今日頭條
官方微信
官方抖音
案例頻道★ 北京網(wǎng)藤科技有限公司
1 項(xiàng)目概況
1.1 項(xiàng)目背景
電力行業(yè)是國(guó)家重要的關(guān)鍵基礎(chǔ)設(shè)施,為商業(yè)、工業(yè)、制造和住宅客戶提供必要的能源。隨著工業(yè)化和信息化的加速融合,電力系統(tǒng)也從相互獨(dú)立不與外網(wǎng)連接的管理模式逐漸與互聯(lián)網(wǎng)互通互聯(lián)。各系統(tǒng)間的互通增加了傳統(tǒng)內(nèi)部網(wǎng)絡(luò)風(fēng)險(xiǎn)發(fā)生的幾率,而我國(guó)工業(yè)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)落后,國(guó)內(nèi)DCS所使用的CPU和操作系統(tǒng)等軟、硬件依賴進(jìn)口產(chǎn)品,存在巨大的安全隱患。電力行業(yè)是技術(shù)密集和資產(chǎn)密集型產(chǎn)業(yè),歷來(lái)都是利益團(tuán)體和黑客攻擊的重點(diǎn)對(duì)象。因此,加快關(guān)鍵信息基礎(chǔ)設(shè)施國(guó)產(chǎn)化替代,實(shí)現(xiàn)核心技術(shù)自主可控,加強(qiáng)行業(yè)網(wǎng)絡(luò)信息安全建設(shè),提高安全防護(hù)意識(shí)和能力成為當(dāng)務(wù)之急。
1.2 項(xiàng)目簡(jiǎn)介
長(zhǎng)期以來(lái),國(guó)內(nèi)電力企業(yè)的智能監(jiān)控系統(tǒng)的大部分軟硬件依賴國(guó)外進(jìn)口。目前自主可控的國(guó)產(chǎn)化控制系統(tǒng)技術(shù)日趨成熟并逐步落地應(yīng)用,解決了自動(dòng)化控制的“卡脖子”難題,隨之安全防護(hù)方案中配套的安全產(chǎn)品和技術(shù)也處在國(guó)產(chǎn)化適配的探索實(shí)踐階段。作為典型的關(guān)基行業(yè),電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全規(guī)劃和建設(shè)時(shí)除應(yīng)依據(jù)GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》外,還要滿足行業(yè)內(nèi)國(guó)能安全〔2015〕36號(hào)《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》《電力可靠性管理辦法(暫行)》等相關(guān)網(wǎng)絡(luò)安全要求。
江蘇華電句容發(fā)電有限公司建設(shè)有2×1000MW高效潔凈超超臨界燃煤發(fā)電機(jī)組,配套“華電睿藍(lán)”智能控制系統(tǒng),采用國(guó)產(chǎn)元器件、國(guó)產(chǎn)芯片、國(guó)產(chǎn)處理器、國(guó)產(chǎn)操作系統(tǒng)、國(guó)產(chǎn)數(shù)據(jù)庫(kù)、國(guó)產(chǎn)服務(wù)器、國(guó)產(chǎn)交換機(jī)和開(kāi)源軟件,完成了DEH的設(shè)計(jì)、組態(tài)、調(diào)試和投運(yùn),并對(duì)MEH、ETS、FGD等系統(tǒng)進(jìn)行了改造,在國(guó)內(nèi)首次實(shí)現(xiàn)1000MW超超臨界機(jī)組自主可控DCS&DEH一體化控制,并實(shí)現(xiàn)火電廠的一體化控制、保護(hù)等功能。本項(xiàng)目以江蘇華電句容發(fā)電有限公司#1機(jī)組DCS系統(tǒng)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全保護(hù)建設(shè)為主線,借助網(wǎng)絡(luò)產(chǎn)品、安全產(chǎn)品、安全服務(wù)、管理制度等手段,建立全面的網(wǎng)絡(luò)安全防控體系,并以生產(chǎn)控制系統(tǒng)安全為重點(diǎn),保證業(yè)務(wù)系統(tǒng)安全運(yùn)行,從而全面提高生產(chǎn)的工作效率,提升信息化的運(yùn)用水平。
1.3 項(xiàng)目目標(biāo)
電力行業(yè)是我國(guó)重要的戰(zhàn)略性產(chǎn)業(yè),對(duì)國(guó)民經(jīng)濟(jì)和國(guó)家安全有著重要作用。近年來(lái)電力工控系統(tǒng)網(wǎng)絡(luò)攻擊處于高發(fā)態(tài)勢(shì),安全風(fēng)險(xiǎn)愈演愈烈。電力行業(yè)風(fēng)險(xiǎn)主要包括:(1)外部網(wǎng)絡(luò)安全威脅首當(dāng)其沖;(2)工控系統(tǒng)缺乏內(nèi)生安全措施,長(zhǎng)期處于獨(dú)立運(yùn)行狀態(tài),漏洞等脆弱性風(fēng)險(xiǎn)無(wú)法修復(fù);(3)人員安全意識(shí)薄弱,移動(dòng)存儲(chǔ)設(shè)備濫用;(4)安全技術(shù)滯后于新技術(shù)的應(yīng)用,以及高級(jí)持續(xù)性威脅虎視眈眈。
通過(guò)對(duì)江蘇華電句容發(fā)電有限公司網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析,針對(duì)不同區(qū)域間數(shù)據(jù)通信安全和整體信息化建設(shè)要求,本項(xiàng)目建設(shè)目標(biāo)是:
(1)全面識(shí)別工業(yè)控制網(wǎng)絡(luò)系統(tǒng)安全現(xiàn)狀;
(2)建立健全工控現(xiàn)場(chǎng)操作流程及操作規(guī)范的管理機(jī)制;
(3)實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)內(nèi)的異常數(shù)據(jù)和操作行為及預(yù)報(bào)預(yù)警;
(4)實(shí)時(shí)保護(hù)網(wǎng)絡(luò)安全,及時(shí)阻止惡意代碼、網(wǎng)絡(luò)漏洞等對(duì)控制網(wǎng)絡(luò)的破壞;
(5)降低通過(guò)移動(dòng)存儲(chǔ)介質(zhì)的方式拷貝數(shù)據(jù)遭受攻擊的幾率;
(6)追溯入侵者對(duì)工業(yè)控制網(wǎng)絡(luò)的惡意攻擊與破壞的源頭和路徑;
(7)對(duì)生產(chǎn)網(wǎng)絡(luò)內(nèi)安全資產(chǎn)的一體化管理和運(yùn)行態(tài)勢(shì)分析。
2 項(xiàng)目實(shí)施
2.1 安全防護(hù)方案
根據(jù)對(duì)現(xiàn)有工控系統(tǒng)調(diào)研,依據(jù)能源局36號(hào)文、工信部《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn)及指導(dǎo)性文件,根據(jù)“一個(gè)中心”管理下的“三重保護(hù)”體系框架進(jìn)行設(shè)計(jì),結(jié)合電廠現(xiàn)有國(guó)產(chǎn)化應(yīng)用能力水平,建立“網(wǎng)絡(luò)建設(shè)合規(guī)、安全防護(hù)到位”的防護(hù)思想,構(gòu)建由安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心組成的工控系統(tǒng)的整體安全防護(hù)建設(shè)。建設(shè)體系架構(gòu)如圖1所示。
圖1 建設(shè)體系架構(gòu)圖
2.1.1 安全計(jì)算環(huán)境
(1)主機(jī)安全防護(hù)
本項(xiàng)目在生產(chǎn)控制大區(qū)各終端主機(jī)部署終端安全防護(hù)類軟件,實(shí)現(xiàn)終端進(jìn)程的可信管理,如圖2所示。該軟件利用“防疫衛(wèi)士”功能,優(yōu)先保障客戶自身軟件正常運(yùn)行,不被篡改;阻止其他病毒、惡意程序以及與業(yè)務(wù)無(wú)關(guān)的軟件運(yùn)行;提供極高的安全性,且與國(guó)產(chǎn)軟硬件兼容性強(qiáng),目前已成功與飛騰、麒麟、凝思等國(guó)產(chǎn)化系統(tǒng)完美兼容并使用。
圖2 工控主機(jī)安全衛(wèi)士
(2)USB存儲(chǔ)介質(zhì)管控
在生產(chǎn)控制大區(qū)工程師站交換機(jī)處旁路部署USB安全隔離裝置,解決外部病毒、木馬等威脅源通過(guò)USB存儲(chǔ)介質(zhì)帶入到工控網(wǎng)絡(luò)的風(fēng)險(xiǎn)隱患。該防護(hù)理念是從病毒入侵的源頭出發(fā),切斷病毒入侵途徑,通過(guò)獨(dú)立的硬件隔離產(chǎn)品,實(shí)現(xiàn)外部數(shù)據(jù)到工控網(wǎng)絡(luò)的數(shù)據(jù)擺渡,并提供接入工控網(wǎng)絡(luò)前的病毒查殺措施。同時(shí),這種安全隔離產(chǎn)品,還提供USB移動(dòng)存儲(chǔ)介質(zhì)的全生命周期的安全管控,如圖3所示。
圖3 移動(dòng)存儲(chǔ)介質(zhì)管控方案
2.1.2 安全區(qū)域邊界
(1)網(wǎng)絡(luò)邊界防護(hù)
在生產(chǎn)控制大區(qū)控制區(qū)與非控制區(qū)邊界部署邊界隔離設(shè)備,提高各區(qū)域間訪問(wèn)控制能力,合理梳理優(yōu)化邊界設(shè)備的安全策略,遵循最小化和白名單原則,只允許業(yè)務(wù)數(shù)據(jù)通過(guò)邊界,阻斷其他非授權(quán)連接,例如來(lái)自區(qū)域之間的越權(quán)訪問(wèn)、病毒、蠕蟲(chóng)惡意軟件擴(kuò)散和入侵攻擊,保護(hù)各個(gè)區(qū)域控制系統(tǒng)安全運(yùn)行。
(2)邊界入侵檢測(cè)
在生產(chǎn)控制大區(qū)核心組網(wǎng)交換機(jī)處旁路部署入侵檢測(cè)系統(tǒng),實(shí)現(xiàn)網(wǎng)絡(luò)威脅入侵檢測(cè),及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)異常情況、蠕蟲(chóng)、木馬病毒以及APT等惡意程序的傳播狀況,并對(duì)僵尸主機(jī)監(jiān)控定位,實(shí)現(xiàn)網(wǎng)絡(luò)運(yùn)行狀態(tài)的實(shí)時(shí)監(jiān)控。在對(duì)經(jīng)過(guò)流量的報(bào)文進(jìn)行深入七層實(shí)時(shí)解析的基礎(chǔ)上,該系統(tǒng)不僅可以做到對(duì)惡意代碼、注入攻擊及蠕蟲(chóng)木馬等威脅的檢測(cè)及防護(hù),還可以對(duì)應(yīng)用程序及URL等內(nèi)容進(jìn)行深度識(shí)別控制,并具備帶寬管控的功能,從而在提供標(biāo)準(zhǔn)攻擊檢測(cè)防御的同時(shí)實(shí)現(xiàn)上網(wǎng)行為管理的功能。
2.1.3 安全通信網(wǎng)絡(luò)
(1)日志安全分析
在生產(chǎn)控制大區(qū)核心交換機(jī)旁路部署日志審計(jì)系統(tǒng)。該系統(tǒng)能夠?qū)崟r(shí)將工業(yè)控制網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、數(shù)據(jù)庫(kù)系統(tǒng)的日志信息進(jìn)行統(tǒng)一收集、處理和關(guān)聯(lián)分析,幫助一線管理人員從海量日志中迅速、精準(zhǔn)地識(shí)別安全事件,并及時(shí)對(duì)安全事件進(jìn)行追溯或干預(yù)。該系統(tǒng)滿足國(guó)家標(biāo)準(zhǔn)規(guī)范中關(guān)于日志審計(jì)的相關(guān)要求。
(2)工控流量監(jiān)測(cè)
在生產(chǎn)控制大區(qū)各子系統(tǒng)交換機(jī)旁路部署工控安全審計(jì)系統(tǒng),實(shí)現(xiàn)對(duì)工控網(wǎng)絡(luò)中的網(wǎng)絡(luò)流量進(jìn)行采集、監(jiān)測(cè)和分析,有效識(shí)別工控網(wǎng)絡(luò)中的安全隱患、惡意攻擊以及違規(guī)操作、誤操作、指令異常、參數(shù)篡改等安全事件,并通過(guò)閾值級(jí)的內(nèi)容檢測(cè),及時(shí)發(fā)現(xiàn)業(yè)務(wù)管理的痛點(diǎn)問(wèn)題。工控安全審計(jì)系統(tǒng)采用旁路接入方式,只抓取現(xiàn)場(chǎng)控制系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析處理,不向現(xiàn)場(chǎng)控制系統(tǒng)發(fā)送任何命令和數(shù)據(jù)包,如圖4所示。
圖4 工控流量監(jiān)測(cè)
2.1.4 安全管理中心
(1)安全運(yùn)維審計(jì)
在新建安全管理區(qū)核心交換機(jī)旁路部署賬號(hào)集中管理與審計(jì)系統(tǒng),用以解決工程師在運(yùn)維過(guò)程中的認(rèn)證授權(quán)、用戶準(zhǔn)入控制、運(yùn)維審計(jì)等方面的信息安全問(wèn)題,如圖5所示。
圖5 安全運(yùn)維審計(jì)
(2)安全管理平臺(tái)
為滿足集中統(tǒng)一管理的要求,在生產(chǎn)控制大區(qū)安全生產(chǎn)Ⅱ區(qū)建立安全管理中心,構(gòu)建電廠安全體系的統(tǒng)一管理平臺(tái),實(shí)現(xiàn)對(duì)安全設(shè)備的集中管控,并將實(shí)時(shí)分析結(jié)果推送到安管中心,為安全運(yùn)維人員提供技術(shù)支撐。同時(shí)在安全管理中心部署工控漏洞掃描系統(tǒng),對(duì)工業(yè)控制系統(tǒng)快速、精確、高效地進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)合規(guī)巡檢,如圖6所示。
圖6 工控安全管理平臺(tái)
2.1.5 安全防護(hù)
圖7為安全防護(hù)示意圖。
圖7 安全防護(hù)示意圖
2.2 應(yīng)用效果
本項(xiàng)目采用主動(dòng)防御體系及縱深防御思想,創(chuàng)新性地將靜態(tài)防御和主動(dòng)的動(dòng)態(tài)防御相結(jié)合,實(shí)現(xiàn)句容發(fā)電有限公司網(wǎng)絡(luò)結(jié)構(gòu)安全和深層防御能力,并滿足合規(guī)性要求。
(1)實(shí)施后,對(duì)網(wǎng)絡(luò)攻擊、違規(guī)使用等情況,采用深度分析技術(shù)對(duì)網(wǎng)絡(luò)進(jìn)行不間斷監(jiān)控,分析來(lái)自網(wǎng)絡(luò)內(nèi)部和外部的入侵企圖,并進(jìn)行報(bào)警、響應(yīng)和防范,有效延伸了網(wǎng)絡(luò)安全防御層次,提高了各系統(tǒng)網(wǎng)絡(luò)安全事件識(shí)別和響應(yīng)能力;
(2)實(shí)施后,提高系統(tǒng)識(shí)別各類網(wǎng)絡(luò)攻擊行為的能力,并有效應(yīng)對(duì)內(nèi)部或外部發(fā)起的網(wǎng)絡(luò)入侵行為;
(3)實(shí)施后,利于管理員定期分析各系統(tǒng)日志信息,也利于對(duì)安全事件、用戶訪問(wèn)記錄、系統(tǒng)運(yùn)行日志、系統(tǒng)運(yùn)行狀態(tài)、網(wǎng)絡(luò)存取日志等各類信息進(jìn)行集中管理分析;
(4)實(shí)施后,減輕新能源電站日常IOT資產(chǎn)設(shè)備的運(yùn)維強(qiáng)度和成本,通過(guò)集控中心統(tǒng)一安管平臺(tái),快速識(shí)別業(yè)務(wù)系統(tǒng)中的安全風(fēng)險(xiǎn);提高系統(tǒng)管理人員安全意識(shí),提高現(xiàn)場(chǎng)設(shè)備應(yīng)對(duì)外來(lái)威脅的防御能力,減少自身脆弱性。
3 案例亮點(diǎn)及創(chuàng)新性
(1)安全產(chǎn)品實(shí)現(xiàn)基于國(guó)產(chǎn)化硬件平臺(tái)的自主可控技術(shù),積極支撐關(guān)基領(lǐng)域的國(guó)產(chǎn)化替代,為應(yīng)用國(guó)產(chǎn)系統(tǒng)的用戶提供全面、可靠的安全保障。
(2)基于網(wǎng)藤科技多年技術(shù)積累以及對(duì)火力發(fā)電行業(yè)的深入理解,結(jié)合火力發(fā)電行業(yè)工藝流程特點(diǎn),利用自有的行業(yè)知識(shí)庫(kù)研發(fā)具有行業(yè)特色的“安全保護(hù)模型”,并建立“檢測(cè)規(guī)則”,準(zhǔn)確識(shí)別電廠生產(chǎn)網(wǎng)絡(luò)中的異常流量、異常行為、漏洞利用攻擊、惡意代碼攻擊等入侵行為并實(shí)時(shí)告警。
(3)創(chuàng)新的工控主機(jī)外置病毒查殺機(jī)制,從根本上解決了工控主機(jī)與防病毒軟件可能存在的兼容性和無(wú)法在線升級(jí)的問(wèn)題;依托1200萬(wàn)+病毒庫(kù)及雙引擎查殺能力,有效提高病毒檢測(cè)能力,且可實(shí)現(xiàn)移動(dòng)存儲(chǔ)介質(zhì)的授權(quán)管理、安全接入和綜合審計(jì)等全流程管理,杜絕移動(dòng)存儲(chǔ)介質(zhì)“濫用”的安全隱患。
(4)方案中采用的工控主機(jī)安全衛(wèi)士在“白名單”防護(hù)產(chǎn)品基礎(chǔ)功能上,新增加了軟件防疫衛(wèi)士和病毒專殺工具,且可實(shí)現(xiàn)與USB安全隔離裝置的策略聯(lián)動(dòng),如U盤授權(quán)互認(rèn);利用主機(jī)本體+外設(shè)接口一體化防護(hù)技術(shù),形成行業(yè)內(nèi)創(chuàng)新的軟件+硬件的終端防護(hù)方案,廣泛適配國(guó)產(chǎn)化環(huán)境,為工控主機(jī)的安全保駕護(hù)航。
《自動(dòng)化博覽》2023年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊(第九輯)》
北京市公安局海淀分局備案號(hào):11010802023656號(hào)