今日頭條
官方微信
官方抖音
案例頻道★ 北京珞安科技有限責任公司
1 項目概況
1.1 項目背景
電力是關系國計民生的重要基礎產業,也是關系千家萬戶的公用事業。電力安全可靠供應事關經濟發展、人民生活和社會穩定,保障電力系統安全是國家安全的重要組成部分。現代電力工業具有高度網絡化、系統化、自動化的特征,以網絡、數據庫及計算機自動控制技術為代表的信息處理技術已成為支撐電力生產控制和經營管理不可或缺的基礎要素,保障電力網絡與信息系統安全已成為電力系統安全穩定運行的重要前提。
各國尤其是大國之間,在網絡空間的控制與反控制、滲透與反滲透的斗爭更加激烈,維護網絡空間安全和保障國家重要基礎設施安全已經成為國家戰略的制高點。近年來發生的“震網”和“棱鏡門”事件表明,某些西方大國為維持其全球霸權,一直在利用信息技術的原發優勢,不斷加強對其他國家網絡空間的滲透、控制和破壞,對這些國家的政治、經濟、軍事安全構成了嚴重威脅。我國在網絡空間方面,由于核心技術尚未完全掌握,關鍵設備大多從國外進口,國產水平較低,信息安全基礎薄弱。維護網絡空間安全,保障電力等國家關鍵基礎設施和信息系統的安全,實現信息安全“能控、在控、可控”的任務還非常艱巨。
2017年6月1日起施行的《中華人民共和國網絡安全法》,明確提出了“關鍵信息基礎設施的運行安全”的概念。網絡安全法第五十九條規定,網絡運營者不履行本法第二十一條和第二十五條規定的網絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處一萬元以上十萬元以下罰款;對直接負責的主管人員處五千元以上五萬元以下罰款。關鍵信息基礎設施的運營者不履行本法第三十三條、第三十四條、第三十六條和第三十八條規定的網絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處十萬元以上一百萬元以下罰款;對直接負責的主管人員處一萬元以上十萬元以下罰款。
國家能源局為發改委直屬機構,負責煤炭、石油、天然氣、電力(含核電)、新能源和可再生能源等能源的行業管理,于2015年2月發布了《電力監控系統安全防護總體方案》等安全防護方案和評估規范(國能安全〔2015〕36號)(以下簡稱“安全防護總體方案”)。安全防護總體方案是為了保障電力監控系統的安全,防范黑客及惡意代碼等對電力監控系統的攻擊和侵害,抵御集團式攻擊,防止電力監控系統的崩潰或癱瘓,以及由此造成的電力設備事故或電力安全事故(事件)而制定。安全防護總體方案明確了電力監控系統“安全分區、網絡專用、橫向隔離、縱向認證”的總體防護原則,明確了重點強化邊界防護,加強了內部物理、網絡、主機、應用和數據安全,加強了安全管理制度、機構、人員、系統建設和系統運維的管理,提高了系統整體安全防護能力的要求。
某火電廠依據國家及集團公司電力監控系統相關安全防護要求,結合自身電力監控系統和信息化情況制定了信息安全總體規劃,初步建立了信息安全體系,并取得了初步成效。但隨著電力監控系統信息安全形勢的日益嚴峻,當前安全防護措施及管理手段已不能滿足電力監控系統的信息安全防護需要,國家及行業監管機構對電力監控系統信息安全愈加重視,也要求電力監控系統需要為滿足國家政策、法規及行業標準開展電力監控系統信息安全建設。
1.2 項目簡介
當前該火電廠電力監控系統主機層面需加強安全木馬病毒、惡意代碼及移動存儲介質管控;生產控制系統內需加強工控協議和行為監測以及入侵行為監測;生產控制系統產生的日志需統一做到存儲和監管,對突發異常事件需及時進行告警和事件追溯等,因此火電廠需建立安全防護要求,需重點加強生產控制系統安全運營和全生命周期運維保障。本方案應通過合理的分區分域,構建起火電廠電力監控系統內的網絡安全監測、主機安全防護、安全日志審查和安全運維監管的技術能力。
1.3 項目目標
(1)行業面臨挑戰及主要目標
為保障電力系統安全穩定運行,建立和完善電網、電廠計算機監控系統及調度數據網絡的安全防護體系,國家和行業相關部門先后發布了《電網和電廠計算機監控系統及調度數據網絡安全防護規定》(中華人民共和國國家經濟貿易委員會令第30號)《電力二次系統安全防護規定》(國家電力監管委員會令第5號)《電力監控系統安全防護規定》(中華人民共和國國家發展和改革委員會令第14號)和《電力監控系統安全防護總體方案》(國能安全〔2015〕36號)。
其中《電力監控系統安全防護總體方案》(國能安全〔2015〕36號)作為行業最新的電力系統安全規范文件,以“安全分區、網絡專用、橫向隔離、縱向認證”為原則,提出了省級以上調度中心、地縣級調度中心、發電廠、變電站和配電等的二次系統安全防護方案,綜合采用防火墻、入侵檢測、主機加固、病毒防護、日志審計、統一管理等多種手段,為二次系統的安全穩定運行提供可靠環境。
該火電廠DCS系統安全整體解決方案涉及:網絡流量審計設計、網絡防入侵設計、網絡日志審計設計、安全運維設計、主機安全防護設計、集中管控設計等。通過以上設計,使該火電廠滿足相關要求,并保證該火電廠DCS系統滿足等保測評及安全防護要求。
(2)總體概述
2017年6月,《中華人民共和國網絡安全法》實施,提出實行等級保護制度,明確網絡運營單位應當按照網絡安全等級保護制度的要求,履行安全保護義務,采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改。《中華人民共和國網絡安全法》及GB/T22239-2019《網絡安全等級保護基本要求》等一系列法律及行業規定要求的頒布實施,更進一步凸顯電力系統運營單位開展網絡安全防護工作的重要性、迫切性和必要性。
某電力有限公司作為電力系統的重要組成部分,根據《中華人民共和國網絡安全法》及GB/T22239-2019《網絡安全等級保護基本要求》等要求,將開展針對二期DCS系統(包含#3機組DCS系統、#4機組DCS系統、二期公用DCS系統)網絡安全的防護工作,采取安全防護技術措施,抵御網絡攻擊、網絡入侵等危害網絡安全行為,保障生產系統安全穩定運行。
(3)應用案例
本項目依據《電力監控系統安全防護總體方案》(國能安全〔2015〕36號文)及GB/T22239—2019《信息安全技術網絡安全等級保護基本要求》等標準和法規,結合該火電廠DCS系統網絡安全防護需求,通過技術結合管理的防護手段,進行整體網絡安全防護建設,滿足電力行業、集團等相關要求,并保證該火電廠DCS系統滿足等保測評要求。
依據上述已發布的國家與行業標準規范,設計、建設DCS系統加固信息安全防護體系需從幾方面進行:
·深度檢查:面向應用層對特有的工業通訊協議進行內容深度檢查,告別病毒庫升級缺陷;
·主機加固:安裝了主機加固的電腦在面對自身與外界的安全威脅時有了更深的防護級別,深度執行白名單數據庫的數據運行;
·安全審計:完善的安全審計平臺,對網絡運行日志、操作系統運行日志、安全設施運行日志等進行集中收集與自動分析,及時發現各種違規行為以及病毒和黑客的攻擊行為;
·威脅檢查:部署于網絡邊界的威脅檢測系統能夠快速準確發現入侵監控系統的病毒和惡意代碼,實施清除并報警;
·實時報警:所有部署的工控信息安全產品都能由管理平臺統一進行實時監控,任何非法的(沒有被組態允許的)訪問,都會在管理平臺產生實時報警信息,從而故障問題會在原始發生區域被迅速發現和解決。
(4)建設目標
·提高DCS系統信息安全防護能力
基于電力二期DCS系統網絡安全現狀,在工業控制系統的主機層和網絡層進行安全加固、入侵檢測、安全審計和邊界防護以有效抵御來自工控網絡內部和外部的病毒、入侵、滲透以及違規操作行為對DCS系統造成破壞,防范信息安全事故的發生。
·滿足合規性要求
項目建設滿足能源局36號文中綜合防護的要求,提供網絡內部入侵檢測、主機與網絡設備加固、安全審計和惡意代碼防護的要求,使電力二期DCS系統安全防護措施達到國家監管部門對發電企業的要求。
·項目成果的應用
此項目進一步加強了電力二期DCS系統信息安全的重視程度和實施力度,切實保證了DCS系統免受病毒、惡意代碼等的威脅,保持了系統安全穩定運行的狀態。
2 項目實施
(1)工控網絡審計
在該火電廠DCS系統中部署工控監測審計系統,實現對網絡流量、異常事件、操作行為和數據內容等安全審計,對異常行為進行實時警報,并提供追蹤溯源。
(2)工控入侵監測
在該火電廠DCS系統中部署工控入侵檢測系統,發現網絡中的入侵行為,分析潛在威脅,提供安全報警,協助解決安全威脅。
(3)USB隔離裝置
在工控系統工程師站、操作員站交換機上并聯各部署1臺USB安全隔離裝置,防止病毒、木馬等惡意文件通過USB接口進入系統,同時解決USB移動設備接入工控系統無管控、無記錄等技術需求,從而提高主機的接口安全防護能力。
(4)運維安全審計
選用運維審計系統,分別在各機組DCS系統網絡中部署運維審計系統。通過部署運維審計系統,實現對設備的集中管控,限制設備的遠程登錄地址,對用戶的操作權限以及操作行為進行審計記錄,并提供會話審計和回放功能,同時能夠確保審計記錄不被破壞或非授權訪問。
(5)日志審計
在DCS系統交換機部署日志審計系統。該系統能夠實時將工業控制網絡中網絡設備、安全設備、服務器和數據庫系統的日志信息,進行統一收集、處理和關聯分析,幫助一線管理人員從海量日志中迅速、精準地識別安全事件,及時對安全事件進行追溯或干預,滿足國家標準規范中關于日志審計的相關要求。
(6)主機防護
在工作站、服務器等工業主機上部署主機安全防護系統軟件,實現身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范等功能,同時啟用操作系統自身的安全策略,實現操作系統自身安全性的提升和審計、記錄。
(7)集中管控
通過部署集中安全管理平臺,實現對網絡安全設備的統一安全管控,實現安全設備的狀態監控、審計管理和策略管理等集中管控功能,構筑安全管理中心平臺,提升整體網絡安全防護和運維管控水平。
(8)安全應用模式
通過在火電廠建立日志審計、運維審計、主機防護系統、USB隔離裝置、工控安全審計和入侵檢測,可有效加強電力監控系統安全防護要求,并突出應用價值,產品具備白名單防護功能,滿足行業安全防護特定需求和兼容性。
2.1 應用場景及效果
通過在火電廠DCS系統部署工控安全審計系統,實現對生產系統內工控流量和行為的全程監視,及時發現生產系統內異常的流量和行為。
通過在火電廠DCS系統部署入侵檢測系統,實現對生產系統的網絡安全情況的全程監視,及時發現生產系統內的網絡攻擊和病毒入侵等行為。
通過在火電廠DCS系統部署日志審計,實現生產系統日志統一監控和安全監控,當出現安全威脅時可進行調查取證和威脅追溯。
通過在火電廠DCS系統部署運維安全審計,實現生產系統運維過程的權限分配和過程監控,規范運維操作流程,杜絕人為操作隱患。
DCS系統內的服務器、工程師站和操作員站,需加強惡意代碼防護和移動存儲介質管控。通過主機安全加固和USB安全隔離,滿足主機防護能力,避免主機出現病毒和木馬造成生產系統故障。
通過在火電廠DCS系統部署集中安全管理,實現生產系統內安全設備的集中管控與監視,杜絕安全信息孤島,實現生產系統內網絡安全整體的可視控制與分析。
通過以上安全防護產品可加強火電廠DCS系統的安全防護保障,同時符合火電廠DCS系統應用場景安全需求。
2.2 解決行業痛點及創新能力
通過在火電廠DCS系統內部署工控安全防護產品實現工控協議深度解析和防護,彌補了傳統安全產品協議解析能力,提高了設備穩定性。工控安全產品具備白名單防護功能,有效加強了生產環境檢測防護能力,同時生產環境要求低延遲、低功耗,通過工業級產品可滿足行業需求并解決行業痛點問題,提高了行業新技術水平和技術創新能力。
3 案例亮點及創新性
對于某火電廠DCS系統安全防護項目的建設,其輸出成果具有重要意義和價值:
(1)滿足安全合規要求:本項目滿足《電力監控系統安全防護總體方案》(國能安全〔2015〕36號)及《信息安全技術網絡安全等級保護基本要求》等國家和行業監管要求,結合DCS系統的特點,在基于安全防護框架的指導下開展火電企業工業控制系統安全防護建設。
(2)化繁為簡的安全防護體系:本方案站在火電廠的角度設計安全防護方案,通過一整套基于白名單形式的防護產品組合,基于集中管控平臺作為對工控網絡內全部安全產品進行集中管理,實現全網安全信息的抓手進行可視化展示、安全設備的統一配置等功能,簡化工業控制網絡內信息安全的防護工作流程,提升工控安全防護工作效率。整個防護方案覆蓋工業網絡環境、主機、PLC及DCS工控設備、工控組態軟件等全方位安全的縱深防護體系,覆蓋檢測、防護、響應和審計的全過程,不留安全死角。
(3)高度適配工控系統:方案實施無需改造現有工業網絡,無需頻繁升級工控系統和安全特征庫。安全設備符合工控環境標準,可靠實用。此外,在方案中使用的產品可兼容工控系統廣泛使用的Modbus、DNP3、IEC104、Profinet、OPC等數十種應用通信協議,智能學習各類操作行為和參數,更好地識別攻擊行為。
(4)樹立標桿形成示范:本項目提供的方案設計針對工控系統的技術特點以及企業自身的業務特點,從管理到技術都完整的覆蓋到,很好地滿足了監管以及未來業務發展的需要,并在能源類企業積累了良好的經驗,為其他類似企業起到良好的示范作用。
《自動化博覽》2023年1月刊暨《工業控制系統信息安全專刊(第九輯)》
北京市公安局海淀分局備案號:11010802023656號