今日頭條
官方微信
官方抖音
案例頻道★ 周盛杭州和利時自動化有限公司
★ 呂世民寧波和利時信息安全研究院有限公司
★ 田志宏廣州大學網絡空間安全學院
1 項目概況
1.1 項目背景
國能神福(石獅)發電有限公司2×1050MW機組是國內技術水平領先的百萬千瓦級超超臨界發電機組,是福建省“十一五”能源發展專項規劃和電力發展規劃確定的優化發展煤電和熱電聯產大型電源點,是“神華電站數字化建設解決方案”的標桿項目。該廠采用和利時公司HOLLiAS-MACS大型分布式控制系統,實現了DCS和DEH在百萬千瓦級機組的一體化應用,實現了全廠智能儀表的現場總線互聯互通,在國內大型電廠具有典型代表意義。但由于機組在初始建設時未考慮完善網絡安全設計,未部署其他網絡安全系統及設備,不能滿足國家網絡安全和電網公司二次防護要求。因此,需要加強機組的網絡安全防護建設,滿足等保合規等需求。
1.2 項目簡介
國能神福(石獅)發電有限公司2×1050MW機組安全防護項目基于國能神福(石獅)發電有限公司2×1050MW機組,實現基于可信計算3.0技術的安全防護方案在火電超超臨界百萬千瓦機組DCS的應用。該項目致力于突破工控系統的安全保護關鍵技術,構建系統可信環境,設計一體化主動防御體系,研發關鍵內生安全工控系統和工控安全防護產品,并應用在鴻山電廠百萬千瓦機組國產DCS系統安全防護中。
本項目按照“需求分析-研究開發-設計實施-系統運行-安全服務”的階段開展研究工作,通過分析工控系統面臨的安全風險及安全需求,圍繞“識別—保護—檢測—響應”防護閉環,研究工控系統可信環境構建機制、業務和安全相融合的檢測審計和訪問控制等技術,在此基礎上實現基于可信計算技術、實時保障控制行為安全和業務流程作業安全的主動防御安全產品和控制系統。基于等保2.0三級要求構建縱深防御體系并在百萬千瓦機組國產DCS系統中實施,并進行持續的安全運行、管理和維護。
1.3 項目目標
為解決電力行業內工業安全防護的難題,同時解決神華福能發電有限責任公司現有安全防護能力不足的問題,建設基于可信計算環境的網絡安全系統及機制,本項目進行基于可信計算的百萬機組國產DCS系統信息安全技術研究,并對神華福能發電有限責任公司現有DCS網絡結構進行相關調整優化,部署網絡安全監控管理設備,使其全面滿足GB/T22239-2019《信息安全技術網絡安全等級保護基本要求》等規范的要求。
2 項目實施
2.1 技術路線
本項目技術路線以常規防護如邊界防護、入侵檢測、安全審計等外圍防護為基礎,結合基于可信計算的主動防護技術,構建內生安全的縱深綜合防護體系。將可信計算、數字證書體系、強制訪問控制、深度協議解析、業務行為審計等安全技術融入工業控制系統,并結合終端防護和核心控制器防護為工業控制系統運行提供安全保障。項目安全防護建設整體技術路線如圖1所示。
圖1 項目安全防護建設整體技術路線
2.2 防護方案
安全防護方案遵循GB/T25070-2019《網絡安全等級保護安全設計技術要求》,以設計要求中提出的工業控制系統保護安全技術設計框架為基礎,設計滿足工業控制系統等級保護安全,構建在安全管理中心支持下的計算環境、區域邊界、通信網絡三重防御體系,從邊界防護、終端防護、檢測審計、安全管理等角度實現全面的IoT安全防護。
(1)邊界防護
對控制系統之間進行信息傳輸實施安全策略,包括合理的網絡架構和分區、通信傳輸時的訪問控制和數據安全等,通過安全可信工業防火墻和安全可信工業安全隔離與信息交換系統進行網絡邊界的防護。
其中,工業防火墻主要在控制網絡內部進行分區分域安全管理與訪問控制,基于邏輯隔離技術,通過包過濾、訪問控制等一系列措施,在實現隔離防護的同時,可滿足不同安全區域之間的網絡訪問需求,有效防止不同安全區內的威脅蔓延;工業安全隔離與信息交換系統主要實現內部網絡與外部網絡,即DCS控制網絡和SIS網絡之間的隔離和安全數據交換,有效防止管理網內的網絡威脅蔓延到生產監控網內,滿足合規要求。
(2)終端防護
核心控制系統采用安全可信DCS,內部集成信息安全功能,支持與組態上位機的加密通信,同時協議棧經過優化后具備對DDoS攻擊、畸形報文攻擊和非法報文攻擊的網絡自抵御能力;控制系統采用可信計算3.0雙體系架構,支持全生命周期動靜態可信度量,能夠實現對內核中可能存在的惡意代碼的加載和啟動度量,以及對系統實時運行過程中的系統和業務行為的度量,有效抑制內嵌惡意代碼和代碼篡改的風險。
控制系統上位機加裝基于可信計算和主機白名單的可信終端防護系統實現終端的病毒和安全防護,進行主機加固。系統通過可信度量、白名單防護、訪問控制、外設管控、漏洞防御、網絡防護、資產管理、集中管理、資源監控、告警與安全審計等功能,提供對主機終端的有效保護,全面滿足標準規范要求。
(3)檢測審計
在控制系統關鍵交換機旁路部署安全可信工業網絡檢測審計系統,對網絡流量進行采集和分析,對通信報文進行深度解析,能夠實時檢測針對工業協議的網絡攻擊、用戶誤操作、用戶違規操作及非法設備接入并實時報警;同時詳實記錄一切網絡通信行為,滿足網絡流量安全檢測預警和審計要求;此外,可有效檢測網絡威脅和入侵行為,針對檢測到的威脅和入侵行為進行記錄和告警,滿足合規和網絡邊界防范要求。
通過部署安全可信工業日志審計系統,實時收集電廠中的安全設備、網絡設備、主機設備的日志、警報等信息,支持收集、存儲、查詢、統計分析和關聯分析等功能,實現全網綜合安全審計;實時地對采集到的不同類型的日志和事件信息進行標準化(歸一化)和實時關聯分析,并通過儀表板進行實時動態、可視化呈現。
(4)安全管理
建設統一的工業安全可信管理平臺,對各類IT和OT設備數據(工業網絡中各類上位機服務器、工控終端、網絡交換設備、工控安全設備)進行采集,含網絡流量數據采集、設備日志采集、安全設備事件收集和安全設備配置采集,并進行設備狀態監控、統一管理和配置、安全可信策略統一部署及安全事件的集中展示,依賴于工控知識庫的安全響應與處置,發現工控網絡內部的異常行為,平臺對各類數據和時間進行統一分析與展示,如圖2所示。
圖2 機組安全防護部署典型圖
2.3 應用效果
本項目針對國內大型火電機組DCS控制系統面臨的網絡安全問題,采用基于可信計算3.0技術的主動安全防護方案,形成以控制系統內生安全為核心,配合邊界安全措施,滿足等級保護三級要求的信息安全防護體系。安全防護技術與電廠控制業務深度融合,和控制系統深度兼容,形成對控制邏輯和控制網絡數據有效監管和防護的一體化監測方案,助力電廠業務安全穩定運行。該方案實現安全可信主動防護體系在超超臨界1000MW火電機組的應用突破,具有技術創新性和很好的推廣價值。
3 案例亮點及創新性
3.1 方案創新性
本項目方案結合基于可信計算的主動防護與邊界防護構成內外貫穿的綜合防護體系,在滿足網絡安全等級保護2.0標準的同時,最大化提升工業控制系統的網絡安全防護能力,具備良好的技術創新和應用示范效應。
(1)基于可信計算的自主免疫內生安全體系
針對火電百萬機組DCS系統安全防護,本方案全面應用了可信計算技術體系,打破了傳統以邊界防護為主體的網絡安全防護理念,構建了基于控制系統本身的內生主動防護體系。
在傳統信息防護手段基礎上,本方案設計并應用了適用于工業控制場景的可信計算技術,通過控制系統可信計算體系,增強控制系統的內生安全防護能力。在可信計算安全策略的指導下,針對工業控制網絡的實時控制行為和業務流程作業,本方案構建了實現貫穿設計、運行、服務全生命周期的防御、檢測、響應、預測的主動安全防御循環技術體系(TDDRP)。
(2)基于可信計算的控制安全一體化業務行為監測
在實際的工控環境中,通常缺乏針對工業控制系統的安全監測及配置變更管理,導致安全事故的分析難以進行。目前,在應用系統層面的誤操作、違規操作或故意的破壞性操作是國內工業控制系統面臨的主要安全風險。本方案基于安全可信策略的應用,對生產網絡的訪問行為與特定控制協議內容的真實性和完整性進行監控、管理與審計。本方案依托DCS廠家在工業控制系統專用網絡和通信的技術積累,將傳統邊界防護解決方案與控制系統網絡和數據特點有機融合,形成對控制邏輯和控制網絡數據有效監管和防護的一體化監測方案,實現安全中有控制、控制中有安全的突破性解決方案。
(3)基于可信計算的工控強制訪問控制防護模型
針對工控系統的特殊性,傳統的信息防護手段不能完全滿足工業信息安全的需求。因此,在傳統邊界防護的信息防護手段基礎上,本方案設計并應用了適用于工業控制場景的可信計算技術,通過控制系統內嵌可信計算體系,增強控制系統自身的防護能力。通過嵌入式防護技術的集成,控制系統能夠對啟動態和運行態的惡意代碼和內核變化進行主動檢測和可信度量,進一步發現存在的威脅和隱患。同時在可信計算技術的基礎上結合強制訪問控制技術,對工控系統中操作系統和邏輯行為所涉及的關鍵主、客體增加安全標記,通過建立適用于工業控制邏輯業務需求的強制訪問控制模型,保證控制過程中關鍵的訪問行為均在可控范圍之內進行。通過建立應用于工業場景的強制訪問控制機制,有效避免越權操作,進而保障控制系統的安全可控。可信計算和強制訪問控制的結合,使工業系統的信息安全防護不只是依賴外圍的邊界防護設備,當發生由內爆發的或外部突破進入的威脅時,控制系統有足夠的自保或應對能力。
3.2 方案推廣價值
本項目方案在控制系統規模和復雜度上具備良好的示范效果,通過該項目的信息安全建設能實現以下目標:
(1)滿足等保2.0要求的大規模工業現場應用與方案推廣
本項目選擇以大型分布式控制系統為核心中樞的百萬千瓦級超超臨界火電機組開展信息安全設計和實施,填補了新標準在實際工業領域工程項目應用的空白,通過該項目可對新標準技術要求進行合理有效的驗證。該示范項目能夠進一步完善等保2.0工業控制系統安全技術體系、管理體系和測評體系建設,對后續開展全國范圍的工業控制領域網絡安全等級保護評估和建設具有良好的推廣和示范意義,能夠有力地推動網絡安全等級保護2.0標準在工業領域的全面推廣和實行。
(2)基于可信計算的主動防護技術在工控領域的應用推廣
本示范項目采用基于可信計算的主動防護與邊界防護有機結合的綜合防護技術體系,將可信計算技術集成到工業控制器中,使網絡安全能力相對脆弱的控制系統內部具備內生安全能力,同時通過對傳統的安全審計設備增加控制邏輯和業務行為審計的功能,進而打破控制行為和網絡行為的防護壁壘,能夠實現對內部和外部不同層面爆發的網絡威脅的核心抵御能力。本項目中創新性的技術應用和防護體系建設帶來的良好防護能力將有助于為當前模糊的工業安全產品和技術發展方向提供正確指引,同時對完善和建設真正適用于工業控制系統的安全防護技術和產品體系形態能夠提供有力的工程應用支撐。
(3)結合流程行業共性特點的普適性應用模板
本示范項目選取具備典型工業特點的百萬千瓦級火電機組,同時全廠采用現場總線技術實現智能儀表互聯互通,具備流程行業工控系統的共性特點。
基于以上基礎設計和建設的工業信息安全解決方案,該項目適用于工控現場同時覆蓋流程行業全工藝環節的綜合安全防護工程應用模板,解決了主動安全技術與流程行業工控系統實施應用的適應性難題。
3.3 效益分析
(1)經濟效益
通過對基于可信計算技術的百萬機組DCS系統信息安全技術的研究并進行應用,可對發電現場控制系統進行全面有效的防護,防止系統受到病毒、木馬等各種形式的網絡攻擊,從而避免因停產等原因造成的經濟損失,每避免一次非計劃停機預計節約機組啟停費用約200萬元。
(2)社會效益
本課題內容實施后,可突破目前國產百萬千瓦級火力發電廠基于可信計算技術按照等保2.0三級要求建設工業控制系統網絡信息安全的技術空白,從根源降低電網安全事件影響,為后續集團內各電廠進行信息安全建設提供技術指導,并可作為標桿為國內其他電廠在按照等級保護2.0要求建設監控系統安全制度、系統仿真和測試驗證、等級保護測評等方面提供成熟經驗并在國內發電行業進行推廣及應用。
《自動化博覽》2023年1月刊暨《工業控制系統信息安全專刊(第九輯)》
北京市公安局海淀分局備案號:11010802023656號