,實現網絡威脅入侵檢測,及時發現網絡異常情況、蠕蟲、木馬病毒以及APT等惡意程序的傳播狀況,并對僵尸主機監控定位,實現網絡運行狀態的實時監控。在對經過流量的報文進行深入七層實時解析的基礎上,該系統不僅可以做到對惡意代碼、注入攻擊及蠕蟲木馬等威脅的檢測及防護,還可以對應用程序及URL等內容進行深度識別控制,并具備帶寬管控的功能,從而在提供標準攻擊檢測防御的同時實現上網行為管理的功能。
2.1.3 安全通信網絡
(1)日志安全分析
在生產控制大區核心交換機旁路部署日志審計系統。該系統能夠實時將工業控制網絡中網絡設備、安全設備、服務器、數據庫系統的日志信息進行統一收集、處理和關聯分析,幫助一線管理人員從海量日志中迅速、精準地識別安全事件,并及時對安全事件進行追溯或干預。該系統滿足國家標準規范中關于日志審計的相關要求。
(2)工控流量監測
在生產控制大區各子系統交換機旁路部署工控安全審計系統,實現對工控網絡中的網絡流量進行采集、監測和分析,有效識別工控網絡中的安全隱患、惡意攻擊以及違規操作、誤操作、指令異常、參數篡改等安全事件,并通過閾值級的內容檢測,及時發現業務管理的痛點問題。工控安全審計系統采用旁路接入方式,只抓取現場控制系統網絡數據包進行分析處理,不向現場控制系統發送任何命令和數據包,如圖4所示。
圖4 工控流量監測
2.1.4 安全管理中心
(1)安全運維審計
在新建安全管理區核心交換機旁路部署賬號集中管理與審計系統,用以解決工程師在運維過程中的認證授權、用戶準入控制、運維審計等方面的信息安全問題,如圖5所示。
圖5 安全運維審計
(2)安全管理平臺
為滿足集中統一管理的要求,在生產控制大區安全生產Ⅱ區建立安全管理中心,構建電廠安全體系的統一管理平臺,實現對安全設備的集中管控,并將實時分析結果推送到安管中心,為安全運維人員提供技術支撐。同時在安全管理中心部署工控漏洞掃描系統,對工業控制系統快速、精確、高效地進行網絡安全風險合規巡檢,如圖6所示。
圖6 工控安全管理平臺
2.1.5 安全防護
圖7為安全防護示意圖。
圖7 安全防護示意圖
2.2 應用效果
本項目采用主動防御體系及縱深防御思想,創新性地將靜態防御和主動的動態防御相結合,實現句容發電有限公司網絡結構安全和深層防御能力,并滿足合規性要求。
(1)實施后,對網絡攻擊、違規使用等情況,采用深度分析技術對網絡進行不間斷監控,分析來自網絡內部和外部的入侵企圖,并進行報警、響應和防范,有效延伸了網絡安全防御層次,提高了各系統網絡安全事件識別和響應能力;
(2)實施后,提高系統識別各類網絡攻擊行為的能力,并有效應對內部或外部發起的網絡入侵行為;
(3)實施后,利于管理員定期分析各系統日志信息,也利于對安全事件、用戶訪問記錄、系統運行日志、系統運行狀態、網絡存取日志等各類信息進行集中管理分析;
(4)實施后,減輕新能源電站日常IOT資產設備的運維強度和成本,通過集控中心統一安管平臺,快速識別業務系統中的安全風險;提高系統管理人員安全意識,提高現場設備應對外來威脅的防御能力,減少自身脆弱性。
3 案例亮點及創新性
(1)安全產品實現基于國產化硬件平臺的自主可控技術,積極支撐關基領域的國產化替代,為應用國產系統的用戶提供全面、可靠的安全保障。
(2)基于網藤科技多年技術積累以及對火力發電行業的深入理解,結合火力發電行業工藝流程特點,利用自有的行業知識庫研發具有行業特色的“安全保護模型”,并建立“檢測規則”,準確識別電廠生產網絡中的異常流量、異常行為、漏洞利用攻擊、惡意代碼攻擊等入侵行為并實時告警。
(3)創新的工控主機外置病毒查殺機制,從根本上解決了工控主機與防病毒軟件可能存在的兼容性和無法在線升級的問題;依托1200萬+病毒庫及雙引擎查殺能力,有效提高病毒檢測能力,且可實現移動存儲介質的授權管理、安全接入和綜合審計等全流程管理,杜絕移動存儲介質“濫用”的安全隱患。
(4)方案中采用的工控主機安全衛士在“白名單”防護產品基礎功能上,新增加了軟件防疫衛士和病毒專殺工具,且可實現與USB安全隔離裝置的策略聯動,如U盤授權互認;利用主機本體+外設接口一體化防護技術,形成行業內創新的軟件+硬件的終端防護方案,廣泛適配國產化環境,為工控主機的安全保駕護航。
《自動化博覽》2023年1月刊暨《工業控制系統信息安全專刊(第九輯)》
北京市公安局海淀分局備案號:11010802023656號